So wehren Sie Angriffe auf das WLAN ab

Unsere Testaufstellung

Um ein WLAN-Passwort zu knacken, gilt es also, den Handshake zu bekommen. Dazu muss sich der Angreifer in der Nähe (im Empfangsbereich) des WLAN befinden und über spezielle Hard- und Software verfügen. Ist der Handshake gespeichert, versucht ein weiteres Programm, den Hashwert zu knacken und so das Passwort zutage zu fördern. Beliebt bei Sicherheitsfachleuten und Hackern zum Abfangen des Handshake ist die Aircrack-Suite, eine Sammlung von Programmen. Die gibt es für Linux und Windows, doch nur die Linux-Version bietet alle Funktionen. Die Software versetzt einen Angreifer in die Lage, umliegende NetzwerkeNetzwerke aufzuspüren, sie einzeln samt der verbundenen Clients darzustellen und bei Neuverbindung eines Clients den 4-Wege-Handshake (samt anderer Daten) in eine Datei zu schreiben. Ein anderes Aircrack-Modul kann dann aus der Datei den 4-Wege-Handshake extrahieren und in ein Format für einen Hashcracker wandeln. Alles zu Netzwerke auf CIO.de

Da „normale“ WLAN-Module für den Rechner diese Aufgaben des Hack-Jobs nicht erledigen können, sind modifizierte Treiber für bestimmte, geeignete WLAN-Karten einzusetzen. Wir haben uns für diesen Beitrag genau so ein Set zusammengestellt und damit kein fremdes WLAN angegriffen, sondern mehrere Test-WLAN-Router für den Zweck aufgesetzt. Nur so lassen sich ein Angriff genau nachvollziehen und entsprechende Sicherheitsmaßnahmen entwickeln.

Der erste Testlauf

Für unseren Linux-Rechner unter Ubuntu 12.04 LTS haben wir den WLAN-Adapter Alfa AWUS036H mit dem Chipsatz RTL8187L im Einsatz, der USB-Adapter kostet knapp 20 Euro. Für den Chipsatz, wie auch für viele andere, gibt es Patches für die Firmware, die den späteren Angriff auf die WLAN-Station erst möglich machen. Nach deren Installation ist der WLAN-Adapter über das Aircrack-Modul airmon-ng per Terminal zunächst in den sogenannten „Monitor-Modus“ zu versetzen. Das Modul airodump-ng sucht und findet in dem Modus alle umliegenden WLANs, stellt deren MAC-Adressen (BSSID), die verbundener Geräte, die WLAN-Namen (SSID, falls freigegeben), sowie weitere Werte dar. Leistungsfähige WLAN-Adapter stellen in Verbindung mit airodump-ng wesentlich mehr Netzwerke dar, als etwa die Auswahl am Mac. Fast alle WLANs geben auch ihren Namen preis, bei denen in der Liste (siehe Abbildung auf dieser Seite) wo statt des Namens der Wert „length: 0“ steht, ist der Name der WLAN-Station versteckt.

Der 4-Wege-Handshake wird aufgefangen

Das Modul airodump-ng kommt auch zum Einsatz, wenn der Datenverkehr einer bestimmten WLAN-Station aufgezeichnet werden soll, um den 4-Wege-Handshake zu speichern. Dazu werden die BSSID der WLAN-Station und der Kanal, auf dem sie funkt als Parameter eingegeben –beide Werte ergeben sich aus dem vorausgegangenen WLAN-Scan. Das Programm airodump-ng zeigt jetzt die Basisstation, in unserem Falle „VolkstestAP“, sowie unten eventuell verbundene Clients samt deren BSSID und Übertragungsparameter. Bleibt es dabei, lässt sich auch nach Stunden kein 4-Wege-Handshake gewinnen. Dazu muss sich – während airodump-ng die WLAN-Station überwacht, ein zusätzlicher Client anmelden. In diesem Falle informiert das Modul über den erfolgreich gespeicherten Handshake, das Modul kann beendet werden.

Da das Warten auf die Verbindung eines neuen Clients Stunden dauern kann, hat die Airckrack-Suite mit „aireplay-ng“ ein weiteres Modul in petto. Gefüttert mit der BSSID der WLAN-Basis und des Clients löst das Modul eine De-Authorisierung aus: Der schon angemeldete Client wird kurz getrennt und meldet sich automatisch wieder an – ein Handshake kann abgegriffen werden. Dieser „aktive Eingriff“ klappt zwar nicht immer beim ersten Versuch, kann aber beliebig wiederholt werden.