WLAN Sicherheit Stella Patzlaff Christoph Eder
Transcript of WLAN Sicherheit Stella Patzlaff Christoph Eder
Inhalt1. Grundlagen2. Verschlüsselung
a. WEPb. WPAc. WPA2d. WPA3
3. weitere Sicherheitsmechanismena. WPSb. Wireless Intrusion
Detection/Preventionc. Captive Portalsd. SSID hiding & MAC filtering
4. Praxisteil: Dictionary-attack
W-LAN basics LAN: Größer als Personal Area Network, kleiner als Metropolitan Area Network, meist IEEE 802.3 (Ethernet), zwischen 100 Mbps und 1Gbps (Tanenbaum 2011: 19f)
WiFi Standard: IEEE 802.11, von 11 bis hunderte Mbps
MACA Protocol: Multiple/Medium Access with Collision Avoidance (statt CSMA)
RTS Request to send, CTS Clear to send (Tanenbaum 2011: 279)
Motivation ● Angriffe von praktisch überall in einem gewissen Radius möglich
● weit verbreitete Technologie, leicht verfügbare Angriffswerkzeuge
● sowohl für Clients (z.B. bei Benutzung öffentlicher Hotspots) als auch für Betreiber von Netzen relevant
● erfolgreiche Angriffe können ernsthafte Konsequenzen haben; Angreifer bleiben oft unerkannt
● selbst für Organisationen, die nicht auf WLAN setzen wichtig (WLAN-fähige Hardware)
https://www.schnatterente.net/technik/wlan-sicherheit
Sichere Passwörter ● Wird SSID gesendet muss man für Zugang nur den Schlüssel kennen
● Kurze Passwörter sind durch Brute-Force Attacken verwundbar
● Auf Wörter basierende Passwörter sind durch Dictionary-Attacken verwundbar
● Logins von Router werden oft nicht geändert und Standard Zugangsdaten leicht zu erraten
● Gute Passwörter zeichnen sich aus durch:○ Länge○ Viele unterschiedliche Zeichen○ Umlaute○ Groß- und Kleinschreibung○ Sonderzeichen○ keine Zusammenhänge
Access Points können imitiert werden
● Angreifer errichtet seinen AP in der Nähe des Echten
● verwendet gleichen Netzwerknamen/SSID wie der echte AP, manchmal einfach interessant wirkender Netzwerkname, bei geschützten Netzwerken wird gleiche Passphrase verwendet
● bei besserer Signalstärke verbinden sich Clients eher mit dem Angreifer
● hat sich ein Client erst einmal verbunden, kann der Angreifer:○ Daten mitschneiden○ falsche Informationen präsentieren○ Angriffe gegen Hard-/Software ausführen oder
versuchen Kontrolle über das Gerät des Client zu erlangen
● insbesondere bei kostenlosen WLAN-Netzwerken (z.B. Cafes) gefährlich
Netzwerke können leicht gestört werden
● Ziel ist es, das normale Funktionieren des Netzwerks zu behindern
● Dies kann auf mehreren Ebenen erfolgen:○ direkter Angriff auf die Funkverbindung
(Störsender)○ Senden von Death-Paketen an verbundene
Clients, um sie vom Netzwerk zu trennen○ Angriffe auf Accesspoints/Infrastruktur
● einfach auszuführen, kaum zu verhindern
Mitschneiden vertraulicher Daten
● verwendet das Netzwerk keine Verschlüsselung oder ist der Angreifer im Besitz der Passphrase, kann er alle übertragenen Datenpakete mitschneiden und analysieren
● interessante Daten sind u.a.: besuchte Webseiten und deren Inhalt, interne Dokumente (Firmen), Zugangsdaten
● es gibt Scripts, die z.B. Zugangsdaten aus aufgezeichneten Traffic filtern
● zusätzliche Sicherheitsebenen wie VPN, SSH, HTTPS können Schutz bieten
● HTTPS kann allerdings via sslstrip umgangen werden
WEP Wired Equivalent Privacy● WEP verwendet den RC4-Algorithmus als
Pseudozufallszahlengenerator● Ciphertext entsteht durch XOR-Verknüpfung von
Daten-Bitstrom und einem aus dem RC4-Algorithmus generierten pseudozufälligen Bitstrom
● RC4-Algorithmus erhält Schlüssel und Initialisierungsvektor als Eingabe
● Jede Nachricht bekommt einen neuen 24 Bit langen Initialisierungsvektor der mit dem Schlüssel verknüpft wird
