WLAN-Sicherheit 16 - Angriffe aufs WLAN, Teil 3
Der Angriff auf ein WLAN erfolgt wie bereits aufgeführt in 4 Schritten:
- Aufspüren eines WLAN (Access Points)
- Aufzeichnen des Netzwerkverkehrs
- Ermitteln des Schlüssels
- Eindringen in das Netzwerk
Schritt 1 und 2 sowie Schritt 3 wurden bereits beschrieben, jetzt geht es weiter mit dem
Schritt 4: Eindringen in das Netzwerk
Nachdem der Angreifer den Schlüssel des Netzwerks oder die WPS-PIN ermittelt hat, kann er damit wie ein ganz normaler Client auf das Netz zugreifen. Eventuell verhindert eine aktivierte Zugriffskontrollliste (ACL, Access Control List) den Zugriff von Geräten mit nicht freigegebener MAC-Adresse. Das ist aber kein Hindernis, da der Angreifer eine zulässige MAC-Adresse aus dem belauschten Netzwerkverkehr ermitteln und danach seine eigene entsprechend ändern kann. Entweder indem er die Adresse seiner Netzwerkkarte überschreibt oder wenn das nicht möglich ist, entsprechende Software für die Änderung der MAC-Adresse einsetzt. Entsprechend bringt die Aktivierung der Zugriffskontrollliste im WLAN keinen wirklichen Sicherheitsgewinn, dafür aber zusätzlichen Verwaltungsaufwand.
Ein erfolgreich in ein WLAN eingedrungener Angreifer hat drei Möglichkeiten:
- Er kann das lokale Netz ignorieren und nur einen über das WLAN erreichbaren Internetzugang für seine Zwecke nutzen.
- Er kann sich passiv verhalten und die ihm zugänglichen Daten im lokalen Netz lesen.
- Er kann aktiv Daten im lokalen Netz manipulieren.
Dabei bestehen keine Unterschiede zwischen den Zugriff über ein WLAN oder über ein kabelgebundenes Netz: Drin ist drin. Entsprechend werde ich auf die "normalen" Möglichkeiten des Angreifers hier nicht weiter eingegangen, die werde ich in zukünftigen Folgen beschreiben. Dem Angreifer stehen aber auch verschiedene Möglichkeiten zur Beeinflussung des WLAN-Verkehrs zur Verfügung, von denen ich einige kurz erwähnen möchte.
Einschleusen von Daten
AirJack ist ein Device-Treiber zum Empfangen und Einschleusen von Daten in 802.11-Netz. Ein 'Nachfolger' ist LORCON (Loss Of Radio CONnectivity), eine Linux-Library zum Einschleusen von 802.11-Frames in eine WLAN-Verbindung. Die Library wird z.B. von Kismet und Airbase-ng, einer Sammlung von Programmen zur Manipulation von WLANs, genutzt.
Airpwn ist ein weiteres, schon älteres Framework für das Einschleusen manipulierter Pakete in ein WLAN: Airpwn beobachtet die eingehenden WLAN-Pakete. Wenn ein Paket einem vorher definierten Muster entspricht, werden manipulierte Daten so eingeschleust, dass sie vom Empfänger als vom (angeblichen) Sender stammend angesehen werden.
Man-in-the-Middle
Ein Angreifer kann sich als Man-in-the-Middle zwischen Client und Access Point schleichen, wenn er gegenüber dem Client als Access Point und gegenüber dem tatsächlichen Access Point als Client auftritt.
Hotspotter ist ein schon älteres Programm, das das Netzwerk auf Verbindungsversuche von Windows-XP-Clients (ja, so alt!) überwacht und sich ggf. als Access Point ausgibt, mit dem sich der Client dann verbindet. Nach dem Aufbau der Verbindung kann Hotspotter einen vorher konfigurierten Befehl ausführen.
Ein Angreifer kann sich aus über ARP Spoofing als anderer Rechner, z.B. auch das Internet-Gateway, ausgeben und die dafür bestimmten Daten an seinen Rechner umleiten (das muss ich in einer zukünftigen Folge auch mal genauer erklären).
Denial-of-Service-Angriffe aufs WLAN
Eine für Denial-of-Service-Angriffe ausnutzbare Schwachstelle in WPA ist die fehlende Authentifizierung der ersten Nachricht des 4-Wege-Handshakes: Ein Client muss jede erste Nachricht so lange speichern, bis er eine passende dritte, signierte Nachricht erhält. Sofern mehrere parallele Sessions möglich sind, kann ein Angreifer dies durch eine große Anzahl gefälschter erster Handshake-Nachrichten ausnutzen, um den Speicher des Clients zu erschöpfen.
Die Deauthentifizierungs-Nachricht, mit der sich ein Client beim Access Point abmeldet, ist ebenfalls nicht authentifiziert, kann also vom Angreifer einfach gefälscht werden. Ziel der Deauthentifizierung ist es meist, den Client zu einer erneuten Authentifizierung zu zwingen, um dabei den 4-Wege-Handshake von WPA/WPA2 zu belauschen. Durch fortlaufendes Senden von Deauthentifizierungs-Nachrichten kann ein Client aber auch an der Kommunikation mit dem Access Point gehindert werden.
Denial-of-Service-Angriffe allgemein
Der Angreifer befindet sich durch den WLAN-Zugang in lokalen Netz und kann dort alle möglichen DoS-Angriffe starten. Die Frage ist nur: Warum sollte er das tun? Was hat er davon? Mal abgesehen von der Freude an Vandalismus fällt mir eigentlich kein Grund ein. Und das gilt genauso für die DoS-Angriffe aufs WLAN.
Weitere Sicherheitsmaßnahmen
Die Konfiguration des Access Points sollte nur über eine kabelgebundene Verbindung aus dem lokalen Netz möglich sein. Die Fernkonfiguration und/oder die Konfiguration über WLAN muss dementsprechend deaktiviert werden. Das Setzen eines sicheren Passworts für den Zugriff auf den Access Point sollte selbstverständlich sein, wird aber oft vergessen. Je nach Auslieferungszustand ist der Access Point dann gar nicht oder nur durch ein Standard-Passwort geschützt.
Ein oft vernachlässigter Punkt ist die Firmware des Access Points: Vorhandene Updates zur Behebung von Schwachstellen müssen möglichst schnell installiert werden, da ein Access Point durch seine freie Zugänglichkeit einem besonders hohen Angriffsrisiko ausgesetzt ist.
In der nächsten Folge gibt es zum Abschluss des Themenbereichs "WLAN-Sicherheit" noch einen Überblick über die weiteren Angriffe auf WPA2.
Trackbacks