Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Sicher weil unsichtbar?

Manche Admins glauben, es sei bereits ein erster Schutz, die SSID des eigenen WLANs zu verstecken. Wer meint, das Feature "Hidden SSID" verberge das eigene Netz vor einem möglichen Wardriver, ist allerdings auf dem Holzweg. Es bewirkt nämlich lediglich, dass der Accesspoint die SSID nicht mehr in den Beacon-Frames erwähnt. Aber in Probe-Request-, Probe-Response- und Association-Request-Paketen ist die SSID weiterhin enthalten. Kann der Angreifer einen kurzzeitigen Disconnect bewirken, wird sich der Client anschließend sofort wieder zu verbinden versuchen und dazu mindestens eins der eben erwähnten Pakete verwenden. Davon kann man sich mit dem kleinen Skript aus Listing 3 überzeugen, das die fraglichen Pakete herausfiltert und anzeigt.

Listing 3

Probe-Frames

 

Ganz Ähnliches gilt übrigens für das Feature vieler Router, nur Verbindungen zu bekannten MAC-Adressen zuzulassen. Sobald sich ein Client mit dem Netz verbunden hat, kann man dessen MAC-Adresse erkennen und fortan leicht als eigene verwenden. Unsichtbare SSIDs und die Beschränkung auf bestimmte MAC-Adressen schützen also nur solange, wie überhaupt keine Netzwerkverbindung besteht.

WLAN-Packet-Injection

Die eben erwähnte kurze Unterbrechung einer WLAN-Verbindung lässt sich relativ leicht bewerkstelligen, wenn man selbst 802.11-Pakete aussenden kann. Dazu wiederum bedarf es eines Treibers, der diese Fähigkeit hat, und eines dazu passenden Chipsatzes. Atheros ist mit Abstand der beliebteste Chipsatz, aber andere sind auch verwendbar. Je nach Chipsatz kommen andere Treiber zum Einsatz wie zum Beispiel Hostap, Madwifi, Ath5k und Ath9k.

Den Chipsatz der eigenen WLAN-Karte oder des WLAN-Sticks findet man am einfachsten mit dem Befehl »lspci« oder »lsusb« heraus. Alternativ kann man auch in den Ausgaben von »dmesg« fündig werden. Eine Anleitung dafür und zur Überprüfung der Kompatibilität findet sich beispielsweise unter [1] , auch die Madwifi-Kompatibilitätsliste hilft weiter [2] . Mithilfe des Tools »airmon_ng« lässt sich abschließend testen, ob alles funktioniert:

;
airmon-ng start wlan0
aireplay-ng --test mon0

Das Ergebnis sollte ungefähr so aussehen:

16:37:00 Trying broadcast probe requests...
16:37:00 Injection is working!

Hatte man von vornherein einen passenden Treiber und Chipsatz oder konnte man zumindest den eigenen Treiber erfolgreich patchen, kann es losgehen. Um wie angekündigt zu bewirken, dass die Verbindung eines Clients mit einem WLAN unterbrochen wird, dessen SSID der Admin auf der Kommandozeile übergeben kann, sendet das Skript aus Listing 4 ein Deauth-Paket. Als Grund für den Verbindungsabbruch wird der Code »3« angegeben, was bedeutet, dass sich der Accesspoint angeblich ausschalten will.

Listing 4

Deauth-Pakete

 

Das konstruierte Paket wird in einer Endlosschleife verschickt, wobei zwischen dem Versenden der Pakete im Beispiel immer ein Timeout von einer Sekunde abgewartet wird. Derartige Deauth-Angriffe erkennt man am einfachsten mit einem Sniffer wie Wireshark und dem Filter

wlan.fc.subtype == 0x0c

Dem Autor ist als einzige Schutzmaßnahme ein kompletter Umstieg auf 802.11w bekannt.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023