WLAN Sicherheit

Christoph EderStella Patzlaff

Inhalt1. Grundlagen2. Verschlüsselung

a. WEPb. WPAc. WPA2d. WPA3

3. weitere Sicherheitsmechanismena. WPSb. Wireless Intrusion

Detection/Preventionc. Captive Portalsd. SSID hiding & MAC filtering

4. Praxisteil: Dictionary-attack

Grundlagen

W-LAN basics LAN: Größer als Personal Area Network, kleiner als Metropolitan Area Network, meist IEEE 802.3 (Ethernet), zwischen 100 Mbps und 1Gbps (Tanenbaum 2011: 19f)

WiFi Standard: IEEE 802.11, von 11 bis hunderte Mbps

MACA Protocol: Multiple/Medium Access with Collision Avoidance (statt CSMA)

RTS Request to send, CTS Clear to send (Tanenbaum 2011: 279)

Motivation ● Angriffe von praktisch überall in einem gewissen Radius möglich

● weit verbreitete Technologie, leicht verfügbare Angriffswerkzeuge

● sowohl für Clients (z.B. bei Benutzung öffentlicher Hotspots) als auch für Betreiber von Netzen relevant

● erfolgreiche Angriffe können ernsthafte Konsequenzen haben; Angreifer bleiben oft unerkannt

● selbst für Organisationen, die nicht auf WLAN setzen wichtig (WLAN-fähige Hardware)

https://www.schnatterente.net/technik/wlan-sicherheit

Sichere Passwörter ● Wird SSID gesendet muss man für Zugang nur den Schlüssel kennen

● Kurze Passwörter sind durch Brute-Force Attacken verwundbar

● Auf Wörter basierende Passwörter sind durch Dictionary-Attacken verwundbar

● Logins von Router werden oft nicht geändert und Standard Zugangsdaten leicht zu erraten

● Gute Passwörter zeichnen sich aus durch:○ Länge○ Viele unterschiedliche Zeichen○ Umlaute○ Groß- und Kleinschreibung○ Sonderzeichen○ keine Zusammenhänge

Access Points können imitiert werden

● Angreifer errichtet seinen AP in der Nähe des Echten

● verwendet gleichen Netzwerknamen/SSID wie der echte AP, manchmal einfach interessant wirkender Netzwerkname, bei geschützten Netzwerken wird gleiche Passphrase verwendet

● bei besserer Signalstärke verbinden sich Clients eher mit dem Angreifer

● hat sich ein Client erst einmal verbunden, kann der Angreifer:○ Daten mitschneiden○ falsche Informationen präsentieren○ Angriffe gegen Hard-/Software ausführen oder

versuchen Kontrolle über das Gerät des Client zu erlangen

● insbesondere bei kostenlosen WLAN-Netzwerken (z.B. Cafes) gefährlich

Netzwerke können leicht gestört werden

● Ziel ist es, das normale Funktionieren des Netzwerks zu behindern

● Dies kann auf mehreren Ebenen erfolgen:○ direkter Angriff auf die Funkverbindung

(Störsender)○ Senden von Death-Paketen an verbundene

Clients, um sie vom Netzwerk zu trennen○ Angriffe auf Accesspoints/Infrastruktur

● einfach auszuführen, kaum zu verhindern

Mitschneiden vertraulicher Daten

● verwendet das Netzwerk keine Verschlüsselung oder ist der Angreifer im Besitz der Passphrase, kann er alle übertragenen Datenpakete mitschneiden und analysieren

● interessante Daten sind u.a.: besuchte Webseiten und deren Inhalt, interne Dokumente (Firmen), Zugangsdaten

● es gibt Scripts, die z.B. Zugangsdaten aus aufgezeichneten Traffic filtern

● zusätzliche Sicherheitsebenen wie VPN, SSH, HTTPS können Schutz bieten

● HTTPS kann allerdings via sslstrip umgangen werden

Verschlüsselung

WEP Wired Equivalent Privacy● WEP verwendet den RC4-Algorithmus als

Pseudozufallszahlengenerator● Ciphertext entsteht durch XOR-Verknüpfung von

Daten-Bitstrom und einem aus dem RC4-Algorithmus generierten pseudozufälligen Bitstrom

