Der Funk und die Sicherheit - Seite 2

Der Service Set Identifier

Der SSID - Service Set Identifier

Der Service Set Identifier ist dafür gedacht mehrere Netzwerke von einander zu unterscheiden. Die Zugangspunkte werden dabei von Haus aus mit einem vorgegebenen SSID ausgeliefert, so haben alle Ciscos beispielsweise den Namen 'tsunami', Acer Zugangspunkte tragen von Haus aus den Namen 'default'.

Beim SSID ist auch die erste - dünne - Sicherheitsschicht zu finden. Ein leicht zu erratender - oder ein bekannter - SSID macht das Netz einfacher zu identifizieren. Für jedermann, versteht sich. Daher sollte der SSID genau so behandelt werden wie ein Passwort: Es sollte ein langer Text sein der nicht in einem Wörterbuch steht und sich aus beliebigen Zeichen zusammensetzt. Und zwar einschließlich von Buchstaben, Zahlen und Symbolen.

Von Haus aus senden die meisten Zugangspunkte den SSID in regelmäßigen Abständen alle paar Sekunden aus. Das macht es den Benutzern einfacher das richtige Netz zu finden - aber dies ist auch der primäre Weg den mögliche Angreifer wählen um an den Namen des Netzwerkes zu gelangen ohne den SSID zuvor zu kennen. Also ist der SSID kein wirklicher Sicherheitsschutz und auch nie dafür gedacht gewesen. Er kann, wenn man ihn falsch vergibt, eine Orientierungshilfe für Angreifer sein.

Ändert man den vom Hersteller vorgegebenen Namen nicht, dann kann der Angreifer leicht die verwendete Hardware identifizieren und spezifische Sicherheitslöcher leichter ausnutzen. Setzt man den Namen auf einen erklärenden Text wie zum Beispiel 'Firma xyz, Entwicklung, 1. Stock', so macht man es dem Angreifer leichter sich zu orientieren. Statt dessen sollten man also kryptische, nichtssagende Namen für den SSID verwenden: Mit einem Namen wie 'sdfT561ö42' rückt man keine Information freiwillig raus - und das ist genau das, was man tun sollte.

Die Authentifizierung

Bevor ein Client mit einem Access Point kommunizieren kann, starten beide Geräte einen Dialog. Dieser soll klären soll ob die Geräte überhaupt zusammengehören. Dieser Vorgang wird 'associating' genannt. Der 800.11b Standard sieht vor, das ein Gerät sich direkt nach diesem Dialog authentifizieren muss. Funktioniert das nicht, so darf das Gerät nicht mit dem Access Point kommunizieren. (Es kann das natürlich trotzdem versuchen und es ist natürlich trotzdem in der Lage den Funkverkehr abzuhören.)

Diese Authentifizierung soll im Rahmen von 800.11b eine zusätzliche Sicherheitsschicht schaffen. Im Rahmen der Authentifizierung gibt es zwei Authentifizierungsmodi: Die 'shared key authentification' und die 'open authetification'. (shared key = gemeinsamer, geteilter schlüssel, open authentification := offenen Authentifizierung).

Die einfachste Methode ist dabei die offene Authentifizierung. Sie erlaubt es jedermann die Kommunikation mit dem AP zu beginnen. Es gibt also keinerlei Vorkehrungen dafür, wer mit dem Access Point reden darf und wer nicht. Bei der 'Shared key' Methode funktioniert das anders. Hier beginnt der Client zunächst damit, eine 'association' Anfrage an den Access Point zu senden. Der Access Point antwortet darauf, indem er einen 'Challenge' Text an den Client sendet. Der Client verschlüsselt diesen Text dann mit WEP (siehe dazu weiter unten) und sendet den verschlüsselten Text zurück zum Access Point. Kommt der Text in einer korrekt verschlüsselten Form beim Access Point an, wird der Client durchgelassen und darf in Zukunft mit dem Access Point kommunizieren. Eine 'korrekt' verschlüsselte Form ist dabei logischerweise eine, die der Access Point entschlüsseln kann - er hätte dann nach dem entschlüsseln gern wieder seinen ursprünglich versendeten Text gesehen.


Und so sieht es aus, wenn der WEP Key nicht stimmt: Windows sieht zwar ein Netzwerk - aber eine Verbindung ist nicht möglich.

Der Key der dabei verwendet wird ist der gleiche Schlüssel, der auch für die WEP Verschlüsselung verwendet wird. Und genau darin liegt ein großes Sicherheitsproblem, denn der 'challenge' Text muss ja zunächst unverschlüsselt vom Access Point an den Client übertragen werden. Ein Angreifer kann nun den Funkverkehr mitprotokollieren und erhält alleine dadurch zwei Elemente der drei Variablen in der Verschlüsselung: Zum einen den per Klartext übertragenen Challenge String, zum anderen den vom Client zurück gesendeten verschlüsselten Text.

Mit diesen beiden Informationen kann der Angreifer den RC4 Algorithmus verwenden (Siehe dazu die Seite: Der RC 4 Algorithmus) und gelangt so (und das mehr oder minder ohne Verzögerung) an den für die Verschlüsselung verwendeten Schlüssel. Ist der Schlüssel nun aber bekannt, dann ist auch sofort der WEP Schlüssel bekannt. Ein Einbruch in die Authentifizierung macht also nicht nur diese sondern auch gleich noch die WEP Verschlüsselung hinfällig. Ärgerliche Sache.

Das interessant Resultat davon ist, dass man besser gar keine Authentifizierung verwendet, denn dadurch schützt man zumindest das später verwendete WEP Verfahren. Das bedeutet paradoxerweise, dass die sicherste Methode der Authentifizierung innerhalb von WiFi die 'open' Methode ist, bei der sich jedermann mit dem Access Point unterhalten kann. Auch wenn es blöd klingt, dass man eine Sicherheitsschicht entfernen soll um sicher zu werden: Diese spezielle Schicht ist derartig fehlerhaft, dass das Entfernen der Schicht die Lage sicher macht.

Wie man das nun erreicht, ist leider sehr abhängig von den verwendeten Geräten. Beim Windows XP Dialog für WiFi Netze kann man beispielsweise zwischen der offenen und der shared key Authentifizierung wählen - aber ob der Access Point diese Option anbietet oder nicht (bzw. ob ein nicht Windows XP Treiber das tut oder nicht) steht auf einem völlig anderen Blatt. Ob der Access Point dann shared key Authentifizierung verwendet oder nicht (unter der Vorraussetzung, dass eine zugehörige Option nicht existiert), ist ebenfalls vom Gerät abhängig. Letzten Endes bleibt einem nichts übrig als bei den Clients die offenen Authentifizierung einzuschalten und dann darauf zu hoffen, dass die Verbindung damit funktioniert. Wenn nicht: Pech gehabt.Also: Wenn Sie einen Access Point erstehen wollen, dann sollten Sie auf jeden Fall sicherstellen das das Gerät auch mit einer offenen Authentifizierung klarkommt.

Artikel kommentieren