Grundpraktikum Netz- und Datensicherheit. Thema: WLAN - Grundlagen und Angrie. Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum

Transkript

1 Grundpraktikum Netz- und Datensicherheit Thema: WLAN - Grundlagen und Angrie Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum Versuchdurchführung: Raum IC 4/58-60 Betreuer: Andreas Noack zusammengestellt von: Oussama Renuli Stand: 09. März 2009 Version: 1.0

2 Inhaltsverzeichnis Inhaltsverzeichnis 1 Motivation 4 2 WLAN IEEE Standards im Überblick Grundlagen Frameformat (MAC Frameformat) SNAP (Subnetwork Access Protocol) RC WEP Sicherheitsarchitecktur Denition Verschlüsselung Entschlüsselung Authentizierung Integrität Angrie auf WEP Keystream Reuse Message Modication and Injection Fragmentation Attack IP-Redirection - (Pure Fragmentationsattack) Die Angrie von Korek PTW Attack Airckrack Grundlagen 20 5 Versuchsorganisation Hinweis Versuchsaufbau Schriftliche Versuchsauswertung Versuchsdurchführung Aufgabe 1 - Allgemeine Verständnisfragen Aufgabe 2 - Allgemeine Aspekte Aufgabe 3 - ARP Attack Aufgabe 4 - Fragmentation Attack Aufgabe 5 - Testen Aufgabe 6 - Die beqeumere Art Grundpraktikum NDS - WLAN März 2009

3 Abbildungsverzeichnis Abbildungsverzeichnis MAC Frame Frame Control Format WEP MSDU Erweiterung - Frame Body Data Paket - WEP Enable WEP-Verschlüsselung LLC/SNAP Header Tabellenverzeichnis 1 RC4; Key Setup und Key Stream Generation Kollision von IVs Grundpraktikum NDS - WLAN März 2009

4 1 Motivation 1 Motivation Seit mehreren Jahren existiert zum herkömmlichen, kabelbasierten Local Area Network (LAN) eine drahtlose Alternative: Wireless Local Area Network (WLAN). Das Wireless-LAN ist das meist verbreitete kabellose Netzwerksystem. Aufgrund der attrakiven Kostenersparnis sowie der einfachen und schnellen Konguration, sind WLAN-Netze nicht nur im privaten Bereich, sondern auch in Firmen, Flughäfen, Universitäten usw. zu nden, die beispielsweise so ihr vorhandenes Netz erweitern bzw. neue Netze einrichten. Dieser Erfolg darf allerdings nicht darüber hinwegtäuschen, wie sicher heute zu Tage WLAN-Netze sind. In den meisten Fällen werden keine Sicherheitsmaÿnahmen getroen oder Sicherheitsmaÿnahmen implementiert, die schwache Protokolle wie WEP verwenden. Ziel des Praktikums ist es den Teilnehmern(innen) die Grundlagen über den Aufbau von WLAN- Netzen zu vermittlen und das in der Praxis verbreitete Verschlüsselungsverfahren Wired Equivalent Privacy (WEP) auf Schwachstellen zu analysieren. Zu diesem Zweck werden theoretische und praktische Aufgaben gestellt. Die Studenten haben somit die Möglichkeit, Verständnis für den Aufbau von moderenen WLAN-Netzen zu entwickeln, diese sicher zu kongurieren, sowie die intergrierten Sicherheitsmechanismen kennenzulernen und zu bewerten. Grundpraktikum NDS - WLAN März 2009

5 2 WLAN WLAN Die heute in der Praxis eingesetzte WLAN-Technologie basiert immer noch auf dem im Jahre 1999 veröentlichten IEEE-Standard. Die folgenden Abschnitte geben sowohl einen kurzen Überblick über den prinzipiellen Aufbau von WLANs, als auch Auskunft und Grundlagen über die zugrundeliegenden Standards und deren Sicherheitsaspekte. Hierbei wird im Mittelpunkt die Funktion der WEP-Sicherheitsarchitektur, als zentraler Bestandteil des WLAN-Standards, betrachtet und deren Schwachstellen analysiert IEEE Standards im Überblick Die IEEE 802-Standards enthalten Spezikationen für verschiedene LAN-Technologien, wobei der Zweig Wireless-LAN beschreibt. Es gibt verschiedene Ausführungen bzw. eine Reihe von Spezikationen. Hier werden die wichtigsten vorgestellt. Für eine ausführliche Beschreibung wird auf [1] und [2] verwiesen ist der erste und grundlegende Standard. Er wurde 1997 verabschiedet. Dieser Standard bietet eine Übertragungsrate von 2 Mbit/s und funkt im 2.4 GHz ISM-Band. Der Standard legt die beiden Betriebsmodi Ad-hoc- und Infrastrukturmodus für WLAN-Geräte fest, auÿerdem wird die MAC-Schicht für den Zugang zu drahtlosen Netzen grundlegend deniert und eine Sicherheitsarchitektur entworfen, die unter anderem mittels der WEP-Sicherheitsarchitektur für die Vertraulichkeit, sichere Authentizierung und Integrität im WLAN sorgen soll. Es gibt zahlreiche Verbesserungen und Erweiterungen dieses Standards b/g: Die beiden Spezikationen funken im 2.4 GHz Bereich. Die theoretische Übertragungsgeschwindigkeit von b liegt bei 11 Mbit/s und von g bei 54 Mbit/s. Sie stellen 13 Kanäle zur Verfügung mit drei nicht überlappenden Kanälen g verwendet dazu noch Orthogonal Frequency Division Multiplexing (OFDM), welches zu höheren Datenraten führt. Anmerkung: Die beiden Standards erlauben die Nutzung von WPA a/h: Diese beiden Standards arbeiten im 5 GHz Bereich. Die Datenrate beträgt 54 Mbit/s und besitzt bei a 19 und bei h 12 nicht überlappende Kanäle h besitzt zudem noch Dynamic Frequency Selection und Transmit Power Control, welches den Einsatz in Europa erlaubt i: Auch bekannt als WPA2 (Wi-Fi Protected Access). Mit dieser Spezikation wird eine erweiterte Sicherheitsarchitektur für den Standard vorgestellt. Sie trägt die Bezeichnung RSN (Robust Security Network). Sie ist kompatibel zu den Standards a, b und g und bietet vor allem eine Alternative zur WEP-Sicherheitsarchitektur mit einem Schlüsselmanagement, neuen Authentizierungsverfahren und Verschlüsselungsmethoden wie z. B. TKIP (Temporal Key Integrity Protocol) und AES (Advanced Encryption Standard). Grundpraktikum NDS - WLAN März 2009

