Das WLAN im Visier - All-About

FIREBRAND TRAINING WHITE PAPERS
ACCELERATED
CERTIFICATION
TRAINING
Das WLAN im Visier
Von Robert Chapman, Hohenroda
Drahtlose Netzwerke sind komfortabel, schnell – und unsicher: Ein Viertel aller Heimanwender und knapp 15
Prozent der Unternehmen nutzen Wireless LANs (WLANs) ohne jegliches Sicherheitskonzept und öffnen Angreifern
so Tür und Tor zu sensiblen Informationen. Doch wie und mit welchen Werkzeugen hantieren Hacker eigentlich?
Und wie setzt man sie außer Gefecht?
Inhalt
:. Service Set Identifier (SSID) umbenennen
:. Beacon Broadcasting ausschalten
:. MAC-Adressen-Autorisierung
:. Feste IP-Adressen und Ad-hoc-Modus deaktivieren
:. WEP-Verschlüsselung
:. WPA und WPA2
:. VPN
:. Antennen und Sendestärke
:. Angriffsmethoden
:. Tools für Hacker und Anwender des Penetration-Tests
Training Company of the
Year 2006, 2007 & 2008
FIREBRAND TRAINING WHITE PAPERS
ACCELERATED
CERTIFICATION
TRAINING
Das WLAN im Visier
Von Robert Chapman, Hohenroda
Drahtlose Netzwerke sind komfortabel, schnell – und unsicher: Ein Viertel aller Heimanwender und knapp 15 Prozent der Unternehmen
nutzen Wireless LANs (WLANs) ohne jegliches Sicherheitskonzept und öffnen Angreifern so Tür und Tor zu sensiblen Informationen.
Doch wie und mit welchen Werkzeugen hantieren Hacker eigentlich? Und wie setzt man sie außer Gefecht?
Das Hacken drahtloser Netze und die Penetration-Tests zur Überprüfung der WLAN-Sicherheit unterscheiden sich kaum voneinander.
Sämtliche Methoden und Tools (siehe Kasten) der Angreifer lassen sich auch dafür nutzen, Lücken im WLAN ausfindig zu machen,
und das Funknetz bestmöglich abzusichern. Fest steht allerdings: Eine hundertprozentige Sicherheit vor Eindringlingen ist trotz aller
Sicherheitsvorkehrungen nicht möglich.
Hacker gehen fast immer nach dem gleichen Schema vor: Netzwerk finden, Datenpakete abfangen und eindringen. Oftmals haben
sie dabei leichtes Spiel, da Administratoren und Heimanwender WLAN-fähige Router, Access-Points beziehungsweise WLAN-Karten
mit werksseitigen Standardeinstellungen in Betrieb nehmen. Dies liegt in den meisten Fällen daran, dass Anbieter ihre Geräte in der
Regel mit inaktiven Sicherheits-Features ausliefern, damit auch ungeübte Nutzer schnell und ohne großen Aufwand aufs drahtlose
Netz zugreifen können.
Service Set Identifier (SSID) umbenennen
Eine von Hackern oft genutzte Schwachstelle im drahtlosen Netzwerk ist die Definition der SSID (Service Set Identifier): Häufig
begehen WLAN-Betreiber den Fehler, ihren Firmen- oder Privatnamen als SSID-Kennung (Netzwerknamen) für das drahtlose Netzwerk
zu verwenden – ein gefundenes Fressen für Angreifer, die so wichtige Informationen erhalten. Dazu gehört beispielsweise der genaue
Standort des WLANs und so mitunter sogar Hinweise darauf, welche Daten sich in dem Netzwerk befinden. Außerdem gibt eine
SSID-Kennung zuweilen Aufschluss darüber, wie das Passwort lauten könnte. Rund 30 bis 40 Prozent aller Kennwörter lassen sich aus
dem privaten Umfeld des WLAN-Betreibers erraten. Darum sollten WLAN-Betreiber eine unverfängliche SSID-Kennung wählen, die
keine Rückschlüsse zulässt. Keinesfalls aber dürfen WLAN-Passwort und SSID identisch sein.
