Date post: | 06-Apr-2015 |
Category: |
Documents |
Upload: | liutpold-altepeter |
View: | 107 times |
Download: | 2 times |
Ilja Neumann / FSI1 BFS-Roth 2006
WLANSicherheit und Angriffspunkte
Ilja Neumann / FSI1 BFS-Roth 2006
Inhalt• Grundlagen
– Infrastruktur
– Geräte
– Übertragungsstandards
– Arbeitsmodi
• Werkzeuge
• Sicherheitsmaßnahmen– Einfache Sicherheitsmaßnahmen („Placebo Sicherheit“)– Authentifizierung (Basiswissen)
• Verschlüsselung
• DoS-Angriffe
• Vorgehensweisen
Ilja Neumann / FSI1 BFS-Roth 2006
Grundlagen• WLAN (Wireless Local
Area Network) stellt die unterste Schicht (Vermittlungsschicht) im OSI-Modell dar.
• Man kann WLAN als Ethernet über Funk (2 Ghz) bezeichnen
Ilja Neumann / FSI1 BFS-Roth 2006
Infrastruktur eines WLAN
Ilja Neumann / FSI1 BFS-Roth 2006
Accesspoint• Ein Acesspoint (AP) ist
das „Herz“ eines WLAN.
• Der AP stellt die Dienste eines Servers im „Ether“ zur Verfügung.
• Der AP ist im Grunde nur ein Hub.
Ilja Neumann / FSI1 BFS-Roth 2006
Client• Als Client bezeichnet man jedes Gerät dass
sich mit dem Accesspoint verbindet um seine Dienste zu nutzen.
• Ein Server der seine Dienste über einen AP zur Verfügung stellt ist aus der sicht des AP ebenfalls ein Client.
Ilja Neumann / FSI1 BFS-Roth 2006
Authentefikationsserver• An einem Authentifikationsserver (AS)
können sich Personen anstelle von Geräten in einem WLAN z.B. mit einer Smartcard anmelden.– Keine Bindung an ein bestimmtes Gerät.– Keine unbequemen Schlüssel– Zentrale Benutzerverwaltung– Personengebunden
Ilja Neumann / FSI1 BFS-Roth 2006
WLAN-Geräte• Ein Überblick über Client Geräte:
– Notebooks– Workstations– Server– Handys/PDAs– Telefone (VoIP)– Kühlschränke– Getränkeautomaten– …..
Ilja Neumann / FSI1 BFS-Roth 2006
WLAN-Telefone• Können im Unternehmen die herkömmlichen
Telefone kostengünstig ersetzen da nur noch ein Netz (LAN) gewartet werden muss)– Nutzen TCP/IP bzw. UDP/IP– Können somit mit konventionellen Tools
abgehört und sabotiert werden => Gefahr für Unternehmensinfrastruktur.
– Nicht so zuverlässig wie ein konventionelles Telefon (POTS/ISDN)
Ilja Neumann / FSI1 BFS-Roth 2006
Übertragungsstandards
Ilja Neumann / FSI1 BFS-Roth 2006
IEEE 802.11a • Funkt mit 54 Mbit/s
• 5 Ghz Band
• Wird wegen gesetzlichen Einschränkungen kaum eingesetzt.
• Kann in offenen Bereichen Militärkommunikation stören.
• Eignet sich für Punkt zu Punkt richtfunkstrecken
Ilja Neumann / FSI1 BFS-Roth 2006
IEEE 802.11b • Funkt mit maximal 11 MBIT pro Sekunde.
• Findet sich in vielen älteren Geräten (1999-2003)
• Neue Hardware ist meist zu 11b abwärtskompatibel.
Ilja Neumann / FSI1 BFS-Roth 2006
IEEE 802.11g • Arbeitet mit maximal 54 MBIT pro Sekunde.
• 11g ist der aktuelle Standard und wird von allen aktuellen Geräten unterstützt.
Ilja Neumann / FSI1 BFS-Roth 2006
IEEE 802.11h• Arbeitet mit maximal 105 MBIT/s
• Ist ein recht neuer Standard (2006).
• Es gibt vereinzelt Geräte die 11h bereits unterstützen.
• Viele 11h Geräte sind zu 11g (und manchmal sogar bis zu 11b) abwärtskompatibel.
Ilja Neumann / FSI1 BFS-Roth 2006
ArbeitsmodiAbschnitt 1.4
Ilja Neumann / FSI1 BFS-Roth 2006
Infrastruktur-Modus• Ist der „normale“ Betriebsmodus.
• Im Infrastruktur-Modus fungiert der AP als Hub und verbindet Clients und Server miteinander
• Die Kommunikation kann von jedem Client mitgeschnitten werden der über ein WLAN Interface verfügt.
