Spätestens seitdem Smartphones und Tablets Einzug in die Welt der Kommunikation gehalten haben, sind kabellose Netzwerke (Wireless LANs, kurz: WLANs) nicht mehr wegzudenken. Mittlerweile findet sich in den meisten deutschen Haushalten ein entsprechender WLAN-Router, der Wohnräume und Außenbereiche mit einer Netzwerkanbindung auch ohne entsprechende Kabel versorgt. So ist es möglich, gemütlich mit dem Tablet auf der Terrasse zu sitzen und ganz ohne lästiges Kabel im Internet zu surfen – WLAN sei Dank!
Die Flexibilität, sich »mal eben schnell« mit einem WLAN zu verbinden, um Zugriff auf Ressourcen, wie zum Beispiel dem Internet, zu bekommen, motiviert viele Anwender dazu, sich mit einem für sie unbekannten Netzwerk zu verbinden. In den meisten Fällen sind sich diese Personen nicht über die Konsequenzen und Gefahren bewusst, denen sie sich dadurch aussetzen.
Dieses Kapitel soll Ihnen einen Ein- und Überblick in das Thema »WLAN-Hacking« geben. Sie werden dabei die Besonderheiten von WLAN, die wichtigsten Angriffsvektoren und die passenden Schutzmaßnahmen kennenlernen. Das sind die Themen:
Natürlich gibt es auch in diesem Kapitel wieder diverse Möglichkeiten, die Inhalte an Praxisbeispielen selbst nachzustellen. Allerdings ist hierzu ein bestimmtes Hardware-Setup Voraussetzung, das wir Ihnen in Abschnitt 28.2 vorstellen werden.
28.1 WLAN-Grundlagen
Bei WLAN handelt es sich, wie der Name Wireless LAN schon besagt, um ein kabelloses lokales Netz. Mit dem kabelgebundenen LAN (Ethernet) haben Sie bereits im bisherigen Verlauf dieses Buches an unzähligen Stellen Kontakt gehabt. In diesem Abschnitt betrachten wir die Technik, Besonderheiten und vor allem auch die Begrifflichkeiten von WLAN.
28.1.1 Frequenzen und Kanäle
Werfen wir zunächst einen Blick auf die Übertragungstechnik. Bei Ethernet ist die Sache klar: Die Daten werden bitweise über die Adern des Kabels übertragen als elektrische (oder optische) Impulse, die Nullen und Einsen darstellen. WLAN dagegen ist ein Funknetz, bei dem elektromagnetische Wellen in einem definierten Frequenzbereich gesendet werden. Diese Wellen stellen entsprechende Zustände dar (Eins oder Null). Empfänger nehmen die Funksignale auf und werten sie aus. Somit werden die Informationen übertragen.
Es gibt Vorschriften, in denen festgelegt ist,
wer
welche Frequenz
an welchem Ort
in welcher Intensität
nutzen darf. Es existieren diverse Frequenzbänder für unterschiedliche Zwecke. In Deutschland regelt die Bundesnetzagentur die Belegung der Frequenzbänder. Die können Sie ihrem Frequenzplan unter folgendem Link entnehmen: www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/Grundlagen/Frequenzplan/frequenzplan-node.html
Die Frequenzbereiche 2400 bis 2484,5 MHz, 5150 bis 5350 MHz und 5470 bis 5725 MHz stehen demnach für WLAN zur Verfügung und können von Zivilpersonen und Institutionen frei genutzt werden. Wir unterscheiden damit zwischen zwei Frequenzbändern: 2,4 GHz und 5 GHz. Dabei ist folgende grundsätzliche Regel zu berücksichtigen:
Je höher die Frequenz, umso höher die Datenrate, aber desto geringer die Reichweite.
Dies schließt jedoch nicht aus, dass einige 5-GHz-Standards durch eine entsprechende technische Optimierung eine größere Reichweite haben können als einige 2,4-GHz-Standards. Die Frequenzen sind weiter in Kanäle unterteilt. Dadurch soll vermieden werden, dass unterschiedliche Funknetze sich auf derselben Frequenz gegenseitig stören. Damit Funkstationen miteinander kommunizieren können, müssen sie denselben Kanal benutzen. Die Kanalbreite gibt an, welcher Frequenzbereich zu einem Kanal gehört, und bestimmt, wie viele Informationen zur selben Zeit gesendet werden können. Je mehr Kanäle allerdings belegt werden, umso weniger stehen folglich störungsfrei zur Verfügung, da sie zu dicht beieinander liegen und sich teilweise überlappen. Für WLAN wird mindestens eine Kanalbreite von 20 MHz benötigt (je nach Standard auch mehr).
Der 2,4-GHz-Bereich wird in Deutschland in 13 Kanäle mit je 5 MHz unterteilt. Das bedeutet, bei WLAN ist eine Kanalbündelung von jeweils vier Einzelkanälen erforderlich. Wird ein Kanal ausgewählt, so werden die benachbarten Kanäle (zwei darunter und einer darüber) ebenfalls automatisch reserviert. Beim Standard IEEE 802.11g wird eine Kanalbreite von 20 MHz benötigt. Damit stehen vier überlappungsfreie Kanäle zur Verfügung (1, 5, 9, 13).
Bei IEEE 802.11b wird dagegen mit 22 MHz gesendet, somit bleiben noch drei überlappungsfreie Kanäle (1, 6, 11). Abbildung 28.1 zeigt eine solche Aufteilung des 2,4-GHz-Frequenzbands für die WLAN-Nutzung mit 22-MHz-Kanälen. Wird wie bei IEEE 802.11n mit 40 MHz gefunkt, verbleiben effektiv sogar nur zwei Kanäle (3 und 11).
Das 5-GHz-Frequenzband stellt ein größeres Frequenzspektrum bereit. Damit stehen sogar bei 40 MHz neun Kanäle bereit, die störungsfrei parallel genutzt werden können. Dadurch lässt sich auf der 5-GHz-Frequenz auch eine höhere Datenübertragungsrate umsetzen.
Ein weiterer wichtiger Unterschied zwischen kabelgebundenem LAN und Wireless LAN ist die Übertragung der Daten. Da das Übertragungsmedium die Luft ist, die wir uns alle teilen müssen, sprechen wir von einem Shared Medium. Das bedeutet, die Bandbreite im WLAN wird auf alle Teilnehmer aufgeteilt und gesendete Signale gehen in alle Richtungen. Das hat zum einen zur Folge, dass die verfügbare Datenrate bei intensiver Nutzung durch mehrere Benutzer schnell sinken kann, und zum anderen stellt dies den Ansatzpunkt für das WLAN-Hacking dar: Ein Angreifer muss sich nur mit einer geeigneten Antenne vor dem Haus platzieren und kann mitunter die komplette WLAN-Kommunikation mitschneiden.
28.1.2 Der IEEE-802.11-Standard
Um die Kommunikation via WLAN zu vereinheitlichen, hat das IEEE im Jahr 1997 die Normfamilie IEEE 802.11 definiert. Diese beschreibt den physischen Zugriff für lokale Funknetzwerke. Im Laufe der Zeit folgten diverse Weiterentwicklungen. Tabelle 28.1 zeigt eine Auswahl wichtiger Spezifikationen.
Tabelle 28.1: Übersicht der wichtigsten IEEE-802.11-Erweiterungen
Spezifikation
|
802.11
|
802.11a
|
802.11b
|
802.11g
|
802.11n
|
802.11ac
|
802.11ax
|
Geschwindigkeit
|
2Mbit/s
|
11Mbit/s
|
11Mbit/s
|
54Mbit/s
|
600Mbit/s
|
6939Mbit/s
|
9608Mbit/s
|
Frequenz
|
2,4GHz
|
5GHz
|
2,5GHz
|
2,4GHz
|
2,4GHz, 5GHz
|
5GHz
|
2,4GHz, 5GHz, 6GHz
|
Veröffentlichung
|
1997
|
1999
|
1999
|
2003
|
2009
|
2013
|
2019
|
Die Spezifikationen bis 802.11g gelten mittlerweile als veraltet. Heutzutage sind hauptsächlich 802.11n und 802.11ac anzutreffen. Der aktuelle Standard IEEE 802.11ax (alias Wi-Fi 6) unterstützt wie seine Vorgänger die 2,4- und 5-GHz-Bänder und nutzt zudem auch das 6-GHz-Band, um den Durchsatz pro Fläche in Szenarien mit hoher Dichte zu erhöhen.Wi-Fi 6 wurde 2019 eingeführt und es gibt bereits viele Router auf dem Markt, die Wi-Fi 6 unterstützen. Von Vorteil ist, dass diese Router auch mit anderen aktuellen WiFi-Standards abwärtskompatibel sind. Sie funktionieren also auch mit Geräten, die die Vorteile von Wi-Fi 6 nicht nutzen.
Der Markenname Wi-Fi wird häufig als Synonym für WLAN verwendet, kennzeichnet aber eigentlich eine Hardwarezertifizierung. Alle von der Wi-Fi Alliance zertifizierten Produkte arbeiten nach IEEE 802.11.
Nachdem wir nun das Übertragungsmedium und die Frequenzen betrachtet haben, werfen wir nachfolgend einen Blick auf die Komponenten, die für eine WLAN-Kommunikation notwendig sind.
28.1.3 Infrastruktur
Um Signale senden und empfangen zu können, wird ein Wireless Network Interface Controller (WNIC) verwendet. Diesen benötigen sowohl die Endgeräte, die im Rahmen von WLAN auch als Stationen bezeichnet werden, als auch die Wireless Access Points (APs), die das Netzwerk bereitstellen. Je nachdem, welche Voraussetzungen das Funknetz erfüllen soll, existieren unterschiedliche Möglichkeiten, die Infrastruktur zu implementieren. Unterschieden wird hierbei nach IEEE 802.11 in Service Sets.
IBSS (Independent Basic Service Set)
Ein unabhängiges (engl. Independent) Basic Service Set wird auch als Ad-hoc-Netzwerk bezeichnet. Dabei wird eine direkte Funkverbindung zwischen zwei mobilen Endgeräten aufgebaut. Die Systeme können direkt »Peer-to-Peer« miteinander kommunizieren, ohne Daten über einen Access Point versenden zu müssen, siehe Abbildung 28.2.
BSS (Basic Service Set)
Bei einem Basic Service Set handelt es sich um den Klassiker für Heimnetzwerke. Hier verbindet sich mindestens eine WLAN-Station mit einem Access Point. Man nennt diesen Netzwerkbetrieb auch Infrastruktur-Modus. Dabei stellt der Access Point als Funk-Hub in der Regel die Verbindung zu einem drahtgebundenen Netzwerk bereit, siehe Abbildung 28.3.
ESS (Extended Service Set)
Ein Extended Service Set erweitert das BSS um weitere Access Points. Damit ist es möglich, auch größere Flächen mit WLAN abzudecken. Für die Stationen ist es durch das Roaming-Prinzip (engl. roaming = umherwandern) transparent, mit welchem AP sie gerade verbunden sind. Alle APs nutzen dieselbe SSID (siehe nächster Abschnitt), aber unterschiedliche Kanäle, um sich nicht gegenseitig zu stören. Der WLAN-Client nutzt jeweils den AP mit dem stärksten Signal und kann hier dynamisch wechseln. Dadurch bleiben die Kommunikationsfähigkeit und ggf. auch Verbindungen mit anderen Systemen über den gesamten abgedeckten Bereich erhalten.
Um die Vielzahl an APs organisieren zu können, werden diese meist über entsprechende Konfigurations- und Managementserver in Form von einem WLAN-Controller gesteuert. Um den Zugriff ins Funknetz zentral zu verwalten, kann ein Authentication Server (AS) bereitgestellt werden. Befindet sich die Konfiguration nicht auf dem AP, sondern wird zentral verwaltet und auf die APs übertragen, so spricht man von Lightweight-Access Points, siehe Abbildung 28.4.
Controller und Server können auch auf einem System konsolidiert sein oder standortübergreifend mithilfe von VPN gesichert gekoppelt werden.
WDS (Wireless Distribution Set)
Ist es notwendig, ein WLAN ohne großen Aufwand um einen weiteren Bereich auszudehnen, können Repeater eingesetzt werden. Diese WLAN-Repeater empfangen Funksignale, bereiten diese auf und strahlen sie verstärkt wieder ab, siehe Abbildung 28.5.
Prüfen Sie beim Einsatz von WLAN-Repeatern die Sicherheitseinstellungen. Einige einfache Repeater nutzen für die Kommunikation mit dem Access Point die unsichere WEP-Verschlüsselungstechnologie (mehr dazu in Abschnitt 28.1.5).
Mesh-Netzwerk
Um ein Funknetzwerk flächendeckend möglichst performant bereitzustellen, kann ein Mesh-Netzwerk (deutsch: vermaschen) aufgebaut werden. Ein solches Netzwerk besteht aus einer Basisstation und mehreren Satelliten. Die zentrale Einheit ist dabei mit dem Kabelnetzwerk bzw. Backbone oder Internet verbunden. In einem Mesh-Netzwerk verbinden sich die WLAN-Komponenten automatisch untereinander und die Einstellungen werden synchronisiert. Im Gegensatz zum klassischen Roaming entscheidet das Mesh selbst, welcher AP für ein WLAN-Endgerät die beste Leistung erbringt.
Der Unterschied zur Nutzung von Repeatern ist der, dass bei einem Repeater jedes Datenpaket zuerst zum Repeater und dann von dort zum WLAN-Endgerät übertragen werden muss. Das Netz ist dadurch doppelt belastet und die Bandbreite wird mit jedem eingesetzten Repeater geringer. Ein Mesh-Netzwerk besteht aus mehreren miteinander verbundenen, vollwertigen Access Points, siehe Abbildung 28.6.
28.1.4 Verbindungsaufbau
Im folgenden Abschnitt werden wir die Besonderheiten des Verbindungsaufbaus mit drahtlosen Netzwerken unter die Lupe nehmen. Für die Durchführung diverser Angriffe auf die WLAN-Kommunikation sollten Sie verstanden haben, wie sich eine WLAN-Station mit dem Netzwerk verbinden kann.