6 2 WLAN Grundlagen Im Folgenden werden einige Grundlagen, die im Zusammenhang mit dem Praktikum von Nutzen sein können, erläutert. Für detaillierte Informationen über WLAN sei auf [3] verwiesen. Wireless-LAN ist eine Variante lokaler Netze in drahtloser Form. Diese Technologie basiert auf einer Struktur aus Zellen. Es existieren zwei Betriebsarten im WLAN: der Ad-Hoc-Modus und der Managed- Modus, auch Infrastruktur-Modus genannt. Der Ad-Hoc-Modus erlaubt eine spontane Kommunikation zwischen den Teilnehmern. Er wird benutzt, wenn zwei oder mehrere Rechner direkt miteinander kommunizieren wollen. Es ist ein Peer-to-Peer Netzwerk. Voraussetzung für die erfolgreiche Datenübertragung zwischen den Teilnehmern ist die Einstellung der WLAN Adapter auf den selben Kanal und die Einhaltung der räumlichen Nähe. Dieser begrenzte Bereich wird Basic Sevice Set (BSS) genannnt. Im Ad-Hoc- Modus auch als Independent Basic Service Set IBSS bekannt. Ad-Hoc Netzwerke stellen die preiswerteste Variante drahtloser Netzwerke dar, da keine weiteren Geräte zum Einsatz kommen. Im Managed-Modus wird ein Access Point (AP) als Funkbrücke benutzt, über den die Clients auf das restliche Netzwerk zugreifen können. Der Access Point fungiert als Bridge, die das Funk- Protokoll in das drahtgebundene Ethernet-Protokoll umsetzt. APs können ein Gebiet von etwa Metern abdecken. Durch den Einsatz von mehreren APs können mittels Roamings gröÿere Gebiete abgedeckt werden. In diesem Fall spricht man von Extended Sevice Set (ESS). Der Managed Modus bietet mehr Sicherheit als Ad-Hoc Netzwerke, da die gesamte Kommunikation über den AP abgewickelt wird. Bei der Betreibung eines WLANs werden zur Realisierung einer erfolgreichen Kommunikation folgende Informationen benötigt: Ein Service Set Identier (SSID) und Ein Funkkanal Der Funkkanal darf zwischen 1 und 13 liegen und bezeichnet die Frequenz, auf welcher das Netzwerk arbeiten soll. Die SSID besteht aus einer alphanumerischen Zeichenfolge und bezeichnet den Namen des Netzwerkes. Netzwerke, die mit der selben Frequenz senden, können mit Hilfe der SSID unterschieden werden. Die Unterscheidung geschieht auf Basis der ESSID (Extended Service Set Identier) bzw. BSSID (Basic Service Set Identier), die im Format einer MAC-Adresse vorliegt. Grundpraktikum NDS - WLAN März 2009

7 2 WLAN Frameformat (MAC Frameformat) Deniert im Standard besteht ein Frameformat aus folgenden Komponenten: 1. Dem MAC-Header - Er hat eine Länge von 30 Bytes und enthält Informationen über die Frameund Sequenz Control, Duration und Adressen. 2. Dem Frame-Body - Dieser hat eine variable Länge, zwischen 0 und 2312 Bytes. Der Frame-Body enthält spezische Informationen zu dem Frame Type und den Nutzdaten. Anmerkung: Sollte die WEP Verschlüsselung eingeschaltet sein, so kommen ein Integrity Check Value ICV (4 Bytes) und Initialisation Vector IV (4 Bytes) zum Einsatz. Somit ergibt sich eine maximale Länge von 2320 Bytes. 3. Dem Frame-Check - dieser ist 4 Bytes lang und enthält die CRC-32 Prüfsumme, die über den gesamten MAC Header und dem Frame Body gebildet wird. Zur Bildung der Prüfsumme wird folgendes standardisiertes Generator Polynom verwendet [3]: G(x) = x 32 + x 26 + x 23 + x 22 + x 16 + x 12 + x 11 + x 10 + x 8 + x 7 + x 5 + x 4 + x 2 + x + 1 Den generellen Aufbau eines MAC Frames zeigt folgende Abbildung: Abbildung 1: MAC Frame Source [3], Seite 60 Anmerkung: Es existieren 3 Arten von MAC Frames: Data, Control und Management Frames. Grundpraktikum NDS - WLAN März 2009

8 2 WLAN Das Frame Control Feld ist 16 Bit lang und besteht aus mehreren Feldern mit unterschiedlichen Bitgröÿen. Die folgende Abbildung veranschaulicht das Format des Frame Control Feldes: Abbildung 2: Frame Control Format Source [3], Seite 60 Das WEP Feld ist ein Unterfeld des Frame Control Feldes mit einer Länge von 1 Bit. Im Falle, wo dieses auf 1 gesetzt ist, werden die Daten im Frame Body, der sich automatisch um 8 Bytes erweitert (ICV+IV), verschlüsselt. Allerdings kann diese Einstellung nur in Paketen vom Typ Data und Typ Management mit dem Untertyp Authentication auf den Wert 1 gesetzt werden. Bei MAC Frames des Types Control ist der WEP-Wert automatisch auf Null gesetzt. WEP-Erweiterung - Die unterstehende Abbildung zeigt die Erweiterung im Frame Body, wenn die WEP Verschlüsselung eingeschaltet ist: Abbildung 3: WEP MSDU Erweiterung - Frame Body Source [3], Seite 185 Das Feld IV besteht aus: 1. Dem Initalisierungsvektor (IV) - wird mit dem geheimen Schlüssel bei der Ver- und Entschlüsselung eingestzt. 2. Dem Pad Feld - enthält den Wert 0 3. Dem Key-ID Feld - enthält einen der möglichen Werte 0, 1, 2 oder 3. Diese sagen aus, welcher Schlüssel zur Verschlüsselung des jeweiligen Pakets eingesetzt worden ist. Das Feld ICV enthält die CRC-32 Prüfsumme, die über das Feld Data berechnet worden ist. Grundpraktikum NDS - WLAN März 2009