Ilja Neumann / FSI1 BFS-Roth 2006
Ad-Hoc Modus• Im Ad-Hoc Modus benötigen die Clients
keinen Accesspoint und verbinden sich direkt miteinander.– Jeder Client kann dem Verbund beitreten. Es ist
keine Verschlüsselung möglich.
Ilja Neumann / FSI1 BFS-Roth 2006
Promiscouse-Mode• Im Promiscouse-Mode nimmt dass WLAN-
Interface alle Pakete entgegen. Und zeichnet sie auf.– Der Promiscouse-Mode kann zum mitschneiden
aller WLAN-Verbindungen auf einem einzigen Kanal verwendet werden.
– Es muss keine Verbindung zu einem Accesspoint bestehen.
Ilja Neumann / FSI1 BFS-Roth 2006
Monitor-Mode• Im Monitor Mode wird sämtlicher
Funkverkehr im 2 Ghz Bereich auf allen Kanälen roh mitgeschnitten und kann aufgezeichnet werden. – Der Monitor-Mode liegt eine Stufe unter dem
Promiscouse Mode und überwacht die unterste OSI-Schicht
Ilja Neumann / FSI1 BFS-Roth 2006
Bridging• Im Bridging-Modus leitet der AP sämtlichen
ankommenden Pakete an ein anderes Gerät weiter:– Zu einem anderen Accesspoint.– Zu einem Switch.– Es kann der Verkehr eines Kabelgebundenen-
LAN im WLAN zur verfügung gestellt werden in dem der AP im Bridging-Modus an einen Switch angeschlossen wird.
Ilja Neumann / FSI1 BFS-Roth 2006
SoftwareDie Werkzeuge
Ilja Neumann / FSI1 BFS-Roth 2006
Aktive Scanner• Ein aktiver Scanner findet WLANs in dem er
sich wie ein normaler Client verhält und ganz normale Verbindungsanfragen an den AP sendet.– Nachteil:
• Aktive Scanner sind laut, d.h. der Hacker taucht in den Logs auf.
– Vorteil:• Einfach zu bedienen• Funktioniert mit jedem WLAN-Interface
Ilja Neumann / FSI1 BFS-Roth 2006
Passive Scanner• Passive Scanner arbeiten im Monitormode
und erkennen die Funkwellen auf Physikalischer ebene. Es müssen keine Anfragen an den AP gesendet werden.– Nachteil:
• Schwieriger in der Bedienung (oft nur für Linux)• Benötigt WLAN-Interfaces mit einem Chipsatz der den
Monitor-Mode unterstützt. (Prism2 oder Aetheros)
– Vorteil:• Unsichtbar
Ilja Neumann / FSI1 BFS-Roth 2006
Sniffer• Sniffer zeichnen sämtlichen Datenverkehr
auf, der am Interface vorbeigeht. Entweder direkte die TCP/IP Pakete, oder bei speziellen WLAN-Sniffern - die Funkwellen um daraus später die gewünschte Information zu extrahieren.
Ilja Neumann / FSI1 BFS-Roth 2006
SicherheitsmaßnahmenUnd wie man sie umgeht…
(Abschnitt 3)
Ilja Neumann / FSI1 BFS-Roth 2006
Das Problem• Im vergleich zum Kabelgebundenen LAN wo
alle Daten feste Wege verfolgen und von der Umgebung physikalisch abgeschirmt sind werden im WLAN die Pakete durch die gesamte Weltgeschichte geschickt ;-) und können von jedem abgefangen, gestört oder manipuliert werden. Man benötigt nur ein WLAN-Interface (WLAN-Karte, WLAN-Stick)
Ilja Neumann / FSI1 BFS-Roth 2006
Einfache Sicherungsmaßnahmen
Ilja Neumann / FSI1 BFS-Roth 2006
SSID• Jeder Client der sich mit einem AP verbinden
will muss über die selbe SSID verfügen.– Die SSID kann frei verändert werden.– Die SSID kann ein beliebiger String sein, z.B.
„MeinWlan“, oder „Home“.– Wenn mehrere APs die selbe SSID habe
schließen sie sich zu einem Netz zusammen, dies bezeichnet man als ESSID.
Ilja Neumann / FSI1 BFS-Roth 2006
SSID-Broadcast• In der Standardeinstellung sendet
(„Broadcasted“) der AP die SSID an alle Clients.
• Für einen Eindringling entfällt somit schonmal die erste Hürde.
• Es gibt die Möglichkeit SSID-Broadcast abzuschalten, somit ist die SSID-Versteckt und jeder Client muss die SSID-Kennen.
Ilja Neumann / FSI1 BFS-Roth 2006
SSID „richtig" Herausfinden• Eine versteckte SSID ist kein wirklicher
Schutz sondern „Security by Obscurity“ und hält nur faule Hacker ab.– Die SSID/ESSID wird im Header jedes WLAN-
Paketes uverschlüsselt mitgesendet.– Somit muss man nur ein paar Minuten lang
WLAN-Verkehr im Promiscouse oder Monitor-Modus aufzeichnen um an die SSID zu gelangen.