● RC4-Algorithmus erhält Schlüssel und Initialisierungsvektor als Eingabe

● Jede Nachricht bekommt einen neuen 24 Bit langen Initialisierungsvektor der mit dem Schlüssel verknüpft wird

● Das Ergebnis dieser Verknüpfung ist die Eingabe für den Algorithmus

● Mittels Zyklischer Redundanzprüfung wird ein vermeintlich sicherer Integritätsprüfwert an jede Nachricht angehängt

WEP Wired Equivalent Privacy● Die resultierende Nachricht wird mit dem

erzeugten pseudozufälligen Bitstream XOR-verknüpft

● Der dadurch entstandene Bitstream wird dem Initialisierungsvektor angehängt

● Schwachstellen von WEP:○ Initialisierungsvektor ist mit 24 Bit sehr kurz○ Mitlauschen der Daten während

Shared-Key-Authentication○ chopchop attack

● WEP bietet zwei Authentifizierungsmethoden an:○ Open System Authentication○ Shared Key Authentication

WEP Open System Authentication● Standard Authentifizierung● Ist keine Verschlüsselung konfiguriert, findet

keine Authentifizierung statt● Jeder Client mit korrektem WEP-Schlüssel

bekommt Zugang zum Netz● Austausch von Authentifizierungsnachrichten

um Client zu authentifizieren (Handshake)● Stimmen Schlüssel auf Client und Accesspoint

überein ist Kommunikation möglich● Stimmen Schlüssel nicht überein ist der Client

zwar authentifiziert, kann aber keine Daten im Netz austauschen

WEP Shared Key Authentication● vermeintlich sichere Variante● Challenge-Response-Authentifizierung● geheimer Schlüssel wird entblößt● Server schickt Challenge an Client (z.B. eine

Zufallszahl)● Client verschlüsselt Zahl wie bereits erwähnt

und schickt WEP-Paket an den Server● Ein Angreifer kann also die Challenge und das

gesendete WEP-Paket erlauschen

WPA Wi-Fi Protected Access● Architektur gleich wie bei WEP● Zusätzlicher Schutz durch dynamische

Schlüssel basierend auf Temporal Key Integrity Protocol

● Bietet Pre-shared key oder Extensible Authentication Protocol an

● Message Integrity Check und sequence counter● Initialisierungsvektor ist 48 Bit lang und

verwendet für jedes Datenpaket neue Schlüssel● Authentifizierung über Extensible Authentication

Protocol wird meist in großen WLAN-Installationen genutzt, da hierfür meist ein RADIUS-Server (Remote Access Dial-In User Service) benötigt wird

● Im SoHo-Bereich (Small Office, Home Office) werden meist Pre-shared keys benutzt.

WPA Wi-Fi Protected Access● Der PSK muss allen Teilnehmern im

WLAN-Netzwerk bekannt sein● Schwachstellen:

○ Pre-shared keys müssen sorgfältig gewählt werden (Gefahr von Brute-Force oder Wörterbuchangriffen)

○ Bei Anmeldevorgang findet Schlüsselaustausch statt mit dem generierte Schlüssel auf ihre Richtigkeit überprüft werden können

○ Beck-Tews-Hack der Limitierungen des Temporal Key Integrity Protocol umgeht

WPA2 Wi-Fi protected Access 2

● Der Nachfolger von WPA● Motivation: Einfügen von AES in WPA● WPA2 verwendet als Verschlüsselungsstandard

AES, wenn CCMP verwendet wird● CCMP: Counter Mode with Cipher Block

Chaining Message Authentication Code Protocol

● 128 Bit langer Schlüssel mit 48 Bit langem Initialisierungsvektor

● CM (Counter Mode) bewirkt Verschlüsselung der Daten

● CBC-MAC ist für Integrieren und Authentifizieren von Daten verantwortlich

WPA2 Authentifizierung● Authentifizierung durch Pre-shared key oder

Remote Authentication Dial-In User Service (RADIUS)-Server

● Pre-shared key wird meist bei kleinen Installationen benutzt - “Personal”

● RADIUS-Server werden meist in größeren Netzen verwendet - “Enterprise”