9 2 WLAN SNAP (Subnetwork Access Protocol) Das Subnetwork Access Protokoll speziziert eine Methode, um IP-Datagramme und ARP-Protokoll- Nachrichten zu kapseln. Der SNAP-Header ist eine Erweiterung des IEEE LLC-Headers. Es enthält die Ethernet-Typinformationen und wird benötigt, wenn Kompabilität zwischen Ethernet II und IEEE gefordert ist. Jedes WLAN-Paket enthält einen sogenannten SNAP-Header, welcher in IP basierten Netzen mit dem Wert 0xAAAA belegt ist. Dieser wird immer mitverschlüsselt und bildet somit die ersten 8 Bytes der verschlüsselten Daten. Folgende Abbildung zeigt den Aufbau eines typischen Data Pakets bei aktivierter WEP Verschlüsselung: Abbildung 4: Data Paket - WEP Enable Source [4], Seite RC4 Sprich arcfour, ist eine von Ron Rivest für RSA im Jahre 1987 entwicklete Stromchire. RC4 bekommt als Eingabe einen Schlüssel K mit beliebiger Länge und generiert einen Strom von Bits. Der Algorithmus wird vor der Verschlüsselung initialisiert, indem eine Substitutionstabelle, die 256 Einträge von je 8 Bit Länge enthält, erstellt wird. Diese Tabelle ist linear und wird in einer Schleife in Abhängigkeit vom Schlüssel zufällig vertauscht. Im Detail gliedert sich RC4 in 2 Schritte: 1. Key Scheduling Algorithm(KSA), mit Hilfe des Schlüssels wird ein interner Startzustand ausgewählt (key setup). 2. Pseudo Random Generator Algorithm(PRGA), aus dem Startzustand werden Nachfolgezustände generiert und dabei jeweils ein Byte ausgegeben (key stream generation). Grundpraktikum NDS - WLAN März 2009

10 2 WLAN Die folgende Tabelle zeigt den Pseudo-Code der beiden Phasen des RC4 Algorithmus: KSA(K) PRGA(K) Initialisation (N=2 8 ): Initialisation: For i = 0... N-1 i = 0 S[i] = i j = 0 j = 0 Generation Loop Scrambling i = i+1 For i = 0... N-1 j = j + S[i] j = j + S[i] + K[i mod L] Swap( S[i], S[j] ) Swap( S[i], S[j] ) Output Z = S[ S[i] + S[j] ] Tabelle 1: RC4; Key Setup und Key Stream Generation Source [5], Seite 10 Anmerkung: Die Permutation wird bei jeder Ver- und Entschlüsselung neu erstellt. Eine ausführliche Beschreibung über RC4 ist hier [6] zu nden. 2.3 WEP Sicherheitsarchitecktur Denition Unter Wired Equivalent Privacy (WEP) versteht man die Sicherheitsmechanismen, die im Standard zur Verschlüsselung, Integritätswährung und Authentizierung im Jahre 1999 deniert worden sind. Für die Vertraulichkeit kommt die Stromchire RC4 von RSA Security zum Einsatz. Um die Authentifzierung zu gewährleisten wird ein Challenge-Response-Verfahren eingesetzt und die Integrität wird mittels einer CRC (Cyclic Redundancy Check)-Summe geschützt. In den folgenden Abschnitten wird die Funktionsweise der einzelnen Verfahren kurz vorgestellt. Grundpraktikum NDS - WLAN März 2009

11 2 WLAN Verschlüsselung Die Verschlüsselung eines Datenpakets mittels RC4 basiert auf einem geheimen Schlüssel K. Dieser muss sowohl dem AP, als auch allen im Netz bendlichen Clients bekannt sein und wird für die Verund Entschlüsselung verwendet, daher der Name Shared Key. Laut Standard können bis zu 4 Schlüssel deniert werden, deren jeweilige Key-ID (KID) dann im Frame Body mitübermittelt wird. Siehe dazu Abbildung 3. Die Verschlüsselung läuft wie folgt ab: 1. Die Nachricht M (Message) wird mit einer 32 Bits langen CRC-Prüfsumme (CRC-32) versehen, dem ICV (Integrity Check Value). Diese Summe wird an die Nachricht M angehängt und bildet verkettet mit der Nachricht den Klartext P. P = M ICV 2. Hier wird ein zufälliger 24-bit Initialisation Vector (IV), der als seed für den KSA dient, erzeugt. Danach wird dieser mit dem geheimen Schlüssel K, der entweder 40 oder 104 Bits lang ist, konkateniert. Dieser Keystream IV K bildet die Grundlage für die Erzeugung des Schlüsselstroms durch den RC4-Algorithmus. Anmerkung: Der IV ist dafür zuständig, dass gleiche Frames nach dem Verschlüsseln verschieden aussehen, obwohl der gleiche Schlüssel verwendet wurde. 3. Der durch die XOR-Verknüpfung ( ) zwischen dem Klartext P und dem Schlüsselstrom RC4(IV K) enstandene Text wird als Ciphertext C bezeichnet. C = (M ICV (M)) (RC4(IV K)) Über den Radio Link wird der Ciphertext C zusammen mit dem Initialisierungsvektor IV gesendet. Abbildung 5 zeigt den Verlauf der Verschlüsselung einer Nachricht M mittels WEP: Abbildung 5: WEP-Verschlüsselung Source [7], Seite 3 Grundpraktikum NDS - WLAN März 2009

