Das WLAN im Visier. Inhalt

Transkript

1 Das WLAN im Visier Von Robert Chapman, Hohenroda Drahtlose Netzwerke sind komfortabel, schnell und unsicher: Ein Viertel aller Heimanwender und knapp 15 Prozent der Unternehmen nutzen Wireless LANs (WLANs) ohne jegliches Sicherheitskonzept und öffnen Angreifern so Tür und Tor zu sensiblen Informationen. Doch wie und mit welchen Werkzeugen hantieren Hacker eigentlich? Und wie setzt man sie außer Gefecht? Inhalt :. Service Set Identifier (SSID) umbenennen :. Beacon Broadcasting ausschalten :. MAC-Adressen-Autorisierung :. Feste IP-Adressen und Ad-hoc-Modus deaktivieren :. WEP-Verschlüsselung :. WPA und WPA2 :. VPN :. Antennen und Sendestärke :. Angriffsmethoden :. Tools für Hacker und Anwender des Penetration-Tests Training Company of the Year 2006, 2007 & 2008

2 Das WLAN im Visier Von Robert Chapman, Hohenroda Drahtlose Netzwerke sind komfortabel, schnell und unsicher: Ein Viertel aller Heimanwender und knapp 15 Prozent der Unternehmen nutzen Wireless LANs (WLANs) ohne jegliches Sicherheitskonzept und öffnen Angreifern so Tür und Tor zu sensiblen Informationen. Doch wie und mit welchen Werkzeugen hantieren Hacker eigentlich? Und wie setzt man sie außer Gefecht? Das Hacken drahtloser Netze und die Penetration-Tests zur Überprüfung der WLAN-Sicherheit unterscheiden sich kaum voneinander. Sämtliche Methoden und Tools (siehe Kasten) der Angreifer lassen sich auch dafür nutzen, Lücken im WLAN ausfindig zu machen, und das Funknetz bestmöglich abzusichern. Fest steht allerdings: Eine hundertprozentige Sicherheit vor Eindringlingen ist trotz aller Sicherheitsvorkehrungen nicht möglich. Hacker gehen fast immer nach dem gleichen Schema vor: Netzwerk finden, Datenpakete abfangen und eindringen. Oftmals haben sie dabei leichtes Spiel, da Administratoren und Heimanwender WLAN-fähige Router, Access-Points beziehungsweise WLAN-Karten mit werksseitigen Standardeinstellungen in Betrieb nehmen. Dies liegt in den meisten Fällen daran, dass Anbieter ihre Geräte in der Regel mit inaktiven Sicherheits-Features ausliefern, damit auch ungeübte Nutzer schnell und ohne großen Aufwand aufs drahtlose Netz zugreifen können. Service Set Identifier (SSID) umbenennen Eine von Hackern oft genutzte Schwachstelle im drahtlosen Netzwerk ist die Definition der SSID (Service Set Identifier): Häufig begehen WLAN-Betreiber den Fehler, ihren Firmen- oder Privatnamen als SSID-Kennung (Netzwerknamen) für das drahtlose Netzwerk zu verwenden ein gefundenes Fressen für Angreifer, die so wichtige Informationen erhalten. Dazu gehört beispielsweise der genaue Standort des WLANs und so mitunter sogar Hinweise darauf, welche Daten sich in dem Netzwerk befinden. Außerdem gibt eine SSID-Kennung zuweilen Aufschluss darüber, wie das Passwort lauten könnte. Rund 30 bis 40 Prozent aller Kennwörter lassen sich aus dem privaten Umfeld des WLAN-Betreibers erraten. Darum sollten WLAN-Betreiber eine unverfängliche SSID-Kennung wählen, die keine Rückschlüsse zulässt. Keinesfalls aber dürfen WLAN-Passwort und SSID