● Bei RADIUS-Authentifizierung leitet der Accesspoint Authentifizierungsanfragen an den RADIUS-Server weiter und lässt nach Erfolg die Kommunikation zu

WPA2 Schwachstellen● WPA2 gilt als noch nicht geknackt (kein

proof-of-concept)● Die einzige Methode unbefugten Zugang zu

einem WLAN mit WPA2 zu erlangen, ist das erraten des Pre-Shared-Key

● Es ist wichtig den Schlüssel sorgfältig zu wählen und lose Kombinationen aus Buchstaben, Zahlen und Sonderzeichen zu verwenden

● Key Reinstallation Attack (2017)

WPA3 Wi-Fi Protected Access 3● Vorteile von WPA3:

○ verbesserte Authentifizierung und Kryptographie○ Easy-Connect für IoT-Geräte○ individuelle Verschlüsselung für Clients○ Interoperabilität mit WPA2 geräten

● Simultaneous Authentification of Equals○ Nur ein Passwort Versuch erlaubt um Offline

Wörterbuchattacken zu verhindern● Forward Secrecy

○ Datentransfer wird sicherer gemacht● Verbinden ohne Display

○ Für IoT Geräte, QR Code an Router und Gerät mit einem Smartphone scannen um zu verbinden

● Dragonfly Handshake○ Brute Force, Wörterbuchattacken so gut wie

unmöglich○ KRACK-Angriffsmethode unwirksam

● Device Provisioning Protocol○ Verwalten von Netzwerken insbesondere IoT Geräte

WPA3 Authentifizierung● 4 Wege Handshake ersetzt durch Simultaneous

Authentication of Equals (SAE)● 128 Bit Verschlüsselung● Schutz vor Wörterbuch Angriffen durch Perfect

Forward Secrecy (PFS)○ Schutz gegen Key Reinstallation Attack (KRACK)○ Verwendung von Sitzungsschlüssel○ Sitzungsschlüssel in kurzen Abständen neu

ausgehandelt○ Diese Schlüssel können nach der Sitzung nicht

aus dem Langzeitschlüssel rekonstruiert werden● SAE teilt jedem Teilnehmer im Netzwerk einen

individuellen Schlüssel zu● Nur ein Versuch für Authentifizierung - Brute

Force Attacken dadurch unmöglich

WPA3 Dragonfly Handshake ● Prinzipiell ein SPEKE-Protokoll (Simple

Password Exponential Key Exchange)● 4 Way Handshake:

○ Schritt 1: Beide Seiten einigen sich auf ein Passwort und einen Transformationsmechanismus

○ Schritt 2: Beide Seiten berechnen anhand der vorher festgelegten Transformation (T) einen Punkt (G) einer elliptischen Kurve und eine zufälligen Wert aus einem festgelegten Bereich (a und b)

○ Schritt 3: Die Seiten berechnen aG bzw. bG und tauschen diese aus

○ Schritt 4: Die Seiten berechnen dann aG=a(bT) bzw. bG=b(aT) und stellen fest, ob sie das gleiche Passwort haben

➔ Zero Knowledge Proof (ZKP)

WPA3 Schwachstellen● Dragonblood

○ Dragonslayer: Angreifer braucht nur einen gültigen Nutzernamen

○ Dragondrain: Austesten ob Netzwerk gegenüber DoS-Attacken schwach ist

○ Dragontime: noch experimentell, Timing-Attacken (bei den meisten WPA3 Geräten nicht nützlich)

○ Dragonforce: noch experimentell, ähnlich wie Wörterbuchattacken

● Sicherheitslücken in WPA3-Personal● Easy-Connect-Modus nicht betroffen● Angreifer können unter sehr spezifischen

Umständen Traffic von Geräten abhören● Seitenkanal- und downgrade Attacken um

Passwort zu rekonstruieren● Software Updates verfügbar (bei Geräten

welche von Dragonblood-Sicherheitslücken betroffen sind)

Weitere Sicherheitsmechanismen

WPS Wi-Fi Protected Setup● Eigenschaften:

○ Authentifizierung gegenüber dem WLAN-AP○ Authentifizierung des WLAN-AP gegenüber dem

WLAN-Client○ Automatische Konfiguration des WLAN-Clients mit

dem WLAN-Passwort○ Optional, soll setup erleichtern

● Authentifizierung nach Knopfdruck (WPS-PBC)○ WPS Anmeldephase wird gestartet○ Client bekommt Passwort