Service Set Identifier (SSID)
Zunächst muss der Anwender bzw. das WLAN-Endgerät wissen, ob ein Netzwerk zur Verfügung steht und wie dieses bezeichnet ist. Dies wird durch die SSID bestimmt. Der Begriff SSID steht für Service Set Identifier. Man könnte also auch von dem SSID sprechen – gebräuchlich ist jedoch die SSID. Sie stellt den Namen des Drahtlosnetzwerks dar. Bei einer ESS-Topologie spricht man von der ESSID (Extended Service Set Identifier).
Auf einem Access Point können mehrere SSIDs konfiguriert und ausgestrahlt werden. Jede SSID repräsentiert genau ein WLAN-Netzwerk. Somit können mehrere WLAN-Netzwerke über einen Access Point bereitgestellt werden. Ein WLAN-Netzwerk entspricht in der Regel einem IP-Subnetz.
Die SSID kann frei gewählt und konfiguriert werden. Wir empfehlen in diesem Zusammenhang, die Standardeinstellung immer anzupassen, da nicht selten im Auslieferungszustand die Hardwarebezeichnung des WLAN-Routers als SSID verwendet wird. Dies wiederum stellt einen willkommenen Angriffsvektor dar, denn damit können Default-Passwörter und bekannte Schwachstellen durch Angreifer direkt ausgetestet werden. Es besteht die Möglichkeit, das Ausstrahlen der SSID komplett zu unterbinden, indem Sie die SSID verbergen. Man spricht dabei von einem Hidden Network. In diesem Fall muss der WLAN-Knoten die SSID kennen, um sich gezielt mit diesem Netzwerk zu verbinden. Inwieweit Sie damit die Sicherheit des WLAN-Netzwerks erhöhen können, werden wir im Verlauf dieses Kapitels noch feststellen.
Was Sie allerdings gleich einmal prüfen sollten, ist, ob Ihre SSID bereits auf der Karte von WiGLE, (Wireless Geographic Logging Engine) erfasst wurde. Mittlerweile wurden auf www.wigle.net mehr als 800 Millionen WLAN-Netzwerke gespeichert. Vorwiegend werden diese von sogenannten Wardrivern zusammengetragen, die sich zur Aufgabe gemacht haben, mit einem WLAN-fähigen Endgerät durch die Straßen zu fahren, um Netzwerke aufzuspüren und diese inklusive GPS-Daten aufzuzeichnen. Zusätzlich zur SSID wird auch die BSSID protokolliert.
BSSID (Basic Service Set Identifier)
Mit der BSSID wird ein Service Set, also eine drahtlose Netzwerkkomponente, genau identifiziert. Es handelt sich um einen 48-Bit-Wert. Meistens wird daher die 48 Bit lange MAC-Adresse des Geräts verwendet. Diese und weitere Informationen werden innerhalb eines Beacon Frame gesendet.
Beacon Frame
Ein Beacon Frame wird in regelmäßigen Abständen nach Ablauf der Beacon Period vom WLAN-Zugangspunkt (also dem AP) als Broadcast versendet. Wie oft das geschehen soll, ist in der Regel konfigurierbar. Wie bereits erwähnt, beinhaltet ein solcher Beacon die BSSID des APs, die (E)SSID des WLAN-Netzwerks und weitere Informationen für den Verbindungsaufbau, wie z.B. die Verschlüsselung oder die Datenrate.
Da der Beacon Frame als Broadcast versendet wird, kann er von allen WLAN-Knoten in Reichweite empfangen werden. Dadurch werden Endgeräte auf das verfügbare WLAN-Netzwerk aufmerksam und können einen Verbindungsaufbau einleiten.
Probe Request/Response
Um aktiv ein WLAN-Netzwerk anzufragen, kann eine Station Probe Requests als Broadcast versenden. Damit muss sie nicht auf einen Beacon seitens des Access Points warten. Erhält ein AP einen Probe Request, so antwortet er darauf zielgerichtet an die Station mit einem Probe Response. Dieser Frame beinhaltet wie ein Beacon alle relevanten Informationen für den Verbindungsaufbau mit diesem Netzwerk.
Authentication Request/Response
Hat eine Station alle Informationen über das WLAN-Netzwerk vom AP erhalten, so sendet sie einen Authentication Frame mit der Bitte um Zutritt. Im Rahmen der Entwicklung der WLAN-Standards wurden verschiedene Authentifizierungsmethoden eingeführt, die im Rahmen der jeweiligen Verschlüsselungsverfahren, wie WEP, WPA und WPA2 (siehe Abschnitt 28.1.5), zum Einsatz kommen.
Wired Equivalent Privacy (WEP)
Open System Authentication: Die Authentifizierung erfolgt im Klartext, wenn der AP nicht für Verschlüsselung konfiguriert ist. Doch auch wenn Verschlüsselung konfiguriert ist, ist diese Variante nicht sicher und wird heutzutage kaum mehr genutzt.
Shared Key Authentication: Vermeintlich besser als Open System Authentication, da das Geheimnis (also der Schlüssel) zuvor ausgetauscht und daher nicht bei der Authentifizierung übermittelt wird. Stattdessen wird ein Challenge-Response-Verfahren eingesetzt: Eine Zeichenkette wird als Klartext-Challenge vom AP übermittelt, die der Knoten verschlüsselt zurücksendet. Dieses scheinbar sichere Verfahren ist jedoch aufgrund von systemimmanenten Schwächen des WEP-Verfahrens fast noch unsicherer als Open System Authentication und bietet einem Angreifer eine einfache Möglichkeit, sich am Zielnetzwerk zu authentifizieren.
Wi-Fi Protected Access (WPA)
Pre-shared Key: Ähnlich wie bei Shared Key Authentication wird der geheime Schlüssel im Vorfeld ausgetauscht. Aufgrund des permanenten Schlüsselwechsels durch das Temporal Key Integrity Protocol (TKIP) ist die Verschlüsselung jedoch sicherer als bei WEP.
Extensible Authentication Protocol (EAP): Über IEEE 802.1X können Authentifizierungsanforderungen über eine zentrale Infrastruktur über einen RADIUS-Server bearbeitet werden. Diese Lösung ist für größere Umgebungen gedacht und skaliert deutlich besser.
Beim Nachfolger WPA2 wird das Pre-shared-Key-Verfahren auch als »Personal« und das EAP-Verfahren auch als »Enterprise« bezeichnet, da es hauptsächlich in den jeweiligen Kontexten zum Einsatz kommt.
Association Request/Response
Nachdem sich das WLAN-Endgerät erfolgreich authentifiziert hat, sendet es einige Spezifikationen für die Verbindung innerhalb eines sogenannten Association Request an den Access Point. Kann dieser die angeforderten Parameter und Ressourcen bereitstellen, so schickt er einen Association Response mit entsprechender Freigabe zurück oder lehnt die Verbindung anderenfalls ab.
Im Abbildung 28.7 sehen Sie nochmals zusammengefasst alle Schritte zum Verbindungsaufbau.
Wir werden im Laufe dieses Kapitels immer wieder auf die hier beschriebenen Kommunikationsprozesse zurückkommen. Sie sollten daher den grundsätzlichen Ablauf der WLAN-Aushandlung verstanden haben.
28.1.5 Verschlüsselungsmethoden
Während es relativ einfach ist, ein kabelgebundenes Netzwerk durch physischen Zugangsschutz gegen Abhören und Eindringungsversuche zu schützen, ist WLAN an dieser Stelle sehr verwundbar. Angreifer müssen sich für den Zugriff auf ein Drahtlosnetzwerk nicht erst Zutritt zu einem geschützten Gebäude verschaffen. Wenn das Signal stark genug ist, kann der Angreifer gemütlich aus seinem parkenden PKW auf das Netzwerk zugreifen und die Kommunikation mitschneiden, denn WLAN nimmt keine Rücksicht auf Wachpersonal, Zäune oder verschlossene Türen.
Daher wurde schon früh damit begonnen, Verschlüsselungstechnologien in die WLAN-Standards zu integrieren. Für einen zielgerichteten Angriff ist es wichtig, die eingesetzte Verschlüsselungstechnologie und deren Schwachstellen zu kennen.
WEP (Wired Equivalent Privacy Protocol)
Die Bezeichnung verspricht viel, aber genau genommen ist diese Methode veraltet und ganz und gar nicht vergleichbar mit der Sicherheit von kabelgebundenen Netzen. WEP verknüpft einen für jede Nachricht neu generierten pseudozufälligen Bitstrom, der mithilfe eines RC4-Algorithmus erstellt wurde, via XOR (Exklusiv-Oder) mit den Nutzdaten, siehe Abbildung 28.8.
Diese Verschlüsselung hat insofern ihre Schwächen, als dass durch einige mitgelesene Daten sehr schnell der Schlüssel errechnet werden kann. Das liegt zum einen am nicht wasserdichten RC4-Agorithmus und zum anderen daran, dass als Eingangswert (Initialisierungsvektor, IV) für die Verschlüsselung ein Zufallswert verwendet wird, der mit 24 Bit nicht ausreichend lang ist. Zwar kann WEP formal einen 128-Bit-Schlüssel nutzen (das wäre grundsätzlich gerade so ausreichend), aber da hier der IV enthalten ist, reduziert sich die effektive Schlüssellänge auf unzureichende 104 Bit. Wie diese Tatsachen WEP zum Verhängnis werden, können wir Ihnen im Laufe dieses Kapitels noch eindrucksvoll demonstrieren. Es gibt viele gut funktionierende Angriffe auf WEP, sodass diese Verschlüsselungsmethode heute nicht mehr verwendet werden sollte. In Abschnitt 28.4.3 zeigen wir Ihnen in der Praxis, wie einfach WEP geknackt werden kann.
WPA (Wi-Fi Protected Access)
WPA ist eine Weiterentwicklung von WEP und kann softwareseitig auf derselben Hardware via Update aktiviert werden. Diese Methode bietet gegenüber WEP einen erweiterten Schutz durch das Temporal Key Integrity Protocol (TKIP), das einen dynamischen Schlüssel bereitstellt.
WPA ist eine Entwicklung der Wi-Fi Alliance, da WEP untauglich war und die Veröffentlichung des neuen Sicherheitsstandards IEEE 802.11i auf sich warten ließ. Daher wurde WPA als Lückenfüller und Pseudostandard im Jahr 2003 eingeführt und nahm einige Funktionen des geplanten, neuen Standards bereits mit auf.
WPA basiert nach wie vor auf der Architektur von WEP und nutzt die RC4-Stromchiffre. Allerdings nutzt WPA einen längeren Initialisierungsvektor von 48 Bit Länge und erstellt über TKIP für jedes Datenpaket einen neuen Schlüssel sowie einen Message Integrity Check (MIC).
WPA ermöglicht die Verwendung von Preshared-Keys (PSK), also zuvor ausgetauschten Schlüsseln, sowie den Einsatz von EAP, also der Authentisierung über zentrale Authentifizierungsserver wie RADIUS oder LDAP. Das Preshared-Key-Verfahren ist einfach umzusetzen, aber nicht gleichermaßen sicher wie die Verwendung von EAP. Der Einsatz zentraler Authentifizierungssysteme erfordert allerdings eine aufwendige Infrastruktur und ist daher vorwiegend in größeren Umgebungen anzutreffen.
WPA2
Wie der Name schon vermuten lässt, handelt es sich bei WPA2 um den Nachfolger von WPA und implementiert den Sicherheitsstandard IEEE 802.11i, der in seiner ursprünglichen Form in 2004 veröffentlicht wurde.
Dieses neuere Verschlüsselungsverfahren ist wesentlich rechenintensiver und benötigt damit leistungsstärkere Hardware. Somit war es beim Wechsel von WPA zu WPA2 nicht mit einem einfachen Update der Software getan. Stattdessen muss alte WEP/WPA-Hardware ausgetauscht werden und WPA2-fähig sein.
Nahezu jede aktuelle Hardware unterstützt mittlerweile WPA2. Auch bei WPA2 gibt es wieder PSK und die EAP-Variante. Im Rahmen von WPA2 haben sich auch die Begriffe »WPA2-Personal« für PSK und »WPA2-Enterprise« für die zentrale Authentifizierung via EAP/TLS etabliert. Diese Begriffe wurden nachträglich dann auch für WPA eingeführt.
Anstelle von TKIP wird bei WPA2 allerdings CCMP, das Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (was für eine Bezeichnung!) verwendet. CCMP nutzt AES als Verschlüsselungsalgorithmus. Dieses Verfahren gilt – bis jetzt – als sicher und kann nur mit Brute-Force- und Dictionary-Angriffen angegangen werden. Damit hängt die Sicherheit ganz entscheidend von der Qualität des verwendeten Passworts ab.
Bei WPA2 kann zwischen zwei verschiedenen Authentifizierungsmodi gewählt werden. In kleineren Umgebungen wird in der Regel der Personal Mode eingesetzt. Der Personal Mode ist für öffentliche Hotspots gedacht, bei denen sich alle User mit demselben Passwort anmelden. Dabei erfolgt die Authentifizierung mithilfe eines Pre-shared Keys (PSK). Das Passwort besitzt dabei eine Länge von 8 bis 63 Zeichen und muss für den Verbindungsaufbau im Besitz eines jeden WLAN-Knotens sein.
Die zweite Authentifizierungsmethode nennt sich Enterprise-Mode. Wie der Name schon sagt, wird sie meistens in Unternehmen eingesetzt. Falls hier ein WLAN-Knoten eine Verbindung mit dem Access Point herstellt, sperrt dieser erst einmal die Nutzung des WLANs und lässt zunächst nur Authentifizierungsverkehr durch. An dieser Stelle muss sich der Client mittels EAP oder RADIUS authentifizieren. Dieser Modus hat den Vorteil, dass die Anwender individuelle Zugangsdaten besitzen, die über einen zentralen Server verwaltet werden können.
WPA3
WPA3 wurde von der Wi-Fi Alliance im Januar 2018 als eine Weiterentwicklung von WPA2 angekündigt. Genau wie WPA2 bietet auch der Nachfolger die beiden Authentifizierungsmodi Personal und Enterprise.