identisch sein. Neben einer individuellen Default-SSID müssen auch die für die Konfiguration von Access-Points und WLAN-Routern werksseitig vordefinierten Benutzernamen und Administrationspasswörter modifiziert werden. Häufig gestatten Geräte Administratoren und Angreifern einen einfachen Zugriff per Eingabe des Login-Names und Passworts admin. Die große Gefahr: Mit Zugriff auf den WLAN-Router/Access-Point können Hacker die Konfiguration nach eigenem Gusto modifizieren und Sicherheitsfunktionen problemlos aushebeln. Für zusätzlichen Schutz bürgt hier eine Option, die die Administration des Geräts per drahtloser Verbindung vollständig unterbindet. Veränderungen an der Konfiguration lassen sich dann nur noch mit Hilfe eines verkabelten Rechners im LAN vornehmen. Gleiches gilt für das Remote Management: Funktionen, die Access-Points/WLAN-Router aus dem Internet von einem entfernten Rechner aus administrierbar machen, sollten deaktiviert werden. Beacon Broadcasting ausschalten Darüber hinaus sorgt das Beacon Broadcasting bei Angreifern oft für leuchtende Augen. Diese Funktion der Access-Points/WLAN-Router bezeichnet das Senden der SSID-Kennung in regelmäßigen Zeitabständen, um Clients in der Umgebung mitzuteilen, welche drahtlosen Netze im Umkreis verfügbar sind. Das Deaktivieren des Beacon Broadcasting stellt einen Hacker vor eine weitere Hürde: Er muss zunächst mit passiven Scannern wie Kismet (siehe Kasten) feststellen, ob tatsächlich ein WLAN im Umkreis existiert und welche SSID es trägt. Kismet lauscht am Funkverkehr drahtloser Netze und filtert die SSID aus den Datenpaketen heraus. Andere Hacking-Tools wie NetStumbler, die aktiv ein Funknetz suchen, scheitern jedoch am ausgeschalteten SSID-Broadcast. In der Praxis gilt also: Freizeithacker suchen in der Regel nicht nach WLANs, deren SSIDs nicht gesehen werden kann.

3 Hat es ein Angreifer allerdings auf ein bestimmtes Netz abgesehen, wird ihn auch ein unterdrücktes Broadcasting nicht aufhalten. Ein weiterer Wermutstropfen, den das Deaktivieren des Beacon Broadcasting mit sich bringt: Sämtliche regulären Clients, die auf das WLAN zugreifen dürfen, müssen so konfiguriert werden, dass ein Login auch an das unsichtbare Netzwerk erfolgen kann. MAC-Adressen-Autorisierung WLAN-Router oder Access-Points neuerer Bauart unterstützen die Möglichkeit, den Zugriff nur für autorisierte Clients zu gewähren. Per Konfiguration der Access Control Lists (ACLs) lassen sich so diejenigen angeschlossenen Rechner definieren, die einen Zugriff auf das WLAN erhalten dürfen. Sämtlichen anderen Clients wird ein Verbindungsaufbau zum Netz per se untersagt. Das bedeutet, dass Access-Points/WLAN-Router lediglich Verbindungsanfragen von WLAN-Karten akzeptieren, die manuell vom Betreiber in der MAC-Adressenliste eingetragen wurden. Eine MAC-Adresse wird für gewöhnlich automatisch nach dem ersten Einloggen im Router vermerkt. Hacker können nach dem Anlegen der ACL nur noch dann auf Informationen im Netz zugreifen, wenn zuvor erfolgreich eine Verbindung mit dem Netzwerk