Matthias Hofherr WLAN-Sicherheit Professionelle Absicherung von 802.11-Netzen Heise
5 Bevor man einen genaueren Blick auf die Sicherheitsmechanismen von Netzwerken auf Basis des Standards 802.11 wirft, sollte man sich mit der grundlegenden Arbeitsweise eines solchen Netzes vertraut machen. Die Beschreibung des Standards ist frei zugänglich (http://standards.ieee.org/getieee802/). 802.11 arbeitet auf Netzwerkebene 2, also auf derselben Ebene, auf der bei drahtgebundenen Netzen häufig Ethernet eingesetzt wird. Netzwerkkarten in 802.11-Netzen ist, genau wie bei Ethernet, eine 48 Bit lange MAC-Adresse zugeordnet, die es in der Theorie erlaubt, sie eindeutig zu identifizieren. Ebenso wie bei Ethernet ist diese Adresse sehr leicht zu verändern und damit als Sicherheitsmerkmal wertlos. 2.1 Betriebsmodi 802.11-Netzwerke beherrschen verschiedene Betriebsmodi: Infrastrukturmodus: Diese Netze setzen einen oder mehrere Access Points ein, um die Kommunikation zwischen den Clients zu steuern. Ein Access Point ist ein gekapseltes System, das als Vermittler zwischen dem drahtlosen und dem drahtgebundenen Netzwerk arbeitet. Der gesamte drahtlose Netzwerkverkehr wird über den Access Point abgewickelt, nicht über direkte Verbindungen zwischen den Clients. Netzwerke in diesem Modus werden als Infrastructure BSS 1 bezeichnet. Ad-hoc-Modus: Dieser Modus wird verwendet, um auf die Schnelle kleine Netzwerke zu verbinden. Dabei wird kein Access Point eingesetzt, sondern nur Clients. Der Bezeichner für ein solches Netzwerk ist IBSS (Independent Basic Service Set). 1. BSS: Ein drahtloses Netzwerk, das durch einen eindeutigen Namen (BSSID) identifizierbar ist.
6 Alle in diesem Buch vorgestellten Beispiele beziehen sich auf ein 802.11-Netz im Infrastrukturmodus, wenn nicht explizit anders angegeben. Mehrere Basic Service Sets (BSS) zusammen können ein Extended Service Set (ESS) bilden. In einem ESS sind alle BSS über ein gemeinsames Netzwerk (einen Backbone) miteinander verbunden und können Statusinformationen austauschen. Innerhalb eines ESS können sich Anwender mit ihren Clients frei bewegen. Dabei wird sich der Client automatisch mit dem Access Point, der den besten Empfang ermöglicht, verbinden, ohne dass sich der Anwender jedes Mal aufs Neue anmelden (assoziieren) muss. Diesen Vorgang bezeichnet man auch als Roaming. BSS A BSS B BSS E BSS C BSS D Abb. 2 1 Ein Extended Service Set Backbone Voraussetzung dafür ist eine komplette Abdeckung des Zielgebiets. Wie in Abbildung 2 1 zu sehen ist, wird in der Mitte zwischen den Basic Service Sets keine Verbindung aufgebaut, und damit ist kein Roaming möglich.
2.2 Datenformat 7 2.2 Datenformat Im weiteren Verlauf des Buches werden einige Beispiele des Datenformats gezeigt. Deshalb ist es an dieser Stelle nötig, das Format, das bei der Kommunikation zur Anwendung kommt, näher zu betrachten. Abb. 2 2 802.11 Frame Header Abbildung 2 2 zeigt einen typischen 802.11 Frame Header. Jeder Frame beginnt mit dem 2 Byte langen»frame-control«-feld. Dieses setzt sich wie folgt zusammen: ProtocolVersion: Nimmt momentan immer den Wert 0 an. Type/Subtype: Dies zeigt die Verwendung des Frames an. Die Typen werden unterteilt in Management-, Control- und Daten-Frames. Mittels der Angabe des Subtyps wird die exakte Aufgabe festgelegt. Zum Beispiel ist Typ»00«und Subtyp»0000«ein sog enannter»association Request«, den der Client an den Access Point stellt, um sich zu ihm verbinden zu dürfen. To DS/From DS: Signalisiert, dass der Frame für das»distribution System«2 bestimmt ist. MF: Wenn ein Paket nicht in einen einzelnen Frame passt, dann wird das Paket auf mehrere verteilt. Dieser Vorgang wird als Fragmentierung bezeichnet, die ein- 2. Wenn mehrere Access Points untereinander Statusinformationen austauschen, dann geschieht dies über ein Distribution System
8 zelnen Pakete heißen dann Fragmente. Wenn das MF-Bit (More Fragments) gesetzt ist, wird angezeigt, dass noch weitere Fragmente eintreffen. RTR: Zeigt an, dass der Frame erneut gesendet wurde (Retry). Power Management: Mit diesem Bit zeigt der Sender an, dass er sich momentan im Stromsparmodus befindet. MD: Mit diesem Bit zeigt der Access Point einem Client im Stromsparmodus an, dass er noch weitere Daten für ihn gepuffert hat (More Data). WEP: Dieses Bit signalisiert, dass die Daten WEP-verschlüsselt sind. Order: Zeigt an, dass die Frames in geordneter Reihenfolge übertragen werden. Die restlichen Felder des Headers, die nicht Bestandteil der Frame Control sind, haben folgende Verwendung: Duration/ID: Dieses Feld wird multifunktional eingesetzt. Einerseits zeigt es die Zeit in Millisekunden an, die das Übertragungsmedium wahrscheinlich belegt wird. Alternativ dazu dient es als Signal für den Access Point, einem Client, der aus dem Stromsparmodus erwacht ist, seine gepufferten Daten zu senden. Die verschiedenen Modi werden anhand der letzten zwei Bit unterschieden. Addr.[1-4]: Diese vier Felder können mit unterschiedlichen MAC-Adressen belegt werden. Je nach Kontext (Typ und Subtyp des Frames) können sie unterschiedliche Bedeutung haben. Üblicherweise sind die Adressen 1 und 2 die MAC-Adressen von Empfänger und Sender. In Adresse 3 wird meist die BSSID 3 hinterlegt. Adresse 4 kann optional belegt werden. Seq. Ctrl.: Verwaltet Sequenznummern für Frames, um doppelte Frames zu erkennen und zur Verwaltung bei Fragmentierung. Der Rest eines Frames besteht aus den eigentlichen Nutzdaten, gefolgt von einer»frame Check Sequence«. In dieser ist eine CRC32-Prüfsumme über den gesamten Header sowie den Datenteil des Frames enthalten. Damit kann geprüft werden, ob (unabsichtlich) während der Übertragung der Frame verändert wurde. Dies ist keine kryptografische Prüfsumme und daher auch nicht geeignet, gezielte Manipulationen zu erkennen. 3. BSSID: Basic Service Set Identifier ein eindeutiger Identifikator des BSS, in dem man sich befindet. Access Points verwenden dafür die MAC-Adresse ihres drahtlosen Netzwerk- Interfaces.