Neben einer individuellen Default-SSID müssen auch die für die Konfiguration von Access-Points und WLAN-Routern werksseitig
vordefinierten Benutzernamen und Administrationspasswörter modifiziert werden. Häufig gestatten Geräte Administratoren – und
Angreifern – einen einfachen Zugriff per Eingabe des Login-Names und Passworts „admin“. Die große Gefahr: Mit Zugriff auf den
WLAN-Router/Access-Point können Hacker die Konfiguration nach eigenem Gusto modifizieren und Sicherheitsfunktionen problemlos
aushebeln. Für zusätzlichen Schutz bürgt hier eine Option, die die Administration des Geräts per drahtloser Verbindung vollständig
unterbindet. Veränderungen an der Konfiguration lassen sich dann nur noch mit Hilfe eines verkabelten Rechners im LAN vornehmen.
Gleiches gilt für das Remote Management: Funktionen, die Access-Points/WLAN-Router aus dem Internet von einem entfernten
Rechner aus administrierbar machen, sollten deaktiviert werden.
Beacon Broadcasting ausschalten
Darüber hinaus sorgt das Beacon Broadcasting bei Angreifern oft für leuchtende Augen. Diese Funktion der Access-Points/WLAN-Router
bezeichnet das Senden der SSID-Kennung in regelmäßigen Zeitabständen, um Clients in der Umgebung mitzuteilen, welche drahtlosen
Netze im Umkreis verfügbar sind. Das Deaktivieren des Beacon Broadcasting stellt einen Hacker vor eine weitere Hürde: Er muss
zunächst mit passiven Scannern wie Kismet (siehe Kasten) feststellen, ob tatsächlich ein WLAN im Umkreis existiert und welche SSID
es trägt. Kismet lauscht am Funkverkehr drahtloser Netze und filtert die SSID aus den Datenpaketen heraus. Andere Hacking-Tools wie
NetStumbler, die aktiv ein Funknetz suchen, scheitern jedoch am ausgeschalteten SSID-Broadcast. In der Praxis gilt also: Freizeithacker
suchen in der Regel nicht nach WLANs, deren SSIDs nicht „gesehen“ werden kann.
FIREBRAND TRAINING WHITE PAPERS
ACCELERATED
CERTIFICATION
TRAINING
Hat es ein Angreifer allerdings auf ein bestimmtes Netz abgesehen, wird ihn auch ein unterdrücktes Broadcasting nicht aufhalten.
Ein weiterer Wermutstropfen, den das Deaktivieren des Beacon Broadcasting mit sich bringt: Sämtliche regulären Clients, die auf
das WLAN zugreifen dürfen, müssen so konfiguriert werden, dass ein Login auch an das „unsichtbare“ Netzwerk erfolgen kann.
MAC-Adressen-Autorisierung
WLAN-Router oder Access-Points neuerer Bauart unterstützen die Möglichkeit, den Zugriff nur für autorisierte Clients zu gewähren.
Per Konfiguration der Access Control Lists (ACLs) lassen sich so diejenigen angeschlossenen Rechner definieren, die einen Zugriff
auf das WLAN erhalten dürfen. Sämtlichen anderen Clients wird ein Verbindungsaufbau zum Netz per se untersagt. Das bedeutet,
dass Access-Points/WLAN-Router lediglich Verbindungsanfragen von WLAN-Karten akzeptieren, die manuell vom Betreiber in der
MAC-Adressenliste eingetragen wurden. Eine MAC-Adresse wird für gewöhnlich automatisch nach dem ersten Einloggen im Router
vermerkt. Hacker können nach dem Anlegen der ACL nur noch dann auf Informationen im Netz zugreifen, wenn zuvor erfolgreich
eine Verbindung mit dem Netzwerk aufgebaut und dem Access-Point/Router vorgegaukelt werden konnte, dass es sich um ein
autorisiertes Device handelt. Häufig scheitert das Konzept mit MAC-Filtern in größeren Unternehmensnetzen allerdings an der
aufwändigen ACLs-Pflege.