● Authentifizierung per Zahleneingabe (WPS-Pin)○ achtstellige Zahlenfolge○ WLAN-Passwort wird Client bei erfolgreicher Pin

Eingabe übermittelt

Um von Wi-Fi Alliance zertifiziert zu sein, müssen sowohl Authentifizierung durch PIN als auch Knopfdruck möglich sein

WPS Weitere Authentifizierungsmöglichkeiten:

● USB Flash Drive (UFD)○ USB Stick wird genutzt um Einstellungsdaten

zwischen Access Point und Geräten zu transportieren● Near Field Communication (NFC)

○ Gerät wird in die Nähe vom Access Point gebracht um Daten auszutauschen

● WPS ist eine Sicherheitslücke○ PIN ist nur 8 Zeichen kurz und führt somit zu

kürzeren Angriffen○ PIN ist nicht zufällig, sie wird meist mit Hilfe

bekannter Algorithmen von der MAC-Adresse abgeleitet

○ WPS sollte daher in der Regel deaktiviert werden

Captive Portals ● Koppelt Authentifizierung an Nutzungsbedingungen

● Clients ändern sich häufig● RFC 7710 Standard erst 2015 eingeführt● Vorschalten einer Website

○ Netzwerk / Internet blockiert○ Authentifizierung○ MAC Adresse wird freigeschaltet

● Umleitung via HTTP○ DNS abgefragt und IP aufgelöst○ HTTP Anfrage an diese IP Adresse○ Firewall leitet Anfrage um○ Weiterleitung zur Website

● Problem bei HTTPS○ Umleitungs-Server hat “falsches” Zertifikat

● Umleitung via DNS○ Endgerät fordert Website an○ nur ein DNS Server erreichbar○ dieser meldet die IP Adresse der Portalseite zurück○ Umleitung von DNSSEC als Man-in-the-middle Angriff

erkannt

WIDS Wireless Intrusion Detection System● System zur Erkennung von Angriffen● Komponenten:

○ Sensoren zur Überwachung des Netzwerks und des Frequenzspektrums

○ Managementsystem zur Verwaltung und Bedienung○ zentraler Server für die Analyse und Kommunikation

von Sensoren● Funktionsweise:

○ Funkfrequenzen und Datenpakete überwachen und analysieren

○ Nicht zugelassene Geräte über MAC-Adressen identifizierbar

○ erweiterter Schutz: eindeutige Fingerprints autorisierter Geräte

○ Steuerung erfolgt über zentrale Admin-Oberfläche○ erkannte Bedrohungen lösen Alarm aus

WIPS Wireless Intrusion Prevention System● Angriffe sollen automatisch abgewehrt werden

○ Man-in-the-middle Angriffe○ Honeypots○ MAC Spoofing○ Denial-of-service Angriffe○ falsch konfigurierte Access Points

● Netzwerk Implementierung○ Sensoren, Server und Konsole in privaten

isolierten Netzwerk○ Kommunikation über private Ports○ Konsole nur über privates Netzwerk erreichbar○ Geeignet für Organisationen mit Standorten im

privaten Netzwerk● Hosted Implementierung

○ Sensoren in privaten Netzwerk○ Konsole über Internet erreichbar○ Datenverkehr zw. Komponenten verschlüsselt○ Geeignet für große Organisationen mit verteilten

Standorten, weil sich Sensoren über Internet mit dem Server verbinden

SSID hiding ● Service Set Identifier (SSID, “Name” des Netzwerks) wird nicht gesendet

● Security by Obscurity● Mit den richtigen Werkzeugen lässt sich die

SSID dennoch sehr einfach auslesen● Ermöglicht es Angreifern einen Honeypot

aufzubauen○ erstellt Netzwerk mit gleicher SSID○ Opfer verbindet sich irrtümlich mit dem Honeypot

● keine ausreichende Sicherheitsmaßnahme gegen erfahrene Angreifer

MAC filtering ● Netzwerk wird so konfiguriert, dass nur Geräte mit vordefinierten Media Access Control (MAC) Adressen Authentifiziert werden