● Das Ergebnis dieser Verknüpfung ist die Eingabe für den Algorithmus
● Mittels Zyklischer Redundanzprüfung wird ein vermeintlich sicherer Integritätsprüfwert an jede Nachricht angehängt
WEP Wired Equivalent Privacy● Die resultierende Nachricht wird mit dem
erzeugten pseudozufälligen Bitstream XOR-verknüpft
● Der dadurch entstandene Bitstream wird dem Initialisierungsvektor angehängt
● Schwachstellen von WEP:○ Initialisierungsvektor ist mit 24 Bit sehr kurz○ Mitlauschen der Daten während
Shared-Key-Authentication○ chopchop attack
● WEP bietet zwei Authentifizierungsmethoden an:○ Open System Authentication○ Shared Key Authentication
WEP Open System Authentication● Standard Authentifizierung● Ist keine Verschlüsselung konfiguriert, findet
keine Authentifizierung statt● Jeder Client mit korrektem WEP-Schlüssel
bekommt Zugang zum Netz● Austausch von Authentifizierungsnachrichten
um Client zu authentifizieren (Handshake)● Stimmen Schlüssel auf Client und Accesspoint
überein ist Kommunikation möglich● Stimmen Schlüssel nicht überein ist der Client
zwar authentifiziert, kann aber keine Daten im Netz austauschen
WEP Shared Key Authentication● vermeintlich sichere Variante● Challenge-Response-Authentifizierung● geheimer Schlüssel wird entblößt● Server schickt Challenge an Client (z.B. eine
Zufallszahl)● Client verschlüsselt Zahl wie bereits erwähnt
und schickt WEP-Paket an den Server● Ein Angreifer kann also die Challenge und das
gesendete WEP-Paket erlauschen
WPA Wi-Fi Protected Access● Architektur gleich wie bei WEP● Zusätzlicher Schutz durch dynamische
Schlüssel basierend auf Temporal Key Integrity Protocol
● Bietet Pre-shared key oder Extensible Authentication Protocol an
● Message Integrity Check und sequence counter● Initialisierungsvektor ist 48 Bit lang und
verwendet für jedes Datenpaket neue Schlüssel● Authentifizierung über Extensible Authentication
Protocol wird meist in großen WLAN-Installationen genutzt, da hierfür meist ein RADIUS-Server (Remote Access Dial-In User Service) benötigt wird
● Im SoHo-Bereich (Small Office, Home Office) werden meist Pre-shared keys benutzt.
WPA Wi-Fi Protected Access● Der PSK muss allen Teilnehmern im
WLAN-Netzwerk bekannt sein● Schwachstellen:
○ Pre-shared keys müssen sorgfältig gewählt werden (Gefahr von Brute-Force oder Wörterbuchangriffen)
○ Bei Anmeldevorgang findet Schlüsselaustausch statt mit dem generierte Schlüssel auf ihre Richtigkeit überprüft werden können
○ Beck-Tews-Hack der Limitierungen des Temporal Key Integrity Protocol umgeht
WPA2 Wi-Fi protected Access 2
● Der Nachfolger von WPA● Motivation: Einfügen von AES in WPA● WPA2 verwendet als Verschlüsselungsstandard
AES, wenn CCMP verwendet wird● CCMP: Counter Mode with Cipher Block
Chaining Message Authentication Code Protocol
● 128 Bit langer Schlüssel mit 48 Bit langem Initialisierungsvektor
● CM (Counter Mode) bewirkt Verschlüsselung der Daten
● CBC-MAC ist für Integrieren und Authentifizieren von Daten verantwortlich
WPA2 Authentifizierung● Authentifizierung durch Pre-shared key oder
Remote Authentication Dial-In User Service (RADIUS)-Server
● Pre-shared key wird meist bei kleinen Installationen benutzt - “Personal”
● RADIUS-Server werden meist in größeren Netzen verwendet - “Enterprise”
● Bei RADIUS-Authentifizierung leitet der Accesspoint Authentifizierungsanfragen an den RADIUS-Server weiter und lässt nach Erfolg die Kommunikation zu
WPA2 Schwachstellen● WPA2 gilt als noch nicht geknackt (kein
proof-of-concept)● Die einzige Methode unbefugten Zugang zu