12 2 WLAN Entschlüsselung Mit Hilfe der Key-ID und des IVs kann der Empfänger durch den RC4 Algorithmus den selben Schlüsselstrom erzeugen. Die Verkettung (IV K) bildet die Eingabe des RC4 Algorithmus. Als Ausgabe ensteht der Schlüsselstrom. Der Ciphertext ist durch XOR mit dem Schlüsselstrom enstanden, deswegen kann ein erneutes XOR mit dem selben Schlüsselstrom den Klartext P liefern. Es gilt: P = [((M ICV (M)) (RC4(IV K))] (RC4(IV K)) = P Anschlieÿend wird ICV über die Nachricht berechnet. Nur im Fall, in dem die beiden Prüfsummen übereinstimmen ICV = ICV wird die Nachricht akzeptiert, ansonsten verworfen Authentizierung In einem WLAN werden laut IEEE Standard zwei Betriebsmodi für die Authentizierung deniert und unterstützt: 1. Open System: Ist der Access Point auf Open System eingestellt, so ndet keine Authentizierung zwischen Clients und Access Point statt. 2. Shared Key: In diesem Modus ist ein Challenge-Response Verfahren für die Authentizierung zwischen Clients und Access Point zuständig. Die Clients müssen gegenüber dem AP beweisen, dass sie im Besitz des geheimen Schlüssels sind. Die foglenden Schritte erläutern dies im Detail. a) Der Client stellt eine Authentizierungsfrage an den AP. Diese beinhaltet: i. Die Identität des Clients. Dieser wird in Form einer MAC-Adresse, die 48 Bits lang ist, an den AP übermittlet. ii. Eine 16 Bits lange Authentication Algorithm Identication (AAI), die die Authentizierungsmethode angibt. iii. Eine 16 Bits lange Sequenznummer (SN), die für Kontinuität bei den vier Authentizierungsschritten sorgen soll. b) Der AP antwortet mit der gleichen AAI, einer um 1 erhöhten Sequenznummer und einer 128 Bytes langen Zufallszahl. c) Der Client verschlüsselt, nachdem er die Sequenznummer um 1 erhöht hat, die drei Angaben, die er von dem AP erhalten hat, mit dem gemeinsamen geheimen Schlüssel und sendet diese zurück an den AP. d) Dieser veriziert schlieÿlich die Response des Clients und schickt bei erfolgreicher Entschlüsselung des Schlüsseltextes neben der AAI und einer erneut um 1 erhöhten Sequenznummer, die Authentizierungsbestätigung successful an den Client. Im negativen Fall würde unsuccessful übertragen. Anmerkung: Im Open System Modus enthält die AAI in der ersten Nachricht den Wert Null. Als Antwort bestätigt der AP dem Client die Anmeldung mit successful. Voraussetzung ist, dass der AP auf Open System konguriert ist. Grundpraktikum NDS - WLAN März 2009

13 2 WLAN Integrität Eine CRC-32 Checksumme wird verwendet um die Integrität der Nachricht gegenüber zufälligen Übertragungsfehlern zu gewährleisten. Die Berechnung der Checksumme ndet vor der Verschlüsselung statt. Danach wird der ICV mit der Nachricht zusammen verschlüsselt. Nachdem dem WEP Frame Body ein MAC-Header, der für die Adressierung im Netz verwendet wird, vorangestellt wurde, wird mittels CRC-32 die Frame Check Sequence (FCS) berechnet. Anhand der FCS wird sichergestellt, ob die Datenübertragung fehlerfrei verlaufen ist, bevor die Daten auf der Empfängerseite entschlüsselt werden. Grundpraktikum NDS - WLAN März 2009

14 3 Angrie auf WEP 3 Angrie auf WEP Nachdem die grundlegende Funktionsweise der Ver- und Entschlüsselung bekannt ist, werden wir in diesem Kapitel einige theoretische Angrie kennen lernen und die ezientesten von ihnen im Praktikum durchführen. 3.1 Keystream Reuse Die Verschlüsselung (bei Stromschiren) von zwei Nachrichten mit dem gleichen Schlüsselstrom enthüllt meistens Informationen über beide Nachrichten. Durch die Verknüpfung der beiden Ciphertexte mit gleichem Schlüsselstrom kürzt sich der Schlüsselstrom RC4(IV K) heraus und man erhält die beiden verknüpften Klartexte: C1 = P 1 RC4(IV K) C2 = P 2 RC4(IV K) C1 C2 = (P 1 RC4(IV K)) (P 2 RC4(IV K)) = P 1 P 2 Im Falle, dass ein Klartext bekannt ist, ist es für einen Angreifer kein Problem den anderen Klartext zu berechnen. Wenn der gleiche Schlüsselstrom öfter auftritt, wird die Berechnung des Klartextes einfacher. Da WEP einen 24-bit langen IV verwendet, existieren für einen Schlüssel K 2 24 verschiedene Schlüsselströme. Danach werden bereits verwendete IVs wieder eingesetzt. Solche Kollisionen sind in der Praxis sehr bekannt. WEP schreibt vor, dass pro Frame ein neuer IV eingesetzt werden muss, leider fehlt eine Spezikation, wie dies geschehen soll. Viele WLAN Karten sind so implementiert, dass bei jeder Initialisierung der Karte, der IV auf 0 gesetzt und pro Frame um 1 inkrementiert wird. Bei häugen Initialisierungen der WLAN Karte werden Schlüsselströme mit niedrigen IV-Werten öfter benutzt. Erzeugt man die IVs zufällig und nicht inkrementell, so wird die Zeitspanne bis die erste Kollision auftritt noch kürzer. Es hat sich in der Praxis gezeigt, dass aufgrund des sogenannten Geburtstagsparadoxon bereits nach 5000 gesendeten Paketen Kollisionen erwartet werden. Grundpraktikum NDS - WLAN März 2009

15 3 Angrie auf WEP Folgendes Beispiel verdeutlicht die Vorgehensweise bei diesem Angri: Beschreibung Daten Klartext von A Secret key K A K Beschreibung Daten Klartext von B Secret key K B K Beschreibung Daten A K B K (A K) (B K) Beschreibung Daten Klartext von A Klartext von B A B Tabelle 2: Kollision von IVs Allerdings ist dieser Angri nur für Angreifer mit viel Zeit und eisernem Willen geeignet, da meistens Dateien im Gigabytes Bereich benötigt werden. Es existieren weitaus ezientere Angrismöglichkeiten. Grundpraktikum NDS - WLAN März 2009

16 3 Angrie auf WEP 3.2 Message Modication and Injection In diesem Angri geht es darum eine Nachricht M während ihrer Übertragung zu verändern ohne, dass der Empfänger dies wahrnimmt. Dies ist möglich, da die WEP Checksumme (ICV) eine lineare Funktion der Nachricht ist. Bei CRC Checksummen werden alle arithmetischen Operationen modulo 2 durchgeführt. Das hat zur Folge, dass die Checksumme über die XOR-Operationen folgende Eigenschaft erfüllt: C(A B) = C(A) C(B) (Homomorphie) Wie wir bereits wissen, sieht der verschlüsselte Text einer Nachricht folgendermaÿen aus: C = (M ICV (M)) (RC4(IV K)) Wobei: M: Die Nachricht im Klartext ICV: Die CRC-32 Prüfsumme K: Der geheime Schlüssel IV: Der Initialisierungsvektor Jetzt werden wir C in C' modizieren, so dass C' auf eine neue Nachricht M' abgebildet wird, wobei: M = M d und d die jeweilige Änderung ist. C = C d ICV (d) = (RC4(IV K)) (M ICV (M)) (d ICV (d)) = (RC4(IV K)) (M d (ICV (M) ICV (d))) = (RC4(IV K)) (M d ICV (M d)) = (RC4(IV K)) (M ICV (M )) Das Datenpaket kann dann an den eigentlichen Empfänger weitergeleitet werden. Somit ist bewiesen, dass man die WEP Integritätssicherung brechen kann. Grundpraktikum NDS - WLAN März 2009