Feste IP-Adressen und Ad-hoc-Modus deaktivieren
Soweit möglich, sollte die Verteilung dynamischer IP-Adressen für sämtliche an das Netzwerk angeschlossene Clients deaktiviert
werden. Eine per DHCP zugewiesene IP-Adresse erleichtert es Angreifern, ins Netz einzudringen. Neben der festen Zuweisung von
IP-Adressen bietet es sich an, den Adressraum der genutzten IP-Adressen auf die Zahl der tatsächlich zugewiesenen Rechner zu
beschränken. Dies verhindert, dass Hacker eine freie IP-Adresse für den Zugriff auf das Netzwerk erhalten.
Oftmals wird in diesem Zusammenhang allerdings übersehen, dass auch der Ad-hoc-Modus der WLAN-fähigen Endgeräte ein so
genanntes Backdoor darstellt, mit dem sich Angreifer ohne Umwege über WLAN-Router und Access Points sowie via rechtmäßig
verbundenem Rechner mit dem Netzwerk verbinden können. Auch hier geben Sniffer wie Kismet dem Administrator Aufschluss
darüber, ob Clients innerhalb des WLANs existieren, deren Ad-hoc-Modus aktiviert ist.
Erweiterte Schutzmaßnahmen: Verschlüsselung
WEP-Verschlüsselung
Bei der Verschlüsselung auf Basis von Wired Equivalent Privacy (WEP) handelt es sich um einen Chiffrier- und
Autorisierungs-Mechanismus, der zusammen mit dem Netzwerkstandard 802.11 eingeführt wurde und heute als durchweg unsicher
gilt. Erstmalig im Jahr 2001 geknackt, lässt sich WEP heute mit minimalem WLAN-Know-how und frei verfügbaren Werkzeugen (siehe
Kasten) innerhalb weniger Minuten aushebeln. WEP basiert in der einfachsten Variante auf einem 64-Bit-Schlüssel, von dem jedoch
lediglich 40 Bits (fünf Zeichen) entschlüsselt werden müssen – 24 Bits sind voreingestellt. Dieser Key dient zur Verschlüsselung und
Entschlüsselung aller Daten, die über das drahtlose Gerät versendet werden. Zwar schützt ein schlechtes Schloss besser als eine
offene Haustür – moderne Rechner mit entsprechenden Werkzeugen knacken diesen Chiffriermechanismus allerdings binnen weniger
Sekunden. Bei der erweiterten Variante, der 128-Bit-WEP-Verschlüsselung, können 104 Bits vom Benutzer bestimmt werden.
Auch hier sind die restlichen 24 Bits voreingestellt. In der Regel benötigt ein Eindringling mit aktuellem IT-Equipment nur etwa 40
Minuten, um eine 128-Bit-Verschlüsselung zu knacken.
WEP-Verschlüsselung
Wesentlich effektiver sind Verschlüsselungsmethoden auf Basis von Wi-Fi Protected Access (WPA). Dieses System verwendet anstelle
von Passwörtern so genannte Passphrasen, bei denen ein Schlüssel auf Basis der eingegebenen Kombination generiert wird. Dieser
Schlüssel wird in unregelmäßigen Abständen verändert – selbst während eine Verbindung aktiv ist. Dieser Standard ermöglicht zwei
Schlüsselverwaltungen: Während mit Pre-Shared-Keys (WPA-PSK) alle Nutzer im Netzwerk mit demselben Kennwort angemeldet sind,
werden Zugangskennungen per „Managed Key“ auf einem zentralen Server hinterlegt.
FIREBRAND TRAINING WHITE PAPERS
ACCELERATED
CERTIFICATION
TRAINING
Der Benutzer, der sich an einem Access-Point oder WLAN-Router einloggen will, weist sich über diesen am Authentication Server mit
einem digitalen Zertifikat in Form von Benutzername und Passwort aus. Nach Überprüfung der Berechtigung durch den Server wird
ein Master Key an den Access-Point sowie Client versendet. Bevor dann die eigentliche Datenkommunikation beginnt, überprüfen sich
Client und Access-Point in einem vierstufigen Verfahren gegenseitig.