einem WLAN mit WPA2 zu erlangen, ist das erraten des Pre-Shared-Key
● Es ist wichtig den Schlüssel sorgfältig zu wählen und lose Kombinationen aus Buchstaben, Zahlen und Sonderzeichen zu verwenden
● Key Reinstallation Attack (2017)
WPA3 Wi-Fi Protected Access 3● Vorteile von WPA3:
○ verbesserte Authentifizierung und Kryptographie○ Easy-Connect für IoT-Geräte○ individuelle Verschlüsselung für Clients○ Interoperabilität mit WPA2 geräten
● Simultaneous Authentification of Equals○ Nur ein Passwort Versuch erlaubt um Offline
Wörterbuchattacken zu verhindern● Forward Secrecy
○ Datentransfer wird sicherer gemacht● Verbinden ohne Display
○ Für IoT Geräte, QR Code an Router und Gerät mit einem Smartphone scannen um zu verbinden
● Dragonfly Handshake○ Brute Force, Wörterbuchattacken so gut wie
unmöglich○ KRACK-Angriffsmethode unwirksam
● Device Provisioning Protocol○ Verwalten von Netzwerken insbesondere IoT Geräte
WPA3 Authentifizierung● 4 Wege Handshake ersetzt durch Simultaneous
Authentication of Equals (SAE)● 128 Bit Verschlüsselung● Schutz vor Wörterbuch Angriffen durch Perfect
Forward Secrecy (PFS)○ Schutz gegen Key Reinstallation Attack (KRACK)○ Verwendung von Sitzungsschlüssel○ Sitzungsschlüssel in kurzen Abständen neu
ausgehandelt○ Diese Schlüssel können nach der Sitzung nicht
aus dem Langzeitschlüssel rekonstruiert werden● SAE teilt jedem Teilnehmer im Netzwerk einen
individuellen Schlüssel zu● Nur ein Versuch für Authentifizierung - Brute
Force Attacken dadurch unmöglich
WPA3 Dragonfly Handshake ● Prinzipiell ein SPEKE-Protokoll (Simple
Password Exponential Key Exchange)● 4 Way Handshake:
○ Schritt 1: Beide Seiten einigen sich auf ein Passwort und einen Transformationsmechanismus
○ Schritt 2: Beide Seiten berechnen anhand der vorher festgelegten Transformation (T) einen Punkt (G) einer elliptischen Kurve und eine zufälligen Wert aus einem festgelegten Bereich (a und b)
○ Schritt 3: Die Seiten berechnen aG bzw. bG und tauschen diese aus
○ Schritt 4: Die Seiten berechnen dann aG=a(bT) bzw. bG=b(aT) und stellen fest, ob sie das gleiche Passwort haben
➔ Zero Knowledge Proof (ZKP)
WPA3 Schwachstellen● Dragonblood
○ Dragonslayer: Angreifer braucht nur einen gültigen Nutzernamen
○ Dragondrain: Austesten ob Netzwerk gegenüber DoS-Attacken schwach ist
○ Dragontime: noch experimentell, Timing-Attacken (bei den meisten WPA3 Geräten nicht nützlich)
○ Dragonforce: noch experimentell, ähnlich wie Wörterbuchattacken
● Sicherheitslücken in WPA3-Personal● Easy-Connect-Modus nicht betroffen● Angreifer können unter sehr spezifischen
Umständen Traffic von Geräten abhören● Seitenkanal- und downgrade Attacken um
Passwort zu rekonstruieren● Software Updates verfügbar (bei Geräten
welche von Dragonblood-Sicherheitslücken betroffen sind)
WPS Wi-Fi Protected Setup● Eigenschaften:
○ Authentifizierung gegenüber dem WLAN-AP○ Authentifizierung des WLAN-AP gegenüber dem
WLAN-Client○ Automatische Konfiguration des WLAN-Clients mit
dem WLAN-Passwort○ Optional, soll setup erleichtern
● Authentifizierung nach Knopfdruck (WPS-PBC)○ WPS Anmeldephase wird gestartet○ Client bekommt Passwort
● Authentifizierung per Zahleneingabe (WPS-Pin)○ achtstellige Zahlenfolge○ WLAN-Passwort wird Client bei erfolgreicher Pin
Eingabe übermittelt
Um von Wi-Fi Alliance zertifiziert zu sein, müssen sowohl Authentifizierung durch PIN als auch Knopfdruck möglich sein
WPS Weitere Authentifizierungsmöglichkeiten:
● USB Flash Drive (UFD)○ USB Stick wird genutzt um Einstellungsdaten