Ilja Neumann / FSI1 BFS-Roth 2006
Die „laute“ Methode um die SSID herauszufinden
• Man schickt einen Ping an einen AP.– Der AP liefert ein Antwortpaket zurück welches
die SSID enthält.– Im vergleich zum Mitschneiden im
Monitor/Promiscouse-Mode, taucht dieser Vorgang in den Logs des APs auf.
– Wegen diesem Umstand sollte man auf diese Methode verzichten.
Ilja Neumann / FSI1 BFS-Roth 2006
MAC-Whitelist• Jeder Netzwerkadapter verfügt über eine
Weltweit einzigartige MAC-Adresse.
• Im AP kann man eine liste erstellen die nur bestimmte MACs ins Netz lässt.
• Es gibt jedoch Software die die den anderen Netzwerkteilnehmern eine andere MAC-Adresse vortäuscht (MAC-Spoofing).
• Somit ist die MAC-Whitelist nutzlos.
Ilja Neumann / FSI1 BFS-Roth 2006
MAC-Herausfinden• Möglichkeiten um eine „Weise“ MAC zu
finden:– Sniffing– Social-Engineering– Dump-Diving– Bruteforce
Ilja Neumann / FSI1 BFS-Roth 2006
AuthentifizierungÜberblick
Ilja Neumann / FSI1 BFS-Roth 2006
Authentifizierung• Einfache Maßnahmen nutzen nichts.
• Man benötigt eine Möglichkeit die eigenen Leute von den „Hackern“ zu unterscheiden.
• Die MAC-Adresse kann gespooft -und ein Laptop geklaut werden.
Ilja Neumann / FSI1 BFS-Roth 2006
RADIUS• RADIUS ist ein eigener Server im LAN
welcher die Benutzerverwaltung übernimmt.– Vorteile:
• Fortschrittliche Authentifizierungsmaßnahmen:– Smartcard/Fingerabdruck– Benutzerabhängige Zugangsdaten– Personengebundene statt Geräteabhängige
Authentifizierung
Ilja Neumann / FSI1 BFS-Roth 2006
Sicherheitstipps für RADIUS• Nicht direkt ins WLAN einbinden sondern
Kabelgebunden an den AP mit einer Firewall dazwischen, die nur die RADIUS Ports durchlässt.
• Setzen sie ein Ablaufdatum für Zertifikate um dem Diebstahl oder dem kopieren und emulieren von Smartcards entgegenzuwirken.
• Schulen sie Ihre Mitarbeiter.
Ilja Neumann / FSI1 BFS-Roth 2006
Angriff auf Verschlüsselungen
Offline Angriffe
Ilja Neumann / FSI1 BFS-Roth 2006
Die letzte Hürde• Sind alle „Pseudosicherungen“ ausgehebelt
bleibt noch die letzte Bastion, die Verschlüsselung:
• Es gibt verschiedene Kombinationen– WEP
• WEP64 und WEP128
– WPA• WPA/AES (256Bit), WPA/TKIP und WPA/RADIUS
– WPA2• WPA2/AES (256Bit), WPA2/TKIP und WPA2/RADIUS
Ilja Neumann / FSI1 BFS-Roth 2006
WEP• WEP = Wireless Equivilant Privacy
– Wird von allen Geräten unterstützt– Basiert auf dem bereits geknackten RC4
Algorithmus– Schwache Schlüssel (40-Bit)
Ilja Neumann / FSI1 BFS-Roth 2006
Funktionsweise (WEP)• WEP verschlüsselt sämtlichen Verkehr mit
dem RC4 Algorithmus mit einer Schlüssellänge von 40-Bit.
• An jedes Packet wird ein Initalisationsvektor (IV) angehangen. – Der IV ist eine art Hashwert (24-Bit) gegen den
Verschlüsselt wird. – Der IV ändert sich mit jedem Packet.
Ilja Neumann / FSI1 BFS-Roth 2006
Schwachstellen WEP• IV nur 24-Bit lang
– Ändert sich mit jedem Packet• Spätestens nach 2^24 Änderungen wiederholt sich die
abfolge der IVs, – Somit kann der Schlüssel durch Mathematische Vergleichs-
und Wahrscheinlichkeitsfunktionen errechnet werden, wenn genug Datenverkehr im Monitor-Mode mitgeschnitten wurde.
Ilja Neumann / FSI1 BFS-Roth 2006
Schwachstellen WEP• Der RC4 Algorithmus ist unsicher
– Der verwendete RC4 wurde bereits von Kryptologen analysiert und als unsicher befunden.