aufgebaut und dem Access-Point/Router vorgegaukelt werden konnte, dass es sich um ein autorisiertes Device handelt. Häufig scheitert das Konzept mit MAC-Filtern in größeren Unternehmensnetzen allerdings an der aufwändigen ACLs-Pflege. Feste IP-Adressen und Ad-hoc-Modus deaktivieren Soweit möglich, sollte die Verteilung dynamischer IP-Adressen für sämtliche an das Netzwerk angeschlossene Clients deaktiviert werden. Eine per DHCP zugewiesene IP-Adresse erleichtert es Angreifern, ins Netz einzudringen. Neben der festen Zuweisung von IP-Adressen bietet es sich an, den Adressraum der genutzten IP-Adressen auf die Zahl der tatsächlich zugewiesenen Rechner zu beschränken. Dies verhindert, dass Hacker eine freie IP-Adresse für den Zugriff auf das Netzwerk erhalten. Oftmals wird in diesem Zusammenhang allerdings übersehen, dass auch der Ad-hoc-Modus der WLAN-fähigen Endgeräte ein so genanntes Backdoor darstellt, mit dem sich Angreifer ohne Umwege über WLAN-Router und Access Points sowie via rechtmäßig verbundenem Rechner mit dem Netzwerk verbinden können. Auch hier geben Sniffer wie Kismet dem Administrator Aufschluss darüber, ob Clients innerhalb des WLANs existieren, deren Ad-hoc-Modus aktiviert ist. Erweiterte Schutzmaßnahmen: Verschlüsselung WEP-Verschlüsselung Bei der Verschlüsselung auf Basis von Wired Equivalent Privacy (WEP) handelt es sich um einen Chiffrier- und Autorisierungs-Mechanismus, der zusammen mit dem Netzwerkstandard eingeführt wurde und heute als durchweg unsicher gilt. Erstmalig im Jahr 2001 geknackt, lässt sich WEP heute mit minimalem WLAN-Know-how und frei verfügbaren Werkzeugen (siehe Kasten) innerhalb weniger Minuten aushebeln. WEP basiert in der einfachsten Variante auf einem 64-Bit-Schlüssel, von dem jedoch lediglich 40 Bits (fünf Zeichen) entschlüsselt werden müssen 24 Bits sind voreingestellt. Dieser Key dient zur Verschlüsselung und Entschlüsselung aller Daten, die über das drahtlose Gerät versendet werden. Zwar schützt ein schlechtes Schloss besser als eine offene Haustür moderne Rechner mit entsprechenden Werkzeugen knacken diesen Chiffriermechanismus allerdings binnen weniger Sekunden. Bei der erweiterten Variante, der 128-Bit-WEP-Verschlüsselung, können 104 Bits vom Benutzer bestimmt werden. Auch hier sind die restlichen 24 Bits voreingestellt. In der Regel benötigt ein Eindringling mit aktuellem IT-Equipment nur etwa 40 Minuten, um eine 128-Bit-Verschlüsselung zu knacken. WEP-Verschlüsselung Wesentlich effektiver sind Verschlüsselungsmethoden auf Basis von Wi-Fi Protected Access (WPA). Dieses System verwendet anstelle von Passwörtern so genannte Passphrasen, bei denen ein Schlüssel auf Basis der eingegebenen Kombination generiert wird. Dieser Schlüssel wird in unregelmäßigen Abständen verändert selbst während eine Verbindung aktiv ist. Dieser Standard ermöglicht zwei Schlüsselverwaltungen: Während mit Pre-Shared-Keys (WPA-PSK) alle Nutzer im Netzwerk mit demselben Kennwort angemeldet sind, werden Zugangskennungen per Managed Key auf einem zentralen Server hinterlegt.

