Sicherheitsaspekte in WLANs

Kommentieren Drucken
Teil 58 von 71 aus der Serie "Professionelle Datenkommunikation"
Alle Artikel der Serie "Professionelle Datenkommunikation":

Bei WLANs reisen Daten durch die Luft und können dabei abgehört, verstümmelt oder gestört werden. Gegen die Störungen können nur entsprechende Vorcodierungen, Modulationen und wenn möglich das automatische Ausweichen auf eine andere Frequenz helfen. Hinsichtlich des Schutzes der zu übertragenden Daten gibt es nur eine seriöse Möglichkeit: Daten müssen für einen externen Angreifer unbrauchbar gemacht werden, bevor sie in die Luft gehen. Dazu gibt es verschiedene Möglichkeiten, die aber nach meiner Ansicht alle nicht weit genug greifen. Wirklich sinnvoll kann nur ein vollständiges netzweites Sicherheitskonzept sein.

Erste Untersuchungen haben ergeben, dass die allermeisten Betreiber von WLANs offensichtlich überhaupt keinen blassen Schimmer davon haben, was sie tun und wie leicht es ist, den Datenschutz von WLANs auszuhebeln. Das ist schon keine Fahrlässigkeit mehr, sondern himmelschreiende Dummheit! So hat z.B. die Wirtschaftsprüfungsgesellschaft Ernst & Young festgestellt, dass bei 80% der stichprobenartig in Wien gefundenen 200 WLANs noch nicht einmal die einfache WEP-Verschlüsselung aktiviert war, sondern die gesamten Daten fröhlich unverschlüsselt durch den Äther marschierten. Dabei wird völlig vergessen, dass der potentielle Schaden nicht auf das eigene Unternehmen beschränkt bleibt, sondern vielmehr üblicherweise auch die Daten von Kunden und Geschäftspartnern betroffen sind. Herkömmliche Sicherheitsstrukturen sind beim Einsatz von WLANs vielfach machtlos, da sie davon ausgehen, dass die Daten im Unternehmen „innerhalb“ des eigenen Netzwerks bleiben.

Generell ist folgendes festzuhalten:

  • WLANs sind äußerst einfach zu stören, und das gleich in mehrfacher Hinsicht
  • Alle über das WLAN gesendeten Daten können auch weit außerhalb des eigentlichen Aktionsbereiches des WLANs immer abgehört werden
  • Die Kanaltrennung in WLANs bietet keinerlei Schutz
  • Der WEP-Algorithmus bietet fast keinen Schutz

Im folgenden Abschnitt werden wir die Bedrohungen weiter ausführen und detailliert darstellen. In den weiteren Abschnitten werden wir entsprechende Gegenmaßnahmen vorstellen. Nur durch eine geeignete Kombination von zusätzlicher Verschlüsselung, Firewalls, Einsatz eines VPN und MAC-Authentifizierung lässt sich im Rahmen einer allgemeinen Sicherheitspolitik Schlimmeres abwenden. Also müssen wir uns, wenn man es seriös machen will, mit dem Gesamtthema der Sicherheit in Netzen unter besonderer Berücksichtigung funktechnisch angeschlossener Endgeräte befassen.

Der Autor steht mit seiner Meinung nicht alleine. Eine Sprecherin von Cisco Systems hat es treffend formuliert: „bevor Daten auf ein WLAN gehen, müssen sie für einen externen Angreifer völlig unbrauchbar gemacht werden.“

Bedrohungen für WLANs
In diesem Abschnitt wollen wir die weiter oben gemachten Thesen vertiefen und weitere Hinweise geben. Wir kommen durch die Funknetze in eine absurde Situation: einerseits arbeitet man mit Hochdruck daran, die heutigen Unternehmensnetze hochverfügbar zu machen. Die Verfügbarkeit 99,999 („five nine“) klappt noch nicht in jedem Fall, aber die Anstrengungen der letzten zwei Jahre beginnen, in dieser Hinsicht Wirkung zu zeigen. Besonders die Arbeiten von Petra Borowka (siehe die Neuauflage von „Internetworking“) haben hier durch vernünftige, fundierte mathematische Analyse zu wirklich guten konstruktiven Lösungen in der Praxis geführt. Sowohl für den Serverbetrieb als auch für Anwendungen wie Voice over IP ist eine sehr hohe Verfügbarkeit des Netzes wichtig. Grade die WLANs sind aber in ihrer heutigen Form überhaupt nicht als zuverlässig einzustufen. Vor allem kann man sie ganz einfach völlig lahmlegen. Es wird also nichts anderes übrig bleiben, als die „ordentliche“ vernetzte DV des Unternehmens von den WLANs rückwirkungsfrei abzutrennen.