WPA3-Personal ist dabei resistenter gegen Angriffe auf den Handshake als WPA2-Personal. Das liegt am neuen Schlüsselerstellungsprotokoll mit dem Namen Simultaneous Authentication of Equals (SAE), auch bekannt als Dragonfly Key Exchange. Das ersetzt das in WPA2-Personal verwendete PSK-Konzept. Die erhöhte Sicherheit wird insbesondere dadurch erreicht, dass bei SAE der Schlüssel nicht mehr im Funkkanal übertragen wird. Damit wird es unmöglich, einen entsprechenden Mitschnitt offline durch einen Wörterbuchangriff via Brute Force zu knacken. Dazu kommt bei WPA3 mit Perfect Forward Secrecy (PFS) eine Eigenschaft, die sicherstellt, dass ein Angreifer nachträglich keine Datenpakete entschlüsseln kann, auch wenn er im Besitz des WLAN-Passwortes ist.
Bei WPA3-Enterprise hat es bei der Authentifizierung im Vergleich mit WPA2-Enterprise keine Änderungen gegeben. Es kommt mit AES-256-GCMP und HMAC-SHA384 im Standard lediglich eine stärkere Verschlüsselung zum Einsatz, die einen 192-Bit-Schlüssel nutzt.
WPA3 bietet zudem eine neue Funktion namens Opportunistic Wireless Encryption (OWE). Hierbei handelt es sich um eine Weiterentwicklung des IEEE 802.11 Standard, die einen besseren Schutz bei der Nutzung öffentlicher Hotspots bieten soll.
Es ist empfehlenswert, WPA3 oder mindestens WPA2 als Verschlüsselungsmethode einzusetzen. Leider ist das aber nicht immer ab Werk der Fall, sodass einige weniger versierte Anwender unwissentlich nicht die optimalen Sicherheitseinstellungen in ihrem WLAN-Netzwerk nutzen. Hier sind also die Hersteller gefragt, sichere Standardoptionen zu setzen.
WPS (Wi-Fi Protected Setup)
Hierbei handelt es sich um keine WLAN-Verschlüsselung, sondern um einen von der Wi-Fi Alliance entwickelten Standard für den vereinfachten Aufbau einer verschlüsselten WLAN-Verbindung. Mit WPS ist es möglich, ohne Eingabe des Passworts ein Endgerät mit dem Access Point zu verbinden. Dies kann stattdessen über einen der folgenden Wege geschehen:
USB-Stick: Ein USB-Stick wird verwendet, um die Konfiguration automatisch vom WLAN-Router zum Endgerät zu übertragen.
Button: Am WLAN-Router befindet sich eine Taste; wird diese betätigt, können sich Endgeräte für einen gewissen Zeitraum frei verbinden.
PIN: Auf der Rückseite des WLAN-Routers befindet sich ein PIN, der auf dem Endgerät eingegeben werden muss.
NFC: Die Konfiguration wird via NFC übertragen, indem man beispielsweise sein Smartphone an den WLAN-Router hält, um es mit dem WLAN-Netzwerk zu verbinden.
WPS ist sehr benutzerfreundlich. Wir empfehlen Ihnen allerdings, auf diese Funktion zu verzichten, da diese Benutzerfreundlichkeit zulasten der Sicherheit geht, wie wir Ihnen in Abschnitt 28.4.6 noch genauer zeigen werden. Für fast alle Varianten ist lediglich ein physischer Zugriff auf den Router notwendig, um einen Zugang zum Netzwerk zu bekommen. Eine Ausnahme hiervon stellt der Brute-Force-Angriff auf die PIN dar, den wir Ihnen ebenfalls im o.a. Abschnitt zeigen werden.
28.2 Setup für das WLAN-Hacking
Die notwendigen Grundlagen sind gelegt, es wird Zeit für etwas Praxis. Wir laden Sie ein, die nachfolgenden Workshops praktisch nachzuvollziehen, um den maximalen Nutzen aus diesem Kapitel zu ziehen. Dazu benötigen Sie allerdings geeignete Hardware.
In diesem Abschnitt stellen wir Ihnen eine mögliche Laborumgebung vor. Es gibt einige Voraussetzungen, die Sie zunächst erfüllen müssen, bevor es mit dem WLAN-Hacking losgehen kann.
28.2.1 Die WLAN-Hacking-Plattform
Grundsätzlich kann ein Angreifer beliebige Betriebssysteme als Plattform für seine Angriffe nutzen. Viele Angriffstools stehen auf unterschiedlichen Betriebssystemplattformen zur Verfügung, aber auch hier bietet sich hauptsächlich der Einsatz von (Kali) Linux an.
Aircrack-ng
Die Aircrack-ng-Suite ist eine Toolsammlung für WLAN-Security-Audits. Sie besteht aus diversen einzelnen Programmen, von denen Aircrack-ng als Namensgeber fungiert. Nachfolgend stellen wir Ihnen die wichtigsten Programme kurz vor:
airmon-ng: Versetzt WLAN-Adapter in den Monitor-Modus.
airodump-ng: Ermöglicht das Mitschneiden von WLAN-Netzwerkverkehr.
aireplay-ng: Injiziert selbst erstellte Pakete in WLAN-Netzwerke.
airolib-ng: Speichert und verwaltet ESSID- und Passwortlisten und bereitet diese für das Cracken von WPA/WPA2 vor.
aircrack-ng: Dient dem Cracken von WLAN-Verschlüsselung.
airbase-ng: Ermöglicht das Bereitstellen von Fake-Access-Points.
Einige dieser Tools werden wir im Laufe dieses Kapitels intensiv einsetzen. Die Aircrack-ng-Suite stellt die wichtigsten Werkzeuge für einen Angreifer im WLAN-Hacking dar. Sie ist in Kali Linux vorinstalliert.
Weitere Plattformen und Software
Natürlich existieren auch diverse Windows-Tools und auch andere Linux-Distributionen, wie zum Beispiel WiFiSlax, um Angriffe auf WLAN durchzuführen. Letzteres ist eine hauptsächlich von der spanischen Community gepflegte Security-Distribution, die sich auf WLAN-Security-Audits spezialisiert hat. Wir werden uns in diesem Kapitel jedoch auf die oben genannten Tools konzentrieren.
Wie Sie bereits seit Kapitel 21 Hacking-Hardware wissen, gibt es mit dem WiFi Pineapple von Hak5 eine sehr komfortable Plattform für WLAN-Angriffe. Dieses Thema haben wir aufgrund des Umfangs allerdings ausgelagert. Eine Einführung und ein paar Praxisbeispiele zum WiFi Pineapple finden Sie unter: www.hacking-akademie.de/buch/member.
Vielleicht erinnern Sie sich noch an Ihr »Kali für die Hosentasche« auf dem Raspberry Pi? Auch dies kann für die Übungen dieses Kapitel wieder zum Einsatz kommen.
28.2.2 Der richtige WLAN-Adapter
Um Drahtlosnetzwerke anzugreifen, benötigen Sie einen speziellen WLAN-Adapter, der sowohl den Monitor Mode als auch Packet Injection unterstützt. Der Monitor Mode ist ein Betriebsmodus, der im Gegensatz zum Managed Mode alle Frames, die er empfangen kann, entgegennimmt und auswertet. Damit kann er sämtlichen WLAN-Verkehr mitschneiden und ist nicht auf den Teil beschränkt, der für die eigene MAC-Adresse bestimmt ist, so wie das beim Managed Mode der Fall ist.
Der Monitor Mode ist mit dem Promiscuous Mode vergleichbar, geht jedoch weiter als dieser. Während der Promiscuous Mode im WLAN nur diejenigen Pakete weiterleitet, die aus dem Netzwerk stammen, mit dem er verbunden ist, leitet der Monitor Mode tatsächlich alle empfangenen Frames weiter, unabhängig davon, zu welchem Netzwerk sie gehören.
Bei der Packet Injection können Pakete so gefälscht werden, als ob sie Teil der regulären Netzwerkkommunikation wären. Dies ermöglicht das Abfangen, Unterbrechen und Manipulieren der WLAN-Kommunikation. Ein Beispiel hierfür ist das Senden einer Deauthentifizierungsnachricht, um einen Teilnehmer vom Netzwerk zu trennen. Diese und viele weitere Angriffe werden wir Ihnen in diesem Kapitel noch demonstrieren.
Da ein integrierter Adapter in den seltensten Fällen diese Funktionen unterstützt, sollten Sie auf einen externen USB-Adapter zurückgreifen. Diese Adapter haben meist auch den Vorteil, dass sie einen Antennenanschluss besitzen. An diesem können Sie die Antenne austauschen und je nach Situation die Antenne mit den besten Eigenschaften einsetzen (z.B. Richtfunk- oder Parabolantenne). Beachten Sie zudem, dass es Adapter sowohl für 2,4 GHz als auch für 5 GHz gibt. Um flexibel zu sein, können Sie einen Dualband-Adapter wählen, der beide Frequenzbänder unterstützt.
Wir können Ihnen hier leider keine konkrete Kaufempfehlung für einen Adapter aussprechen, denn der Adapter muss mit Ihrem Setup kompatibel sein. Abhängig von der Hardware-Plattform, der BIOS-Version, dem Host-Betriebssystem, der Virtualisierungssoftware und der eingesetzten Kali-Version kann es zu Kompatibilitätsproblemen kommen. Wir empfehlen Ihnen eine gründliche Recherche im Internet, bevor Sie einen WLAN-Adapter kaufen. Tests, Erfahrungsberichte und Kundenbewertungen werden Ihnen helfen, einen passenden Adapter für Ihre Umgebung zu finden.
Sollte der eingesetzte Adapter laut Recherche den Monitor Mode unterstützen, erscheint der Aktivierung unter Kali allerdings eine Fehlermeldung, kann das am Treiber liegen. Ggf. muss dann ein anderer installiert werden. Auch hier hilft eine Recherche im Internet in der Regel weiter.
28.2.3 Den Monitor Mode aktivieren
Damit Sie im Anschluss Ihre ersten Scans durchführen können, müssen Sie zunächst den WLAN-Adapter in den Monitor Mode versetzen. In der Laborumgebung für dieses Kapitel arbeiten wir wie gehabt mit Kali Linux in einer Virtual Box und werden einen WLAN-Adapter über den USB-Port verbinden. Bevor Sie die virtuelle Maschine starten, stellen Sie in deren Einstellungen sicher, dass der USB-Controller aktiviert ist. Danach booten Sie Kali und verbinden den WLAN-Adapter mit einem freien USB-Port am Hostsystem.
Damit haben Sie den Adapter mit dem Hostsystem verbunden, aber noch nicht mit der virtuellen Maschine. Dies ändern Sie, indem Sie über die USB-Geräte-Einstellungen den passenden Adapter auswählen und damit mit dem virtuellen System verbinden, wie in Abbildung 28.9 gezeigt.
An dieser Stelle müssen Sie unter Umständen zwei Mal hinschauen, da hier oft nicht die Bezeichnung gelistet ist, die auf dem Stick steht, wie z.B. Hersteller oder Typ. Stattdessen wird hier lediglich die Bezeichnung des Chipsets aufgeführt. Im Beispiel in Abbildung 28.9 handelt es sich um einen TP-Link-Adapter, der als Realtek 802.11n NIC angezeigt wird.
Ein Blick in die Ausgabe von ifconfig zeigt Ihnen, dass Sie ein zusätzliches Interface mit der Bezeichnung wlan0 erhalten haben, sobald der Adapter korrekt erkannt wurde. Möchten Sie sich nur die Wireless-Interfaces anzeigen lassen, nutzen Sie den Befehl iwconfig. Hier finden Sie auch den Betriebsmodus und stellen vermutlich fest, dass dieser in der Standardeinstellung nicht auf den Monitor Mode, sondern auf Managed eingestellt ist.
Um dies zu ändern, sollten Sie das Interface zunächst zum Beispiel durch Eingabe von ifconfig wlan0 down deaktivieren. Sie können den Betriebsmodus dann mit dem Befehl iwconfig wlan0 mode monitor ändern. Das funktioniert allerdings nur, wenn der Adapter nicht schon von anderen Prozessen, wie zum Beispiel dem Network Manager, verwendet wird. Um die betreffenden Prozesse zu deaktivieren, können Sie es sich einfach machen und das Tool airmon-ng dafür nutzen. Der Befehl lautet airmon-ng check kill. Die Option check listet alle möglichen Programme auf, die Probleme bei der Verwendung des WLAN-Adapters bereiten könnten. Mit kill werden diese auch gleich beendet.
Beachten Sie, dass der Befehl airmon-ng check kill sich auch auf weitere Netzwerkverbindungen des Gastsystems auswirken kann und Sie damit evtl. auch die Internetverbindung verlieren. Das stört uns in diesem Szenario allerdings nicht, da wir uns auf den lokalen WLAN-Traffic konzentrieren wollen.
Wurden die Prozesse beendet und der Modus angepasst, kann das Interface wieder mit ifconfig wlan0 up aktiviert werden. Die Übersicht mit iwconfig zeigt, dass wir erfolgreich den Monitor Mode aktiviert haben, wie Abbildung 28.10 zeigt.
Sollte dieser Weg bei Ihnen fehlschlagen, dann aktivieren Sie den Monitor Mode ausschließlich mit der Unterstützung von airmon-ng. Die Vorgehensweise ist einfach und kann Abbildung 28.11 entnommen werden.
Nun haben wir den WLAN-Adapter bis zum nächsten Neustart so konfiguriert, dass er nicht nur Broadcasts wie zum Beispiel Beacons und andere Frames an seine eigene MAC-Adresse annimmt, sondern alle Frames, die er empfangen kann. Dies ist der optimale Ausgangszustand, um Wireshark und andere Tools ins Spiel zu bringen und ein wenig zu scannen und zu schnüffeln.
28.3 WLAN-Scanning und -Sniffing
Wir unterscheiden beim WLAN-Scanning zwischen zwei Arten: dem passiven und dem aktiven Scanning. Das ist vergleichbar mit dem Active und Passive Discovery. Der passive Scan ist leiser und unauffälliger, während der aktive Scan lauter ist, aber auch mehr Erkenntnisse bringen kann. Das Scanning dient der Identifikation der vorhandenen WLAN-Netzwerke und -Teilnehmer. Unter WLAN-Sniffing verstehen wir das konkrete Mitschneiden von Kommunikation zwischen den Teilnehmern des Netzwerks.