17 3 Angrie auf WEP 3.3 Fragmentation Attack Dies ist einer der populärsten Angrie, um WEP Schlüssel zu brechen. In diesem Angri werden die Pakete auf Layer 2 fragmentiert und unabhängig voneinander verschlüsselt. Das ist möglich, da der WEP Standard es zulässt, bis zu 16 Fragmente mit dem selben Keystream zu verschlüsseln. Doch wie gelangt man zu einem gültigen Keystream? Dafür schauen wir uns Abbildung 6 an: Abbildung 6: LLC/SNAP Header Source [8], Seite 4 Anmerkung: Der Wert im letzten Feld (??) ist davon abhängig welches Protokoll verwendet wird. 0x06 für ARP Pakete und 0x00 für IP Pakete. Die Voraussetzung ist, dass ein Teil des Klartextestes bekannt sein muss. Jedes Paket hat einen LLC/SNAP Header wie Abbildung 6 veranschaulicht. Dieser ist 8 Bytes lang und enthält zum gröÿten Teil immer die selben Informationen. Ausnahme bildet das Feld Ether Type. Hier wird angegeben, ob es sich um das ARP oder das IP Protokoll handelt. Selbst wenn die Pakete in einem Netzwerk verschlüsselt übertragen werden, ist es für einen Angreifer kein Problem mit einer groÿen Wahrscheinlichkeit vorauszusagen, um welchen Pakettyp es sich handeln könnte. Wir wissen, dass ein ARP Paket eine feste Länge von 36 Bytes hat. Alle gröÿeren Pakete können somit als IP Pakete betrachtet werden. Somit sind mindestens die ersten 8 Bytes des Pakets bekannt. Da dem Angreifer der Klar- und der zugehörige Ciphertext bekannt sind, besitzt er 8 Bytes gültigen Keystream. Er könnte dadurch 8 Bytes Daten (4 Bytes Nutzdaten + 4 Bytes CRC32) ins Netz injizieren. Wie wir bereits erfahren haben, erlaubt es WEP bis zu 16 Fragmente à 4 Bytes mit dem selben Keystream zu verschlüsseln. Ein mögliches Szenario wäre das Aufbauen eines ARP Requests. Die 36 Bytes werden dann in 9 Fragmente à 4 Bytes Nutzlast geteilt und unabhängig voneinander verschlüsselt und ins Netz injiziert. Angekommen am AP, baut dieser die Pakete anhand der Sequenznummern zusammen, verschlüsselt sie mit einem neuen IV und versendet sie an die Broadcast Adresse. Diese Pakete werden natürlich vom Angreifer empfangen, so dass dieser im Besitz von 40 Bytes gültigem Keystream (36 Bytes Nutzdaten + 4 Bytes CRC32) kommt. Bei gröÿeren Datenmengen kommt die IP-Fragmentierung zum Einsatz. Der Angreifer wiederholt diesen Prozess bis er genügend Keystream gesammelt hat. Dadurch kann er entweder einen IV-Wörterbuch Angri starten oder genug Trac im Netz erzeugen, um den Preshared Key zu brechen. Grundpraktikum NDS - WLAN März 2009

18 3 Angrie auf WEP 3.4 IP-Redirection - (Pure Fragmentationsattack) In diesem Abschnitt beschreiben wir einen in der Praxis gängigen Angri, der auch als Pure Fragmentationsattack bezeichnet wird. Dieser Angri ist aufgrund seines Aufbaus und seiner Angrisidee als Grundwissen erwähnenswert. Ein IP-Redirektion-Angri ist möglich sobald der Access-Point (AP) mit dem Internet verbunden ist. Der Angreifer verleitet den AP dazu die gesamte Arbeit (die Entschlüsselung und im Klartext- Weiterleitung der Pakete an eine IP-Adresse des Angreifers) zu leisten. Der Angreifer greift ein verschlüsseltes Paket ab und ändert die Zieladresse in eine Adresse, die unter seiner Kontrolle steht. Anschlieÿend wird das manipulierte Paket an den AP weitergeleitet. Dieser entschlüsselt das Paket und leitet es im Klartext an die IP-Adresse des Angreifers. Die Linearität der CRC32-Checksumme ermöglicht die Modikation des Pakets, so dass die Gültigkeit der errechneten Checksumme nach der Modikation erhalten bleibt. Eine weitere Voraussetzung bildet die Bekanntheit der Quell- und Ziel-IP-Adresse, die sich meistens anhand der internen Netzwerk-IP-Adressschemata ermitteln lassen. Ist dem Angreifer die Ziel-IP-Adresse (im Klartext) bekannt, so wird ihr Wert per XOR mit der gewünschten IP-Adresse verknüpft. Anschlieÿend wird das Resultat wieder per XOR ins verschlüsselte Paket eingestellt. Dadurch, dass sich die XOR-Operationen mit der Ziel-IP-Adresse gegenseitig aufheben, bleibt die gewünschte IP-Adresse als XOR des Schlüsselstroms übrig. Die Quell-IP-Adresse muss angepaÿt werden um eine unveränderte Checksumme sicherzustellen. Folgendes Bespiel verdeutlicht die Vorgehensweise bei diesem Angri: Ein Angreifer kennt die Quelladresse und die Zieladresse und möchte den Trac an die Adresse umleiten. Die IP-Adressen existieren im IP-Paket in binärer Form als 16-Bit-Wörter hoher und niedriger Ordnung. Daher ist die Konvertierung ziemlich einfach: Src IP = S H = = S L = = 269 Dst IP = D H = = D L = = 257 N eue IP = N H = = N L = = Grundpraktikum NDS - WLAN März 2009

