PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Whitepaper WLAN-Security



cane
31.08.05, 10:37
Hallo @all,

ich schreibe grad ein Whitepaper zu WLAN-Security und möchte mal bitte die folgenden Aussagen geprüft und bewertet haben, ich gehe von einem professionellen Angreifer aus.



############################################
########### Features von Access-Points ########
############################################

MAC-Filter: Keine Sicherheit da MAC gespooft werden kann.

Ausschalten der (E)SSID: Keine Sicherheit da sie beim Anmelden eines Clients im Klartext übertragen wird.

Verringern der Sendeleistung: Sehr geringe Sicherheit da externe Antennen Daten bis in den Kilometer-Bereich empfangen können.



############################################
######## WEP/WEPPlus: ##################
############################################

Ist geknackt, nachfolgend die Attacken:

Bruteforce:
nur bei WEP64 praktikabel, hohe Rechenleistung nötig (Cluster, Supercomputers). Bestes Tool WepLab da die Verwendung von nur ASCII Zeichen erzwungen werden kann. Geht natürlich nur bei Devices die nullterminierte ASCII Strings als WEP-Key verwenden. Werden per MD5 aus ASCII-Strings abgeleitete WEP-Keys benutzt ist dwepcrack empfehlenswert da hier eine Methiode von Tim Newsham verwendet wird die den Keyspace von 2^40 auf 2^21 reduziert und somit extrem performanter ist.


Dictionary-Attacke:
im Privatbereich aufgrund der Verwendung von aus Wörtern abgeleiteten (oft per MD5) Keys oder nullterminierten ASCII Strings praktikabel
zum Erzeugen des Dictionary wird am besten "John the Ripper" verwendet
WepLab ist schneller, WepAttack kann simultan mehrere Dictionary-Attack Modi fahren.

FMS-Attacke:
2001 von Fluhrer-Mantin-Shamir veröffentlicht, schnell in mehrere Tools wie Airsnort integriert.
Benötigt 5-10 Millionen verschlüsselte pakete mit schwachen IVs.
Anfang 2002 wurde die FMS-Attacke von einem Hacker mit dem Pseudonym h1kari verbessert, die Verbesserung war aber eher gering.

KoreK-Attacke:
Am 8. August 2004 veröffentlicht ein Hacker unter dem Pseudonym KoreK eine verbesserte statistische Krytanalyse Attacke im Netstumbler-Forum die im Tool chopper funktional realisiert wird. chopper wird nicht mehr weiterentwickelt, die Implementierungen der KoreK-Attacke in Tools wie aircrack und dwepcrack sind wesentlich besser.
Benötigt mindestens mehrere hunderttausend Pakete mit unterschiedlichen IVs die aber entgegen der FMS-Attacke keine schwachen IVs haben müssen.



############################################
############ Tools: ####################
############################################

Aircrack:
Benötigt zur KoreK-Attacke ~ 200.000 (WEP64) bzw. 500.000 (WEP128) Pakete mit unterschiedlichen IVs. Mit weniger Paketen gehts meist auch, mehr Pakete verbessern die Erfolgswarscheinlichkeit noch etwas.
Beste Ergebnisse bei einem Fudge-Factor von 4, wenn zwischen 4 und 30 experimentiert wird liegt die Erfolgswarscheinlichkeit bei > 90 % ist aber noch von der verwendeten Hardware abhängig.



WepLab:
Anzahl Pakete siehe Aircrack
Beste Ergebnisse mit "--perc 95" (Äquivalent zu Aircracks Fudge-Factor), Erfolgswarscheinlichkeit etwas geringer als bei Aircrack.
Sehr gut für Dictionary-Attacken geeignet.



Airsnort:
arbeitet trotz implementierter KoreK-Attacke erst bei > 10.000.000 Paketen erfolgreich. Komisch...


WEPcrack:
Habe oft von Problemen und Fehlern (falsche Bytes im key --> False Positives) gelesen. Kann (noch) nicht sagen ob sie gefixt sind...


dwepcrack:
habe oft von Problemen unter Linux gelesen - sollte man mal unter einem BSD antesten...


WEPWedgie
Dient dazu einzelne Pakete ins Netz einzuschmuggeln und verwendet eine KnownPlaintext attacke. inwieweit nur bestimmte Geräte verwundbar sind muss ich noch recherchieren / testen... kann außerdem dazu verwendet werden mit diesen Paketen Portscans oder ähnliches zu realisieren.

chopchop
folgt


Airjack
folgt




############################################
############# WPA mit PSK ###################
############################################

Derzeit nur Dictionary-Attacks auf den verwendeten Key praktikabel.



