Sicherheit

Wer ein funkgesteuertes lokales Netz einsetzt, muss sich darüber im Klaren sein, dass jeder, der sich in Reichweite eines Wireless LANs befindet und die passende Ausrüstung parat hat, den Funkverkehr mithören kann.

Bis vor kurzem galten Wireless LANs als sicher in Bezug auf unautorisierten Zugriff und Abhören, vorausgesetzt, die standardmäßig implementierten Sicherheits-Features wurden fachgerecht konfiguriert. Obwohl schon länger bekannt war, dass es prinzipiell möglich ist, die für die Sicherheit relevanten Parameter aus den im Funk übertragenen Paketen zu ermitteln, standen die dazu notwendigen Mittel und die Kenntnis, wie aus den abgefangenen Paketen die relevanten Parameter extrahiert werden, nicht der Allgemeinheit zur Verfügung. Dies hat sich grundlegend verändert. "Sniffer-Software" für PCs mit Wireless LAN Karte ist im Internet oder kommerziell erhältlich, und die Verfahren zur Paket-Analyse sind in diversen Veröffentlichungen nachzulesen.

Wireless LAN Netzwerke nach 802.11x Standard sind als drahtloses Pendant des konventionellen drahtgebundenen Ethernets einer Vielzahl von Gefährdungen ausgesetzt, die sich zum Teil mit denen des gewöhnlichen Ethernets decken, zum anderen aber Zusatzgefährdungen darstellen. Das teilweise verwendete Frequency Hopping lässt sich mittels eines Breitbandscanners umgehen, der alle möglichen Frequenzen gleichzeitig abhört. Die pseudozufällige Sprungfolge der Netzwerkkarten lässt sich so ebenfalls ermitteln. Hinzu kommt, dass die meisten WLAN Netzwerkkarten des gleichen Herstellers entweder genau die gleiche Sprungfolge wählen, oder diese nur leicht variieren. Damit braucht ein Angreifer unter Umständen nur das gleiche Produkt einzusetzen wie das Opfer, um dessen Sprungfolge einzuhalten. Betrachtet man den Einsatz der drahtlosen Netze aus der Sicht von Firmen, so ergeben sich eine ganze Reihe von Gefährdungsstellen, die zum Teil allerdings auch bei privaten Wireless LANs zu berücksichtigen sind.

Schwachstellen des WLANs

Die Attacken auf das Wireless LAN lassen sich in 5 Hauptkategorien einordnen.

  1. Unautorisierte Hardware
  2. Abhören und Manipulation des drahtlosen Netzverkehrs
  3. Fehlkonfiguration
  4. Blockierung
  5. Client-Client Attacke

1.) Unautorisierte Hardware

Die Gefährdung durch unautorisierte Hardware besteht in dem Anschluss von Wireless LAN konformen Geräten an das Firmennetz, die zuvor keinen firmeninternen Sicherheitsprozess durchlaufen haben, beziehungsweise keiner Sicherheitsüberprüfung durch den Systemadministrator unterzogen worden sind. Diese Hardware kann sowohl von einem Angreifer, als aber auch von unbedachten Firmenmitarbeitern eingesetzt werden.

Bei dem unautorisierten Einsatz von Clients versucht ein Angreifer, mit seinem Wireless LAN-konformen Gerät einen Kontakt mit einem Access Points des Firmennetzes herzustellen. Der unerlaubte Einsatz von Access Points (Rogue Access Points, verbrecherische Zugangspunkte) kann die Sicherheitsvorkehrungen einer Firma unterwandern. Ein Firmenmitarbeiter könnte einen selbst erworbenen Access Point an das Firmennetzwerk anschließen, um die Reichweite des drahtlosen Netzes nach seinen Wünschen zu erweitern oder überhaupt erst eine drahtlose Nutzung für sich zu ermöglichen. Wenn dieser Access Point nicht in ausreichendem Masse abgesichert ist, wäre es möglich, dass sich ein Angreifer diesen Umstand zunutze macht und einen Angriff durch einen unautorisierten Client durchführt, um in das Firmennetzwerk einzudringen. Es ist auch möglich, dass ein aktiver Angreifer durch einen eigenen Access Point das Firmennetz kompromittiert.