19 3 Angrie auf WEP Da die Checksumme durch N H + N L D H D L modiziert wird, muss dieser Wert an anderer Stelle im Paket abgezogen werden. Die Quell-IP-Adresse ist bekannt und somit unwichtig, deswegen ist das 16-Bit-Wort niedriger Ordnung dieser IP-Adresse ein gutes Ziel: S L = S L (N H + N L D H D L ) S L = 269 ( ) S L = Die neue Quell-IP-Adresse lautet also Auf die gleiche Art und Weise lässt sich die Quell-IP-Adresse im verschlüsselten Paket modizieren. Da die Checksummen jetzt übereinstimmen, wird das an den AP gesendete Paket akzeptiert, entschlüsselt und anschlieÿend an die IP-Adresse weitergesendet. 3.5 Die Angrie von Korek Ein User mit dem Pseudonym Korek veröentlichte in einem Internetforum [9] 17 Implementierungen, die Angrie auf WEP realisieren. Basis dieser Angrie ist die veröentlichte Arbeit von S. Fluhrer, I. Mantin und A. Shamir im Jahre 2001 mit dem Titel Weakness in the key scheduling algorithm of RC4 [10], kurz FMS gennant. Dieser Angri basiert auf statistischer Kryptoanalyse. Er beschränkt sich nicht darauf, die schwachen IVs zu sammeln. Um den geheimen Schlüssel zu berechnen ist die Anzahl der gesammelten Pakete mit Doppelter IVs von Bedeutung. Für weitere Informationen über Korek Angrie sei auf [11] verwiesen. Beschreibung über die FMS-Attack. [12] enthält eine detaillierte 3.6 PTW Attack Im April 2007 haben die Forscher der Technischen Universität Darmstadt Erik Tews, Andrei Pychkine und Ralf-Philipp Weinmann eine Arbeit veröentlicht, die eine Weiterentwicklung der von Andreas Klein entwickelten Theorie darstellt. Dieser Angri gilt als der ezienteste in seiner Gruppe. Der Angri funktioniert so, dass eine Funktion bzw. eine Funktionsmenge F_ptw_m für alle abgefangenen Initialisierungsvektoren und Schlüsselströme ausgewertet wird, und über die Verteilung der Ausgaben dann die Schlüsselbytes bestimmt werden können. Es entstehen statische Wahrscheinlichkeiten, die das Erraten des Keystreams ermöglichen. Schon bei Paketen hat man eine Erfolgswarscheinlichkeit von 50%. Für weitere Informationen über die PTW-Attack sei auf [13] verwiesen. Grundpraktikum NDS - WLAN März 2009

20 4 Airckrack Grundlagen 4 Airckrack Grundlagen Aircrack ist eine Sammlung von Tools, mit deren Hilfe sich die Sicherheit in WLAN-Netzwerken gründlich überprüfen läÿt und ggf. Maÿnahmen gegen das Cracken solcher Netzwerke getroen werden können. Die wichtigsten Pakete dieser Sammlung sind: airodump, ein packet capture Programm aireplay, ein packet injection Programm aircrack, static WEP and WPA-PSK cracking airdecap, entschlüsselt WEP/WPA in abgespeicherten Daten und weitere Tools zur Bearbeitung der mitgeschnittenen Daten(Konvertierung etc.) Für die Durchführung dieses Versuchs ist eine Einarbeitung in Aircrack notwendig. Auf folgender Webseite [14] ndet man Dokumentationen und zahlreiche Beispiele zum Thema Aircrack. Grundpraktikum NDS - WLAN März 2009

21 5 Versuchsorganisation 5 Versuchsorganisation 5.1 Hinweis Lesen Sie sich zuerst die Grundlagenkapitel durch. Recherchieren Sie bei Unklarheiten im Internet. Diskutieren Sie mit Kommilitonen oder kontaktieren Sie bei schwerwiegenden Problemen ihren Betreuer. Nehmen Sie bei Ihrer Recherche die angegebenen Quellen zu Hilfe. 5.2 Versuchsaufbau Nach den einleitenden Informationen erhalten Sie nun eine Versuchsbeschreibung. Auf den Rechnern ist BackTrack 3 (Linux) installiert. Sie bearbeiten den Versuch mit Kommandozeilenbefehlen. Sie können eine Shell und einen Editor Ihrer Wahl benutzen. Zum einfachen Datenaustausch zwischen den Usern bitte das Verzeichnis /tmp benutzen. Falls Sie etwas nicht verstehen, fragen Sie bitte zu Beginn den Mitarbeiter, der das Praktikum betreut. 5.3 Schriftliche Versuchsauswertung Jedes Team fertigt eine schriftliche Auswertung an. Beantworten Sie darin die Fragen, die zu den jeweiligen Teilversuchen gestellt wurden. Bitte geben Sie auch Feedback, ob Sie den Praktikumsversuch als interessant empfunden haben und ob dieses Dokument für Sie bei der Versuchsdurchführung hilfreich war. Verbesserungsvorschläge sind willkommen! Die Versuchsauswertung ist schriftlich beim nächsten Termin mitzubringen! Grundpraktikum NDS - WLAN März 2009

22 6 Versuchsdurchführung 6 Versuchsdurchführung 6.1 Aufgabe 1 - Allgemeine Verständnisfragen 1. Nennen Sie je zwei wesentliche Vor- und Nachteile von WLAN. 2. Was heiÿt WEP? 3. Durch welche Sicherheitsverfahren wurden die Sicherheitsziele Authentizierung, Vertraulichkeit und Intergrität in WEP erreicht? 4. In Europa können im ISM-Band bei DSSS 13 Kanäle gebildet werden. Sie wollen im gleichen Gebäude drei AP's installieren. Was ist zu beachten? Wie lösen Sie das Problem? 5. Warum setzt man auf RC4 in WEP? 6. Wie lang ist ein 128-Bit-WEP-Schlüssel wirklich? Warum? 7. Warum werden IVs eingesetzt? Von wem werden sie gewählt? Welche Voraussetzung sollten die IVs erfüllen? Wird diese Voraussetzung erfüllt? 8. Welche bekannte Authentizierungsmethoden setzt WEP ein? Was macht das für einen Unterschied? Welche Authentizierungsmethode ist zu bevorzugen? warum? Was wird authentiziert? 9. Nennen Sie 3 Schwächen von WEP? 10. Nennen Sie mögliche in der Praxis einsetzbare Angrie auf WEP. Welche Ziele haben diese Angrie? 11. Beschreiben Sie die Fragmentationsattack. 12. Wann stellt ein Host eine ARP-Anfrage? 13. Welche Anforderungen stellt man an die Hardware, damit überhaupt die in dem Versuch durchzuführenden Angrie möglich sind? Warum? 14. Welche Angrie kann man mit dem Tool aireplay-ng durchführen? 15. Wie kann ein WEP-geschütztes WLAN sicherer gemacht werden? Grundpraktikum NDS - WLAN März 2009