Bei kurzen Passwörtern oder leicht zu erratenden Wörtern können Hacker mit so genannten Brute-Force-Attacken diese
Sicherheitsvorkehrung außer Kraft setzen. Werkzeuge wie „WPA Cracker“ wurden indes speziell dafür entwickelt, die Schwachstellen
von WPA mit kurzen Passphrases zu nutzen. Deshalb gilt: Eine Phrasenlänge ab 14 Zeichen, bestehend aus einer Kombination von
Buchstaben (Groß- und Kleinschreibung) sowie Zahlen schützt das Netz ausreichend vor dieser Art von Attacken. Die Sicherheit des
WLAN hängt hier also direkt von der Qualität der Passphrases ab. Auch hier sollten WLAN-Betreiber keinesfalls Passphrasen wählen,
die mit ihm, seiner Familie oder der Arbeitsstelle zusammen hängen. Seit dem Jahr 2004 existiert mit WPA2 eine Erweiterung des
WPA-Standards, die neben dem Schlüsselabgleich mit einem anderen Server die extrem starke Verschlüsselung Advanced Encryption
Standard (AES) nutzt – anstatt RC4, das bei WEP und WPA zum Einsatz kommt.
VPN
Noch mehr Sicherheit gewährleistet der Einsatz von Virtual Private Networks (VPNs). Ein VPN-Server übernimmt hier den Zugang
zum internen Netz. Der Vorteil: Die Anmeldung des Anwenders erfolgt nicht direkt auf dem Access-Point beziehungsweise Router,
sondern wird durch die VPN-Software geregelt. Ein populärer Ansatz ist beispielsweise der Einsatz von VPNs, die den Datenverkehr
mit IPsec oder PPTP (Point to Point Tunneling Protocol) verschlüsseln. Auf diese Weise ist die Kommunikation vom Client über den
Access Point bis hin zum VPN-Gateway geschützt. Gerade für Zweigstellen großer Unternehmensnetze ist VPN eine interessante
Möglichkeit, da so nicht nur der WLAN-Verkehr, sondern auch die Datenübertragung über öffentliche Netze wie das Internet in die
Unternehmenszentrale gesichert ist. In punkto WLAN-Sicherheit macht dieses Verfahren aus Kostengründen dann Sinn, wenn VPN
auch zur Anbindung von Außendienstmitarbeitern verwendet wird. Darüber hinaus erschweren häufig inkompatible Client-Software
und nicht zuletzt fehlendes Know-how eine Implementierung.
Antennen und Sendestärke
Eine weitere Möglichkeit, das drahtlose Netz vor fremden Zugriffen zu schützen, ist die Ausrichtung des Funksignals. So sollte der
Radius des WLANs so klein gehalten werden, dass alle regulären Clients darauf zugreifen können – ein Hacker von Außen aber keine
Chance bekommt, sich mit dem Access-Point oder Router zu verbinden. Im Idealfall lässt sich die Ausleuchtung durch den Einsatz
von Antennen so definieren, dass Clients außerhalb des Gebäudes kein Signal mehr empfangen. Ebenso erlauben manche Geräte,
die Sendeleistung durch eine entsprechende Funktion auf den kleinsten akzeptablen Wert zu reduzieren. Auf dieses Feature sollte
Käufer bereits beim Erwerb eines WLAN-Routers oder Access-Points achten. Aufwändiger und teurer sind metallbedampfte Fenster,
Wände mit funkhemmenden Materialien sowie Richtfunkantennen.
Um Hackern selbst nach erfolgreichem Login in das Netzwerk wenig Angriffsfläche zu bieten, sollten zudem nur unbedingt nötige
Verzeichnisse und Drucker für die unternehmensweite Nutzung freigegeben werden. Außerdem ist das Betriebssystem so zu
konfigurieren, dass lediglich autorisierte Benutzer auf die freigegebenen Ordner und Geräte zugreifen können.
