Ilja Neumann / FSI1 BFS-Roth 2006 WLAN Sicherheit und Angriffspunkte.

Ilja Neumann / FSI1 BFS-Roth 2006

WLANSicherheit und Angriffspunkte


Inhalt• Grundlagen

– Infrastruktur

– Geräte

– Übertragungsstandards

– Arbeitsmodi

• Werkzeuge

• Sicherheitsmaßnahmen– Einfache Sicherheitsmaßnahmen („Placebo Sicherheit“)– Authentifizierung (Basiswissen)

• Verschlüsselung

• DoS-Angriffe

• Vorgehensweisen


Grundlagen• WLAN (Wireless Local

Area Network) stellt die unterste Schicht (Vermittlungsschicht) im OSI-Modell dar.

• Man kann WLAN als Ethernet über Funk (2 Ghz) bezeichnen


Infrastruktur eines WLAN


Accesspoint• Ein Acesspoint (AP) ist

das „Herz“ eines WLAN.

• Der AP stellt die Dienste eines Servers im „Ether“ zur Verfügung.

• Der AP ist im Grunde nur ein Hub.


Client• Als Client bezeichnet man jedes Gerät dass

sich mit dem Accesspoint verbindet um seine Dienste zu nutzen.

• Ein Server der seine Dienste über einen AP zur Verfügung stellt ist aus der sicht des AP ebenfalls ein Client.


Authentefikationsserver• An einem Authentifikationsserver (AS)

können sich Personen anstelle von Geräten in einem WLAN z.B. mit einer Smartcard anmelden.– Keine Bindung an ein bestimmtes Gerät.– Keine unbequemen Schlüssel– Zentrale Benutzerverwaltung– Personengebunden


WLAN-Geräte• Ein Überblick über Client Geräte:

– Notebooks– Workstations– Server– Handys/PDAs– Telefone (VoIP)– Kühlschränke– Getränkeautomaten– …..


WLAN-Telefone• Können im Unternehmen die herkömmlichen

Telefone kostengünstig ersetzen da nur noch ein Netz (LAN) gewartet werden muss)– Nutzen TCP/IP bzw. UDP/IP– Können somit mit konventionellen Tools

abgehört und sabotiert werden => Gefahr für Unternehmensinfrastruktur.

– Nicht so zuverlässig wie ein konventionelles Telefon (POTS/ISDN)


Übertragungsstandards


IEEE 802.11a • Funkt mit 54 Mbit/s

• 5 Ghz Band

• Wird wegen gesetzlichen Einschränkungen kaum eingesetzt.

• Kann in offenen Bereichen Militärkommunikation stören.

• Eignet sich für Punkt zu Punkt richtfunkstrecken


IEEE 802.11b • Funkt mit maximal 11 MBIT pro Sekunde.

• Findet sich in vielen älteren Geräten (1999-2003)

• Neue Hardware ist meist zu 11b abwärtskompatibel.


IEEE 802.11g • Arbeitet mit maximal 54 MBIT pro Sekunde.

• 11g ist der aktuelle Standard und wird von allen aktuellen Geräten unterstützt.


IEEE 802.11h• Arbeitet mit maximal 105 MBIT/s

• Ist ein recht neuer Standard (2006).

• Es gibt vereinzelt Geräte die 11h bereits unterstützen.

• Viele 11h Geräte sind zu 11g (und manchmal sogar bis zu 11b) abwärtskompatibel.


ArbeitsmodiAbschnitt 1.4


Infrastruktur-Modus• Ist der „normale“ Betriebsmodus.

• Im Infrastruktur-Modus fungiert der AP als Hub und verbindet Clients und Server miteinander

• Die Kommunikation kann von jedem Client mitgeschnitten werden der über ein WLAN Interface verfügt.


Ad-Hoc Modus• Im Ad-Hoc Modus benötigen die Clients

keinen Accesspoint und verbinden sich direkt miteinander.– Jeder Client kann dem Verbund beitreten. Es ist

keine Verschlüsselung möglich.