2.3 Das Protokoll 802.11 im Alltag 9 2.3 Das Protokoll 802.11 im Alltag 802.11 bezeichnet einerseits die gesamte Protokollfamilie 802.11 und wird andererseits für den ersten 802.11-Standard von 1997 verwendet. Wenn wir heute Wireless LAN nutzen, dann wird in den seltensten Fällen der alte 802.11-Standard eingesetzt, da dieser nur eine nominelle Bandbreite von 2 Mbit/Sekunde erlaubt. Die Kommunikation erfolgt dabei im 2,4-GHz-Band, das auch von einem handelsüblichen Mikrowellenofen verwendet wird. Nach 802.11 wurde im Juli 1999 der Standard 802.11b als Ergänzung zu 802.11 veröffentlicht. Dies ist gegenwärtig noch eine sehr verbreitete Technik, da sie sehr preiswert ist. 802.11b kommuniziert ebenfalls im 2,4-GHz-Band und kommt auf eine nominelle Übertragungsrate von 11 Mbit/Sekunde. 802.11b bietet dem Anwender 14 Kanäle, von denen die Kanäle 1 bis 13 in Deutschland mit einer Sendeleistung von maximal 100 mw genutzt werden dürfen. In anderen Ländern sind entsprechend mehr (Japan: Kanal 1 bis 14) oder weniger (z.b. USA: Kanal 1 bis 11) Kanäle zugelassen. Von den 13 in Deutschland verfügbaren Kanälen sind allerdings aufgrund von Überlappungen der Kanäle nur drei gleichzeitig nutzbar. Mit 802.11a wurde, zeitgleich zu 802.11b, ein neuer Standard geschaffen, um schnellere Kommunikation (54 Mbit/Sekunde) zu ermöglichen. Dabei wird allerdings das 5-GHz-Band verwendet. Die Endgeräte dafür sind relativ teuer und konnten sich in Deutschland bisher kaum durchsetzen. Ein Grund dafür ist, dass 802.11a zu 802.11b inkompatibel ist. Seit dem Jahr 2002 ist von der RegTP 4 das 5-GHz-Band im Indoor-Bereich 5 zur Nutzung freigegeben. Die maximal erlaubte Sendeleistung ist 30 mw. Einer der großen Vorteile von 802.11a ist, dass acht überlappungsfreie Kanäle unterstützt werden. Damit können auf engem Raum deutlich mehr Access Points störungsfrei betrieben werden als unter 802.11b. Im Juni 2003 wurde der Standard 802.11g verabschiedet. Im Gegensatz zu 802.11a wird hier auch weiterhin das 2,4-GHz-Band verwendet. Der Standard ist abwärtskompatibel zu 802.11b, was bedeutet, dass ein 802.11b-Client mit einem 802.11g-Access-Point kommunizieren kann. Die nominelle Übertragungsgeschwindigkeit beträgt 54 Mbit/Sekunde. Zur Kommunikation stehen dieselben 13 Kanäle wie bei 802.11b zur Verfügung. Die Standards im direkten Vergleich: 802.11b 802.11g 802.11a Datenübertragung (nominell) 11 Mbit/s 54 Mbit/s 54 Mbit/s Kanäle (DE) 13 13 8 Kanäle (gleichzeitig) 3 3 8 Sendeleistung 100 mw 100 mw 30 mw 4. RegTP: Regulierungsbehörde für Telekommunikation und Post 5. Indoor-Bereich: Kommunikation innerhalb eines Hauses
10 Unabhängig davon, welchen Standard man verwendet, kann man 802.11-Pakete sehr einfach abhören und aufzeichnen, sofern man sich in Reichweite der Kommunikation befindet. Dazu versetzt er seine eigene Netzwerkkarte in den so genannten RFMON-Mode. Der RFMON-Mode entspricht in etwa dem promiscuous Mode bei drahtgebundenen Netzwerkkarten. Im RFMON-Mode sieht man alle Frames des Kanals, den man beobachtet, auch wenn sie nicht für die eigene Netzwerkkarte bestimmt sind. Der promiscuous Mode alleine reicht bei drahtlosen Karten nicht aus, da man keine 802.11 Management Frames und Header sehen würde. Der RFMON-Mode ist sehr wichtig für Wireless Scanner (siehe Kapitel 9,»Wardriving und Penetration Testing«), da nur in diesem Modus auf alle Statusinformationen einer Verbindung zugegriffen werden kann.