Angriffsmethoden
Brute Force zählt zu den ältesten Methoden von Angreifern: Hacker überprüfen dabei alle möglichen Schlüssel, bis sie auf den richtigen
stoßen. Diese Attacke wird genutzt, um Zugriff auf Kennwort-geschützte Geräte zu erhalten. Brute-Force-Tools berechnen Tausende
von Buchstaben- und Zahlenkombinationen pro Sekunde, bis das korrekte Passwort den Zugriff ermöglicht. Im Gegensatz zu Brute Force
setzt die Wörterbuch-Attacke auf ein Durchprobieren diverser Wörter aus einem Wörterbuch. Diese Methode geht davon aus, dass
zahlreiche Anwender ein einfaches, leicht zu merkendes Passwort als Netzwerkschlüssel wählen. Aktuelle Wortlisten liegen in diversen
Sprachen vor und sind häufig auf bestimmte Themen wie Informatik, Geographie oder Musik zugeschnitten.
FIREBRAND TRAINING WHITE PAPERS
ACCELERATED
CERTIFICATION
TRAINING
Eine andere Vorgehensweise nutzen die Denial of Service-Attacken: Weil WLANs in einem öffentlichen Frequenzbereich aktiv sind,
können sie leicht durch andere Sender gestört werden. So ist es einem Angreifer möglich, ein WLAN lahmzulegen, indem ein starker
Sender in den Funkverkehr gebracht wird.
Eines weiteren Tricks bedienen sich Angriffe per ARP-Requests. Mit einem Sniffer wie Kismet hören Hacker zunächst das WLAN ab.
Konkret lauschen sie dabei nach verschlüsselten ARP-Requests mit einer Länge von 68 Bytes. Mit Hilfe von Werkzeugen wie Aireplay,
einem Programm der Tool-Sammlung Aircrack, werden aufgezeichnete ARP-Requests wieder an den Acess-Point oder WLAN-Router
geschickt. Antwortet dieser, wird dieses Spiel immer wiederholt. Innerhalb kurzer Zeit ist es so möglich, genügend Informationen zu
sammeln, um mit Hilfe von Werkzeugen aus Aircrack den Schlüssel zu entziffern. Eine weitere Methode, eine Schwachstelle im 802.11
Protokoll auszunutzen, ist das Deauthentication Flooding. Deauthentication-Pakete werden normalerweise dazu verwendet, die
Verbindung von einem angemeldeten Client zu trennen und sich beim AP abzumelden. Die Schwachstelle im Protokoll besteht darin,
dass nur anhand der MAC-Adresse geprüft wird, ob das empfangene Signal auch wirklich vom angemeldeten Client kommt. Durch das
Spoofen der eigenen MAC-Adresse mit der eines angemeldeten Clients oder dem Senden von speziellen Deauth-Paketen mit Tools wie
Airjack können Hacker Zugriff auf das WLAN erlangen. Diese Methode funktioniert mit verschlüsselten WEP-Netzen und bei WPA, da
hier Deauth-Pakete stets unverschlüsselt versendet werden.
Robert Chapman ist Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH
Tools für Hacker und Anwender des Penetration-Tests
Aircrack
Aircrack ist eine Sammlung von Tools. Diese Werkzeuge ermöglichen es, in WEP-geschützte, drahtlose Netzwerke einzudringen. Zum Sortiment gehört unter anderem
das Programm Airodump. Mit diesem Paketsammler kann der gesamte Netzwerkverkehr aufgezeichnet und protokolliert werden. Anhand dieser Informationen lassen
sich weitere Tools für das Eindringen in das Netzwerk nutzen.
Airsnort
Airsnort ist ein Programm zur Aufzeichnung von Datenpaketen und zur Berechnung von Schlüsseln in 802.11b-Funknetzwerken. Das Tool nutzt die typische Schwachstelle
in WEP: Die Software zeichnet mit Hilfe einer Netzwerkkarte passiv Datenpakete auf, aus denen sich der dazugehörige Schlüssel berechnen lässt.
BackTrack
Backtrack ist eine bootbare Linux-Distribution zur Überprüfung der Sicherheit einzelner Rechner in Netzwerken sowie der gesamten Netzwerksicherheit. Weitere
Informationen und Download: http://www.remote-exploit.org/backtrack.html.
Fake AP
Fake AP simuliert Tausende von 802.11b-Access-Points. Damit lassen sich reale Access-Points innerhalb der simulierten Geräte verstecken und Hacker beziehungsweise
deren Werkzeuge in die Irre treiben.