Promiscouse-Mode• Im Promiscouse-Mode nimmt dass WLAN-

Interface alle Pakete entgegen. Und zeichnet sie auf.– Der Promiscouse-Mode kann zum mitschneiden

aller WLAN-Verbindungen auf einem einzigen Kanal verwendet werden.

– Es muss keine Verbindung zu einem Accesspoint bestehen.


Monitor-Mode• Im Monitor Mode wird sämtlicher

Funkverkehr im 2 Ghz Bereich auf allen Kanälen roh mitgeschnitten und kann aufgezeichnet werden. – Der Monitor-Mode liegt eine Stufe unter dem

Promiscouse Mode und überwacht die unterste OSI-Schicht


Bridging• Im Bridging-Modus leitet der AP sämtlichen

ankommenden Pakete an ein anderes Gerät weiter:– Zu einem anderen Accesspoint.– Zu einem Switch.– Es kann der Verkehr eines Kabelgebundenen-

LAN im WLAN zur verfügung gestellt werden in dem der AP im Bridging-Modus an einen Switch angeschlossen wird.


SoftwareDie Werkzeuge


Aktive Scanner• Ein aktiver Scanner findet WLANs in dem er

sich wie ein normaler Client verhält und ganz normale Verbindungsanfragen an den AP sendet.– Nachteil:

• Aktive Scanner sind laut, d.h. der Hacker taucht in den Logs auf.

– Vorteil:• Einfach zu bedienen• Funktioniert mit jedem WLAN-Interface


Passive Scanner• Passive Scanner arbeiten im Monitormode

und erkennen die Funkwellen auf Physikalischer ebene. Es müssen keine Anfragen an den AP gesendet werden.– Nachteil:

• Schwieriger in der Bedienung (oft nur für Linux)• Benötigt WLAN-Interfaces mit einem Chipsatz der den

Monitor-Mode unterstützt. (Prism2 oder Aetheros)

– Vorteil:• Unsichtbar


Sniffer• Sniffer zeichnen sämtlichen Datenverkehr

auf, der am Interface vorbeigeht. Entweder direkte die TCP/IP Pakete, oder bei speziellen WLAN-Sniffern - die Funkwellen um daraus später die gewünschte Information zu extrahieren.


SicherheitsmaßnahmenUnd wie man sie umgeht…

(Abschnitt 3)


Das Problem• Im vergleich zum Kabelgebundenen LAN wo

alle Daten feste Wege verfolgen und von der Umgebung physikalisch abgeschirmt sind werden im WLAN die Pakete durch die gesamte Weltgeschichte geschickt ;-) und können von jedem abgefangen, gestört oder manipuliert werden. Man benötigt nur ein WLAN-Interface (WLAN-Karte, WLAN-Stick)


Einfache Sicherungsmaßnahmen


SSID• Jeder Client der sich mit einem AP verbinden

will muss über die selbe SSID verfügen.– Die SSID kann frei verändert werden.– Die SSID kann ein beliebiger String sein, z.B.

„MeinWlan“, oder „Home“.– Wenn mehrere APs die selbe SSID habe

schließen sie sich zu einem Netz zusammen, dies bezeichnet man als ESSID.


SSID-Broadcast• In der Standardeinstellung sendet

(„Broadcasted“) der AP die SSID an alle Clients.

• Für einen Eindringling entfällt somit schonmal die erste Hürde.

• Es gibt die Möglichkeit SSID-Broadcast abzuschalten, somit ist die SSID-Versteckt und jeder Client muss die SSID-Kennen.


SSID „richtig" Herausfinden• Eine versteckte SSID ist kein wirklicher

Schutz sondern „Security by Obscurity“ und hält nur faule Hacker ab.– Die SSID/ESSID wird im Header jedes WLAN-

Paketes uverschlüsselt mitgesendet.– Somit muss man nur ein paar Minuten lang

WLAN-Verkehr im Promiscouse oder Monitor-Modus aufzeichnen um an die SSID zu gelangen.