2.) Abhören und die Manipulation von drahtloser Kommunikation

Das Abhören und die Manipulation von drahtloser Kommunikation sind beliebte Attacken im drahtgebundenen Ethernet, und ebenso im drahtlosen LAN.

Snifferprogramme, beziehungsweise Netzwerk-Analysetools für drahtlose Netze, wie zum Beispiel "Wireless Sniffer" oder "Airopeek" sind dazu geeignet, mittels einer Wireless LAN konformen Karte im "Promiscous Mode" den kompletten legitimen Datenverkehr in der Abstrahlungsfläche eines drahtlosen Netzes abzuhorchen, Tools wie AirSnort liefern dazu einen eventuell notwendigen WEP Key.

Wenn der Angreifer bereits in der Lage ist, drahtlose Kommunikation abzufangen um die notwendigen Autorisierungsdaten zu ermitteln, kann er zudem unter der Identität seines Opfers in eine Sitzung eingreifen (Hijacking). Dabei bilden sogar drahtlose Heimnetzwerke der Mitarbeiter eine zusätzliche Gefahrenquelle für Firmennetze. Hier ist oft das Sicherheitsniveau geringer, als in der Firma. Handelt es sich um einen Telearbeiter oder einen Benutzer, der sich von außen (drahtgebunden) in die Firma einwählen darf, so kann ein Angreifer sehr einfach in die Kommunikationssitzung eindringen und damit eventuell sensible Daten abhorchen, falls der Mitarbeiter sein Wireless LAN Equipment einsetzt. Das Sniffen selbst ist nicht einmal auf den drahtlosen Netzverkehr beschränkt. Ist der Access Point an das drahtgebundene Firmennetz mittels eines Hubs angeschlossen, so kann der Angreifer von außen auch den drahtgebundenen Netzverkehr durch einfaches Broadcast Monitoring abhorchen.

Dieser Netzverkehr kann von dem drahtgebundenen Ethernet auch über den Access Point in das drahtlose Netz geroutet werden, obwohl er überhaupt nicht für diesen Netzbereich gedacht ist. Dies umfasst meist den gesamten Netzverkehr in dem drahtgebundenen Netzwerk, denn dieser fließt in einem Ethernet unter Umständen an jedem Rechner vorbei und damit auch an dem Access Point. Aber selbst, wenn es zum Einsatz von Switches statt Hubs kommt, oder auch der Access Point die Funktion einer Bridge besitzt, kann der Angreifer diese Einrichtungen manipulieren, um zu erreichen, dass sensible Informationen statt nur im drahtgebundenen Ethernet auch über das drahtlose Pendant gesendet wird. Um an diese Informationen zu gelangen, bedient sich der Angreifer beispielsweise der ARP-Spoofing Technik.

Bei diesem Vorgehen wird er die Address Resolution Protocol Tables der Switches und des Access Points manipulieren, indem er Pakete in das Netzwerk schickt, die die gleiche Absenderadresse enthalten, wie die abzuhorchenden Zielrechner, die sich innerhalb des (geschützten) drahtgebundenen Ethernets befinden. Da die zu manipulierenden Geräte oft selbstlernend sind, nehmen sie die Hardwareadresse in ihre Tabellen auf und fangen an, die sensiblen Pakete auch in das Wireless LAN hinaus zu routen. Mittels des ARP-Spoofing kann der Angreifer nicht nur einfache TCP Verbindungen übernehmen (hijacken), sondern auch sichere Verbindungen, wie SSH oder HTTPS. Wenn sich der Benutzer dann per SSH einloggen will, meldet das System zwar, dass sich Host und Zertifikat geändert haben, fragt aber nach, ob der Benutzer den neuen Daten traut. Meist wird solch ein Hinweis einfach weggeklickt.