28.3.1 Scanning
Betrachten wir zunächst die beiden Scanning-Varianten.
Passives Scanning
Beim passiven Scanning bleiben wir weitgehend unbemerkt und lauschen lediglich auf WLAN-Signale, ohne selbst Datenpakete zu senden. Dies kann zum Beispiel mit Wireshark erfolgen. Da Sie soeben erfolgreich den Monitor Mode aktiviert haben, können Sie diesen auch gleich einmal austesten. Starten Sie Wireshark und wählen Sie wlan0 bzw. wlan0mon als Interface für den Mitschnitt aus. Filtern Sie Broadcasts und Multicasts aus der Anzeige heraus, werden Sie feststellen, dass Sie auch die Pakete anderer Teilnehmer sehen können. Das eröffnet interessante Möglichkeiten, denn ein Hacker könnte sich damit z.B. in ein Café setzen und in einem öffentlichen WLAN die Kommunikation der anderen Teilnehmer mitlesen, sofern diese unverschlüsselt erfolgt.
Auch wenn heutzutage die meisten Webserver SSL/TLS nutzen und damit das Mitschneiden der Kommunikation erheblich schwieriger machen, kann ein Angreifer das Surfverhalten, also die Verbindungsaufnahme des Opfers zu den Webservern, beobachten und entsprechende Rückschlüsse ziehen. Sowohl die DNS-Namensauflösung als auch die Übermittlung des Webserver-Zertifikats erfolgen im Klartext und können ohne Probleme mitgeschnitten und analysiert werden.
Aktives Scanning
Im Unterschied zum passiven Scanning werden beim aktiven Scanning durch das Senden bestimmter Pakete entsprechende Antworten beim Sender provoziert. Beim passiven Scanning müssen wir geduldig warten, bis beispielsweise Beacon Frames Informationen hinsichtlich des Netzwerks bereitstellen. Beim aktiven Scanning können wir durch das Senden von Probe Requests Antworten in Form von Probe Responses provozieren. Dies kann einem aufmerksamen IDS allerdings auffallen. Aktives Scanning ist dadurch zwar effektiver, aber auch leichter zu entdecken.
28.3.2 WLAN-Sniffing
Wireshark schneidet die Wireless-Kommunikation anstandslos mit, ist aber nicht immer das beste Tool für das WLAN-Sniffing. Je nach Anwendungsszenario bringen uns die spezialisierten Tools der Aircrack-Suite weiter. Für das Sniffing der rohen 802.11-Frames können Sie airodump-ng nutzen. Es ermöglicht Ihnen die Weiterverarbeitung durch aircrack-ng, wie Sie später noch sehen werden.
Stellen Sie sicher, dass Sie den Monitor Mode aktiviert haben. Prüfen können Sie das mit dem Befehl iwconfig, wie bereits bekannt.
Einen einfachen Scan der verfügbaren Drahtlosnetzwerke leiten Sie mit dem folgenden Befehl ein:
airodump-ng <WLAN-Interface>
In unserem Szenario ist das also airodump-ng wlan0. Die Ausgabe zeigt, wie auf Abbildung 28.12 dargestellt, eine Liste mit regelmäßiger Aktualisierung, die die verfügbaren Netzwerke mit diversen Zusatzinformationen anzeigt. Mit der Tastenkombination Strg+C können Sie das Programm beenden.
Geben Sie keine weiteren Parameter an, wird nur das 2,4-GHz-Band betrachtet. Ergänzen Sie den Parameter --band a, so arbeitet airodump-ng auf dem 5-GHz-Band.
Im oberen Abschnitt der Ausgabe finden Sie Informationen zu den jeweiligen Netzwerken. Diese werden durch die BSSID in der ersten Spalte eindeutig identifiziert, aber auch die letzte Spalte gibt mit der ESSID (eigentlich: SSID) einen wichtigen Hinweis auf das Netz, da hier oft sprechende Namen verwendet werden, wie Sie schon gelernt haben.
In Abbildung 28.12 findet sich ein Drahtlos-Netzwerk mit der Bezeichnung (ESSID) WLAN 2.4-GHz. Es ist nur mit WEP geschützt. Wir kommen im Abschnitt 28.4.3 darauf zurück.
Im unteren Abschnitt werden identifizierte WLAN-Knoten (Stations) angezeigt. Die Liste zeigt neben der zugeordneten BSSID die MAC-Adresse der Station, die Funksignalstärke und andere Daten (vgl. Abbildung 28.13).
Das Programm airodump-ng bietet an dieser Stelle eine Übersicht darüber, welche WLAN-Netzwerke und -Knoten inklusive ihrer Eigenschaften sich im Umkreis befinden. Da der WLAN-Adapter nicht auf zwei Kanälen zur selben Zeit arbeiten kann, wechselt airodump-ng die Kanäle durch und aktualisiert die Anzeige entsprechend.
Im nächsten Schritt möchten wir einen einzelnen Access Point (BSS) mit den darin befindlichen Stationen anzeigen lassen und den Mitschnitt parallel in eine Datei mit frei wählbarem Namen schreiben. Dazu geben Sie die BSSID des Senders, den Kanal und eine Ausgabedatei als zusätzliche Parameter mit an:
airodump-ng --bssid <BSSID> --channel <Nr> --write <Datei> wlan0
Wie Abbildung 28.14 zeigt, werden parallel zur Live-Ansicht im Terminal diverse Dateien mit dem Mitschnitt angelegt.
Auf diese Weise erstellte Mitschnitte können beispielsweise mit Wireshark oder aircrack-ng(.cap) geöffnet und analysiert werden.
28.3.3 Hidden SSIDs aufspüren
Wie bereits in Abschnitt 28.1.4 erwähnt, besteht die Möglichkeit, über die Konfiguration des Access Points festzulegen, dass die SSID verborgen werden soll. In diesem Abschnitt werden wir klären, welche Sicherheitsvorteile das tatsächlich bringt und ob Security By Obscurity hier wirklich Sicherheit verspricht.
Was wir schon einmal vorwegnehmen können, ist folgende Tatsache: Ein WLAN besitzt immer eine SSID – selbst, wenn Sie diese »deaktivieren«, ist sie dennoch vorhanden und lediglich nicht öffentlich sichtbar.
Abhängig vom Betriebssystem wird eine Hidden SSID nicht ganz ausgeblendet, sondern stattdessen ein »Ausgeblendetes Netzwerk« angezeigt, siehe Abbildung 28.15. In diesem Fall muss der Anwender die SSID eingeben, bevor er einen Verbindungsaufbau unternehmen kann.
Das ist die Möglichkeit für einen Angreifer, die SSID mitzuschneiden. Denn diese Information wird unverschlüsselt an den Access Point übertragen. Haben Sie während dieses Vorgangs einen airodump-ng-Mitschnitt am Laufen, so aktualisiert sich die SSID <length: 0> in die korrekte Bezeichnung der SSID (vgl. Abbildung 28.16).
Der Nachteil dieser Vorgehensweise ist, dass Sie abwarten müssen, bis sich ein neuer Teilnehmer am Netzwerk anmeldet, indem er die SSID zur Verifizierung an den Access Point schickt. Wollen Sie nicht darauf warten, können Sie auch selbst aktiv werden und versuchen, mit einem Dictionary- oder Brute-Force-Angriff die SSID zu ermitteln. Dabei hilft Ihnen das Tool mdk3. Je nach Kali Version, muss es ggf. noch mit apt install mdk3 nachinstalliert werden. Es erfordert – wie für eine Dictionary-Attacke typisch – eine entsprechende Wortliste. Diese könnten Sie zum Beispiel mit crunch erstellen lassen, ein Tool zur Erstellung einfacher Brute-Force-Listen. Wir haben es bereits in Kapitel 10 Password Hacking eingehend erläutert.
Effektiver wäre allerdings, Begriffe für den Dictionary-Angriff anzuwenden, die häufig als SSID verwendet werden. Dabei kann Ihnen das Internet behilflich sein. Eine Google-Suche nach »Wordlist Top SSIDs« bringt Ihnen schnell verwertbare Ergebnisse. Haben Sie eine entsprechende Wortliste erstellt, versetzen Sie Ihren WLAN-Adapter in den Monitor Mode und starten mdk3 mit den Parametern p (Probing), -c (Channel), -t (BSSID) und -f (File), gefolgt von den entsprechenden Parametern, wie am Beispiel von Abbildung 28.17 zu erkennen.
Die Werte für -c und -t entsprechen den mittels airodump-ng ermittelten Werten für den Kanal und die BSSID des gewünschten APs.
In unserem Beispiel hatten wir Erfolg und die gesuchte SSID war Bestandteil der Wortliste. Ist dies nicht der Fall, hilft nur das Probieren aller möglichen Kombinationen, also ein Brute-Force-Angriff. Der Befehl dafür lautet folgendermaßen:
mdk3 wlan0 p -b a -c <Channel> -t <BSSID>
Die Option -b legt Brute Force als Probing-Variante fest und nutzt das Character Set a (wie all) für den kompletten Zeichensatz. Alternativ könnten auch nur Ziffern (n) oder andere, eingeschränkte Zeichenbereiche festgelegt werden.
Dieser Vorgang kann allerdings viel Zeit in Anspruch nehmen und ist nicht immer erfolgreich. Aber so oder so haben Sie gesehen, dass auch das Verbergen der SSID kein effektiver Schutz für ein Funknetz ist. Kommen Sie daher besser nicht auf die Idee, Ihr Netzwerk lediglich durch diese Funktion »abzusichern« und auf eine sichere Verschlüsselungsmethode mit einem starken Passwort zu verzichten.
28.4 Angriffe auf WLAN
Nachdem wir unsere Umgebung nach potenziellen Opfern abgesucht und ggf. versteckte SSIDs ermittelt haben, begeben wir uns nun in die Angriffsphase. In den folgenden Abschnitten werden Sie verschiedene Angriffe auf WLAN-Netzwerke kennenlernen. Dabei werden wir uns insbesondere mit dem Aushebeln von WLAN-Sicherheitsmechanismen beschäftigen.
28.4.1 Denial of Service durch Störsender
Besteht das Ziel darin, ein WLAN-Netzwerk lahmzulegen, also einen Denial-of-Service-Angriff zu starten, so ist es dazu nicht notwendig, vorher in das Netzwerk einzubrechen. Für diesen Zweck können Störsender eingesetzt werden. Hier sprechen wir auch von Jammer oder Noise Jamming.
Ein solcher Störsender sendet dabei ein sehr starkes Signal auf derselben Frequenz wie das zu störende Funknetz und macht dieses damit nicht mehr nutzbar, der Datenaustausch innerhalb eines WLAN kann damit nicht mehr ordnungsgemäß erfolgen. Diesen Effekt können Sie abgeschwächt auch ganz ohne Störsender beobachten, wenn sich viele Funknetze auf dichtem Raum befinden und sich dadurch gegenseitig stören. Mit einem richtigen Störsender können allerdings sehr einfach komplette Frequenzbänder unbrauchbar gemacht werden. Der Besitz von Störsendern ist nicht generell verboten, der Einsatz dagegen schon. Kommen Sie bitte nicht auf die Idee, das Heimnetz Ihres Nachbarn damit auszuschalten! Auch von der Anschaffung eines Störsenders möchten wir unter normalen Umständen abraten, da derartige Angriffsszenarien in der Regel sehr destruktiv sind und nur in Ausnahmefällen zur Verbesserung der IT-Sicherheit dienen können.
28.4.2 Deauthentication-Angriff
Bevor wir versuchen, in Funknetze einzubrechen, stellen wir Ihnen zunächst einen Angriff mit dem Namen Deauthentication Attack vor. Dieser Angriff kann auch als Denial of Service verstanden werden, wenn das Ziel ist, ein WLAN funktionsunfähig zu machen. Doch oftmals hat der Einsatz andere Beweggründe und dient nur als Vorbereitung eines Angriffs. In allen Fällen sollen Endgeräte vom Netzwerk getrennt werden. Das ist meistens dann erwünscht, wenn ein neuer Verbindungsaufbau seitens der Stationen initiiert werden soll.
Das Besondere hierbei ist, dass wir mit diesem Angriff die Möglichkeit haben, Stationen vom Netzwerk zu trennen, ohne selbst mit dem betreffenden Netzwerk verbunden zu sein. Dieser Ansatz funktioniert bei allen Verschlüsselungsmethoden. Es ist daher egal, ob WEP, WPA oder WPA2 eingesetzt wird. Dabei hilft uns die Paket-Injektion-Funktion unseres WLAN-Adapters.
Eine WLAN-Station kann sich mittels Deauthentication-Nachricht beim Access Point regulär abmelden. Leider sind diese Nachrichten nur unzureichend geschützt und können von einem Angreifer missbraucht werden.
Beim Deauthentication-Angriff senden wir ein modifiziertes Deauthentication-Paket an den Access Point mit der Source-MAC-Adresse des Endgeräts, das wir vom Netzwerk trennen möchten. Der Access Point reagiert seinerseits mit einem weiteren Deauthentication-Paket an die Station und trennt diese damit vom Netzwerk. Dieser Angriff ist möglich, da Deauthentication-Frames nicht verschlüsselt übertragen werden. Wir benötigen hierfür lediglich die BSSID des AP und die MAC-Adresse des Endgeräts. Erfreulicherweise haben wir diese Informationen bereits durch den Scan mit airodump-ng zusammengetragen.
Auch hier hilft uns wieder ein Tool, sodass wir diesen Vorgang nicht manuell durchführen müssen. An dieser Stelle bringen wir aireplay-ng aus der bereits bekannten Aircrack-Suite ins Spiel. Geht es darum, Pakete zu generieren, um diese einem WLAN zu injizieren, dann ist aireplay-ng das Tool der Wahl. Mit der Option --deauth führen wir einen Deauthentication-Angriff durch. Es benötigt die Angabe der Anzahl an Paketen, die gesendet werden sollen. Mit -a geben wir die BSSID an und die Option -c legt die MAC-Adresse des Opfers fest.