zwischen Access Point und Geräten zu transportieren● Near Field Communication (NFC)
○ Gerät wird in die Nähe vom Access Point gebracht um Daten auszutauschen
● WPS ist eine Sicherheitslücke○ PIN ist nur 8 Zeichen kurz und führt somit zu
kürzeren Angriffen○ PIN ist nicht zufällig, sie wird meist mit Hilfe
bekannter Algorithmen von der MAC-Adresse abgeleitet
○ WPS sollte daher in der Regel deaktiviert werden
Captive Portals ● Koppelt Authentifizierung an Nutzungsbedingungen
● Clients ändern sich häufig● RFC 7710 Standard erst 2015 eingeführt● Vorschalten einer Website
○ Netzwerk / Internet blockiert○ Authentifizierung○ MAC Adresse wird freigeschaltet
● Umleitung via HTTP○ DNS abgefragt und IP aufgelöst○ HTTP Anfrage an diese IP Adresse○ Firewall leitet Anfrage um○ Weiterleitung zur Website
● Problem bei HTTPS○ Umleitungs-Server hat “falsches” Zertifikat
● Umleitung via DNS○ Endgerät fordert Website an○ nur ein DNS Server erreichbar○ dieser meldet die IP Adresse der Portalseite zurück○ Umleitung von DNSSEC als Man-in-the-middle Angriff
erkannt
WIDS Wireless Intrusion Detection System● System zur Erkennung von Angriffen● Komponenten:
○ Sensoren zur Überwachung des Netzwerks und des Frequenzspektrums
○ Managementsystem zur Verwaltung und Bedienung○ zentraler Server für die Analyse und Kommunikation
von Sensoren● Funktionsweise:
○ Funkfrequenzen und Datenpakete überwachen und analysieren
○ Nicht zugelassene Geräte über MAC-Adressen identifizierbar
○ erweiterter Schutz: eindeutige Fingerprints autorisierter Geräte
○ Steuerung erfolgt über zentrale Admin-Oberfläche○ erkannte Bedrohungen lösen Alarm aus
WIPS Wireless Intrusion Prevention System● Angriffe sollen automatisch abgewehrt werden
○ Man-in-the-middle Angriffe○ Honeypots○ MAC Spoofing○ Denial-of-service Angriffe○ falsch konfigurierte Access Points
● Netzwerk Implementierung○ Sensoren, Server und Konsole in privaten
isolierten Netzwerk○ Kommunikation über private Ports○ Konsole nur über privates Netzwerk erreichbar○ Geeignet für Organisationen mit Standorten im
privaten Netzwerk● Hosted Implementierung
○ Sensoren in privaten Netzwerk○ Konsole über Internet erreichbar○ Datenverkehr zw. Komponenten verschlüsselt○ Geeignet für große Organisationen mit verteilten
Standorten, weil sich Sensoren über Internet mit dem Server verbinden
SSID hiding ● Service Set Identifier (SSID, “Name” des Netzwerks) wird nicht gesendet
● Security by Obscurity● Mit den richtigen Werkzeugen lässt sich die
SSID dennoch sehr einfach auslesen● Ermöglicht es Angreifern einen Honeypot
aufzubauen○ erstellt Netzwerk mit gleicher SSID○ Opfer verbindet sich irrtümlich mit dem Honeypot
● keine ausreichende Sicherheitsmaßnahme gegen erfahrene Angreifer
MAC filtering ● Netzwerk wird so konfiguriert, dass nur Geräte mit vordefinierten Media Access Control (MAC) Adressen Authentifiziert werden
● Versucht ein Gerät sich zu authentifizieren, wird seine MAC-Adresse mit der Liste des Access Point abgeglichen
● Bietet nur schwache Sicherheit● MAC-Adresse kann leicht gefälscht werden● Um sich erfolgreich authentifizieren zu können
muss ein Angreifer die MAC-Adresse eines verbundenen Geräts kennen
● Diese kann allerdings leicht herausgefunden werden
● Kann gegen unerfahrene Angreifer schützen, erfahrene Angreifer haben allerdings keine Schwierigkeit diese Limitierung zu umgehen
Ziel& Aufbau
Ziel: Zugang zum Netzwerk durch Ermitteln des WPA2-Schlüssel
Dies wird durch Vergleichen des Hash-Wertes eines aufgezeichneten Handshakes und Hash-Werte möglicher Passwörter in einer Liste erreicht.