Kismet
Kismet ist ein passiver WLAN-Sniffer zum Aufspüren von Funknetzwerken. Kismet sendet keine Anfragen an das Netzwerk, sondern fängt Pakete ab, die durch diese
versendet werden. So lassen sich auch versteckte SSIDs identifizieren. Das Werkzeug eignet sich auch dazu, die Sicherheit des eigenen WLAN zu überprüfen und die
Signalstärke festzustellen. Darüber hinaus kann es als Wireless Intrusion Detection System (IDS) eingesetzt werden.
NetStumbler
Bei NetStumbler handelt es sich um ein Windows-Werkzeug, das WLANs, die nach dem 802.11b-, 802.11a- und 802.11g-Standard arbeiten, ausfindig macht. NetStumbler
dient als erstes Tool für Hacker, um die verfügbaren drahtlosen Netzwerke und deren Signalstärke zu finden.
WEPcrack
WEPcrack ist ein Werkzeug, mit dem sich WEP-basierte WLANs hacken lassen. Ähnlich wie Airsnort zeichnet auch WEPcrack passive Pakete auf.
FIREBRAND TRAINING WHITE PAPERS
ACCELERATED
CERTIFICATION
TRAINING
Unsere Partner
Firebrand Training
Was unser Name bedeutet:
fi-re-brand (Nomen): Eine Idee oder Person, die Aufregung entfacht und eine Handlung
oder Veränderung verursacht, indem sie veraltete Methoden und Überzeugungen
herausfordert.
Wir haben uns für den Namen Firebrand Training entschieden, um unsere Position als das
etwas andere Weiterbildungsunternehmen zu unterstreichen.
Unser Name widerspiegelt, was wir verwirklichen – den Anstoß für die IT-Branche. Wir
vermitteln Wissen und Zertifizierung durch unsere einzigartige, preisgekrönte Methode
des “Beschleunigten Lernens“. Das Ziel der Kurse bei Firebrand Training ist es, Wissen
an Kursteilnehmer in kürzester Zeit zu vermitteln und diese zu qualifizieren. Die Lehr/Lernmethode des “Beschleunigten Lernens“ ermöglicht es, mehr Informationen in
kürzerer Zeit aufzunehmen und erfolgreich zu verarbeiten. Ausgewiesene Experten aus
der Praxis vermitteln das Wissen, indem sie visuelle, auditive und kinästhetische Lernmethoden zu unterschiedlichen Tageszeiten anwenden. Das Prinzip des "Beschleunigtes
Lernens" unterscheidet sich grundlegend von traditionellen Lehr-/Lernmethoden. Studenten bleiben während des ganzen Kurses im „Camp“ (Hotel in natureller Umgebung)
welches eine innovative und erstklassige Lernumgebung bietet, frei von jeglichen
Ablenkungen geschaffen, um somit den Erfolg zu gewährleisten. Das Erlernte wird in
Prüfungen abgefragt und die Teilnehmer erwerben bei Erfolg branchenweit anerkannte
Zertifizierungen. Auch in diesem Punkt unterscheidet sich Firebrand Training von
anderen Anbietern.
IT-Experten und Unternehmen aus sämtlichen Wirtschaftsbereichen sparen durch das
intensive Lernen wertvolle Zeit und Geld, da sie von einem geringeren Arbeitsausfall
profitieren. Mit einer überdurchschnittlichen Rate von über 85 % bestehen Studenten
Ihre Zertifizierungskurse auf Anhieb.Firebrand Training vermittelt dabei Inhalte, die
sich sonst über Monate erstrecken, in Kursen von drei bis 14 Tagen.
Visuell:
Vorlesung und Lehrmaterialien (Bücher, Informationsmaterial)
Taktil:
Praktische Übungen im Labor
Auditiv:
Revision mit Referaten durch die Studenten
Rufen Sie an unter:
(kostenlos) 0800 789 50 50
E-Mail an:
[email protected]
Besuchen Sie uns unter:
www.firebrandtraining.de
Training Company of the
Year 2006, 2007 & 2008