Wird der Befehl ausgeführt, beginnt aireplay-ng, die Deauthentication-Pakete zu senden. Abbildung 28.18 zeigt die entsprechende Ausgabe auf dem Terminal.
Auf dem angegriffenen Endgerät können wir beobachten, dass die WLAN-Verbindung getrennt wird und erst dann ein erneuter Verbindungsaufbau gelingt, wenn aireplay-ng mit Strg+C beendet wird. Der Deauthentication-Angriff erfordert ein permanentes Stören der Verbindung durch die Deauthentication-Pakete mittels aireplay-ng. Sobald keine Pakete mehr gesendet werden, kann und wird der WLAN-Knoten sich automatisch wieder verbinden.
Dieser Angriff kann als gezielter DoS-Angriff eingesetzt werden. Ein Hacker kann sich dies zunutze machen, um eine Störung des WLAN-Netzwerks zu provozieren. Er kann sich anschließend beispielsweise als Servicetechniker ausgeben und dem Anwender des betroffenen Endgeräts bei seinem WLAN-Problem behilflich sein. Damit hat er einen Vorwand für einen physischen Zugriff auf das System geschaffen.
Neben dem Deauthentication-Angriff existieren weitere DoS-Angriffe auf WLAN-Systeme. Hierzu zählen Association Flooding und Authentication Flooding. In diesem Fall wird der Access Point mit Association- bzw. Authentication-Anfragen derart überflutet, dass er die regulären Anfragen nicht mehr bearbeiten kann. Das bereits verwendete Tool mdk3 unterstützt mit dem Modus a auch Authentication Flooding. Inwieweit ein Access Point anfällig für derartige Angriffe ist, hängt vom Einzelfall ab.
Deauthentication-Angriffe können nicht nur als simple DoS-Angriffe dienen, sondern auch zur Unterstützung weiterer Angriffe. Wir werden im weiteren Verlauf noch das eine oder andere Mal darauf eingehen.
28.4.3 Angriff auf WEP
Mit airodump-ng haben Sie im Rahmen des WLAN-Scannings in Abschnitt 28.3.1 gesehen, dass das Netzwerk mit der SSID WLAN 2.4-GHz mit der als unsicher geltenden WEP-Verschlüsselung abgesichert ist. Das soll unser Angriffsziel für die Praxisübung in diesem Abschnitt sein. Wir werden zeigen, dass WEP tatsächlich keine sichere Verschlüsselungsmethode darstellt. Leider passiert es noch viel zu oft, dass WEP-Verschlüsselung auch heute noch zum Einsatz kommt. Manchmal bewusst aus Kompatibilitätsgründen und manchmal, weil das WLAN schon vor vielen Jahren eingerichtet und keine Aktualisierung vorgenommen wurde.
Es ist fast immer möglich, mit genügend mitgeschnittenen Paketen die Verschlüsselung von WEP zu knacken. Schauen wir uns in einer kurzen Übersicht an, wie die WEP-Verschlüsselung implementiert ist und wo die Schwachstelle liegt.
Sowohl Sender als auch Empfänger nutzen jeweils denselben Key, dieses Verfahren nennt sich PSK (Pre-Shared Key). Zusammen mit einem 24 Bit langen Zufallswert, dem IV (Initialization Vector), wird der sogenannte Keystream erzeugt. Damit wird jedes einzelne Paket beim Sender verschlüsselt. Dabei wird für jedes Paket, das verschlüsselt werden soll, ein neuer Zufallswert (IV) erstellt. Der verschlüsselte Text wird zusammen mit dem unverschlüsselten IV an den Empfänger gesendet. Dieser erzeugt aus dem PSK und dem IV seinerseits den Keystream und kann damit das Paket entschlüsseln. Abbildung 28.19 verdeutlicht dies nochmals.
Die Hauptproblematik liegt hier in der Länge des IV. Da er nur 24 Bit lang ist, wiederholt er sich nach einer gewissen Anzahl an Paketen. Erhält man zwei unterschiedliche Pakete, die mit demselben IV gesendet wurden, so nennt man dies eine IV-Kollision. Diese Kollisionen können nun dazu genutzt werden, den PSK zurückzurechnen. Ziel für den Angreifer muss also sein, so viele IVs wie möglich mitzuschneiden, um die Verschlüsselung brechen zu können.
Dafür gehen wir in unserer Laborumgebung folgendermaßen vor:
Einen WLAN-Router (AP) bzw. ein WLAN mit WEP-Verschlüsselung bereitstellen.
Eine Station am Access Point assoziieren – das ist unser Opfer.
Einen Mitschnitt mit airodump-ng starten – diese Informationen speichern wir für das anschließende Cracken des Keys.
Einen ARP-Request mitschneiden – damit starten wir einen Replay-Angriff.
Datenverkehr provozieren – mit aireplay-ng senden wir permanent ARP-Requests, die beantwortet werden müssen.
IVs mitschneiden – je mehr IVs, desto besser die Chancen (siehe oben).
Den Schlüssel knacken – hier kommt aircrack-ng ins Spiel.
Der Plan steht, also legen wir los! Die Schritte Nr. 1 und 2 werden im Folgenden vorausgesetzt. Wir starten mit Schritt Nr. 3. Der WLAN-Adapter lauscht im Monitor-Mode zunächst mit airodump-ng auf die Ziel-BSSID und schreibt den Mitschnitt in eine Datei. Das ist wichtig, da wir anschließend offline mit aircrack-ng den WEP-Key cracken wollen. Dieser Mitschnitt läuft im Hintergrund während des gesamten Prozesses weiter und füllt die Datei. Der entsprechende Befehl wird in Abbildung 28.20 gezeigt, die Parameter müssen Sie natürlich an Ihre Umgebung anpassen.
Sie werden vermutlich feststellen, dass der Wert in der Spalte #Data nur recht langsam ansteigt. Auf diesem Weg werden Sie sehr lange warten müssen, bis genügend IVs mitgeschnitten wurden.
Schneller geht es, wenn wir Datenverkehr provozieren. Das gelingt über einen ARP-Relay-Angriff (Schritte Nr. 4 und 5). Bei diesem Angriff wird ein ARP-Paket mitgeschnitten, dupliziert und erneut an den Access Point gesendet. Der AP reagiert darauf mit einer entsprechenden Antwort. Dies wird so oft gemacht, bis genügend Datenverkehr generiert wurde, um den Schlüssel zu knacken. Für derartige Injection-Angriffe ist das bereits bekannte Tool aireplay-ng zuständig. Der Befehl dazu lautet wie folgt und wird in einem neuen Terminal gestartet:
aireplay-ng --arpreplay -b <bssid> -h <MAC des eigenen WLAN-Adapters> wlan0
In unserem Szenario stellt sich das dar, wie in Abbildung 28.21 gezeigt.
Damit der Access Point allerdings auf uns aufmerksam wird und auf unsere Anfragen reagiert, müssen wir uns zunächst bei ihm anmelden. Dazu leiten wir mit folgendem Befehl eine Fake Authentication ein:
aireplay-ng --fakeauth 0 -a <bssid> -h <MAC des eigenen WLAN-Adapters> wlan0
Hierbei handelt es sich um keinen abschließenden Verbindungsaufbau, denn wir haben ja auch das Passwort (noch) nicht. Wir teilen dabei dem AP lediglich mit, dass wir mit ihm kommunizieren möchten und er unsere Pakete nicht ignorieren soll. In Abbildung 28.22 sehen Sie den Ablauf in unserem Szenario.
Haben Sie den Befehl abgesetzt, werden Sie beobachten, wie die ARP-Replay-Attacke ihren Job macht und die Anzahl der Datenpakete rasant ansteigt. Nun bringen wir aircrack-ng ins Rennen und setzen das Tool folgendermaßen auf die anwachsende Mitschnittdatei an:
aircrack-ng <dateiname.cap>
Dies geschieht wiederum in einem neuen Terminal. In regelmäßigen Abständen wird aircrack-ng versuchen, den PSK zu knacken. Dazu müssen nur genügend IV-Kollisionen vorliegen. Den kompletten Angriff können Sie in Abbildung 28.23 noch einmal nachvollziehen.
Tatsächlich ist es oft eine Sache von wenigen Minuten, bis WEP geknackt ist. Setzen Sie daher unter keinen Umständen eine WEP-Verschlüsselung ein, spätestens nach dieser Demonstration sollten Sie ausreichend gewarnt sein.
28.4.4 Angriff auf WPA/WPA2
Zwar sind WPA und WPA2 sichere Verschlüsselungsmethoden im Gegensatz zu WEP, dennoch gibt es einen Ansatz, wie auch diese Verschlüsselung mit entsprechend hoher Rechenlast und viel Zeit geknackt werden kann. Die Vorgehensweise bei WPA im Vergleich mit WPA2 ist identisch.
Die gravierenden Schwachstellen von WEP wurden bei WPA und bei WPA2 weitgehend behoben, auch wenn WPA noch auf der Architektur von WEP basiert. Das bedeutet, dass wir Pakete bis zum »Sankt-Nimmerleins-Tag« mitschneiden können, ohne auch nur einen Schritt weiterzukommen. Die einzigen Pakete, die uns beim Knacken von WPA und WPA2 nützlich sein können, sind die Pakete im Rahmen des Handshakes beim Verbindungsaufbau mit dem AP. Diese müssen aufgezeichnet werden, um die Chance zu erhalten, einen Angriff erfolgreich durchzuführen.
Auch wenn es technische Unterschiede zwischen WPA und WPA2 gibt, so ist der grundsätzliche Ansatz für einen Angriff auf beide Varianten doch derselbe. Er greift nur bei Verwendung eines PSK (WPA/WPA2 Personal) und basiert auf einem Dictionary- oder Brute-Force-Angriff auf das verwendete Passwort. Darüber hinaus gibt es noch einige spezielle Angriffsvarianten, wie Hole 196 oder der Key Reinstallation Attack (KRACK), die jedoch nur in bestimmten Szenarien zum Tragen kommen. Wir konzentrieren uns im Folgenden jedoch auf den oben beschriebenen Standard-Angriff.
Die erste Aufgabe ist also ein Mitschnitt des Verbindungsaufbaus zwischen einer WLAN-Station und dem AP. Dabei nutzen Sie wieder airodump-ng, der Befehl für die Aufzeichnung lautet wie folgt:
airodump-ng --bssid <BSSID> --channel <Kanal> --write <Datei> wlan0
Wir scannen also eine einzelne BSSID, geben dazu den entsprechenden Kanal an und zeichnen in eine Datei auf, deren Name frei wählbar ist. Nun müssen wir nur noch geduldig sein und warten, bis sich eine neue Station mit dem Netzwerk verbindet. Das kann unter Umständen recht lange dauern. Natürlich können wir das im Labor auch provozieren.
Ist allerdings schon ein Endgerät mit dem Netzwerk verbunden, können wir dies für unsere Zwecke ausnutzen. Erinnern Sie sich an den Deauthentication-Angriff? Hier reichen uns ein paar wenige Pakete, um die Station kurzfristig vom Netzwerk zu trennen und damit einen erneuten Handshake einzuleiten. In unserem Szenario haben wir vier Deauthentication-Pakete gesendet, wie Abbildung 28.24 zeigt. Wenn Sie auf Nummer sicher gehen möchten, können Sie auch z.B. 100 Pakete senden.
Wurde ein Handshake aufgezeichnet, wird das in airodump-ng angezeigt. Ist dies geschehen, so können wir den Mitschnitt abbrechen – wir haben alles, was wir für den nächsten Schritt benötigen.
Der mitgeschnittene Handshake beinhaltet natürlich weder den PSK in Klartext, noch gibt uns das die Möglichkeit, diesen aus den Paketen zu berechnen. Er unterstützt uns lediglich dabei, zu prüfen, ob ein Passwort korrekt ist oder nicht. Das Cracken erfolgt mithilfe einer Dictionary- oder Brute Force-Attacke. Für den Wörterbuch-Ansatz ist natürlich wieder eine Liste mit vielversprechenden Passwörtern erforderlich, analog wie zur Ermittlung der Hidden SSID in Abschnitt 28.3.3. Möchten Sie dies im Labor mit Erfolg nachstellen, empfiehlt es sich, das korrekte Passwort in die Liste zu integrieren. Diese Liste werden wir zusammen mit aircrack-ng nutzen, um das Passwort zu ermitteln. Aber wie hilft uns hier der mitgeschnittene Handshake weiter?
Das Prinzip ist folgendes: Um zu identifizieren, ob ein Passwort korrekt ist oder nicht, nutzen wir den MIC (Message Integrity Code). Er verifiziert die Integrität eines Pakets. Den MIC haben wir im Rahmen des Handshakes mitgeschnitten. Er wird aus diversen Informationen des Headers und dem PSK erstellt.
Der PSK wiederum generiert sich aus dem Passwort des Benutzers, auf das der Hash-Algorithmus PBKDF2 angewendet wird (siehe Kapitel 5 Kryptografie und ihre Schwachstellen). Daraus entsteht, unabhängig von der Länge des Passworts, ein 256-Bit-Wert, der zusammen mit der SSID als Salt-Wert den PSK ergibt.
Da uns, bis auf das Passwort, alle Informationen im Mitschnitt vorliegen, können wir nun Eintrag für Eintrag aus der Wortliste als Passwort verwenden, den PSK generieren und mit weiteren Informationen den MIC generieren. Sobald der erstellte MIC identisch mit dem mitgeschnittenen ist, haben wir das korrekte Passwort gefunden. Abbildung 28.25 verdeutlicht den Vorgang noch einmal.
In der Praxis genügt es, aircrack-ng den Mitschnitt des Handshakes und eine entsprechende Wortliste mitzugeben. Befindet sich das Passwort in der Liste, kann dieses ermittelt werden, wie unser Beispiel in Abbildung 28.26 zeigt.
Natürlich haben wir hier etwas zum Erfolg nachgeholfen. In der Praxis kann sich dieser Vorgang als sehr zeitintensive Angelegenheit herausstellen. Der Angriff steht und fällt mit der Qualität und Komplexität des gewählten Passworts. Die Sicherheit liegt hier in der Hand des Anwenders. Dies gilt gleichermaßen für WPA als auch für WPA2. Das Passwort kann zwischen 8 und 63 Zeichen lang sein und sollte aus einer Kombination von Buchstaben, Ziffern und Sonderzeichen bestehen.
