Skip to content

WLAN-Sicherheit 19 - WLAN-Hotspots

Wie angekündigt geht es in dieser Folge um die Sicherheit von WLAN-Hotspots. Der wesentliche Unterschied zwischen einem Hotspot und dem Access Point eines normalen WLAN besteht darin, das die Hauptaufgabe eines Hotspot die Bereitstellung des Internetzugangs ist, während der Access Point im Wesentlichen den Zugriff auf das lokale Netz ermöglichen soll. Dass die Clients darüber dann meist ins Internet gelangen ist quasi nur ein Nebeneffekt.

Dementsprechend ist bei einem Hotspot der Zugriff beliebiger Clients auf den Hotspot erwünscht, während deren Zugriff auf andere Rechner im WLAN unerwünscht ist. Beim Access Point ist es genau umgekehrt: Nur erwünschte Rechner sollen sich mit dem WLAN verbinden, dann aber auch mit den anderen Clients kommunizieren können. Entsprechend ergeben sich bei einem Hotspot andere Sicherheitsprobleme als in einem normalen WLAN.

Die Anmeldung

Die Anmeldung beim Hotspot erfolgt über die Broadcast-SSID, auf eine Verschlüsselung wird oft verzichtet. Eine weit verbreitete Zugangsmethode für Hotspots ist die 'Universal Access Method' (UAM): Wenn der Benutzer die erste Webseite in seinem Webbrowser aufruft, wird er auf die Anmeldeseite des Hotspots umgeleitet (sofern er nicht eine kostenfreie Seite des Hotspot-Betreibers aufgerufen hat). Die Authentifizierung erfolgt über einen AAA-Server (AAA = Authentifizierung, Autorisierung, Accounting), z.B. einen RADIUS-Server.

Eine weitere Möglichkeit zur Anmeldung besteht darin, in einem mit WPA2 geschützten Netzwerk entweder ein allgemein bekanntes Passwort zu verwenden, oder jedem Benutzer vorab individuelle Benutzerkennungen und zufällig erzeugte Passwörter zuzuteilen. In allen Fällen handelt es sich also um normale WPA2-WLANs und alles dazu bereits geschriebene gilt auch für den Hotspot.

Im folgenden geht es daher um die nicht WPA2 nutzenden Hotspots.

Schwachstellen und Angriffe

Zugangskontrolle

Da es keine einheitliche Hotspot-Architektur gibt, gibt es auch kein einheitliches oder gar standardisiertes Anmeldungs- und Authentifizierungsverfahren. Die Hotspots und ihr lokales WLAN sind daher weitgehend ungeschützt: Jeder Schutz würde eine entsprechende Anpassung auf der Client-Seite erfordern. Das würde aber potentielle Kunden behindern, weshalb darauf verzichtet wird.

Ein Client, der einen Access Point sucht, sendet einen Probe-Request mit seinem Identifier, MAC-Adresse, Kanal und SSID. Jeder Access Point in Reichweite antwortet darauf mit seinem Identifier. Danach beginnt die Authentifizierung. Ein Angreifer, der den Identifier belauscht, kann sich als der betreffende Client ausgeben. Ist keine Authentifizierung notwendig (sog. Open-System-Authentifizierung, bei der der Client sich durch seine MAC-Adresse ausweist), kann sich der Angreifer sofort mit dem belauschten Identifier/MAC-Adressen-Paar als gefälschter Client mit dem Access Point verbinden. Beim Einsatz der 'Universal Access Method' wird zwar die Verbindung über SSL/TLS geschützt, UAM ist aber über Session Redirection angreifbar. Zugangsdaten können daher über einen bösartigen Access Point ausgespäht werden.

Angriffe auf den Datenverkehr

Abgesehen vom Belauschen des generell unverschlüsselt übertragenen Datenverkehrs (sofern die Daten nicht unabhängig von der WLAN-Verbindung im Rahmen z.B. einer SSL/TLS-Verbindung oder eines VPN verschlüsselt übertragen werden) ist eine Reihe weiterer Angriffe möglich:

Man-in-the-Middle
Die größte Gefahr besteht in einem bösartigen (Rogue) Access Point: Der Angreifer gibt sich gegenüber dem Client als Access Point und gegenüber dem Access Point des Hotspots als der angegriffene Client aus. Dabei kann er auch HTTPS-Verbindungen belauschen, wenn der Client beim Verbindungsaufbau nicht auf das Zertifikat der Gegenseite achtet.
KARMA ist eine 2005 veröffentliche Sammlung von Tools zum Testen von WLANs, die aber auch heute noch eingesetzt wird, z.B. vom schon des öfteren erwähnten Kali Linux. Ein Sniffer kann nach Probe-Requests lauschen und danach entsprechend den Angaben im Request einen vertrauenswürdigen Access Point, mit dem sich der Client bereits zuvor einmal verbunden hat, simulieren. Der Client baut dann automatisch eine Verbindung zu diesem Access Point auf.
Session Hijacking
Der Angreifer wartet, bis ein Client eine Hotspot-Sitzung verlässt, und übernimmt dann dessen authentifizierte Session. Im einfachsten Fall reicht es dabei, die abgehörte legitimierte MAC- und IP-Adresse eines Clients zu verwenden.
Machine Hijacking
Ist bei einem authentifizierten Client IP-Forwarding oder Internet-Sharing aktiviert, kann ein Angreifer darüber auf das Netzwerk zugreifen, ohne sich selbst beim Hotspot authentifizieren zu müssen.
DHCP-Spoofing
Der Angreifer sendet dem Client gefälschte DHCP-Server- und DHCP-Gateway-Daten und lenkt damit den Netzwerkverkehr über sich um. Für einen erfolgreichen Angriff muss er seine gefälschten DHCP-Offer- und DHCP-Acknowledge-Pakete schneller als der DHCP-Server senden.
DNS-Spoofing
Der Angreifer fälscht die Antwort des DNS-Servers auf eine DNS-Anfrage, so dass sich der Client danach statt mit dem eigentlichen Zielrechner mit einem Rechner unter der Kontrolle des Angreifers verbindet.
ARP-Poisoning
Durch eine Manipulation des ARP-Cache des Client wird erreicht, das der IP-Adresse des Hotspots statt dessen MAC-Adresse die MAC-Adresse des Angreifers zugeordnet wird. Danach sendet der Client seine Daten an den Angreifer, der sie als Man-in-the-Middle (ggf. manipuliert) an den Hotspot weiterleitet.
ICMP-Redirect
Dem Client wird eine angeblich günstigere Route über einen Router unter der Kontrolle des Angreifers mitgeteilt.

David Maynor und Robert Graham haben schon auf der Black Hat DC 2007 vorgeführt, welche Informationen ein Client beim Starten und bei der Suche nach einem Access Point preis gibt und welche Schlüsse sich daraus ziehen lassen: "Data Seepage: How to Give Attackers a Roadmap to Your Network" (Präsentation als PDF). Zur Demonstration wurde das Tool ferret entwickelt, das alle im Klartext übertragenen Daten sammelt (ZIP-Archiv auf der Black-Hat-Website).

Auf der Black Hat USA 2007 wurde von den beiden unter anderen demonstriert, wie ein Angreifer sich über einen "Sidejacking-Angriff" mit den belauschten Cookies einer GMail-Sitzung bei GMail anmelden kann. Mike Perry hat auf der Mailingliste Bugtraq berichtet, das die Nutzung von SSL entgegen der Annahme von Robert Graham nicht als Schutz ausreicht(e). Denn für den relevanten Cookie war das 'secure'-Flag nicht gesetzt, so dass er auch über unverschlüsselte HTTP-Verbindungen übertragen wurde.

Solche Angriffe sind nicht nur auf GMail möglich, sondern auf alle Webanwendungen, die eine ähnliche Authentifizierung nutzen und die Benutzer nur an Hand eines Cookies erkennen.

Entsprechende Angriffe bzw. Schwachstellen erregten 2010 erneut Aufsehen, als die Firefox-Erweiterung Firesheep zum Ausspähen ungeschützter Cookies veröffentlicht wurde. Und es gibt noch weitere Tools für den gleichen Zweck. Die Lösung des Problems ist aber einfach: Man muss nur HTTPS und Cookies sicher einsetzen.

Gegenmaßnahmen

Bei der Nutzung eines Hotspots sollten zumindest vertrauliche Daten nur über verschlüsselte Verbindungen (z.B. SSL/TLS, VPN) übertragen werden. Am besten nutzen Sie generell nur geschützte Verbindungen, z.B. HTTPS für Websites, um jede Möglichkeit zur Preisgabe bzw. zum Ausspähen vertraulicher Daten zu eliminieren. Beim Aufbau einer geschützten Verbindung müssen Sie die Zertifikate der Gegenseite im Zweifelsfall aufmerksam prüfen, um das Einschleichen eines Man-in-the-Middle zu verhindern.

Diese Maßnahmen helfen zumindest zum Teil auch, wenn Sie auf einen Rogue Access Point hereingefallen sind, der sich als harmloser, legitimer AP tarnt und keine Schwachstelle ausnutzt wie der oben beschriebene Angriff. In der nächsten Folge geht es zum Abschluss des Themas "WLAN Sicherheit" um solche Rogue Access Points. Die nutzen inzwischen meist keine Schwachstellen in den Protokollen mehr aus, sondern die Unaufmerksamkeit der Benutzer und unsichere Netzwerkverbindungen von Anwendungen aus.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 20 - Rogue Access Points, Teil 1: KARMA

Vorschau anzeigen
Rogue Access Points sind erst mal allgemein bösartige Access Points. Eine Möglichkeit habe ich bereits bei der Beschreibung der Hotspots vorgestellt: Der Angreifer gibt sich gegenüber dem Client als Access Point und gegenüber de