Die „laute“ Methode um die SSID herauszufinden

• Man schickt einen Ping an einen AP.– Der AP liefert ein Antwortpaket zurück welches

die SSID enthält.– Im vergleich zum Mitschneiden im

Monitor/Promiscouse-Mode, taucht dieser Vorgang in den Logs des APs auf.

– Wegen diesem Umstand sollte man auf diese Methode verzichten.


MAC-Whitelist• Jeder Netzwerkadapter verfügt über eine

Weltweit einzigartige MAC-Adresse.

• Im AP kann man eine liste erstellen die nur bestimmte MACs ins Netz lässt.

• Es gibt jedoch Software die die den anderen Netzwerkteilnehmern eine andere MAC-Adresse vortäuscht (MAC-Spoofing).

• Somit ist die MAC-Whitelist nutzlos.


MAC-Herausfinden• Möglichkeiten um eine „Weise“ MAC zu

finden:– Sniffing– Social-Engineering– Dump-Diving– Bruteforce


AuthentifizierungÜberblick


Authentifizierung• Einfache Maßnahmen nutzen nichts.

• Man benötigt eine Möglichkeit die eigenen Leute von den „Hackern“ zu unterscheiden.

• Die MAC-Adresse kann gespooft -und ein Laptop geklaut werden.


RADIUS• RADIUS ist ein eigener Server im LAN

welcher die Benutzerverwaltung übernimmt.– Vorteile:

• Fortschrittliche Authentifizierungsmaßnahmen:– Smartcard/Fingerabdruck– Benutzerabhängige Zugangsdaten– Personengebundene statt Geräteabhängige

Authentifizierung


Sicherheitstipps für RADIUS• Nicht direkt ins WLAN einbinden sondern

Kabelgebunden an den AP mit einer Firewall dazwischen, die nur die RADIUS Ports durchlässt.

• Setzen sie ein Ablaufdatum für Zertifikate um dem Diebstahl oder dem kopieren und emulieren von Smartcards entgegenzuwirken.

• Schulen sie Ihre Mitarbeiter.


Angriff auf Verschlüsselungen

Offline Angriffe


Die letzte Hürde• Sind alle „Pseudosicherungen“ ausgehebelt

bleibt noch die letzte Bastion, die Verschlüsselung:

• Es gibt verschiedene Kombinationen– WEP

• WEP64 und WEP128

– WPA• WPA/AES (256Bit), WPA/TKIP und WPA/RADIUS

– WPA2• WPA2/AES (256Bit), WPA2/TKIP und WPA2/RADIUS


WEP• WEP = Wireless Equivilant Privacy

– Wird von allen Geräten unterstützt– Basiert auf dem bereits geknackten RC4

Algorithmus– Schwache Schlüssel (40-Bit)


Funktionsweise (WEP)• WEP verschlüsselt sämtlichen Verkehr mit

dem RC4 Algorithmus mit einer Schlüssellänge von 40-Bit.

• An jedes Packet wird ein Initalisationsvektor (IV) angehangen. – Der IV ist eine art Hashwert (24-Bit) gegen den

Verschlüsselt wird. – Der IV ändert sich mit jedem Packet.


Schwachstellen WEP• IV nur 24-Bit lang

– Ändert sich mit jedem Packet• Spätestens nach 2^24 Änderungen wiederholt sich die

abfolge der IVs, – Somit kann der Schlüssel durch Mathematische Vergleichs-

und Wahrscheinlichkeitsfunktionen errechnet werden, wenn genug Datenverkehr im Monitor-Mode mitgeschnitten wurde.


Schwachstellen WEP• Der RC4 Algorithmus ist unsicher

– Der verwendete RC4 wurde bereits von Kryptologen analysiert und als unsicher befunden.

– Die Sicherheit des RC4 beruhte lediglich auf der Geheimhaltung des Verfahrens.