Ein Tool, mit dem sich ARP Spoofing und damit auch das Hijacken von Verbindungen realisieren lässt, ist zum Beispiel DSniff. Hat der Angreifer Zugang zu dem drahtgebundenen Ethernet der Firma, kann er auch einen unerlaubten Access Point aufstellen, der eine stärkere Sendelistung besitzt, als die legitimen Access Points. Mit diesem Klon (Evil Twin) und einer nachgebildeten Login-Sequenz kann er Benutzer die berechtigten drahtlosen Clients täuschen und sie dazu veranlassen, ihre Zugangsdaten einzugeben und diese dem Angreifer mitzuteilen.

3.) Fehlkonfiguration

Da sich viele Access Points im Auslieferungszustand im untersten Sicherheitsmodus befinden, um eine schnelle und einfache Inbetriebnahme zu gewährleisten, obliegt es dem Systemadministrator, diese Sicherheitsoptionen an die Erfordernisse der Firma anzupassen. Dies passiert aber meist nur selten. Aus diesem Grund ist unzureichende Konfiguration oder Fehlkonfiguration ein weiteres Sicherheitsproblem.

Durch den Umstand, dass viele Firmen einen Begriff aus dem Wörterbuch oder dem Firmenumfeld als Passwort für die Verwendung des drahtlosen Netzes vergeben und kein komplexes alphanumerisches Passwort, ist es für den Angreifer möglich, dieses mittels einer einfachen "Brute Force" Attacke zu knacken. Dieses ist aber für den Angreifer immerhin eine schwierigere Aufgabe, als wenn in dem Gerät das Defaultpasswort belassen werden würde, was aber eher in Heimnetzwerken passieren wird, als in größeren Firmen. Es kursieren im Internet Listen mit Standardpasswörtern vieler Netzwerkkompontenhersteller, die in den Geräten dieser Hersteller immer jeweils per Default voreingestellt werden. Unzufriedene Mitarbeiter, die die Firma verlassen, könnten ebenfalls Zugang zu den Access Points erlangen, falls die Passwörter nach dem Ausscheiden eines Mitarbeiters nicht geändert werden. Es ist extrem schwierig, unter diesen Umständen in größeren Wireless LANs mit vielen Clients eine vernünftige Zugangskontrolle zum Netz zu realisieren.

In etlichen Access Points ist das optionale Wireless Equivalent Privacy (WEP) Protokoll per Default ausgeschaltet, da es eine der grundlegenden Sicherungsmaßnahmen im Wireless LAN darstellt. Seit einigen Monaten ist zwar bekannt, dass das WEP Protokoll schwach implementiert ist, jedoch ist dieses Protokoll immer noch besser, als gar keine Sicherungsmaßnahme. Einigen Systemadministratoren ist gar nicht bewusst, dass sich viele der Access Points durch das Simple Network Management Protocol (SNMP) steuern lassen. Genau wie im Falle der SSIDs vergeben die Hersteller solcher Geräte auch für den Zugang per SNMP Defaultpasswörter, die bei unzureichender Konfiguration eventuell nicht geändert werden und damit dem Angreifer eine Fülle an Optionen bieten, mit denen er Einfluss auf die Konfiguration und damit das Verhalten des jeweiligen Access Points nehmen kann.

SNMP unterscheidet zwei Bereiche, sogenannte Communities, die der Konfiguration des jeweiligen Gerätes dienen. Diese sind die Public Community und die Private Community. Bei etlicher Wireless LAN Peripherie kann man mit dem kanonischen Passwort "public" bereits Leserechte in diesen Communities erlangen. Bei Herstellern wie z.B. Cisco und Lucent/Cabletron muss man immerhin das Passwort für das Schreibrecht explizit setzen, bevor überhaupt eine Schreiberlaubnis für die Management Information Base (MIB) des Gerätes gestattet wird. Bei 3Com aber ist dieses Passwort bereits per Default vorgegeben und lautet "comcomcom".