23 6 Versuchsdurchführung 6.2 Aufgabe 2 - Allgemeine Aspekte Für diesen Versuch stehen Ihnen 3 APs zur Verfügung. Bitte vergewissern Sie sich, welcher AP Ihrer Gruppe in diesem Versuch zur Verfügung gestellt wurde! 1. Überprüfen Sie aus Sicherheitsgründen, ob der WLAN-Adapter in irgendeinem Modus läuft! falls Ja, zertsören Sie diese Konguration. Verwenden Sie dafür das Tool wlancong und führen Sie den 2. Schritt aus! 2. Setzen Sie den WLAN-Adapter in den Monitor Mode. Dazu können Sie das Tool wlancong verwenden. Achten Sie dabei auf, dass der WLAN-Adapter auf dem richtigen Kanal gesetzt ist! 3. Wie sieht die Netzstruktur innerhalb Ihrer Gruppe aus? Notieren Sie sich die erforderlichen Informationen wie z. B. IP- Mac Adresse, da diese im späteren Versuchsdurchlauf gebraucht werden. Verwenden Sie hierfür das Tool airodump-ng. Ergänzen Sie Ihren Befehl um die WLAN Schnittstelle. 4. Wie sehen die Pakete der jeweiligen Broadcast Domäne aus? Nehmen Sie einige Beacon-Frames auf und analysieren Sie die Frames mittels Wireshark nach folgenden Kriterien: Source, Destination, Protokol, SSID, Beacon Interval, Supported Rates und Timestamp. Weisen Sie dabei Ihrem WLAN-Adapter diese IP-Adresse (GN+3) zu. Dabei steht GN für Ihre Gruppennummer. Wenn Sie z. B. Guppe 6 sind, dann ist die zugehörige IP-Adresse In Wireshark wählen Sie unter Interfaces Ihre jeweilige IP-Adresse. Anmerkung: Beacon-Frames sind Steuernachrichten, die in regelmäÿigen Abständen von Access Points ausgesendet werden, um die mobilen Clients auf sich aufmerksam zu machen. 5. Welche Aussagen lassen sich über die Sicherheit des Netzwerks treen? Dokumentieren Sie Ihre Ergebnisse (Screenshots) und sprechen Sie mit anderen Gruppen benötigte Szenarien ab. Grundpraktikum NDS - WLAN März 2009

24 6 Versuchsdurchführung 6.3 Aufgabe 3 - ARP Attack In diesem Versuchsabschnitt wollen wir einen von den uns bekannten Angrien auf WEP ausüben. Es gilt die Schritte nacheinander abzuarbeiten und zu dokumentieren. Nehmen Sie dabei an, dass die Treiber des WLAN-Adapters gepatched sind. Wir starten jetzt einen Standard-ARP-Request Replay Angri. 1. Überprüfen Sie mit Hilfe von iwcong, ob der WLAN-Adapter im Monitor Mode läuft. Falls nein, stellen Sie den WLAN-Adapter in dem Monitor Mode ein. Benutzen Sie hierfür das Tool wlancong. Achten Sie dabei darauf, dass Sie auf dem richtigen Kanal sind (iwcong). 2. Starten Sie airodump-ng. Ergänzen Sie Ihren Befehl um den jeweiligen Kanal. Schreiben Sie die mitgelauschten Daten in die Datei crack. Anschlieÿend geben Sie die WLAN Schnittstelle ein. 3. Starten Sie in einer anderen Konsole aireplay-ng. Es muss sich um einen Standard ARP Replay Angri handeln. Geben Sie die BSSID des AP und die MAC Adresse des bereits assozierten Clients ein. Anschlieÿend die WLAN Schnittstelle. 4. Pingen Sie von einem ehrlichen Host die IP-Adresse Ihres AP an. Sprechen Sie dazu Ihren Betreuer an. Falls nicht genügend ARP-Anfragen erstellt worden, sagen Sie ebenfalls Ihrem Betreuer Bescheid 5. Starten Sie jetzt aircrack-ng. Führen Sie einen PTW-Angri auf die gespeicherten Daten aus. Geben Sie zusätzlich die ESSID und die BSSID des AP ein und anschlieÿend die Datei crack*.cap. Grundpraktikum NDS - WLAN März 2009

25 6 Versuchsdurchführung 6.4 Aufgabe 4 - Fragmentation Attack In diesem Versuchsabschnitt wollen wir einen von den uns bekannten Angrien auf WEP ausüben. Es gilt die Schritte nacheinander abzuarbeiten und zu dokumentieren. Nehmen Sie dabei an, dass die Treiber des WLAN-Adapters gepatched sind. Wir starten jetzt einen Fragmentation-Angri. 1. Setzen Sie, falls es nicht der Fall ist, den WLAN-Adapter in den Monitor Mode ein. Dazu können Sie das Tool wlancong verwenden. Warum ist dieser Schritt wichtig? 2. Setzen Sie den WLAN-Adapter auf den richtigen Kanal und führen Sie diesen Schritt aus Sicherheitsgründen 2 mal hintereinander durch. 3. Überprüfen Sie mit dem Befehl iwpriv oder iwcong, ob Sie im richtigen Modus sind. 4. Verschaen Sie sich mit Hilfe des airodump-ng Tools einen Überblick über die in der Reichweite liegenden Netze. Geben Sie zusätzlich die WLAN Schnittstelle. Danach schalten Sie es wieder aus. Anmerkung: Vergessen Sie danach nicht Ihren WLAN-Adapter auf dem richtigen Kanal zu setzen. 5. Verbinden Sie sich mit dem AP. Dazu verwenden Sie das Tool aireplay-ng. Führen Sie eine fakeauth durch und passen Sie Ihren Befehl so an, dass a) Der Host sich alle 8000 msec beim AP neu anmelden soll. b) Die Zeit zwischen den Keep-alives Paketen 8 sec beträgt. c) Die Anzahl der Keep-alives Pakete 1 ist. d) Die ESSID, die BSSID und die WLAN Schnittstelle an Ihren Befehl angehängt sind. Anmerkung: Wir führen eine Fakeauth, damit wir uns mit dem AP verbinden (Sprich wir werden assoziert und somit brauchen wir keinen assozierten Client mehr) Gibt es eine andere Variante diesen Schritt durchzuführen? 6. Hier geht es darum die Injektion vorzubereiten. Dafür benötigen wir Pakete mit gültigem Keystream. Starten Sie in einem neuen Konsolenfenster mit Hilfe von aireplay-ng eine Fragmentation- Attack. Ergänzen Sie den Befehl um die BSSID des AP und die WLAN Schnittstelle. Warum sind wir, nach Erhalt eines Pakets mit einem gültigen Keystream, in der Lage die Injketion durchzuführen? Grundpraktikum NDS - WLAN März 2009