So, jetzt bewertet mal bitte fleissig meine Ausführungen. Freue mich über jede Kritik oder Anregung, eigene Erfahrungen etc.


mfg
cane

Krischi
31.08.05, 11:06
Sachlich nichts beizutragen.

Aber eine Veständnisfrage hätte ich: Was um alles in der Welt ist ein Whitepaper? :confused:

cane
31.08.05, 11:21
Hallo Krischi!


Was um alles in der Welt ist ein Whitepaper?

Hmm, ich definiere es mal so:

Whitepaper ist ein Synonym für HowTo, Artikel oder ähnliches, beschreibt aber eher eine Thematik theoretisch umfassend statt eine Anleitung zu geben wie etwas genau zu tun ist.

Habe den begriff schon oft gelesen und mir angeeignet:
http://www.google.de/search?hl=de&q=whitepaper&btnG=Suche&meta=lr%3Dlang_de

mfg
cane

Windoofsklicker
31.08.05, 11:27
full ack


/* 10 Zeichen */

emwe
31.08.05, 15:41
Hallo,

da Du ja schreibst, dass es um böswillige Angreifer geht - ich vermisse die Möglichkeit der Packet Injection (z.B. mit aireplay). Interessant dazu wäre auch das Verfahren, welches von KoreK in chopchop verwendet wird (siehe [0]). Es ist zu erwarten, dass in Zukunft die Tools, mit denen diese Attacken heute noch einigermaßen aufwändig durchgeführt werden müssen, bald im "Script-Kiddie-Format" auftauchen.
Der Artikel beim Link ist das "lange" Lesen wirklich wert.

Gruß,

emwe


[0] http://securityfocus.com/infocus/1824

-hanky-
31.08.05, 16:35
Eine Anmerkung zum Ausschalten der ESSID:

Ich bin mir nicht sicher, aber ich meine es muss sich nicht einmal ein Client anmelden. Bei mir im lokalen Netz beispielsweise zeigt Kismet direkt den Namen des Access Points an, auch ohne angemeldete Clients. Iirc musste dazu nichtmal Traffic vorhanden sein.

Doch wie gesagt, sicher bin ich mir da nicht.

Ansonsten eine schöne, kurze und präzise Zusammenfassung, sehr interessant zu lesen :)

ernwe hat übrigens Recht - Packet Injection ist ein sehr probates Mittel den ganzen Vorgang rapide zu beschleunigen und sollte in deinem Whitepaper nicht fehlen. Vor Allem da ich seine Befürchtung teile und sogar ein wenig erstaunt bin, dass entsprechende Tools nicht bereits seit längerer Zeit verfügbar sind.

-hanky-

P.S.: Planst du das endgültige Whitepaper online zu stellen?

cane
31.08.05, 20:51
Hallo emwe,
hallo -hanky-,

erstmal danke für das feedback :)



ich vermisse die Möglichkeit der Packet Injection
Habe ich heute Mittag aufgenommen, es kommen auch noch einige andere Techniken mit rein.


Es ist zu erwarten, dass in Zukunft die Tools, mit denen diese Attacken heute noch einigermaßen aufwändig durchgeführt werden müssen, bald im "Script-Kiddie-Format" auftauchen.

Stimme ich zu wobei ich alle Techniken auch so schon ohne großen Aufwand umsetzen konnte... Basiert ja alles auf drei bis vier Jahre alten Entdeckungen und wird nur weiter verbessert. Naja - so lange es immer noch Deppen gibt die WEP sogar im Unternehmen einsetzen... Selbst wenn man den WEP-Key alle fünf Minuten wechselt sind ja mit den neuesten Tools Angriffe möglich.


Der Artikel beim Link ist das "lange" Lesen wirklich wert.

Der war schon in meinen Bookmarks, trotzdem Dankeschön :)


Bei mir im lokalen Netz beispielsweise zeigt Kismet direkt den Namen des Access Points an, auch ohne angemeldete Clients.

Hab es schnell mit zwei verschiedenen APs nachvollzogen - Du hast Recht. Mal schauen warum - vielleicht steht die SSID in den Beacon-Paketen? Irgendeine Idee? (Hab noch nicht groß danach gesucht...)


Planst du das endgültige Whitepaper online zu stellen?

Denke beizeiten schon - wenn ich mal dazu komme meine private Homepage fertig zu realisieren. Bin da noch an diversen CMS am testen aber "DAS Design " habe ich noch nicht gefunden. Nochnichtmal für ein CMS habe ich mich entschieden ;)