Sonntag, 8. August 2010


Topthema

Donnerstag, 9. August 2007 | Topthema

About Security #117: Mobile Security — WLAN-Hotspots

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/037407)

Wie sicher ist die Nutzung eines WLAN-Hotspots? Der wesentliche Unterschied zwischen einem Hotspot und dem Access Point eines normalen WLAN besteht darin, dass die Hauptaufgabe eines Hotspots die Bereitstellung des Internetzugangs ist, w�hrend der Access Point im Wesentlichen den Zugriff auf das lokale Netz erm�glichen soll. Dementsprechend ist bei einem Hotspot der Zugriff beliebiger Clients auf den Hotspot erw�nscht, w�hrend deren Zugriff auf andere Rechner im WLAN unerw�nscht ist. Beim Access Point ist es genau umgekehrt: Nur erw�nschte Rechner sollen sich mit dem WLAN verbinden, dann aber auch mit den anderen Clients kommunizieren k�nnen. Entsprechend ergeben sich bei einem Hotspot andere Sicherheitsprobleme als in einem normalen WLAN.

Die Anmeldung

Die Anmeldung beim Hotspot erfolgt �ber die Broadcast-SSID, auf eine Verschl�sselung wird meist verzichtet. Eine weit verbreitete Zugangsmethode f�r Hotspots ist die 'Universal Access Method' (UAM): Wenn der Benutzer die erste Webseite in seinem Webbrowser aufruft, wird er auf die Anmeldeseite des Hotspots umgeleitet (sofern er nicht eine kostenfreie Seite des Hotspot-Betreibers aufgerufen hat). Die Authentifizierung erfolgt �ber einen AAA-Server (AAA = Authentifizierung, Autorisierung, Accounting), z.B. einen RADIUS-Server.

Zugangskontrolle

Da es keine einheitliche Hotspot-Architektur gibt, gibt es auch kein einheitliches oder gar standardisiertes Anmeldungs- und Authentifizierungsverfahren. Die Hotspots und ihr lokales WLAN sind daher weitgehend ungesch�tzt: Jeder Schutz w�rde eine entsprechende Anpassung auf der Client-Seite erfordern. Das w�rde aber potenzielle Kunden behindern, weshalb darauf verzichtet wird.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Ein Client, der einen Access Point sucht, sendet einen Probe-Request mit seinem Identifier, MAC-Adresse, Kanal und SSID. Jeder Access Point in Reichweite antwortet darauf mit seinem Identifier. Danach beginnt die Authentifizierung. Ein Angreifer, der den Identifier belauscht, kann sich als der betreffende Client ausgeben. Ist keine Authentifizierung notwendig (so genannte Open-System-Authentifizierung, bei der der Client sich durch seine MAC-Adresse ausweist), kann sich der Angreifer sofort mit dem belauschten Identifier/MAC-Adressen-Paar als gef�lschter Client mit dem Access Point verbinden. Beim Einsatz der 'Universal Access Method' wird zwar die Verbindung �ber SSL/TLS gesch�tzt, UAM ist aber �ber Session Redirection angreifbar. Zugangsdaten k�nnen daher �ber einen b�sartigen Access Point ausgesp�ht werden.

Angriffe auf den Datenverkehr

Abgesehen vom Belauschen des generell unverschl�sselt �bertragenen Datenverkehrs (sofern die Daten nicht unabh�ngig von der WLAN-Verbindung im Rahmen z.B. einer SSL/TLS-Verbindung oder eines VPN verschl�sselt �bertragen werden) ist eine Reihe weiterer Angriffe m�glich:

  • Man-in-the-Middle
    Die gr��te Gefahr besteht in einem b�sartigen (Rogue) Access Point: Der Angreifer gibt sich gegen�ber dem Client als Access Point und gegen�ber dem Access Point des Hotspots als der angegriffene Client aus. Dabei kann er auch HTTPS-Verbindungen belauschen, wenn der Client beim Verbindungsaufbau nicht auf das Zertifikat der Gegenseite achtet.
    KARMA ist eine Sammlung von Tools zum Testen von WLANs. Ein Sniffer kann nach Probe-Requests lauschen und danach entsprechend den Angaben im Request einen vertrauensw�rdigen Access Point, mit dem sich der Client bereits zuvor einmal verbunden hat, simulieren. Der Client baut dann automatisch eine Verbindung zu diesem Access Point auf.
  • Session Hijacking
    Der Angreifer wartet, bis ein Client eine Hotspot-Sitzung verl�sst, und �bernimmt dann dessen authentifizierte Session. Im einfachsten Fall reicht es dabei, die abgeh�rte legitimierte MAC- und IP-Adresse eines Clients zu verwenden.
  • Machine Hijacking
    Ist bei einem authentifizierten Client IP-Forwarding oder Internet-Sharing aktiviert, kann ein Angreifer dar�ber auf das Netzwerk zugreifen, ohne sich selbst beim Hotspot authentifizieren zu m�ssen.
  • DHCP-Spoofing
    Der Angreifer sendet dem Client gef�lschte DHCP-Server- und DHCP-Gateway-Daten und lenkt damit den Netzwerkverkehr �ber sich um. F�r einen erfolgreichen Angriff muss er seine gef�lschten DHCP-Offer- und DHCP-Acknowledge-Pakete schneller als der DHCP-Server senden.
  • DNS-Spoofing
    Der Angreifer f�lscht die Antwort des DNS-Servers auf eine DNS-Anfrage, sodass sich der Client danach statt mit dem eigentlichen Zielrechner mit einem Rechner unter der Kontrolle des Angreifers verbindet (siehe About Security #61/ #62).
  • ARP-Poisoning
    Durch eine Manipulation des ARP-Cache des Clients wird erreicht, dass der IP-Adresse des Hotspots stattdessen MAC-Adresse die MAC-Adresse des Angreifers zugeordnet wird (siehe About Security #60). Danach sendet der Client seine Daten an den Angreifer, der sie als Man-in-the-Middle (ggf. manipuliert) an den Hotspot weiterleitet.
  • ICMP-Redirect
    Dem Client wird eine angeblich g�nstigere Route �ber einen Router unter der Kontrolle des Angreifers mitgeteilt.
About Security: Die komplette Serie

David Maynor und Robert Graham von Errata Security haben im Fr�hjahr 2007 auf der Sicherheitskonferenz Black Hat DC 2007 vorgef�hrt, welche Informationen ein Client beim Starten und bei der Suche nach einem Access Point preisgibt und welche Schl�sse sich daraus ziehen lassen (PowerPoint-Folien des Vortrags). Zur Demonstration wurde das Tool FERRET entwickelt, das alle im Klartext �bertragenen Daten sammelt. Auf der Konferenz Black Hat USA 2007 wurde von den beiden unter anderen demonstriert, wie ein Angreifer sich mit den belauschten Cookies einer GMail-Sitzung bei GMail anmelden kann (Blog-Eintrag von George Ou dazu). Mike Perry hat auf der Mailingliste Bugtraq berichtet, dass die Nutzung von SSL entgegen der Annahme von Robert Graham nicht als Schutz ausreicht.

Entsprechende Angriffe sind au�er auf Webmail-Dienste auch auf alle anderen Webanwendungen m�glich, die eine �hnliche Authentifizierung nutzen.

Gegenma�nahmen

Bei der Nutzung eines Hotspots sollten vertrauliche Daten nur �ber verschl�sselte Verbindungen (z.B. SSL/TLS, VPN) �bertragen werden. Beim Aufbau einer gesch�tzten Verbindung m�ssen die Zertifikate der Gegenseite aufmerksam gepr�ft werden, um das Einschleichen eines Man-in-the-Middle zu verhindern.

Damit ist der Themenbereich "WLAN-Sicherheit" abgeschlossen. Im Bereich "Mobile Security" geht es in der n�chsten Folge mit der Sicherheit von Bluetooth weiter.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Mobile Security � WPA, WPA2 und IEEE 802.11i"

Kommentare

Folgende Links könnten Sie auch interessieren

  • Samba-3 By Example  [04.07.2005]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,416,.html]
  • IT-Sicherheit  [19.04.2007]
    [http://entwickler.de/zonen/portale/psecom,id,102,buch,616,.html]
  • Frankophile Enterprise-Power  [20.06.2005]
    [http://entwickler.de/zonen/portale/psecom,id,101,online,682,.html]
  • Freunde in der Not  [05.07.2005]
    [http://entwickler.de/zonen/portale/psecom,id,101,online,738,.html]
  • Geronimo  [31.05.2006]
    [http://entwickler.de/zonen/portale/psecom,id,101,online,1061,.html]