Ist ein Dictionary-Angriff nicht erfolgreich, so kann natürlich auch ein Brute-Force-Angriff erfolgen. Wie Sie bereits in Kapitel 10 im Zuge des Password Hackings gesehen haben, kommt es auch da (bzw. dort erst recht) auf das gewählte Passwort an – je komplexer, desto schwieriger zu knacken.
28.4.5 Angriff auf WPA3
Der Sicherheitsstandard WPA3 ersetzt das Vier-Wege-Handshake-Verfahren (PSK) von WPA2 durch die Dragonfly-Handshake-Funktion (SAE). Das bietet zwar die stärkste passwortbasierte Authentifizierung, aber auch hier ist es trotzdem nicht unmöglich, entsprechende Angriffe auf neu entdeckte Schwachstellen auszuführen.
Dragonblood ist dabei eine Zusammenstellung von Schwachstellen, die im WPA3-Sicherheitsstandard ausgenutzt werden können. Sie ermöglichen dem Angreifer, Schlüssel wiederherzustellen, Sicherheitsmechanismen herabzustufen und verschiedene Angriffe zum Informationsdiebstahl einzuleiten. Im Folgenden werden wir die Ansätze der Angriffe skizzieren.
Beginnen wir mit dem Downgrade-Angriff. Um diesen Angriff zu starten, sollten der Client und der AP sowohl den WPA3- als auch den WPA2-Verschlüsselungsmechanismus unterstützen. Denn in diesem Szenario zwingt der Angreifer den Benutzer, sich mit der älteren Verschlüsselungsmethode WPA2 zu verbinden.
Ein derartiger Angriff kann auf zwei verschiedene Arten durchgeführt werden.
Variante 1
Wenn ein WLAN-Client und ein AP mit WPA2 und WPA3 kompatibel sind, dann installiert der Angreifer einen Rogue Access Point (siehe auch Abschnitt 28.5), der nur WPA2 aktiviert hat, und zwingt den Client, den Vier-Wege-Handshake (WPA2) zu durchlaufen, um eine Verbindung herzustellen. Ist die Verbindung hergestellt ist, nutzt der Angreifer alle verfügbaren Angriffswerkzeuge, um die WPA2-Verschlüsselung auszunutzen oder zu knacken.
Variante 2
Bei dieser Methode tarnt sich der Angreifer als ein authentischer Access Point. Sobald ein Benutzer versucht, eine entsprechende Verbindung aufzubauen, teilt der Angreifer dem Client mit, dass er die WPA3-Methode nicht unterstützt. Dadurch muss der Client auf die weniger sichere WPA2-Methode downgraden, und die bekannten Angriffe auf WPA2 können gestartet werden.
Ein weiterer Angriffsvektor bietet der Seitenkanalangriff. Hier zielen Angreifer nicht direkt auf die Algorithmen ab, sondern auf logische Nebeneffekte. Dabei wird versucht, durch Beobachtung und Analyse geschützte Informationen oder Algorithmen zu extrahieren. Während des Schlüsselaustauschs startet der Angreifer diesen Angriff, um ggf. Informationen abzufangen. Diese Informationen werden dann vom Angreifer weiterverwendet, um durch Brute-Force- oder Wörterbuch-Angriffe alle Daten des Opfers zu erhalten.
Ein Seitenkanalangriff kann ebenfalls über zwei Arten durchgeführt werden:
Variante 1
Bei dieser Variante analysiert der Angreifer die Zeit, die der Dragonfly-Handshake benötigt, um einen bestimmten Passwort-Authentifizierungsprozess zu verschlüsseln. Bei der Analyse beobachtet der Angreifer die Iterationen des Verschlüsselungsprozesses und erstellt eine Liste möglicher Passwörter.
Variante 2
Bei diesem Angriff injiziert der Angreifer ein bösartiges JavaScript oder eine entsprechende Web-Anwendung in das Opfer-System. Dadurch kann der Angreifer die Kontrolle über den Webbrowser des Benutzers übernehmen und Speicherzugriffsmuster zu beobachten, um so an die Passwort-Informationen zu gelangen.
Wir stellen wieder einmal fest, dass das Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsexperten nie endet. Selbst den Entwicklungen neuester Standards folgen meistens zeitnah entsprechende potenzielle Sicherheitslücken und Ansätze, diese auch in der Praxis auszunutzen.
28.4.6 Angriff auf WPS
Sie haben im letzten Abschnitt gesehen, dass das Knacken einer WPA/WPA2-Verschlüsselung bei entsprechend komplexem Passwort eine große Herausforderung ist. Sehr viel leichter kann es werden, wenn das Feature WPS aktiviert ist. In Abschnitt 28.1.5 haben wir Ihnen die Funktion von WPS bereits vorgestellt. Nun betrachten wir die Angriffsmöglichkeiten auf WPS etwas genauer.
Wie Sie bereits gelernt haben, gibt es verschiedene Varianten von WPS, die natürlich auch unterschiedliche Angriffsvektoren mit sich bringen. Grundsätzlich gilt: Hat der Angreifer physischen Zugriff auf den WLAN-Router bzw. AP, so kann er WPS in der Regel einfach aushebeln. Die PIN steht meistens auf der Router-Unterseite und im Falle der Push Button Configuration (PBC) kann er einfach den entsprechenden Knopf am Gerät drücken und hat dann zwei Minuten Zeit, sein WLAN-Gerät zu assoziieren und sich somit am Opfernetzwerk anzumelden.
Das PIN-Verfahren ist das anfälligste. Ist dieses aktiviert, genügt für den Zugriff die Eingabe einer 8-stelligen PIN. Diese besteht ausschließlich aus Ziffern. Damit reduziert sich die Anzahl der möglichen Passwörter auf 108 Möglichkeiten. Tatsächlich reduziert sich das bei der alten Version WPS 1.0 sogar noch weiter, da nach den ersten vier erfolgreichen Ziffern eine Bestätigung vom AP kommt und die Möglichkeiten daher auf 2*104 = 20.000 reduziert werden. Im Vergleich zu WPA/WPA2 ist der Brute-Force-Ansatz hier wesentlich effektiver, selbst wenn der Angreifer keinen physischen Zugang zum WLAN-Router hat.
Erleichternd kommt hinzu, dass Benutzer selten die Default-PIN ändern. Handelt es sich um eine nicht-individuelle Standard-PIN für diesen Router-Typ, so kann sie ggf. über Default-Passwort-Listen im Internet identifiziert werden.
Voraussetzung für den »nicht physischen« PIN-Angriff ist eine veraltete und schlecht konfigurierte WPS-Implementierung. Dabei ist WPS dauerhaft eingeschaltet und wird nicht erst über das Menü oder einen Button via PBC aktiviert. Dies ist natürlich ein eklatantes Sicherheitsrisiko, da WPS hier eine zusätzliche und schlechter geschützte Authentifizierungsmöglichkeit durch Eingabe der einfacheren PIN bietet.
Dadurch hängt die Sicherheit – wie so oft – von der Konfiguration ab: Solange WPS nicht aktiv ist, werden PIN-Eingaben im Rahmen eines Verbindungsversuchs vom AP nicht entgegengenommen. Eine weitere Hürde stellen Timeouts, die Anzahl an möglichen Anmeldeversuchen und weitere Schutzmechanismen seitens des AP dar. Die Hersteller haben ihre WPS-Implementierungen weiterentwickelt, sodass diese Angriffsmethode nur noch in sehr alten Umgebungen funktioniert. Aber ein Versuch ist es für einen Angreifer durchaus wert.
Um Netzwerke mit aktivem WPS zu identifizieren, können Sie den bereits bekannten Scan mit airodump-ng um den Parameter --wps erweitern. Dadurch erhalten Sie eine zusätzliche Spalte, die anzeigt, ob und in welcher Version WPS aktiv ist, siehe Abbildung 28.27.
Alternativ kann hierzu auch das WiFi-Scanning-Tool wash verwendet werden, wie in Abbildung 28.28 gezeigt. Es ist in Kali Linux bereits vorinstalliert.
Somit wissen wir nun, wo und in welcher Form WPS eingesetzt wird und können uns mit WPS-Cracking-Tools wie reaver oder bully an den Angriff machen. Abbildung 28.29 zeigt ein Beispiel für den Einsatz von reaver. Die Optionen sind mittlerweile ja schon fast selbsterklärend, da sie analog zur Aircrack-ng-Suite sind. Mit -vv wird die (sehr) ausführliche Ausgabe aktiviert.
Ein Vorteil beider Tools ist, dass die Fortschritte bzw. die bereits getesteten PINs gespeichert werden und nach Abbruch des Angriffs an derselben Stelle wieder angesetzt werden kann. Abbildung 28.30 zeigt den Einsatz von bully. Wie üblich wird mit -b die BSSID angegeben, -c legt den Kanal fest und -v 4 setzt die Geschwätzigkeit (Verbosity) der Ausgabe auf den Maximalwert.
Auch wenn die PIN-Schwachstelle von WPS grundsätzlich nur noch bei alten Systemen ausgenutzt werden kann, sorgen Implementierungsfehler immer wieder dafür, dass Angriffsvektoren entstehen, die oft sehr spezifisch sind und nur bei bestimmten Router-Typen funktionieren. Somit sollte dieser Angriffsvektor nicht außer Acht gelassen werden.
28.4.7 MAC-Filter umgehen
An den meisten WLAN-Zugangspunkten besteht die Möglichkeit, MAC-Filter einzurichten. Diese können sowohl als Black- als auch als Whitelist konfiguriert werden. Damit können sich nur die Endgeräte mit dem Netzwerk verbinden, die nach den Filterregeln zugelassen sind. Die Betonung hierbei liegt auf »verbinden«. Dennoch haben wir nach wie vor die Möglichkeit, mit airodump-ng und dem Monitor Mode des WLAN-Adapters das Netzwerk und die sich darin befindlichen Stationen zu identifizieren. Damit ist erkennbar, welche MAC-Adressen zugelassen werden. Dadurch hat der Angreifer die Möglichkeit, via MAC-Spoofing die Identität eines zugelassenen Teilnehmers anzunehmen.
Sollten Sie also z.B. ein offenes WLAN entdecken, mit dem Sie sich jedoch nicht verbinden können, ist es gut möglich, dass ein solcher MAC-Filter eingestellt wurde. Doch damit wiegt sich der Betreiber fälschlicherweise in Sicherheit, wie Sie gleich sehen werden. Wurde eine Blacklist konfiguriert, also eine einzelne MAC-Adresse ausgeschlossen, so besteht die Möglichkeit, seinem WLAN-Adapter eine beliebige andere MAC-Adresse zuzuweisen. Sind nur einzelne MAC-Adresse im Rahmen einer Whitelist zugelassen, so haben wir zunächst die Aufgabe, diese Adressen zu identifizieren. In Abbildung 28.31 sehen Sie eine solche Whitelist-Konfiguration auf einer Fritz!Box.
Müssen die zugelassenen MAC-Adressen ermittelt werden, geht dies mit airodump-ng. Das Tool zeigt die aktuell verbundenen Stationen am Netzwerk, siehe Abbildung 28.32. Damit hat der Angreifer die Information, welche MAC-Adressen auf jeden Fall zugelassen sind. Nämlich die, die bereits reingelassen wurden.
Damit hat er die Stationen identifiziert. Im nächsten Schritt muss er eine der erlaubten MAC-Adressen spoofen. Dazu muss der Monitor Mode wieder deaktiviert sein, da das Angriffssystem an dieser Stelle nicht mehr als Sniffer, sondern als Teilnehmer im Netzwerk in Erscheinung tritt. Gehen wir das in unserer Laborumgebung einmal kurz durch.
Unter Linux existieren diverse Wege, die MAC-Adresse eines Adapters zu modifizieren. Eine bewährte Möglichkeit bietet das Tool macchanger. Die aktuelle MAC-Adresse Ihres WLAN-Adapters finden Sie z.B. unter der Angabe ether in der Ausgabe von ifconfig. Eine spezifische MAC-Adresse setzen Sie bei deaktiviertem Interface mit dem folgenden Befehl:
macchanger -m xx:xx:xx:xx:xx:xx <WLAN-Adapter>
Geben Sie anschließend erneut ifconfig ein, um sich davon zu überzeugen, dass die MAC-Adresse des WLAN-Adapters tatsächlich angepasst wurde. Den kompletten Vorgang zeigt Abbildung 28.33.
Möchten Sie die Original-MAC-Adresse wiederherstellen, können Sie dies mit dem Befehl macchanger -p wlan0 realisieren.
Diese Aktion bleibt nicht verborgen. Das Endgerät, von dem die MAC-Adresse angenommen wird, verliert bei dieser Aktion seine Verbindung.
Unter Windows geht dies natürlich auch. So können Sie die MAC-Adresse Ihres Adapters beispielsweise ganz einfach mit einem Freeware-Tool namens Technitium MAC Address Changer durchführen. Herunterladen können Sie dies unter folgendem Link: https://technitium.com/tmac. Abbildung 28.34 zeigt die Oberfläche des Tools mit wichtigen Elementen hervorgehoben.
Es gibt auch die Möglichkeit, die MAC-Adresse eines Adapters mit Bordmitteln zu ändern. Ist die geänderte MAC-Adresse allerdings bereits im Netzwerk aktiv, so verweigert Windows unter Umständen die Änderung, während das eben vorgestellte Tool die Änderung in jedem Fall durchführt.
Nachdem Sie die Identität einer zugelassenen Station angenommen haben, stellen MAC-Filter für Sie keine Hürde mehr dar und Sie können sich mit dem Netzwerk verbinden. Auf diese Art können ggf. auch andere Filter wie Zeitbeschränkungen oder Inhaltsfilter ausgehebelt werden.
Bitte beachten Sie, dass die Änderung der MAC-Adresse über Tools wie macchanger nur bis zum Neustart des Systems bestehen bleibt. Die temporäre Adresse befindet sich nur im Speicher und wird bei einem Reload wieder durch die eingebrannte Hardware-Adresse überschrieben.