26 6 Versuchsdurchführung 7. Nachdem wir mit Yes bestätigt und das Paket.xor erhalten haben, sind wir in der Lage gültige ARP Pakete zu generieren und die Injektion durchzuführen. Dazu starten wir das Tool packetforge-ng, das sich ebenfalls in der Airckracksammlung bendet. Folgende Parameter sind mit einzugeben: a) Es muss sich um ein ARP-Paket handeln. Geben Sie zur Generierung des ARP-Paketes unbedingt 0 ein und verwenden Sie nicht die Option --arp. b) Die BSSID des AP. c) Als Quell- und Ziel-IP geben Sie die Broadcast Adresse ein( ). d) Es soll das erhaltene Paket für den PRGA mitgegeben werden (*.xor). e) Speichern Sie das generierte Paket unter arppack. f) Anschlieÿend geben Sie die MAC Adresse Ihres jeweiligen Hosts ein. Warum ist dieser Schritt entscheidend für den Angri? 8. Schalten Sie in einem neuen Konsolenfenster airodump-ng ein. Ergänzen Sie Ihren Befehl nach den mitgeteilten Informationen (Kanal und BSSID des AP ) und speichern Sie die mitgelauschten Daten unter airodpack. Geben Sie anschlieÿend die WLAN Schnittstelle ein. Dokumentieren Sie das Ergebnis und erklären Sie was die Spalten und die Zeilen bedeuten. Anmerkung: Verwenden Sie bei airodump-ng für die Eingabe der BSSID immer die Option bssid. 9. Starten Sie die Injektion mit Hilfe von aireplay-ng. Dabei soll aireplay-ng im interactive Modus betrieben werden. Der Befehl soll um das gespeicherte Paket arppack und die WLAN Schnittstelle ergänzt werden. Bestätigen Sie mit YES falls erforderlich. 10. Warten Sie bis sich genug Daten gesammlet haben (ca 3-5 min), danach stoppen Sie die Reinjection. 11. Starten Sie in einem neuen Konsolenfenster aircrack-ng. Führen Sie einen PTW-Angri auf die gespeicherten Daten aus. Geben Sie zusätzlich die ESSID und die BSSID des AP ein und anschlieÿend die Datei crack*.cap. Anmerkung: Achten Sie darauf, dass aircrack-ng nicht Dateien *.cap von der vorherigen Übung (ARP-Attack) übergeben werden. 12. Bei wie vielen Paketen (*.ivs bzw. *.cap) konnten Sie den WEP Schlüssel brechen? Grundpraktikum NDS - WLAN März 2009

27 6 Versuchsdurchführung 6.5 Aufgabe 5 - Testen Nach dem Sie angeblich den AP geknackt haben, sollten Sie sich spätestens jetzt mit diesem verbinden und dessen Internetzugang ausnutzen. Pingen Sie einen ehrlichen Teilnehmer im Netz an. Setzen Sie vorher den WLAN-Adapter in den richtigen Modus (Managed). Achten Sie dabei darauf, dass a) Der WLAN-Adapter hoch ist. Weisen Sie Ihrem WLAN-Adapter eine gültige IP-Abdresse zu. Verwenden Sie dafür die in der 1. Aufgabe (Frage 4) festgelegte Regel b) Dem WLAN-Adapter die richtige ESSID zugewiesen wurde c) Der WLAN-Adapter auf dem richtigen Kanal funkt d) Die Verschlüsselung aktiviert ist, sowie dass der WEP-Key eingetragen wurde Anmerkung: Manchmal muss man die oben gennanten Schritte mehrmals ausführen. Konnten Sie sich verbinden? Wenn Nein, was könnte der Grund sein? Haben Sie einen Vorschlag, wie Sie das Problem umgehen? 6.6 Aufgabe 6 - Die beqeumere Art Diese Aufgabe ist eine Bonus Aufgabe. Es geht hier darum einen Tool Namens Wesside-ng kennen zu lernen, der unter anderem den vorher durchgeführten ARP-Angri, automatisiert. 1. Starten Sie Wesside-ng. Ergänzen Sie Ihren Befehl lediglich um die WLAN Schnittstelle. 2. Pingen Sie von einem ehrlichen Host eine beliebige IP-Adresse an. 3. Gedulden Sie sich ein paar Minuten. 4. Was passiert? Grundpraktikum NDS - WLAN März 2009

28 Literatur Literatur [1] Wikipedia: IEEE [2] Kiener, Wolfgang und Swen Porschen: Wie sicher ist WLAN heute. Technischer Bericht, FH Köln - Fachbereich Nachrichtentechnik Datennetze, 2004/ [3] IEEE, Computer Society: IEEE Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specications, [4] Bullmann, Christoph und Thomas Erfurth: Sicherheitsanalyse des WEP Protokolls im IEEE Technischer Bericht, HTWK Leipzig - Fachbereich Informatik Mathematik Naturwissenschaften, cbullman/sicherheitsanalyse_wlan.pdf. [5] Schwenk, Jörg: WLAN. Technischer Bericht, Ruhr-Universität Bochum Lehrstuhl für Netz- und Datensicherheit, [6] kohn kuno: RC4. [7] Blunk, Dominik und Dr. Andreas Steffen: WLAN-Hacking en passant. Heise Security, [8] Bittau, Andrea, Mark Handley und Joshua Lackey: The Final Nail in WEP's Con. In: SP '06: Proceedings of the 2006 IEEE Symposium on Security and Privacy, Seiten IEEE Computer Society, [9] Netstumbler Forum - Korek: Angrie & Implementierungen. [10] Fluhrer, Scott, Itsik Mantin und Adi Shamir: Weaknesses in the KEY scheduling algorithm. In: RC4, Proceedings of the 4th Annual Workshop on Selected Areas of Cryptography, Seiten 124. Springer-Verlag, aboba/ieee/rc4_ksaproc.pdf. [11] Chaabouni, Rafik: Break WEP Faster with Statistical Analysis. Technischer Bericht, EPFL, LASEC, [12] Erickson, Jon: Forbidden Code. mitp-verlag, 2 Auflage, [13] Tews, Erik: Attacks on the WEP protocol. Diplomarbeit, TU Darmstadt, [14] Aircrack-ng Webseite. 1 Alle in der Bibliographie aufgeführten Links wurden zuletzt am 09. März 2009 erfolgreich aufgerufen. Grundpraktikum NDS - WLAN März 2009