Bedrohungen durch Störungen des Gesamtverkehrs
Wenden wir uns der ersten These zu: WLANs sind äußerst einfach zu stören, und das gleich in mehrfacher Hinsicht. Der einfachste Angriff ist die Störung durch einen Störsender. Ein solcher Störsender ist einfach zu bauen: man benötigt einen Oszillator, der in etwa auf der mittleren Sendefrequenz schwingt und einen Frequenz-Modulator, der die primäre Zeichenschwingung des Oszillators so mit einem relativ niederfrequenten Signal moduliert, dass das Ausgangssignal über den Frequenzbereich aller Kanäle des WLAN „wandert“. Also benötigt man nur zwei Schwingkreise, die sich z.B. durch je zwei rückgekoppelte Logikgatter, z.B. NANDs, leicht herstellen lassen. Man muss dann nur den niederfrequenten und den hochfrequenten Oszillator in Reihe schalten und schon hat man das gewünschte Gerät. Streng genommen ein Chip, zwei Kondensatoren und einen Widerstand, mit einem Schaltungstrick und der richtigen Chipfamilie lassen sich die für die Schwingkreise eigentlich notwendigen Spulen noch einsparen. Das Ganze kann man in der Luft zusammenlöten und zusammen mit einer 9V Batterie braucht man den Platz einer Streichholzdose. Bei Freaks ist so etwas auch als Peilsender bekannt. Schicken Sie dann einem Bekannten in der anzugreifenden Firma anonym einen Kaktus mit dem Sender unten im Blumentopf und für eine geraume Zeit können Sie den WLAN-Datenverkehr knicken. Die Frage ist, ob jemand auf die Idee kommt, den Störsender zu suchen oder die Batterie länger hält. Sie können den Störsender auch in das Polster eines Polsterumschlages stecken. Aus ästhetischen Gründen lehne ich das Verbergen des Senders in einem Schokoriegel ab. Diese Schaltung kann jeder, aber auch wirklich jeder schnell bauen und die notwendigen Einzelteile kosten unter 5 Euro. Mit diesem Störsender erhalten Sie gleichzeitig das beste Kosten/Spaßfaktor-Verhältnis. Der Spaß ist besonders groß bei Hotspots, wenn man all die frustrierten Geschäftsleute auf ihren Notebooks verzweifelt herum hämmern sieht und mit dem Peilsender in der Zigarettenschachtel verschwinden kann, bevor man selbst angepeilt wird. Mit Skateboard oder Rollerblades ist man in jedem Fall schneller als die Anpeilung. Gegenmaßnahmen gibt es kaum, weil die Schaltungen individuell gemacht werden können und man bei einer Störung auch nicht so schnell auf den Störsender kommt. Mit den buckligen Adapterkarten in Notebooks kann man den Störsender nicht finden, wohl aber mit einer konventionellen Dreieckspeilung. Eine Verbesserung der Schaltung ergibt sich, wenn man noch einen Timer dran baut, der den Störsender nur manchmal aktiv werden lässt. Dann dauert das Suchern länger. Noch besser wird die Schaltung natürlich, wenn sie weiter miniaturisiert wird.

Die nächste Methode, das WLAN in den Keller zu bringen, ist ein Angriff auf den Zugangsalgorithmus. Wie bereits in Kap. 3 ausgeführt, ist das DCF-Verfahren empfindlich gegen eine zu hohe Anzahl von Stationen, eine zu kleine durchschnittliche Paketlänge, ein zu hohes Verkehrsaufkommen usf. Daraus ergibt sich direkt ein bunter Strauß von Möglichkeiten. Man könnte z.B. von einer getunten Station aus ordentlich Last generieren. Ich warte eigentlich auf die ersten Analysetools, die das zu Mess zwecken sowieso können. Man schickt dann den Algorithmus in die Knie. Weiterhin könnten sich zu Hunderten Stationen anmelden, die alle gar nicht zugelassen sind. Der Algorithmus Muss das dann sortieren. Dafür braucht er eine gewisse Zeit, in der er keine weiteren Anfragen mehr beantworten und schon gar keine Pakete via Access Point weiterleiten kann. Oder man baut eine Station so um, dass sie sich immer mit dem kürzesten Intervall vorpfuscht und dann ein langes Paket schickt. Dann stehen alle anderen Stationen im Regen. Ich muss aufhören, darüber nachzudenken, denn dieser Algorithmus ist in dieser Hinsicht so schlapp, dass man sozusagen im Minutentakt neue Angriffsmöglichkeiten findet. Solange dieser Algorithmus nicht geändert wird, und danach sieht es nicht aus, gibt es keinerlei wirkungsvolle Gegenmaßnahmen.