– Die Sicherheit des RC4 beruhte lediglich auf der Geheimhaltung des Verfahrens.
– Wird auch scherzhaft „Wireless Encryption Placebo“ genannt
Ilja Neumann / FSI1 BFS-Roth 2006
WPA/WPA2• Benutzt im vergleich zu WEP ein Keymixing
(Dynamische Schlüssel) (WPA1)
• Ein sicheres verschlüsselungsverfahren (AES) (WPA2)
• Es sind angriffsverfahren bekannt, deshalb sollte dass Passwort mindestens 63 Zeichen haben (Groß und Kleinbuchstaben, sowie Sonderzeichen)
Ilja Neumann / FSI1 BFS-Roth 2006
Denial of ServiceDoS-Angriffe auf eine WLAN
Infrastruktur
Ilja Neumann / FSI1 BFS-Roth 2006
Überblick• Nicht immer will man Daten ausspähen…
• Manchmal reicht es auch ein Netzwerk lahm zu legen um die Kommunikation und somit z.b. die Geschäftsfähigkeit eines Konkurrenten zu mindern.
Ilja Neumann / FSI1 BFS-Roth 2006
(De)Authentification-Attacke(Schwachstellenbeschreibung)
• Der Client sendet wenn er sich am AP anmelden will ein spezielles Anmeldepacket.
• Daraufhin sendet der AP ein ACK und reserviert in seinem Arbeitsspeicher ein paar Kilobyte für den sog. ClientHandler.
• Der Speicherbereich wird erst nach einem bestimmten Timeout wieder freigegeben, falls keine Verbinung zustande kommt
Ilja Neumann / FSI1 BFS-Roth 2006
(De)Authentification-Attacke• Die Attacke hat dass Ziel den
Arbeitsspeicher des APs zu überfüllen.
• Es wird einfach eine unendliche Anzahl an Anmelde-Paketen geschickt bis der Arbeitsspeicher des AP voll ist.
• Viele (billige) APs unterstützen nur maximal 255 Clients (Anfragen) gleichzeitig!
Ilja Neumann / FSI1 BFS-Roth 2006
Ergebnis• Der AP kann keine Anfragen mehr
bearbeiten, da sein RAM voll ist.– Es können sich keine Clients mehr Verbinden– Billige APs werden höchstwahrscheinlich
abstürzen.
Ilja Neumann / FSI1 BFS-Roth 2006
Störsender• WLANs funken im 2,4 Ghz Bereich und
können durch überlagern des Frequenzbereichs gestört werden.– Zur Störung können auch z.b. Mikrowellen und
tragbare Fernseher verwendet werden– Bauanleitungen für spezielle Störsysteme finden
sich im Internet.
Ilja Neumann / FSI1 BFS-Roth 2006
Maximale Sicherheit
Mit SSH,VPN,WPA2 und RADIUS
Ilja Neumann / FSI1 BFS-Roth 2006
Überblick• Trotz aller Schwachstellen lässt sich mit
erhöhtem Aufwand ein ziemlich sicheres WLAN aufbauen in dem man alle zur Verfügung stehenden Sicherheitssysteme nutzt:– SSID und MAC-Whitelist– WPA2– Einen Authentifikationsserver (RADIUS)– Ein VPN
Ilja Neumann / FSI1 BFS-Roth 2006
Maßnahmen• Verstecken
– SSID nicht broadcasten
• Zugang erschweren:– MAC-Whitelist– Authentifizierungsserver (RADIUS/DIAMETER)
• Funkverkehr verschlüsseln:– WPA2/AES256
• Transportierte Daten verschlüsseln:– VPN
Ilja Neumann / FSI1 BFS-Roth 2006
AngriffstechnikenDie Praxis…
Ilja Neumann / FSI1 BFS-Roth 2006
War-Driving• Beim War-Driving sitzen meistens 2
Personen in einem Auto. (Fahrer und Hacker)
• Ausgerüstet mit einem Laptop wird eine Stadtrundfahrt unternommen um offene WLAN Accesspoints zu finden.
• Accesspoints werden kartographisch mit GPS erfasst.
Ilja Neumann / FSI1 BFS-Roth 2006
War-Walking• Man ist alleine mit einem WLAN fähigen PDA
unterwegs.
Ilja Neumann / FSI1 BFS-Roth 2006
War-Chalking• War-Chalking ist eine
unterart von War-Walking.
• Hier wird an stellen an denen WLAN verfügbar ist, ein Symbol für nachfolgende Hacker mit kreide an die Wand gemalt
Ilja Neumann / FSI1 BFS-Roth 2006
Rouge-AP• Hier wird heimlich ein offener Accesspoint an
einen Hub in einem geschlossenen Netzwerk gehängt..
• Dieser sendet sämtlichen Datenverkehr „in die Luft“