Viele Wireless LAN konforme Geräte bieten nicht nur eine Konfiguration über SNMP, sondern darüber hinaus noch Konfigurationsinterfaces, wie zum Beispiel über Telnet, Web oder einen seriellen Anschluss. Diese Interfaces bieten unter Umständen einen einfachen Weg in den jeweiligen Access Point, wie zum Beispiel 3Com-Geräte, bei denen sich die SSID durch einen Blick in das Systemkonfigurationsmenü einsehen lässt. Das Defaultpasswort für die Webadministration ist bei 3Com das gleiche, wie das für den Zugang per SNMP, nämlich "comcomcom" und ist deswegen bei einem weitgehend unkonfigurierten Access Point kein Hindernis.

4.) Blockierung

Blockierung (Jamming) stellt ein gewaltiges Problem für das drahtlose Netz dar. Durch Denial of Service (DoS) Attacken ist es möglich, das gesamte drahtlose LAN unbenutzbar zu machen. Um solch eine Attacke zu realisieren, benötigt der Angreifer nur einen Client, der den jeweiligen Access Point mit einer extrem hohen Anzahl Pakete überlastet, oder einen Sender, der das 2,4 GHz Band mit Störsignalen belegt. Daraufhin kann mittels legitimer Clients keine Verbindung mehr in das Netz aufgenommen werden.

Solche Störungen können aber auch ungewollt durch die Nutzung anderer Sender auftreten, die das gleiche Frequenzband nutzen, wie beispielweise drahtlose Telefone oder unter ungünstigen Bedingungen auch Bluetooth. Da das 2,4 GHz Band in vielen Ländern lizenzfrei zu nutzen ist, sind ungewollte Störungen durch andere drahtlose Geräte aus der näheren Umgebung sogar recht wahrscheinlich.

5.) Client-Client Attacken

Alle Clients, die legitimen Zugang zu einem Access Point besitzen, müssen die sensiblen Zugangsdaten für die Authentifizierung gegenüber dem Access Point und die Kommunikation mit ihm speichern. Aus diesem Grund sind Client-Client Attacken ein Sicherheitsproblem, denn ein Hacker, der auf dem Client eines legitimen Benutzers eindringt, kann diese Informationen aus Konfigurationsfiles oder der Windows Registry auslesen. Cisco speichert den WEP Schlüssel allerdings in der Firmware seiner Geräte und dieser ist dann von außen schwer zu erreichen, bei Lucent/Cabletron steht er zwar leicht erreichbar in der Windows Registry, ist dort aber mit einer nicht näher dokumentierten Verschlüsselung abgelegt, im Gegensatz zu der 3Com-Software, die den Schlüssel dort im Klartext hinterlegt.

Diese sensiblen Daten auf dem Clientrechner müssen auf jeden Fall geschützt abgelegt sein, denn es ist mittels Ad-Hoc Verbindungen möglich, dass Clients untereinander Verbindungen aufbauen, unter Umgehung des Access Points. Kann der Angreifer eine solche Verbindung zu einem Clientrechner aufbauen, beispielsweise weil dieser unter anderem auch Serverdienste betriebt, so könnte es dem Angreifer ermöglicht werden, durch ein Ausnutzen von Sicherheitslücken oder Fehlkonfigurationen des jeweiligen Serverdienstes die Kontrolle über den entsprechenden Rechner zu erlangen und damit auch über die sensiblen Daten auf dem jeweiligen Rechner. Der Angreifer kann durch oben beschriebene DoS (Denial of Service) Attacken einen Ausfall des jeweiligen Clientrechners verursachen. Störungen des Netzes können aber auch ungewollt durch einen Mitarbeiter ausgelöst werden, der seinen Client falsch konfiguriert, zum Beispiel mit einer IP Adresse oder, falls dieses konfigurierbar ist, mit einer MAC Adresse, die bereits im Netz verwendet wird. Es gibt seit einiger Zeit eine neue Modeerscheinung, das sogenannte "WarDriving".