Etwas wertvoller als der Störsender, aber ebenso leicht zu bauen, wäre ein Repeater, also ein Empfänger mit nachfolgendem Sender. Durch entsprechende Placierung könnte man dafür sorgen, dass die Ordnung in den Funkzellen durcheinanderkommt, weil Geräte den eigentlichen Wirkungsbereich des BSS verlassen. Um die Störung zu beseitigen, Muss man den Repeater physisch finden. Auch in diesem Falle ist eine Prävention unmöglich.

Wie Sie leicht sehen, ist ein Funksystem seiner Natur nach sehr verletzlich gegen solche Arten von Angriffen. Jeder Schüler, der erfolgreich mit seinem Elektronik-Experimentierbaukasten gearbeitet hat, hat die notwendigen Grundlagen dazu. In jedem Elektronikshop gibt es die passenden Einzelteile. Man kann sogar bei dem Peilsender auf eine passende hochfrequente Ausführung der Oszillatoren verzichten, es reicht völlig, wenn man eine niedrigere Frequenz nimmt, deren soundsovielte Harmonische 2,4 GHz oder 5 GHz ist.

Mit Störsender und Repeater kann man für wenig Geld viel Unfug anrichten, wer es vornehmer mag, greift für das gleiche Ergebnis den Zugriffsalgorithmus an. Natürlich sind Besitz und Betrieb von Störsendern und Repeatern in der Bundesrepublik Deutschland verboten und deswegen gebe ich auch die Schaltungen hier nicht explizit an.

Bedrohungen durch Anpeilen
Kommen wir zur zweiten These: die Daten aus dem WLAN können auch weit über dessen eigentlichen Aktionsradius hinaus empfangen und decodiert werden. Der Grund dafür ist einfach: in den Chips der WLAN-Adapterkarten sind miese kleine Empfängerchen drin, wirklich das Billigste, was ging. Sie werden eigentlich nur noch von den kleinen billigen Senderchen übertroffen. Messungen des Labors der ComConsult Research haben ergeben, dass die Sender so schlecht sind, dass ein gesendetes Signal nicht nur auf dem Kanal, auf dem es sein sollte, sondern auch auf fast allen anderen Kanälen zu finden war. In den Seitenkanälen war es allerdings ein wenig schwächer. In Kombination mit einem schlechten Empfängerchen ergibt sich dann, dass sich das billige Pärchen genau auf der Hauptfrequenz des Kanals trifft, weil da das Sendesignal grade so stark ist, dass es von dem Miesen Empfängerchen empfangen werden kann. Ein nur wenig besserer Empfänger empfängt locker auch die Signale auf Kanälen, wo sie nicht hingehören. Ein noch besserer Empfänger kann das auch noch aus etwas größerer Entfernung. Ein hochempfindlicher Peilempfänger mit passender Peilantenne wird ein WLAN-Signal je nach Hindernislage noch auf mehreren Kilometern außerhalb des eigentlichen gedachten Wirkungsbereiches decodieren können. Die jetzt in neueren Produkten implementierte und z.B. für den Einsatz von WLANs auf dem 5 GHz-Bereich in Deutschland geforderte automatische Anpassung der Sendeleistung hilft dabei gar nichts, denn sie orientiert sich ja an der Empfangslage der „normalen“ Empfänger auf den Adapterkarten in den mobilen Geräten. Auch Verfahren wie Frequency Hopping und OFDM nutzen in diesem Zusammenhang überhaupt nichts, denn es ist gleichgültig, ob man empfindliche oder unempfindliche Empfänger auf diese Verfahren einstellt.