Aufbau
● Access Point: Smartphone mit aktivierter Hotspot-Funktion, verwendet WPA2 PSK als Verschlüsselung
● Client: Laptop der mit Hotspot von Mobiltelefon verbunden ist
● Angreifer: PC mit spezieller WLAN-fähiger Hardware und einer Liste potenzieller Passwörter (Wordlist)
NormaleKommunikation
HandshakeDeauthentication
Vorgehensweise 1. Umgebung scannen und Opfer auswählen2. Pakete aufzeichnen3. Client wird vom Netzwerk getrennt (optional)4. Abwarten bis ein Client versucht eine
Verbindung aufzubauen5. Handshake zwischen Access Point und Client
aufzeichnen6. Hash-Werte möglicher Passwörter aus der
Wordlist berechnen7. Berechnete Hash-Werte mit aufgezeichneten
Hash-Wert vergleichen8. Bei einem Treffer ist das zuletzt berechnete
Passwort der Schlüssel
Verwendete Werkzeuge
● Packet-Injection/Monitor-Mode fähige WLAN-Karte (TP-Link TL-WN722N)○ Packet-Injection: Die Karte kann beliebige Pakete
senden○ Monitor-Mode: Die Karte kann alle auf einem
Funkkanal übertragenen Pakete aufzeichnen● Aircrack-ng Suite
○ airmon-ng: Karte in den Monitor-Mode versetzen○ airodump-ng: Aufzeichnung des Handshakes○ aireplay-ng: Deauth-Pakete senden um Client vom
Netzwerk zu trennen○ aircrack-ng: Bruteforce der Passphrase aus
Handshake
Umgebung scannen iwlist wlx8416f91637e7 scan
● Scan um verfügbare Netzwerke aufzulisten● Wichtige Informationen werden angezeigt
○ Address: BSSID (MAC-Adresse des Access Point)
○ Kanal○ Verschlüsselung○ Empfangsstärke
Aktivieren des Monitor-Mode
airmon-ng start wlx8416f91637e7 11
● Verwendung von airmon-ng:○ start/stop: Startet/stoppt den Monitor Mode ○ wlx8416f91637e7: Das ist der Name des
Interface das verwendet werden soll○ 11: Repräsentiert den Kanal auf dem
aufgezeichnet werden soll● Aktiviert den Monitor-Mode für das angeführte
Interface auf Kanal 11 (Opfer sendet auf diesem Kanal).
● Dieser Befehl erzeugt das virtuelle Interface “wlan0mon”
● Am Ende wird das Interface durch “airmon-ng stop wlan0mon” beendet
Aufzeichnen der Pakete
airodump-ng -c 11 --bssid C0:F4:E6:EC:F0:23 -w psk wlan0mon
● Verwendung von airodump-ng:○ -c, --channel: Kanal auf dem aufgezeichnet
werden soll○ -d, --bssid: Wird verwendet um nach Netzwerken
mit angegebener BSSID zu filtern○ -w, --write: Präfix für die .cap Datei, hier z.B.
