Skip to content

Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN

Der von Cisco in WLAN Access Points implementierte WPA Migration Mode erlaubt Clients die wahlweise Nutzung von WEP oder WPA mit dem gleichen Service Set Identifier (SSID). Leandro Meiners und Diego Sor haben auf der Konferenz "Black Hat USA 2010" einen Angriff auf den WPA Migration Mode vorgestellt, bei dem sie auch ohne vorhandene WEP-Clients den WEP-Schlüssel in relativ kurzer Zeit ermittelt haben. Mit vorhandenen WEP-Clients ist der Angriff trivial, da dann sehr schnell ausreichend viele WEP-verschlüsselte Pakete gesammelt werden können, aus denen dann der WEP-Schlüssel innerhalb weniger Minuten berechnet werden kann. Ohne WEP-Client war ein Angriff zwar bisher schon möglich, aber sehr langwierig.

WPA Migration Mode

Der WPA Migration Mode erlaubt Clients, die WPA oder WEP unterstützen, die Nutzung eines Access Points mit einer gemeinsamen SSID. Dazu wird für die Multicast-Verschlüsselung für diese SSID WEP verwendet, so dass sich WEP- und WPA-Clients mit dem Access Point verbinden können. Der Access Point vermerkt in einer internen Tabelle, welche Unicast-Verschlüsselung für die einzelnen Clients verwendet werden muss. Die jeweilige Verschlüsselung erfährt er während der Authentifizierung,

Da der Access Point sowieso alle über WLAN empfangenen Pakete entschlüsselt und bei der Weiterleitung über WLAN passend neu verschlüsselt, ist dieser Mischbetrieb für Unicast-Verbindungen problemlos möglich. Die Clients erhalten generell nur passend verschlüsselte Pakete. Für Multicast-Traffic erlaubt der Standard IEEE 802.11 ausdrücklich die Verwendung von WEP als Verschlüsselungsmethode.

Um Access Points mit aktiviertem WPA Migration Mode zu erkennen, muss nur nach Beacon-Frames gesucht werden, die verraten, ob der Access Point WEP für Multicast-Traffic und TKIP für Unicast-Traffic verwendet.

Der Angriff

Sind WEP-Clients mit dem Access Point verbunden, können diese auf althergebrachte Weise angegriffen werden. Sind keine WEP-Clients vorhanden, ist der Angriff nur mit großem Zeitaufwand möglich. Generell kann der WEP-Schlüssel aus gesammelten Broadcast-Frames, die ja weiterhin per WEP verschlüsselt werden, ermittelt werden. Leandro Meiners und Diego Sor haben dieses Datensammeln beschleunigt. Dazu haben sie WEP-verschlüsselte ARP-Request eingeschleust, die eine WEP-verschlüsselte ARP-Response auslösen:

  • Der Angreifer verbindet sich als WEP-Client mit dem Access Point. Dies ist bei der Konfiguration von "Open System"-Authentifizierung auch ohne Kenntnis des WEP-Schlüssels möglich (da im Standard davon ausgegangen wurde, dass ein Angreifer, der sich so in das Netzwerk schleicht, ja keinen Zugriff auf die verschlüsselten Daten erhält).
  • Danach wartet der Angreifer auf einen als Broadcast gesendeten ARP-Frame.
  • Dieser Frame wird durch Kippen der entsprechenden Bits in einen ARP-Request umgewandelt, der vom Angreifer gesendet wurde (mit einer beliebigen IP-Adresse).
  • Der manipulierte ARP-Frame wird mit gesetztem "From-DS"-Bit erneut gesendet.
  • Die vom Access Point weitergeleiteten ARP-Requests und -Responses werden gesammelt.
  • Wurden genug Frames (ca. 40.000) gesammelt, kann daraus mit den bekannten Methoden der WEP-Schlüssel ermittelt werden.

Der vom Access Point weitergeleitete ARP-Request ist als Broadcast-Frame mit WEP verschlüsselt, die (Unicast) ARP-Response geht an den als WEP-Client angemeldeten Angreifer und ist deshalb ebenfalls WEP-verschlüsselt. In manchen Fällen wird der manipulierte ARP-Frame keine ARP-Response auslösen, dann kann der Vorgang solange mit weiteren ARP-Frames wiederholt werden, bis eine ARP-Response ausgelöst wird. Jeder gesendete Frame erzeugt bei diesem Verfahren zwei WEP-verschlüsselte Frames, von denen ja ungefähr 40.000 gesammelt werden müssen.