Generell kann man davon ausgehen, dass man die Daten genauso gut an eine Plakatsäule kleben könnte anstatt sie über ein WLAN zu schicken.

Bedrohungen durch Erkundung
Hat man ein WLAN einmal entdeckt, kann man es weiter erkunden. Hierbei sind vor allem folgende Analysatoren bzw. Programme eine große Hilfe:

  • Sniffer Wireless von Network Associates
  • AiroPeak von WildPacket
  • NetStumbler im Windows Umfeld
  • Ethereal im UNIX-Umfeld

Informationen zu Bezugsmöglichkeiten finden Sie auf den Homepages der Hersteller bzw. unter Suchen nach dem Produktnamen. Bei diesen Suchen finden Sie auch vollständige Anleitungen für die schrittweise Durchführung von Angriffen. Deshalb können wir uns hier kurz fassen.

Neben dem einfachen Abhören von Daten ist es natürlich besonders spannend und Voraussetzung für elegante höherwertige Angriffsmuster, im WLAN als autorisierte Station mitzumischen. Nach IEEE 802.11 Muss man mindestens den Service Set Identifier SSID eines WLANs kennen. Man kann aber auch ein sogenanntes Open System konfigurieren, in dem das nicht nötig ist. Mit dem Programm NetStumbler kann man folgendes machen. Das Programm sendet einen Radio Beacon Frame mit einem „empty set SSID“ aus. Sollten Access Points so konfiguriert sein, dass sie auf Anfragen von Stationen, die den speziellen SSID nicht kennen, reagieren, werden sie als Antwort auf diesen Beacon einen Frame mit einer Liste ihrer SSIDs und weiterer Information senden. Generell können die Analysatoren den gesamten Datenverkehr eines WLANs aufzeichnen und für die spätere Analyse aufbewahren. Wenn ein WLAN nicht als Open System konfiguriert ist, kommt man mit dem NetStumbler nicht weiter. Mit den Analysatoren kann man aber von jedem beobachteten WLAN die SSIDs ausfiltern, die 802.11-Frames aufnehmen und die gesamten Inhalte zerlegen. Gute Produkte finden auch die Sendefrequenzen und mit ein bisschen Geduld die Hop-Sequenzen heraus.

Sie können es auch mit den berühmten SSIDs „tsunami“ oder „Linksys“ probieren, das sind die Default-SSIDs bei Cisco bzw. Linksys-Produkten. Vielfach macht sich niemand die Mühe, die zu ändern, wenn die APs in Betrieb gehen.

Bedrohungen durch den WEP-Algorithmus
Der WEP-Algorithmus bietet nur einen sehr geringen Schutz gegen zufälliges Abhören oder ärmlich ausgestattete Hacker. WEP benutzt einen einfachen Vorwärts-Blockcodierer. WEP ist sicherlich sinnvoll, wenn Ihre Daten sowieso nicht so wertvoll sind, dass sich der Aufwand zur Decodierung lohnen würde.

Die ersten Warnungen zu WEP kamen schon im Herbst 2000 mit der Arbeit von Walker „Unsicher bei jeder Größe: eine Analyse der WEP-Verschlüsselung“. Die Hauptschwäche von WEP ist nach dieser Arbeit die Tatsache, dass der verschlüsselte Datenstrom jedes Mal reinitialisiert wird, wenn eine Kollision auf dem gemeinsam benutzten Übertragungsmedium auftritt. Wie wir ja wissen, sind Kollisionen unvermeidlich und mit steigendem gesamtverkehr steigt die Wahrscheinlichkeit für diese Kollisionen. Wenn der Gesamtverkehr zu gering für Kollisionen ist, dann Muss man eben ein bisschen nachhelfen. Wenn jemand den Verkehr abhört, kann er den Initialisierungsvektor, den es in jedem Frame gibt aufnehmen und hat in wenigen Stunden alle Informationen, die er zur Brechung des WEP-Schlüssels benötigt. Einige Monate waren die Ergebnisse solcher Untersuchungen und Betrachtungen eher akademischer Natur. Dann aber tauchten die Programme AirSnort und WEPcrack auf, die es jedermann möglich machen, WEP zu knacken und zwar nicht nur in Sinne des Lesens der Inhalte, sondern vielmehr im Sinne des Wiedergewinnens des WEP-Schlüssels, erst wenn man den hat kann man richtig mit Angriffen loslegen. In 2001 war der Besitz einer Wireless Adapterkarte mit dem PRISM2-Chipsatz einzige weitere Voraussetzung.