psk-01.cap○ Am Ende wird das Interface angegeben
(wlan0mon)● Aufzeichnen der übertragenen Pakete● Filtern nach Basic Service Set Identifier (BSSID)
des angegriffenen Access Point● Pakete und Handshake gespeichert in
capture-Datei “psk-01.cap”● Airodump-ng läuft im Hintergrund weiter
Aufzeichnen der Pakete
● Wichtige Informationen werden angezeigt○ Media Access Control (MAC) Adresse (BSSID)
des Access Points○ Signalstärke (PWR)○ Empfangsqualität (RXQ)○ Kanal (CH)○ Verschlüsselung (ENC)○ Verwendeter Cipher (CIPHER)○ Authentifizierungsprotokoll (AUTH)○ Netzwerkname (ESSID, hier nicht zu sehen)○ MAC-Adresse von verbundenen Clients
(STATION)● Wird ein Handshake gefunden, wird
airodump-ng beendet
Trennen des Clients aireplay-ng -0 1 -a C0:F4:E6:EC:F0:23 -c AC:BC:32:7A:21:3F wlan0mon
● Verwendung von aireplay-ng:○ -0, --deauth=: Legt Anzahl zu sendender
Deauth-Pakete fest○ -a: MAC-Adresse (BSSID) des Access Point
mit dem der Client verbunden ist○ -c: Die MAC-Adresse des Clients
● Deauth-Paket an Access Point senden● Client wird aus dem Netzwerk geworfen und muss
sich neu registrieren● Bei der Authentifizierung wird ein Handshake
aufgezeichnet
Bruteforce mit Wordlist
aircrack-ng -w wordlist.txt psk-01.cap
● Verwendung von aircrack-ng:○ -w: Wird benötigt um eine Wordlist anzugeben
deren Passwörter getestet werden sollen○ .cap Datei: Nach der Wordlist wird der Name der
capture Datei in welcher der Handshake aufgezeichnet wurde angegeben
● Wird verwendet nachdem airodump-ng einen Handshake aufgezeichnet hat
● Hash-Wert aus Handshake in capture Datei gesucht
● Wordlist beinhaltet Sammlung möglicher Passwörter
● Ein Passwort in jeder Zeile
Bruteforce mit Wordlist
aircrack-ng -w wordlist.txt psk-01.cap
● Für jedes Passwort wird nach der Reihe ein Hash-Wert berechnet, der mit dem Hash-Wert aus dem Handshake verglichen wird
● Stimmen die Werte überein meldet aircrack-ng einen Erfolg
● Wordlists können selbst erstellt werden● Im Internet gibt es verschiedene Wordlists mit
Millionen von möglichen Passwörtern● Je größer die Wordlist, desto höher die
Erfolgschance
LiteraturTanenbaum, Andrew/Wetherall, David 2011: Computer Networks. Fifth Edition. Pearson Education Inc., London
https://www.openpr.com/news/1161067/The-Wireless-Intrusion-Detection-And-Prevention-Systems-Market-is-projected-to-grow-at-a-Compound-Annual-Growth-Rate-CAGR-of-14-during-the-period-2018-2025.html
https://www.endian.com/de/produkte/hotspot/
https://www.wi-fi.org/discover-wi-fi/wi-fi-protected-setup
https://www.schnatterente.net/technik/wlan-sicherheit
https://www.elektronik-kompendium.de/sites/net/2307251.htm
https://web.archive.org/web/20030317002453/http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
https://web.archive.org/web/20070318010843/http://www.ece.mtu.edu/ee/faculty/mishra/Research/Security/NOTES/WEP_Flaws.htm
https://www.heise.de/security/meldung/WEP-Verschluesselung-von-WLANs-in-unter-einer-Minute-geknackt-164971.html
Literaturhttps://www.elektronik-kompendium.de/sites/net/0905251.htm
https://www.heise.de/security/artikel/Angriffe-auf-WPA-270596.html
https://www.heise.de/ct/artikel/WLAN-Verschluesselung-221639.html
https://www.heise.de/security/meldung/Angriff-auf-WPA-verfeinert-753357.html
http://www.ivanescobar.com/Message%20Falsification.pdf
https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/WPA2Verschuesselung_16102017.html
https://www.elektronik-kompendium.de/sites/net/0907111.htm
https://sarwiki.informatik.hu-berlin.de/WPA3_Dragonfly_Handshake
https://wpa3.mathyvanhoef.com/