28.4.8 WLAN-Passwörter auslesen
Im nun folgenden Abschnitt zeigen wir Ihnen, wie Sie an WLAN-Passwörter gelangen können, wenn Sie physischen Zugriff auf ein Endgerät haben. Hat sich eine Station mit einem WLAN verbunden, bleibt das Passwort für eine spätere Wiederverbindung auf dem Gerät gespeichert – dies gilt für die meisten Betriebssystemplattformen. Haben wir also solch ein System in unserer Gewalt, können wir oft sämtliche Passwörter von allen WLANs ermitteln, mit denen die Station jemals verbunden war. Dabei hilft uns unter Windows ein Tool mit dem Namen WirelessKeyView von Nirsoft. Sie können das Tool unter www.nirsoft.net/utils/wireless_key.html frei herunterladen. Es kann ohne Installation beim Opfer ausgeführt werden und zeigt im Anschluss alle WLAN-Passwörter inklusive Zusatzinformationen an.
Möglicherweise wird das Tool als Schadsoftware identifiziert. Um WirelessKeyView dennoch auszuführen, erstellen Sie eine entsprechende Filterregel, damit Ihr Virenschutz die Datei ausführen lässt.
Haben Sie das Tool auf dem Endgerät des Opfers ausgeführt, steht Ihnen die Welt zu einer Reihe neuer WLANs offen, siehe Abbildung 28.35.
Interessiert Sie nur das Passwort des aktuell verbundenen WLAN, können Sie dieses ganz ohne zusätzliche Hilfsmittel einfach über die Eingabeaufforderung durch den Befehl netsh wlan show profile <SSID> key=clear anzeigen lassen. Abbildung 28.36 zeigt den Schlüssel zu Netzwerk WLAN_WPA2.
Bei Linux-Distributionen, die den Network Manager nutzen, finden Sie alle Konfigurationsdateien für bisher genutzte Verbindungen im Pfad /etc/NetworkManager/system-connections. Diese beinhalten auch das Passwort der WLAN-Verbindungen, wie Abbildung 28.37 zeigt.
Wie in der Ausgabe von ls -l zu sehen, erfordert dies jedoch Root-Rechte, sodass normale Benutzer hier keinen Zugriff auf die Passwörter haben.
28.4.9 Standard-Passwörter
Sollten Sie physischen Zugriff auf den WLAN-Router selbst haben, stehen Ihnen weitere Angriffsvektoren zur Verfügung. Dies gilt besonders dann, wenn der Betreiber der Komponente sich keine Mühe bei der Anpassung der Einstellungen gemacht hat. Befindet sich ein WLAN-Router noch in den Werkseinstellungen, kann das unter Umständen diverse Sicherheitsprobleme verursachen.
So existiert beispielsweise bei vielen WLAN-Routern und APs ein Passwort für den Administrationszugang, der meist über die Web-Oberfläche mit einem Browser erreicht werden kann, siehe Abbildung 28.38. Da der Router häufig auch das Default-Gateway ist, können Sie im Browser diese Adresse eingeben und gelangen oft auf die Anmeldeseite des Routers.
Nun ist Ihnen als externem Pentester ohne Zugriff auf das WLAN-Passwort der Zugang zum WLAN allerdings verwehrt. Daher benötigen Sie zunächst einen kabelgebundenen Zugang zum WLAN-Router bzw. AP. Je nach Szenario ist das eine eigene Herausforderung. Doch gehen wir davon aus, dass Sie dies bewerkstelligt haben und die Login-Seite des Routers vor sich sehen.
Wurde das Passwort nicht verändert, können Sie ggf. das Default-Passwort für diesen Hersteller/Typ als Zugang probieren. In Kapitel 10 Password Hacking haben wir das Thema »Default-Passwörter« bereits umfassend behandelt. Ganz einfach wird es, wenn die Zugangsdaten auf einem Etikett an der Rückseite der Komponente abgelesen werden können.
Hersteller gehen zunehmend dazu über, individuelle Passwörter für den Zugang bereitzustellen. Diese sind zwar komplex und damit grundsätzlich sicher gegenüber Dictionary- und Brute-Force-Angriffen, sollten aber trotzdem geändert werden, da dem Angreifer ein kurzer Blick auf das eben erwähnte Etikett auf der Unterseite des Geräts ausreicht. Das ist also nur eine Variante des berühmt-berüchtigten Klebezettels unter der Tastatur, auf dem das Passwort steht.
Neben dem Zugang über das Webinterface bieten viele Geräte oft den Zugriff via SSH an, wobei die Login-Daten keinesfalls übereinstimmen müssen. Ist z.B. der Zugang über das Webinterface mit einem guten Passwort geschützt, während der SSH-Zugang noch mit einem Default-Account erreichbar ist, so ist die berühmte Kette wieder einmal nur so stark wie ihr schwächstes Glied – in diesem Fall also ganz schwach. Und hier zeigt sich auch wieder ein Grundsatz des Hackings: Versuchen Sie nicht, die massive Vordertür einzutreten, wenn der Hintereingang offen steht ...
Abgesehen vom Admin-Zugang gibt es weitere Default-Werte, die Sie unter die Lupe nehmen sollten. Darunter befindet sich die SSID, die im Werkszustand in sehr vielen Fällen auf den Hersteller und den Typ des WLAN-Routers schließen lässt. Bei einigen Herstellern ist es möglich, damit auch die Standard-Passwörter für die vorkonfigurierte WLAN-Verbindung zu ermitteln. Bei manchen Herstellern ist dieses Passwort immer dasselbe, bei anderen individuell, oft durch einen Algorithmus aus der MAC-Adresse errechnet. Ist dieser bekannt, kann das Initial-Passwort ermittelt und ausgetestet werden. Hier kommt es ganz auf die Hardware an, welche Möglichkeiten dem Angreifer offenstehen, um potenzielle Default-Zugänge zu ermitteln.
28.4.10 Captive Portals umgehen
Bei großen WPA2-Enterprise-Umgebungen gibt es für gewöhnlich keinen PSK, der an alle Benutzer verteilt werden muss. Stattdessen werden zur Anmeldung sogenannte »Captive Portals« bereitgestellt. Diese Lösung kommt auch bei öffentlichen WLANs regelmäßig zum Einsatz.
Ein Captive Portal (zu Deutsch etwa unausweichliches Portal) wird dazu genutzt, um oftmals fremde Geräte für den Zugriff auf ein drahtloses Netzwerk zu autorisieren. Dies ist meistens so gelöst, dass Endgeräte sich ohne die Eingabe von Zugangsdaten mit einem unverschlüsselten Netzwerk zunächst verbinden können. Ist dies geschehen, so ist das Endgerät zwar mit dem Netzwerk verbunden, kommt aber von dort noch nicht weiter, es ist quasi noch gefangen (engl. captive) und weitere Verbindungen, außer zum Access Point, sind blockiert.
Versucht ein Webbrowser nun, eine Verbindung zu einer Seite im Internet herzustellen, so leitet der AP die Anfrage auf die Captive-Portal-Seite um. Sie stellt das Tor (engl. portal) für eine offene Kommunikation in diesem Netzwerk bereit. Auf dieser Seite wird der Teilnehmer in der Regel aufgefordert, sich zu authentifizieren und anschließend bestimmte Regeln wie z.B. AGBs zu akzeptieren. Abbildung 28.39 zeigt ein Beispiel eines Captive Portals.
Es ist vom Einzelfall abhängig, welche Angaben am Captive Portal gemacht werden müssen. In Hotels wird meist eine Kombination aus Zimmernummer und Buchungsname angefordert, manchmal ist nur ein Facebook-Login notwendig, während in anderen Fällen eine bestimmte Kennung benötigt wird. In jedem Fall geht es darum, einen anonymen Zugang zu verhindern, sodass der Teilnehmer identifiziert werden kann, falls dies notwendig wird, wie beispielsweise bei einem Up- oder Download verbotener Inhalte.
Der Schutz, den ein Captive Portal bietet, kann unter gewissen Umständen auch umgangen werden. Hinter den meisten Lösungen stecken einfache Firewall-Regeln. Je nachdem, wie diese Regeln konfiguriert sind, ist es möglich, sie auszutricksen. So werden z.B. nicht immer alle Ports blockiert. Im Falle eines älteren Captive Portals der Swisscom war z.B. der Port 443/tcp offen. Über einen SSH-Tunnel, der auf Port 443 mit einem externen Server aufgebaut wird, der unter der Kontrolle des Angreifers steht, kann dann beliebiger Traffic über das bereits bekannte Prinzip durch den SSH-Tunnel geleitet werden. Dasselbe Prinzip würde auch z.B. mit OpenVPN funktionieren.
In manchen Fällen reicht es sogar, mit MAC-Spoofing die Hardware-Adresse einer bereits angemeldeten Station zu übernehmen. Dasselbe Prinzip haben wir bereits im Abschnitt über MAC-Filter vorgestellt.
Eine weitere Möglichkeit besteht darin, via Sniffing im Monitor Mode die Übermittlung der Zugangsdaten von anderen Stationen mitzuschneiden und entsprechend HTTP-Post-Pakete auszuwerten. Das setzt voraus, dass die Kommunikation mit dem Captive Portal unverschlüsselt abläuft – was leider durchaus noch immer vorkommt. Um eine solche Anfrage herbeizuführen, kann ein Deauthentication-Angriff helfen. Ein solches Szenario ist mit den bereits bekannten Tools wie airmon-ng, airodump-ng, aireplay-ng und natürlich Wireshark realisierbar.
Ein anderer Ansatz ist der MITM-Angriff. Da Netzwerke mit einem Captive Portal zwangsläufig offen sind, können wir uns zunächst mit dem Netzwerk verbinden. Zwar können wir noch nicht weiter kommunizieren, aber wir erhalten eine reguläre IP-Adresse und sind auf Netzwerkebene vollwertige Teilnehmer des WLAN-Netzwerks.
Mit ARP-Spoofing können wir nun eine Man-in-the-Middle-Position erlangen und damit den Datenverkehr zwischen Station und Router über unser eigenes System leiten. Dazu müssen wir nur dem Opfer-System suggerieren, dass unser eigenes System das Captive Portal ist, also dessen IP-Adresse auf unsere eigene MAC-Adresse auflösen. Dem Captive Portal gegenüber geben wir uns in gleicher Weise als das Opfer-System aus. Dafür eignet sich das Tool Ettercap. Wir haben es Ihnen in Kapitel 17 Lauschangriffe & Man-in-the-Middle ausführlich vorgestellt.
Dadurch, dass der Datenverkehr ab diesem Zeitpunkt über unser System fließt, wir aber nicht am Captive Portal authentifiziert sind, erscheint beim Opfer-System die Eingabeaufforderung zur Authentifizierung, ganz ohne Deauthentication-Angriff. Der User wird sich oft nicht viel dabei denken und gibt seine Credentials erneut an, was wir natürlich mitschneiden, voilà!
Haben die bisher vorgestellten Varianten nicht funktioniert, bleibt uns nur noch die Möglichkeit, andere Teilnehmer höflich nach ihrem Passwort zu fragen. Sie denken, das wird schwierig? Vermutlich nicht mithilfe eines Evil-Twin-Angriffs, den Sie im nächsten Abschnitt kennenlernen werden.
28.5 Rogue Access Points
Ein Access Point, der ohne Wissen oder Genehmigung vom Administrator entweder versehentlich oder absichtlich mit dem Netzwerk verbunden wird, nennt man Rogue Access Point. Durch ihn wird das Netzwerk entsprechend ungewollt erweitert. Dadurch wird es einem Angreifer unter Umständen möglich, auf Daten im Netzwerk zuzugreifen. Hat der Angreifer diesen Access Point unter seiner Kontrolle, kann z.B. Datenverkehr mitgeschrieben werden. Eine einfache Variante eines Rogue Access Points ist die Aktivierung der Tethering-Funktion des Smartphones, womit das Phone als AP mit eigenem WLAN fungiert, über das der Bürocomputer dann unkontrollierten Zugang zum Internet erhält und der Anwender an den Sicherheitsmaßnahmen des Netzwerks vorbei Daten hoch- oder herunterladen kann.
Hinzu kommt die Gefahr, dass ein schlecht geschützter Rogue AP auch von Dritten ausgenutzt werden kann, die (vom Rogue-AP-Betreiber unbemerkt) Zugang zum Netzwerk erlangen. Also selbst wenn keine böse Absicht hinter der Bereitstellung eines Rogue AP besteht, wie im Falle eines Büromitarbeiters, der für seinen eigenen Internetzugang Tethering aktiviert, kann dies trotzdem zu großen Schäden führen.
Eine Variante eines Rogue Access Points besteht darin, bewusst selbst einen Fake-Access-Point aufzusetzen, um diesen anderen Stationen bereitzustellen. Dies wird z.B. genutzt, um einen Evil-Twin-Angriff durchzuführen. Es gibt aber auch andere Angriffsszenarien. Schauen wir uns das etwas genauer an.
28.5.1 Fake-Access-Point bereitstellen
Ein Fake-Access-Point ist nicht zwingend mit einem regulären, privaten Netzwerk verbunden. In vielen Szenarien wird den Teilnehmern, die sich mit dem AP verbinden, lediglich eine Internetverbindung bereitgestellt. Dazu erstellt der Angreifer beispielsweise einen Hotspot mit einer SSID wie »Free Wi-Fi« oder »Internet« und lockt damit Besucher mit ihren WLAN-Geräten in sein Netz. Es können auch bekannte, existierende SSIDs wie »Starbucks« oder »Telekom« gewählt werden. Hier kommt dem Angreifer der Umstand entgegen, dass die WLAN-Verbindungen auf dem Endgerät gespeichert werden.
Ist einer WLAN-Station die SSID bereits bekannt, weil sie in der Vergangenheit schon einmal damit verbunden war, wird bei entsprechender Einstellung das Endgerät automatisch eine Verbindung zur bekannten SSID aufbauen. Das funktioniert allerdings nur dann ohne Probleme, wenn das Netzwerk nicht mit einem PSK abgesichert ist – ansonsten wird der Anwender aufgefordert, den PSK einzugeben. Damit die Teilnehmer dann auch im Netzwerk bleiben, wird ihnen tatsächlich freies Internet zur Verfügung gestellt, während sämtlicher Datenverkehr über das System des Angreifers geleitet wird und entweder mitgeschnitten oder sogar manipuliert werden kann.