4 Der Benutzer, der sich an einem Access-Point oder WLAN-Router einloggen will, weist sich über diesen am Authentication Server mit einem digitalen Zertifikat in Form von Benutzername und Passwort aus. Nach Überprüfung der Berechtigung durch den Server wird ein Master Key an den Access-Point sowie Client versendet. Bevor dann die eigentliche Datenkommunikation beginnt, überprüfen sich Client und Access-Point in einem vierstufigen Verfahren gegenseitig. Bei kurzen Passwörtern oder leicht zu erratenden Wörtern können Hacker mit so genannten Brute-Force-Attacken diese Sicherheitsvorkehrung außer Kraft setzen. Werkzeuge wie WPA Cracker wurden indes speziell dafür entwickelt, die Schwachstellen von WPA mit kurzen Passphrases zu nutzen. Deshalb gilt: Eine Phrasenlänge ab 14 Zeichen, bestehend aus einer Kombination von Buchstaben (Groß- und Kleinschreibung) sowie Zahlen schützt das Netz ausreichend vor dieser Art von Attacken. Die Sicherheit des WLAN hängt hier also direkt von der Qualität der Passphrases ab. Auch hier sollten WLAN-Betreiber keinesfalls Passphrasen wählen, die mit ihm, seiner Familie oder der Arbeitsstelle zusammen hängen. Seit dem Jahr 2004 existiert mit WPA2 eine Erweiterung des WPA-Standards, die neben dem Schlüsselabgleich mit einem anderen Server die extrem starke Verschlüsselung Advanced Encryption Standard (AES) nutzt anstatt RC4, das bei WEP und WPA zum Einsatz kommt. VPN Noch mehr Sicherheit gewährleistet der Einsatz von Virtual Private Networks (VPNs). Ein VPN-Server übernimmt hier den Zugang zum internen Netz. Der Vorteil: Die Anmeldung des Anwenders erfolgt nicht direkt auf dem Access-Point beziehungsweise Router, sondern wird durch die VPN-Software geregelt. Ein populärer Ansatz ist beispielsweise der Einsatz von VPNs, die den Datenverkehr mit IPsec oder PPTP (Point to Point Tunneling Protocol) verschlüsseln. Auf diese Weise ist die Kommunikation vom Client über den Access Point bis hin zum VPN-Gateway geschützt. Gerade für Zweigstellen großer Unternehmensnetze ist VPN eine interessante Möglichkeit, da so nicht nur der WLAN-Verkehr, sondern auch die Datenübertragung über öffentliche Netze wie das Internet in die Unternehmenszentrale gesichert ist. In punkto WLAN-Sicherheit macht dieses Verfahren aus Kostengründen dann Sinn, wenn VPN auch zur Anbindung von Außendienstmitarbeitern verwendet wird. Darüber hinaus erschweren häufig inkompatible Client-Software und nicht zuletzt fehlendes Know-how eine Implementierung. Antennen und Sendestärke Eine weitere Möglichkeit, das drahtlose Netz vor fremden Zugriffen zu schützen, ist die Ausrichtung des Funksignals. So sollte der Radius des WLANs so klein gehalten werden, dass alle regulären Clients darauf zugreifen können ein Hacker von Außen aber keine Chance bekommt, sich mit dem Access-Point oder Router zu verbinden. Im Idealfall lässt sich die Ausleuchtung durch den Einsatz von Antennen so definieren, dass Clients außerhalb des Gebäudes kein Signal mehr empfangen. Ebenso erlauben manche Geräte, die Sendeleistung durch eine entsprechende Funktion auf den kleinsten akzeptablen Wert zu reduzieren. Auf dieses Feature sollte Käufer bereits beim Erwerb eines WLAN-Routers oder Access-Points achten. Aufwändiger und teurer sind metallbedampfte Fenster, Wände mit funkhemmenden Materialien sowie Richtfunkantennen. Um Hackern selbst nach erfolgreichem Login in das Netzwerk wenig Angriffsfläche zu bieten, sollten zudem nur unbedingt nötige Verzeichnisse und Drucker für die unternehmensweite Nutzung freigegeben werden. Außerdem ist das Betriebssystem so zu konfigurieren, dass lediglich autorisierte Benutzer auf die freigegebenen Ordner und Geräte zugreifen können. Angriffsmethoden Brute Force zählt zu den ältesten Methoden von Angreifern: Hacker überprüfen dabei alle möglichen Schlüssel, bis sie auf den richtigen stoßen. Diese Attacke wird genutzt, um Zugriff auf Kennwort-geschützte Geräte zu erhalten. Brute-Force-Tools berechnen Tausende von Buchstaben- und Zahlenkombinationen pro Sekunde, bis das korrekte Passwort den Zugriff ermöglicht. Im Gegensatz zu Brute Force setzt die Wörterbuch-Attacke auf ein Durchprobieren diverser Wörter aus einem Wörterbuch. Diese Methode geht davon aus, dass zahlreiche Anwender ein einfaches, leicht zu merkendes Passwort als Netzwerkschlüssel wählen. Aktuelle Wortlisten liegen in diversen Sprachen vor und sind häufig auf bestimmte Themen wie Informatik, Geographie oder Musik zugeschnitten.