● Versucht ein Gerät sich zu authentifizieren, wird seine MAC-Adresse mit der Liste des Access Point abgeglichen

● Bietet nur schwache Sicherheit● MAC-Adresse kann leicht gefälscht werden● Um sich erfolgreich authentifizieren zu können

muss ein Angreifer die MAC-Adresse eines verbundenen Geräts kennen

● Diese kann allerdings leicht herausgefunden werden

● Kann gegen unerfahrene Angreifer schützen, erfahrene Angreifer haben allerdings keine Schwierigkeit diese Limitierung zu umgehen

Praxisteil: Wörterbuchangriff gegen ein WLAN-Netzwerk

Ziel& Aufbau

Ziel: Zugang zum Netzwerk durch Ermitteln des WPA2-Schlüssel

Dies wird durch Vergleichen des Hash-Wertes eines aufgezeichneten Handshakes und Hash-Werte möglicher Passwörter in einer Liste erreicht.

Aufbau

● Access Point: Smartphone mit aktivierter Hotspot-Funktion, verwendet WPA2 PSK als Verschlüsselung

● Client: Laptop der mit Hotspot von Mobiltelefon verbunden ist

● Angreifer: PC mit spezieller WLAN-fähiger Hardware und einer Liste potenzieller Passwörter (Wordlist)

NormaleKommunikation

HandshakeDeauthentication

Vorgehensweise 1. Umgebung scannen und Opfer auswählen2. Pakete aufzeichnen3. Client wird vom Netzwerk getrennt (optional)4. Abwarten bis ein Client versucht eine

Verbindung aufzubauen5. Handshake zwischen Access Point und Client

aufzeichnen6. Hash-Werte möglicher Passwörter aus der

Wordlist berechnen7. Berechnete Hash-Werte mit aufgezeichneten

Hash-Wert vergleichen8. Bei einem Treffer ist das zuletzt berechnete

Passwort der Schlüssel

Verwendete Werkzeuge

● Packet-Injection/Monitor-Mode fähige WLAN-Karte (TP-Link TL-WN722N)○ Packet-Injection: Die Karte kann beliebige Pakete

senden○ Monitor-Mode: Die Karte kann alle auf einem

Funkkanal übertragenen Pakete aufzeichnen● Aircrack-ng Suite

○ airmon-ng: Karte in den Monitor-Mode versetzen○ airodump-ng: Aufzeichnung des Handshakes○ aireplay-ng: Deauth-Pakete senden um Client vom

Netzwerk zu trennen○ aircrack-ng: Bruteforce der Passphrase aus

Handshake

Umgebung scannen iwlist wlx8416f91637e7 scan

● Scan um verfügbare Netzwerke aufzulisten● Wichtige Informationen werden angezeigt

○ Address: BSSID (MAC-Adresse des Access Point)

○ Kanal○ Verschlüsselung○ Empfangsstärke

Aktivieren des Monitor-Mode

airmon-ng start wlx8416f91637e7 11

● Verwendung von airmon-ng:○ start/stop: Startet/stoppt den Monitor Mode ○ wlx8416f91637e7: Das ist der Name des

Interface das verwendet werden soll○ 11: Repräsentiert den Kanal auf dem

aufgezeichnet werden soll● Aktiviert den Monitor-Mode für das angeführte

Interface auf Kanal 11 (Opfer sendet auf diesem Kanal).

● Dieser Befehl erzeugt das virtuelle Interface “wlan0mon”

● Am Ende wird das Interface durch “airmon-ng stop wlan0mon” beendet

Aufzeichnen der Pakete

airodump-ng -c 11 --bssid C0:F4:E6:EC:F0:23 -w psk wlan0mon

● Verwendung von airodump-ng:○ -c, --channel: Kanal auf dem aufgezeichnet

werden soll○ -d, --bssid: Wird verwendet um nach Netzwerken

mit angegebener BSSID zu filtern○ -w, --write: Präfix für die .cap Datei, hier z.B.