Für einen solchen Angriff müssen Sie keineswegs zwangsläufig eine auffällige Hardware mit großen Antennen platzieren – für viele Szenarien reicht unser Kali Linux auf dem Raspberry Pi völlig aus. Da der WLAN-Adapter des »Raspis« jedoch keinen Monitor Mode unterstützt, müssen Sie einen externen, kompatiblen USB-WLAN-Adapter erwerben. Aus bereits genannten Gründen halten wir uns an dieser Stelle mit konkreten Empfehlungen zurück und verweisen auf einschlägige Quellen im Internet.
Um einen Fake-AP aufzusetzen, sind einige Schritte und Voraussetzungen notwendig. Das System des Angreifers benötigt zunächst zwei Schnittstellen. Die eine gewährleistet die Verbindung zum Internet, während die andere den Stationen die SSID bereitstellt. Den Opfern soll nach dem Verbindungsaufbau mit unserem Fake-AP eine IP-Adresse zugewiesen werden und die Anfragen zwischen Endgerät und dem Ziel im Internet sollen entsprechend weitergeleitet werden. Dieser Datenverkehr wird dann vom Angreifer mitgeschnitten und analysiert. Abbildung 28.40 verdeutlicht das Szenario.
In diesem Fall hat der Angreifer eine kabelgebundene Verbindung ins Internet, aber es ist prinzipiell genauso möglich, einen zweiten WLAN-Adapter anzuschließen, der das Interface eth0 ersetzt. Auch eine Mobilfunkanbindung ist möglich. Wichtig ist, dass der Angreifer einen Weg ins Internet hat, um dem Opfer die Verbindung dorthin zu ermöglichen.
Nachfolgend werden wir zum allgemeinen Verständnis nur das prinzipielle Vorgehen aus der genannten Anleitung beschreiben, um einen Fake-AP für potenzielle Opfer bereitzustellen. Hierzu sind einige Prozessschritte erforderlich.
Im ersten Schritt stellen wir einen DHCP-Server bereit, damit das Opfer eine gültige IP-Konfiguration erhält, wenn es sich mit unserem Fake-AP verbindet. Dies können Sie z.B. mit dem Paket isc-dhcp-server sicherstellen.
Im Anschluss erstellen wir mit Kali Linux einen Access Point durch die Unterstützung eines bisher noch nicht verwendeten Tools aus der Aircrack-Suite. Es geht um airbase-ng – dieses Tool wurde entwickelt, um Access Points zu simulieren.
In diesem Zusammenhang wird ein neues Interface mit dem Namen at0 erstellt, siehe Abbildung 28.41. Hierbei handelt es sich um ein Tunnel-Interface, das wir mit einer gültigen IP-Konfiguration (10.1.1.1/24) ausstatten müssen.
Ist dies getan, wird die SSID unseres Fake-WLAN ausgestrahlt und verbundene Endgeräte erhalten eine entsprechende IP-Konfiguration. Sie können das z.B. mit Ihrem Smartphone schnell überprüfen.
Damit das Opfer keinen Verdacht verspürt, wird ihm der versprochene Zugriff auf das Internet bereitgestellt. Dafür wird die Routingfunktionalität über die Kernel-Konfigurationsdatei /proc/sys/net/ipv4/ip_forward aktiviert, indem dort der boolesche Wert 1 hineingeschrieben wird.
Für die Weiterleitung der Pakete aus dem bereitgestellten WLAN-Netzwerk in das kabelgebundene Netzwerk benötigen wir einige zusätzliche Funktionen der im Linux-Kernel bereitgestellten Firewall iptables. Damit stellen wir sicher, dass alle eingehenden Pakete an das echte Gateway 192.168.1.254 weitergeleitet werden.
Darüber hinaus verstecken wir alle eingehenden Pakete aus dem Fake-WLAN (10.1.1.0/24) per Masquerading (auch als Hide-NAT bzw. NAT Overload bezeichnet) hinter der IP-Adresse des ausgehenden Interface Richtung Internet, also der Ethernet-Schnittstelle des Kali-Systems mit der IP 192.168.1.205. Damit ist keine Rückroute auf dem Gateway für das Subnetz 10.1.1.0/24 notwendig.
Wurden diese Regeln umgesetzt, können die Opfer über den von uns bereitgestellten Access Point auf Ressourcen im Internet zugreifen. Im nächsten Schritt möchten wir natürlich hauptsächlich Anmeldedaten mitschneiden. Das geht nur, wenn die Kommunikation unverschlüsselt abläuft.
Um dies zu unterstützen, nutzen wir ein Tool namens sslstrip. Es versucht, die TLS/SSL-Verschlüsselung zu unterbinden, und sorgt dafür, dass die Kommunikation unserer Opfer möglichst unverschlüsselt abläuft. Gibt ein Anwender nicht explizit https:// in die Adresszeile des Browsers ein, so wird bei aktivem sslstrip die HTTP-Variante der Webseite aufgerufen und die Weiterleitung zu HTTPS wird unterbunden. Voraussetzung ist, dass die Webseite überhaupt noch die Verbindung via HTTP zulässt. Für den Mitschnitt und die Auswertung verwenden wir das Tool ettercap, das Sie bereits aus Kapitel 17 Lauschangriffe & Man-in-the-Middle kennen.
Seit der Veröffentlichung von sslstrip im Jahr 2009 haben sich die Sicherheitsmechanismen im Web erheblich weiterentwickelt. Viele Websites erzwingen mittlerweile die Verwendung von HTTPS (TLS/SSL), um die Kommunikation zu verschlüsseln und Man-in-the-Middle-Angriffe zu erschweren. Das bedeutet, dass sslstrip immer weniger effektiv ist.
Das war es dann auch schon. Nun müssen wir nur noch warten, bis sich unser Terminal mit Anmeldedaten füllt. Denn wann immer ein Opfer die Kommunikation zu unserem Honeypot-WLAN aufnimmt und im Internet eine unverschlüsselte Anmeldung vornimmt, wird dies von ettercap registriert und im Terminalfenster ausgegeben.
Um noch mehr Stationen auf unseren Fake-AP zu locken, können wir mit DoS-Angriffen das reguläre Netzwerk lahmlegen. So wäre es z.B. möglich, einen DHCP-Starvation-Angriff durchzuführen, um den autorisierten AP lahmzulegen, oder einen Deauthentication-Angriff, um die bestehenden Verbindungen zum regulären AP zu trennen.
28.5.2 WLAN-Phishing
Beim WLAN-Phishing bedienen wir uns einer Technik aus dem Bereich des Social Engineering. Der Angriff wird auch als Evil Twin bezeichnet. Warum dieser passende Name gewählt wurde, wird Ihnen vermutlich gleich klar werden. Denn um an Anmeldedaten zu kommen (beispielsweise auch die von Captive Portals), wird dem Opfer über dieselbe oder sehr ähnliche SSID wie die des Original-WLAN eine gefälschte Seite bereitgestellt, die eine Kopie der Original-Anmeldeseite darstellt. Erkennt das Opfer die Fälschung nicht, ist er auf den bösen Zwilling des autorisierten Access Points, den Evil Twin, reingefallen und hat diesem seine Zugangsdaten verraten.
Sehr elegant funktioniert das auf dem WiFi Pineapple von Hak5 und dem Modul Evil Portal, einem Captive-Portal-Modul für den Pineapple, das Sie hier herunterladen können: https://github.com/frozenjava/EvilPortalNano.
Unter https://github.com/kbeflo/evilportals können Sie wiederum eine Sammlung von Portalseiten für Evil Portal herunterladen, die einige bekannte Portalseiten wie Facebook, Google, O2 oder Starbucks darstellen.
Es existieren diverse Möglichkeiten und Tools, um einen Evil-Twin-Angriff einzuleiten. In jedem dieser Fälle nutzen wir das eben vorgestellte Prinzip des Fake-AP. Wir stellen dem Opfer ein Netzwerk oder sogar Webinhalte bereit und sitzen als Angreifer in einer Man-in-the-Middle-Position. Das Opfer hat davon keine Ahnung, da sich die Umgebung wie das offizielle WLAN darstellt.
Auch airbase-ng bietet beispielsweise die Möglichkeit, eine exakte Kopie eines bereits vorhandenen Netzwerks bereitzustellen. Der folgende Befehl erstellt eine Kopie des angegebenen Netzwerks. Die Werte für BSSID, ESSID und den Kanal müssen dem Original entsprechend angepasst werden:
airbase-ng -a <BISSID> --essid <ESSID> -c <Kanal> wlan0
Haben Sie eine entsprechende Kopie des Netzwerks erstellt, können Sie die reguläre Captive-Portal-Anmeldeseite kopieren und über Ihren Webserver den Opfern bereitstellen. Eine Webseite kann dafür manuell über die Browserfunktion (Datei|Seite speichern als...) kopiert werden und unter /var/www/html abgelegt werden. Geben die Opfer dort ihre Anmeldedaten ein, sniffen Sie diese natürlich mit und haben damit – ohne das Passwort knacken zu müssen – die passenden Credentials für die Anmeldung an das Netzwerk erhalten.
Evil-Twin-Angriffe werden in der Regel immer mit einem Deauthentication-Angriff auf das reguläre Netzwerk kombiniert, um einen Wechsel in das Evil-Twin-Netzwerk zu provozieren. Parallel bietet es sich an, nach Möglichkeit den echten AP so zu stören, dass er nicht oder nur eingeschränkt zur Verfügung steht.
Tools wie wifiphisher (https://github.com/wifiphisher/wifiphisher) oder Linset (https://github.com/vk496/linset) sind darauf ausgelegt, sehr komfortabel WLAN-Phishing-Angriffe durchzuführen. Toppen kann das nur noch Airgeddon (https://github.com/v1s1t0r1sh3r3/airgeddon), ein Skript, das diverse Tools miteinander kombiniert und mit dem Sie völlig automatisiert verschiedene Angriffe testen können. Airgeddon stellt dabei einen Fake-AP und DHCP-Server bereit, wendet SSLStrip an, versendet Deauthentication-Pakete und schneidet den Traffic mit – alles in eigenen Terminalfenstern parallel.
Damit wollen wir unseren Überblick über Wireless-Netzwerke und deren Schwachstellen und Angriffsszenarien schließen. Es gibt ganze Bücher und Kurse zum Thema »WLAN-Hacking«, sodass wir leider nicht alle Aspekte in diesem Rahmen berücksichtigen und alle Angriffe im Detail praktisch demonstrieren können.
Daher sind Sie an dieser Stelle am Zug: Vertiefen Sie Ihre Studien und experimentieren Sie mit Hard- und Software, wenn Sie die Möglichkeit dazu haben. WLAN-Hacking ist in vielen Szenarien und Pentest-Aufträgen ein Thema, und das Know-how in diesem Bereich ist essenziell für einen Ethical Hacker.
Wir möchten Sie abschließend noch einmal darauf hinweisen, dass Sie keine fremden Netzwerke angreifen dürfen! Es ist nur allzu verlockend, die leicht zugänglichen, fremden WLANs der Umgebung auszutesten und zu hacken. Dies ist jedoch grundsätzlich verboten und widerspricht dem Code of Ethics. Testen Sie nur in Ihrer eigenen Umgebung und besorgen Sie sich ggf. weitere Testhardware, wenn Sie Ihre produktive Umgebung nicht beeinträchtigen möchten.
![[Bild]](../Images/Kap28_Kanaele.jpg)
![[Bild]](../Images/Kap28_Ad-hoc.jpg)
![[Bild]](../Images/Kap28_BSS.jpg)
![[Bild]](../Images/Kap28_ESS.jpg)
![[Bild]](../Images/Kap28_WDS.jpg)
![[Bild]](../Images/Kap28_Mesh.jpg)
![[Bild]](../Images/Kap28_Verbindugsaufbau.jpg)
![[Bild]](../Images/Kap28_wep.jpg)
![[Bild]](../Images/Kap28_USB-connect.jpg)
![[Bild]](../Images/Kap28_iwconfig.jpg)
![[Bild]](../Images/Kap28_monitor-mode.jpg)
![[Bild]](../Images/Kap28_airodump.jpg)
![[Bild]](../Images/Kap28_stations.jpg)
![[Bild]](../Images/Kap28_airodump-2.jpg)
![[Bild]](../Images/Kap28_hidden-network.jpg)
![[Bild]](../Images/Kap28_hidden-network-1.jpg)
![[Bild]](../Images/Kap28_mdk3.jpg)
![[Bild]](../Images/Kap28_De-Auth.jpg)
![[Bild]](../Images/Kap28_wep-enc.jpg)
![[Bild]](../Images/Kap28_wepcrack_1.jpg)
![[Bild]](../Images/Kap28_wepcrack_2.jpg)
![[Bild]](../Images/Kap28_wepcrack_3.jpg)
![[Bild]](../Images/Kap28_wepcrack.jpg)
![[Bild]](../Images/Kap28_wpa2.jpg)
![[Bild]](../Images/Kap28_wpa2-2.jpg)
![[Bild]](../Images/Kap28_wpa2-1.jpg)
![[Bild]](../Images/Kap28_wps-scan.jpg)
![[Bild]](../Images/Kap28_wash.jpg)
![[Bild]](../Images/Kap28_reaver.jpg)
![[Bild]](../Images/Kap28_bully.jpg)
![[Bild]](../Images/Kap28_macfilter.jpg)
![[Bild]](../Images/Kap28_macfilter2.jpg)
![[Bild]](../Images/Kap28_macfilter3.jpg)
![[Bild]](../Images/Kap28_macchanger.jpg)
![[Bild]](../Images/Kap28_WirelessKeyView.jpg)
![[Bild]](../Images/Kap28_netsh.jpg)
![[Bild]](../Images/Kap28_linux.jpg)
![[Bild]](../Images/Kap28_login.jpg)
![[Bild]](../Images/Kap28_Captive_Portal.jpg)
![[Bild]](../Images/Kap28_Fake-AP.jpg)
![[Bild]](../Images/Kap28_Airbase.jpg)
![[Bild]](../Images/Kap28_evil-twin.jpg)