Mit dem ermittelten WEP-Schlüssel kann der Angreifer sich dann beim Access Point als WEP-Client authentifizieren. Dazu muss vorher nur noch die verwendete "Key ID" aus einem der gesammelten WEP-Frames ermittelt werden. Danach hat der Angreifer vollständigen Zugriff auf das Netzwerk.

Schutzfunktion wirkungslos

Cisco hat als zusätzliche Schutzfunktion die "Broadcast Key Rotation" implementiert, die die Sicherheit erhöhen soll, wenn keine WEP-Clients mit statischem WEP-Schlüssel vorhanden sind. Dazu wird ein dynamischer Schlüssel verwendet, sobald sich der letzte WEP-Client mit statischem Schlüssel abgemeldet hat. Das erschwert tatsächlich das Brechen des WEP-Schlüssels. Aber sobald sich ein WEP-Client, der kein Schlüsselmanagement unterstützt und daher auf einen statischen Schlüssel angewiesen ist, mit dem Access Point verbindet, wird wieder ein statischer Schlüssel verwendet. Das kann der Angreifer ausnutzen und sich als WEP-Client ohne Schlüsselmanagement authentifizieren, so dass der Access Point auf einen wie oben beschrieben angreifbaren statischen Schlüssel zurückgreift.

Angriffe abwehren

Am einfachsten lassen sich Angriffe durch das Ausschalten des WPA Migration Mode verhindern: Was nicht da ist, kann auch nicht angegriffen werden. Muss WEP unterstützt werden, können ein paar Gegenmaßnahmen die Angriffe zwar nicht verhindern, aber zumindest erschweren:

  • Das Einschalten von PSPF (Public Secure Packet Forwarding) verhindert, dass Clients untereinander Unicast-, Broadcast- oder Multicast-Traffic austauschen. Leandro Meiners und Diego Sor haben aber gezeigt, wie trotzdem ein Angriff möglich ist.
  • Das Verwenden von MAC-Filtern erschwert fremden Clients den Verbindungsaufbau.
  • Das Einschränken der Signalstärke sorgt dafür, dass nur die benötigten Bereiche abgedeckt werden.
  • Eine Zeitbasierte Zugriffskontrolle erschwert Angreifern den Zugriff.

Mehr Schutz bietet die Nutzung getrennter VLANs für WEP- und WPA-Clients und das Ausschalten des WPA Migration Mode. Das erfordert aber einige Anpassungen bei allen Clients und Access Points.

WEP wird gebrochen!

WEP stellt heutzutage (und schon seit einigen Jahren) keinerlei Schutz mehr dar, sobald ein Angreifer die Verschlüsselung brechen will. Daher sollte WEP generell nicht mehr eingesetzt werden. So teuer kann ein Austausch nur WEP unterstützender Geräte gar nicht sein, dass das Nicht-Ersetzen eines veralteten Geräts günstiger ist als der mögliche Schaden durch ein erfolgreiches Eindringen in das WLAN. Leandro Meiners und Diego Sor führen in ihrem Paper einige Möglichkeiten auf, um die Folgen eines Angriffs zu begrenzen, aber auch die kosten im Endeffekt mehr als ein Austausch veralteter Hardware.

In der nächsten Folge werden weitere Angriffe auf WLANs vorgestellt.

Carsten Eilers


Weiterführende Links


Übersicht über alle Artikel zum Thema

WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
"Hole196" - Eine neue Schwachstelle in WPA2
DNS-Rebinding - Ein altbekannter Angriff kompromittiert Router
Von außen durch den Client in den Router
Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN
NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool
Angriffe auf den WLAN-Client
BEAST - Ein neuer Angriff auf SSL und TLS 1.0
Konfigurationsänderungen am Router per UPnP - aus dem Internet
WLAN-Sicherheit - Stand der Dinge
WPS-Schwachstelle gefährdet WLANs

Trackbacks

Keine Trackbacks