5 Eine andere Vorgehensweise nutzen die Denial of Service-Attacken: Weil WLANs in einem öffentlichen Frequenzbereich aktiv sind, können sie leicht durch andere Sender gestört werden. So ist es einem Angreifer möglich, ein WLAN lahmzulegen, indem ein starker Sender in den Funkverkehr gebracht wird. Eines weiteren Tricks bedienen sich Angriffe per ARP-Requests. Mit einem Sniffer wie Kismet hören Hacker zunächst das WLAN ab. Konkret lauschen sie dabei nach verschlüsselten ARP-Requests mit einer Länge von 68 Bytes. Mit Hilfe von Werkzeugen wie Aireplay, einem Programm der Tool-Sammlung Aircrack, werden aufgezeichnete ARP-Requests wieder an den Acess-Point oder WLAN-Router geschickt. Antwortet dieser, wird dieses Spiel immer wiederholt. Innerhalb kurzer Zeit ist es so möglich, genügend Informationen zu sammeln, um mit Hilfe von Werkzeugen aus Aircrack den Schlüssel zu entziffern. Eine weitere Methode, eine Schwachstelle im Protokoll auszunutzen, ist das Deauthentication Flooding. Deauthentication-Pakete werden normalerweise dazu verwendet, die Verbindung von einem angemeldeten Client zu trennen und sich beim AP abzumelden. Die Schwachstelle im Protokoll besteht darin, dass nur anhand der MAC-Adresse geprüft wird, ob das empfangene Signal auch wirklich vom angemeldeten Client kommt. Durch das Spoofen der eigenen MAC-Adresse mit der eines angemeldeten Clients oder dem Senden von speziellen Deauth-Paketen mit Tools wie Airjack können Hacker Zugriff auf das WLAN erlangen. Diese Methode funktioniert mit verschlüsselten WEP-Netzen und bei WPA, da hier Deauth-Pakete stets unverschlüsselt versendet werden. Robert Chapman ist Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH Tools für Hacker und Anwender des Penetration-Tests Aircrack Aircrack ist eine Sammlung von Tools. Diese Werkzeuge ermöglichen es, in WEP-geschützte, drahtlose Netzwerke einzudringen. Zum Sortiment gehört unter anderem das Programm Airodump. Mit diesem Paketsammler kann der gesamte Netzwerkverkehr aufgezeichnet und protokolliert werden. Anhand dieser Informationen lassen sich weitere Tools für das Eindringen in das Netzwerk nutzen. Airsnort Airsnort ist ein Programm zur Aufzeichnung von Datenpaketen und zur Berechnung von Schlüsseln in b-Funknetzwerken. Das Tool nutzt die typische Schwachstelle in WEP: Die Software zeichnet mit Hilfe einer Netzwerkkarte passiv Datenpakete auf, aus denen sich der dazugehörige Schlüssel berechnen lässt. BackTrack Backtrack ist eine bootbare Linux-Distribution zur Überprüfung der Sicherheit einzelner Rechner in Netzwerken sowie der gesamten Netzwerksicherheit. Weitere Informationen und Download: Fake AP Fake AP simuliert Tausende von b-Access-Points. Damit lassen sich reale Access-Points innerhalb der simulierten Geräte verstecken und Hacker beziehungsweise deren Werkzeuge in die Irre treiben. Kismet Kismet ist ein passiver WLAN-Sniffer zum Aufspüren von Funknetzwerken. Kismet sendet keine Anfragen an das Netzwerk, sondern fängt