Normalerweise denkt der einfache Benutzer oder Administrator, dass eine 128-Bit-Verschlüsselung „besser“ sein muss als eine 64 Bit Verschlüsselung. Dem ist meistens auch so, nicht aber bei WEP, weil WEP hier eine weitere schwere konstruktive Macke hat. Im Rahmen der 64 Bit Verschlüsselung spezifiziert der Netzwerk-Manager einen 40-Bit-Schlüssel, normalerweise zehn hexadezimale Zahlen. An diesen 40-Bit-Schlüssel wird ein 24 Bit Initialisierungsvektor IV angehängt und dann wird das RC4-Verschlüsselungsverfahren mit diesen Informationen initialisiert. Bei der 128 Bit Verschlüsselung geht es genauso zu: der Administrator definiert einen 104 Bit langen Schlüssel durch 26 Hexadezimalzahlen. An den Beginn des Schlüssels wird dann die 24 Bit lange IV gestellt und das RC4-Verfahren kann loslegen. Wie man sieht kommt die Verletzlichkeit des Verfahrens durch die Verwendung von leicht vorhersagbaren Initialisierungsvektoren und die Gesamtlänge des Schlüssels macht daher auch keinen großen Unterschied. Das liegt an der kleinen Anzahl insgesamt möglicher Initialisierungsvektoren, die momentan bei 2 hoch 24 liegt. Wenn der WEP-Schlüssel nicht innerhalb streng festgelegter, kurzer Zeitintervalle gewechselt wird, können alle möglichen IV-Kombinationen aus einer 802.11-Verbindung herausgehört und für das Cracken innerhalb kurzer Zeit verfügbar gemacht werden. Das ist ein klarer Designfehler.

Wie schon gesagt existieren Programme zur Brechung bzw. Wiedergewinnung des WEP-Schlüssels. Abhängig von der Maschine mit der man den Angriff durchführt, von der Anzahl der aktiven Teilnehmer im WLAN und der Anzahl von IV-Retransmissionen wegen Kollisionen dauert es nur ein paar Stunden, bis man den Schlüssel geknackt hat. Natürlich wird es umso schwieriger, desto weniger Verkehr in einem WLAN ist. Sobald man einen gültigen WEP-Schlüssel hat, kann man nunmehr erfolgreich eine Verbindung mit einem AP aufnehmen und Zugriff zum Zielnetz erhalten. Gibt es dann in diesem Netz nicht noch weitere Schutzmaßnahmen, kann der Angreifer im Netz arbeiten und als nächstes versuchen, z.B. Zugang zu Servern zu bekommen. Filter auf MAC-Ebene helfen hierbei auch nicht besonders viel, die kann man mit relativ einfachen Methoden, wie sie in jedem Hacker Buch stehen, auch aushebeln.

Aber auch reines Abhören bringt schon viele interessante Informationen. So kann man z.B. aus einem Internet DHCP-Server die IP-Adressen herausbringen. Alleine die Struktur einer IP-Adresse gibt weiteren Aufschluss über das Netz. Fährt man ein DNS lookup gegen die IP Adresse, so kann man z.B. herausbringen, welcher Provider den Internet-Service für das angegriffene Netzwerk leistet. Ein interessantes Programm ist auch Nmap. Dieses Tool kann den gesamten Arbeitsbereich einer IP-Adresse ausleuchten, wievielte Geräte aktiv sind, welche Geräte aktiv sind und welches Betriebssystem benutzt wird. Nmap zeigt auch die offenen und auf Verbindungen wartenden TCP und UDP-Ports. Sehen Sie mal auf die Adresse www.insecure.org/nmap. Das ist schon toll, welchen Unfug man damit anrichten kann.

Noch wirkungsvoller ist natürlich der Diebstahl eines Endgerätes. Dann hat man wirklich alle Informationen, die man benötigt. Da es nun einmal so ist, dass viele Mitarbeiter mobil sein sollen und ihre Notebooks mitnehmen, Muss man im Rahmen einer unternehmensweiten Sicherheitsstrategie auch für diesen Fall Vorsorge treffen.

« Teil 57: Protokolle für die Übertragung schützenswerter Daten auf NetzenTeil 59: Neue Wege zur WLAN-Sicherheit »


zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.