Channel Security

Wie sicher ist die Nutzung eines WLAN-Hotspots? Der wesentliche Unterschied zwischen einem Hotspot und dem Access Point eines normalen WLAN besteht darin, dass die Hauptaufgabe eines Hotspots die Bereitstellung des Internetzugangs ist, während der Access Point im Wesentlichen den Zugriff auf das lokale Netz ermöglichen soll. Dementsprechend ist bei einem Hotspot der Zugriff beliebiger Clients auf den Hotspot erwünscht, während deren Zugriff auf andere Rechner im WLAN unerwünscht ist. Beim Access Point ist es genau umgekehrt: Nur erwünschte Rechner sollen sich mit dem WLAN verbinden, dann aber auch mit den anderen Clients kommunizieren können. Entsprechend ergeben sich bei einem Hotspot andere Sicherheitsprobleme als in einem normalen WLAN.

Die Anmeldung

Die Anmeldung beim Hotspot erfolgt über die Broadcast-SSID, auf eine Verschlüsselung wird meist verzichtet. Eine weit verbreitete Zugangsmethode für Hotspots ist die 'Universal Access Method' (UAM): Wenn der Benutzer die erste Webseite in seinem Webbrowser aufruft, wird er auf die Anmeldeseite des Hotspots umgeleitet (sofern er nicht eine kostenfreie Seite des Hotspot-Betreibers aufgerufen hat). Die Authentifizierung erfolgt über einen AAA-Server (AAA = Authentifizierung, Autorisierung, Accounting), z.B. einen RADIUS-Server.

Zugangskontrolle

Da es keine einheitliche Hotspot-Architektur gibt, gibt es auch kein einheitliches oder gar standardisiertes Anmeldungs- und Authentifizierungsverfahren. Die Hotspots und ihr lokales WLAN sind daher weitgehend ungeschützt: Jeder Schutz würde eine entsprechende Anpassung auf der Client-Seite erfordern. Das würde aber potenzielle Kunden behindern, weshalb darauf verzichtet wird.

Ein Client, der einen Access Point sucht, sendet einen Probe-Request mit seinem Identifier, MAC-Adresse, Kanal und SSID. Jeder Access Point in Reichweite antwortet darauf mit seinem Identifier. Danach beginnt die Authentifizierung. Ein Angreifer, der den Identifier belauscht, kann sich als der betreffende Client ausgeben. Ist keine Authentifizierung notwendig (so genannte Open-System-Authentifizierung, bei der der Client sich durch seine MAC-Adresse ausweist), kann sich der Angreifer sofort mit dem belauschten Identifier/MAC-Adressen-Paar als gefälschter Client mit dem Access Point verbinden. Beim Einsatz der 'Universal Access Method' wird zwar die Verbindung über SSL/TLS geschützt, UAM ist aber über Session Redirection angreifbar. Zugangsdaten können daher über einen bösartigen Access Point ausgespäht werden.

Angriffe auf den Datenverkehr

Abgesehen vom Belauschen des generell unverschlüsselt übertragenen Datenverkehrs (sofern die Daten nicht unabhängig von der WLAN-Verbindung im Rahmen z.B. einer SSL/TLS-Verbindung oder eines VPN verschlüsselt übertragen werden) ist eine Reihe weiterer Angriffe möglich:

• Man-in-the-Middle
  Die größte Gefahr besteht in einem bösartigen (Rogue) Access Point: Der Angreifer gibt sich gegenüber dem Client als Access Point und gegenüber dem Access Point des Hotspots als der angegriffene Client aus. Dabei kann er auch HTTPS-Verbindungen belauschen, wenn der Client beim Verbindungsaufbau nicht auf das Zertifikat der Gegenseite achtet.
  KARMA ist eine Sammlung von Tools zum Testen von WLANs. Ein Sniffer kann nach Probe-Requests lauschen und danach entsprechend den Angaben im Request einen vertrauenswürdigen Access Point, mit dem sich der Client bereits zuvor einmal verbunden hat, simulieren. Der Client baut dann automatisch eine Verbindung zu diesem Access Point auf.
• Session Hijacking
  Der Angreifer wartet, bis ein Client eine Hotspot-Sitzung verlässt, und übernimmt dann dessen authentifizierte Session. Im einfachsten Fall reicht es dabei, die abgehörte legitimierte MAC- und IP-Adresse eines Clients zu verwenden.
• Machine Hijacking
  Ist bei einem authentifizierten Client IP-Forwarding oder Internet-Sharing aktiviert, kann ein Angreifer darüber auf das Netzwerk zugreifen, ohne sich selbst beim Hotspot authentifizieren zu müssen.
• DHCP-Spoofing
  Der Angreifer sendet dem Client gefälschte DHCP-Server- und DHCP-Gateway-Daten und lenkt damit den Netzwerkverkehr über sich um. Für einen erfolgreichen Angriff muss er seine gefälschten DHCP-Offer- und DHCP-Acknowledge-Pakete schneller als der DHCP-Server senden.
• DNS-Spoofing
  Der Angreifer fälscht die Antwort des DNS-Servers auf eine DNS-Anfrage, sodass sich der Client danach statt mit dem eigentlichen Zielrechner mit einem Rechner unter der Kontrolle des Angreifers verbindet (siehe About Security #61/ #62).
• ARP-Poisoning
  Durch eine Manipulation des ARP-Cache des Clients wird erreicht, dass der IP-Adresse des Hotspots stattdessen MAC-Adresse die MAC-Adresse des Angreifers zugeordnet wird (siehe About Security #60). Danach sendet der Client seine Daten an den Angreifer, der sie als Man-in-the-Middle (ggf. manipuliert) an den Hotspot weiterleitet.
• ICMP-Redirect
  Dem Client wird eine angeblich günstigere Route über einen Router unter der Kontrolle des Angreifers mitgeteilt.

David Maynor und Robert Graham von Errata Security haben im Frühjahr 2007 auf der Sicherheitskonferenz Black Hat DC 2007 vorgeführt, welche Informationen ein Client beim Starten und bei der Suche nach einem Access Point preisgibt und welche Schlüsse sich daraus ziehen lassen (PowerPoint-Folien des Vortrags). Zur Demonstration wurde das Tool FERRET entwickelt, das alle im Klartext übertragenen Daten sammelt. Auf der Konferenz Black Hat USA 2007 wurde von den beiden unter anderen demonstriert, wie ein Angreifer sich mit den belauschten Cookies einer GMail-Sitzung bei GMail anmelden kann (Blog-Eintrag von George Ou dazu). Mike Perry hat auf der Mailingliste Bugtraq berichtet, dass die Nutzung von SSL entgegen der Annahme von Robert Graham nicht als Schutz ausreicht.

Entsprechende Angriffe sind außer auf Webmail-Dienste auch auf alle anderen Webanwendungen möglich, die eine ähnliche Authentifizierung nutzen.

Gegenmaßnahmen

Bei der Nutzung eines Hotspots sollten vertrauliche Daten nur über verschlüsselte Verbindungen (z.B. SSL/TLS, VPN) übertragen werden. Beim Aufbau einer geschützten Verbindung müssen die Zertifikate der Gegenseite aufmerksam geprüft werden, um das Einschleichen eines Man-in-the-Middle zu verhindern.

Damit ist der Themenbereich "WLAN-Sicherheit" abgeschlossen. Im Bereich "Mobile Security" geht es in der nächsten Folge mit der Sicherheit von Bluetooth weiter.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WPA, WPA2 und IEEE 802.11i"

• About Security #108: Mobile Security – Wi-Fi Protected Access (WPA)
• About Security #109: Mobile Security – IEEE 802.11i Schlüsselhierarchien
• About Security #110: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #111: Mobile Security – IEEE 802.11i Gruppenschlüssel
• About Security #112: Mobile Security – IEEE 802.11i Verschlüsselung
• About Security #113: Mobile Security – IEEE 802.11i Authentifizierung
• About Security #114: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #115: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i
• About Security #116: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
• About Security #117: Mobile Security – WLAN-Hotspots