– Wird auch scherzhaft „Wireless Encryption Placebo“ genannt


WPA/WPA2• Benutzt im vergleich zu WEP ein Keymixing

(Dynamische Schlüssel) (WPA1)

• Ein sicheres verschlüsselungsverfahren (AES) (WPA2)

• Es sind angriffsverfahren bekannt, deshalb sollte dass Passwort mindestens 63 Zeichen haben (Groß und Kleinbuchstaben, sowie Sonderzeichen)


Denial of ServiceDoS-Angriffe auf eine WLAN

Infrastruktur


Überblick• Nicht immer will man Daten ausspähen…

• Manchmal reicht es auch ein Netzwerk lahm zu legen um die Kommunikation und somit z.b. die Geschäftsfähigkeit eines Konkurrenten zu mindern.


(De)Authentification-Attacke(Schwachstellenbeschreibung)

• Der Client sendet wenn er sich am AP anmelden will ein spezielles Anmeldepacket.

• Daraufhin sendet der AP ein ACK und reserviert in seinem Arbeitsspeicher ein paar Kilobyte für den sog. ClientHandler.

• Der Speicherbereich wird erst nach einem bestimmten Timeout wieder freigegeben, falls keine Verbinung zustande kommt


(De)Authentification-Attacke• Die Attacke hat dass Ziel den

Arbeitsspeicher des APs zu überfüllen.

• Es wird einfach eine unendliche Anzahl an Anmelde-Paketen geschickt bis der Arbeitsspeicher des AP voll ist.

• Viele (billige) APs unterstützen nur maximal 255 Clients (Anfragen) gleichzeitig!


Ergebnis• Der AP kann keine Anfragen mehr

bearbeiten, da sein RAM voll ist.– Es können sich keine Clients mehr Verbinden– Billige APs werden höchstwahrscheinlich

abstürzen.


Störsender• WLANs funken im 2,4 Ghz Bereich und

können durch überlagern des Frequenzbereichs gestört werden.– Zur Störung können auch z.b. Mikrowellen und

tragbare Fernseher verwendet werden– Bauanleitungen für spezielle Störsysteme finden

sich im Internet.


Maximale Sicherheit

Mit SSH,VPN,WPA2 und RADIUS


Überblick• Trotz aller Schwachstellen lässt sich mit

erhöhtem Aufwand ein ziemlich sicheres WLAN aufbauen in dem man alle zur Verfügung stehenden Sicherheitssysteme nutzt:– SSID und MAC-Whitelist– WPA2– Einen Authentifikationsserver (RADIUS)– Ein VPN


Maßnahmen• Verstecken

– SSID nicht broadcasten

• Zugang erschweren:– MAC-Whitelist– Authentifizierungsserver (RADIUS/DIAMETER)

• Funkverkehr verschlüsseln:– WPA2/AES256

• Transportierte Daten verschlüsseln:– VPN


AngriffstechnikenDie Praxis…


War-Driving• Beim War-Driving sitzen meistens 2

Personen in einem Auto. (Fahrer und Hacker)

• Ausgerüstet mit einem Laptop wird eine Stadtrundfahrt unternommen um offene WLAN Accesspoints zu finden.

• Accesspoints werden kartographisch mit GPS erfasst.


War-Walking• Man ist alleine mit einem WLAN fähigen PDA

unterwegs.


War-Chalking• War-Chalking ist eine

unterart von War-Walking.

• Hier wird an stellen an denen WLAN verfügbar ist, ein Symbol für nachfolgende Hacker mit kreide an die Wand gemalt


Rouge-AP• Hier wird heimlich ein offener Accesspoint an

einen Hub in einem geschlossenen Netzwerk gehängt..

• Dieser sendet sämtlichen Datenverkehr „in die Luft“

Date post:	06-Apr-2015
Category:	Documents
Upload:	liutpold-altepeter
View:	107 times
Download:	2 times

Ilja Neumann / FSI1 BFS-Roth 2006 WLAN Sicherheit und Angriffspunkte.

Documents