Pakete ab, die durch diese versendet werden. So lassen sich auch versteckte SSIDs identifizieren. Das Werkzeug eignet sich auch dazu, die Sicherheit des eigenen WLAN zu überprüfen und die Signalstärke festzustellen. Darüber hinaus kann es als Wireless Intrusion Detection System (IDS) eingesetzt werden. NetStumbler Bei NetStumbler handelt es sich um ein Windows-Werkzeug, das WLANs, die nach dem b-, a- und g-Standard arbeiten, ausfindig macht. NetStumbler dient als erstes Tool für Hacker, um die verfügbaren drahtlosen Netzwerke und deren Signalstärke zu finden. WEPcrack WEPcrack ist ein Werkzeug, mit dem sich WEP-basierte WLANs hacken lassen. Ähnlich wie Airsnort zeichnet auch WEPcrack passive Pakete auf.

6 Firebrand Training Unsere Partner Was unser Name bedeutet: fi-re-brand (Nomen): Eine Idee oder Person, die Aufregung entfacht und eine Handlung oder Veränderung verursacht, indem sie veraltete Methoden und Überzeugungen herausfordert. Wir haben uns für den Namen Firebrand Training entschieden, um unsere Position als das etwas andere Weiterbildungsunternehmen zu unterstreichen. Unser Name widerspiegelt, was wir verwirklichen den Anstoß für die IT-Branche. Wir vermitteln Wissen und Zertifizierung durch unsere einzigartige, preisgekrönte Methode des Beschleunigten Lernens. Das Ziel der Kurse bei Firebrand Training ist es, Wissen an Kursteilnehmer in kürzester Zeit zu vermitteln und diese zu qualifizieren. Die Lehr- /Lernmethode des Beschleunigten Lernens ermöglicht es, mehr Informationen in kürzerer Zeit aufzunehmen und erfolgreich zu verarbeiten. Ausgewiesene Experten aus der Praxis vermitteln das Wissen, indem sie visuelle, auditive und kinästhetische Lernmethoden zu unterschiedlichen Tageszeiten anwenden. Das Prinzip des "Beschleunigtes Lernens" unterscheidet sich grundlegend von traditionellen Lehr-/Lernmethoden. Studenten bleiben während des ganzen Kurses im Camp (Hotel in natureller Umgebung) welches eine innovative und erstklassige Lernumgebung bietet, frei von jeglichen Ablenkungen geschaffen, um somit den Erfolg zu gewährleisten. Das Erlernte wird in Prüfungen abgefragt und die Teilnehmer erwerben bei Erfolg branchenweit anerkannte Zertifizierungen. Auch in diesem Punkt unterscheidet sich Firebrand Training von anderen Anbietern. IT-Experten und Unternehmen aus sämtlichen Wirtschaftsbereichen sparen durch das intensive Lernen wertvolle Zeit und Geld, da sie von einem geringeren Arbeitsausfall profitieren. Mit einer überdurchschnittlichen Rate von über 85 % bestehen Studenten Ihre Zertifizierungskurse auf Anhieb.Firebrand Training vermittelt dabei Inhalte, die sich sonst über Monate erstrecken, in Kursen von drei bis 14 Tagen. Visuell: Taktil: Auditiv: Vorlesung und Lehrmaterialien (Bücher, Informationsmaterial) Praktische Übungen im Labor Revision mit Referaten durch die Studenten Rufen Sie an unter: (kostenlos) an: info@firebrandtraining.de Besuchen Sie uns unter: Training Company of the Year 2006, 2007 & 2008