psk-01.cap○ Am Ende wird das Interface angegeben

(wlan0mon)● Aufzeichnen der übertragenen Pakete● Filtern nach Basic Service Set Identifier (BSSID)

des angegriffenen Access Point● Pakete und Handshake gespeichert in

capture-Datei “psk-01.cap”● Airodump-ng läuft im Hintergrund weiter

Aufzeichnen der Pakete

● Wichtige Informationen werden angezeigt○ Media Access Control (MAC) Adresse (BSSID)

des Access Points○ Signalstärke (PWR)○ Empfangsqualität (RXQ)○ Kanal (CH)○ Verschlüsselung (ENC)○ Verwendeter Cipher (CIPHER)○ Authentifizierungsprotokoll (AUTH)○ Netzwerkname (ESSID, hier nicht zu sehen)○ MAC-Adresse von verbundenen Clients

(STATION)● Wird ein Handshake gefunden, wird

airodump-ng beendet

Trennen des Clients aireplay-ng -0 1 -a C0:F4:E6:EC:F0:23 -c AC:BC:32:7A:21:3F wlan0mon

● Verwendung von aireplay-ng:○ -0, --deauth=: Legt Anzahl zu sendender

Deauth-Pakete fest○ -a: MAC-Adresse (BSSID) des Access Point

mit dem der Client verbunden ist○ -c: Die MAC-Adresse des Clients

● Deauth-Paket an Access Point senden● Client wird aus dem Netzwerk geworfen und muss

sich neu registrieren● Bei der Authentifizierung wird ein Handshake

aufgezeichnet

Bruteforce mit Wordlist

aircrack-ng -w wordlist.txt psk-01.cap

● Verwendung von aircrack-ng:○ -w: Wird benötigt um eine Wordlist anzugeben

deren Passwörter getestet werden sollen○ .cap Datei: Nach der Wordlist wird der Name der

capture Datei in welcher der Handshake aufgezeichnet wurde angegeben

● Wird verwendet nachdem airodump-ng einen Handshake aufgezeichnet hat

● Hash-Wert aus Handshake in capture Datei gesucht

● Wordlist beinhaltet Sammlung möglicher Passwörter

● Ein Passwort in jeder Zeile

Bruteforce mit Wordlist

aircrack-ng -w wordlist.txt psk-01.cap

● Für jedes Passwort wird nach der Reihe ein Hash-Wert berechnet, der mit dem Hash-Wert aus dem Handshake verglichen wird

● Stimmen die Werte überein meldet aircrack-ng einen Erfolg

● Wordlists können selbst erstellt werden● Im Internet gibt es verschiedene Wordlists mit

Millionen von möglichen Passwörtern● Je größer die Wordlist, desto höher die

Erfolgschance

Vielen Dank für eure Aufmerksamkeit

Fragen?

LiteraturTanenbaum, Andrew/Wetherall, David 2011: Computer Networks. Fifth Edition. Pearson Education Inc., London

https://www.openpr.com/news/1161067/The-Wireless-Intrusion-Detection-And-Prevention-Systems-Market-is-projected-to-grow-at-a-Compound-Annual-Growth-Rate-CAGR-of-14-during-the-period-2018-2025.html

https://www.endian.com/de/produkte/hotspot/

https://www.wi-fi.org/discover-wi-fi/wi-fi-protected-setup

https://www.schnatterente.net/technik/wlan-sicherheit

https://www.elektronik-kompendium.de/sites/net/2307251.htm

https://web.archive.org/web/20030317002453/http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf

https://web.archive.org/web/20070318010843/http://www.ece.mtu.edu/ee/faculty/mishra/Research/Security/NOTES/WEP_Flaws.htm

https://www.heise.de/security/meldung/WEP-Verschluesselung-von-WLANs-in-unter-einer-Minute-geknackt-164971.html

Literaturhttps://www.elektronik-kompendium.de/sites/net/0905251.htm

https://www.heise.de/security/artikel/Angriffe-auf-WPA-270596.html

https://www.heise.de/ct/artikel/WLAN-Verschluesselung-221639.html

https://www.heise.de/security/meldung/Angriff-auf-WPA-verfeinert-753357.html

http://www.ivanescobar.com/Message%20Falsification.pdf

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/WPA2Verschuesselung_16102017.html

https://www.elektronik-kompendium.de/sites/net/0907111.htm

https://sarwiki.informatik.hu-berlin.de/WPA3_Dragonfly_Handshake

https://wpa3.mathyvanhoef.com/