Download als PDF FileBeim Sichern von WLAN Netzen gibt es viele Mythen, die sich leider nach all den Jahren immer noch hartnäckig festhalten. In diesem Teil 1, der „Die 6 dümmsten Wege ein WLAN zu sichern“, würde ich gerne auf die ersten drei, der schlimmsten Aberglauben eingehen:
MAC “authentication”
SSID “Verstecken”
LEAP authentication
DHCP Abschalten
Antennen ausrichtung, signal eindämmen
802.11a (5ghz) oder bluetooth benutzen
1) MAC „authentication“
Praktisch jede WLAN Lösung bietet die Möglichkeit eine Accesslist zu definieren, damit nur bestimmte MAC Adressen von WLAN Adapter sich connecten können. Optional kann man dazu noch eine Authentifizierung/Verschlüsselung zuschalten. Ganz schlimm ist der Aberglaube ein MAC Filter sei eine sichere Methode ein WLAN zu sichern, denn MAC Adressen werden selbst bei verschlüsseltem Traffic immer clear Text übertragen!
Ein passender Quote hierzu:
In 802.11, management frames such as (de)authentication, (dis)association, beacons, and probes are always unauthenticated and unencrypted. In other words, 802.11 management frames are always sent in an unsecured manner, unlike the data traffic, which are encrypted with protocols such as WPA, WPA2, or, at least, WEP, and so forth.
This allows an attacker to spoof a management frame from the AP to attack a client that is associated to an AP. With the spoofed management frames, an attacker can perform these actions:Quelle: http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008080dc8c.shtml
Um diese die MAC Adressen in der Luft zu sniffen genügt ein gängiger WLAN Adapter welcher den sogenannten „promiscuous mode“ oder auch „Monitor mode“ genannt unterstütz.
Passender Display Filter im Wireshark:
Anzeigen von 802.11 WLAN Traffic:
wlan
Zeigt nur Beacon Frames an:
wlan.fc.type_subtype == 0x08
Zeigt management Traffic für eine bestimmte SSID an:
wlan_mgt.ssid == "MY_SECURE_WLAN"
Ein Capture könnte folgender Massen aussehen:
Quelle: http://dsimoneau.wordpress.com/2012/04/25/wireshark-6-ieee-802-11/
Um dieses Problem zu lösen gibt es heute Verfahren wie beispielsweise Cisco’s „MFP“ Management Frame Protection, welches ich ggF. in einem weiteren Blogeintrag erläutern werde.
2) SSID „Verstecken“
Praktisch jeder WLAN AP bietet dieses Feature, oft auch „dissable broadcast SSID“ genannt. Genauso wie das Filtern von MAC Adressen, ist dieses Feature relativ sinnfrei, da auch die SSID unter bestimmten Umständen in clear text übertragen wird und zwar wenn sich ein Client reauthentificated.
Der Trick hier ist einem Client der mit einem WLAN System verbunden ist ein „Disassociation Frame“ zu schicken, welchen ihn dazu bringt sich nochmals mit dem Accesspoint zu verbinden, dabei macht er eine Re-Authentification (Abgekürzte Variante einer Authentification). Als source MAC Adress spoofed man die MAC des Accesspoints, wodurch man den Client glauben lässt es sein ein seriöse Anfrage.
Dieses Quote hier bringt es auf den Punkt:
"The attacker sends a spoofed Disassociation frame where the source MAC address is set to that of the AP. The station is still authenticated but needs only to reassociate and sends Reassociation Requests to the AP. The AP may send a Reassociation Response accepting the station and the station can then resume sending data. To prevent Reassociation, the attacker continues to send Disassociation frames for a desired period."Quelle: http://cecs.wright.edu/~pmateti/InternetSecurity/Lectures/WirelessHacks/Mateti-WirelessHacks.htm
Empfehlen kann ich hierzu den Wireshark display filter auf eine bestimme MAC Adresse:
wlan.addr==12.23.45.56.78.9A
Guides und tools zu diesem Thema findet man heutzutage tonnenweise. Einfach mal nach „uncovering hidden ssid“ suchen.
Als Fertiglösung bietet sich die LiveCD von Backtrack an:
http://www.backtrack-linux.org/
3) LEAP authentication
Lightweight Extensible Authentication Protocol ist eine veraltete properitäre Methode von Cisco, welche auf basis von WEP funktioniert und die Usercredentials im Sessionaufbau in Cleartext überträgt!
Die entsprechenden Wireshark Display Filter hierzu:
eap.type eq 17
eap.leap.peer_response EAP-LEAP Peer-Response Sequence of bytes eap.leap.reserved EAP-LEAP Reserved Unsigned integer, 1 byte eap.leap.version EAP-LEAP Version Unsigned integer, 1 byte
Ein Capture sähe folgender Massen aus:
Quelle: http://intellavis.com/blog/?p=138
