move IT Home Base

Shared Key

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Shared Key

Beim shared Key Verfahren wird zur Authentifizierung von auf einen Access Point zugriffsberechtigten WLAN-Clients ein Challenge Response Verfahren auf Basis des WEP-Keys gemacht. Dazu wird die Authentifizierungsanfrage von WLAN-Clients mit einem 128 Byte langen Zufallstext vom Access Point beantwortet. Der WLAN-Client verschlüsselt diesen Zufallstext anhand des beiden Systemen bekannten WEP-Schlüssels und sendet das Ergebnis als Antwort an den Access Point zurück. Erst wenn der Access Point diese Antwort über den eingestellten WEP-Schlüssel wieder rekonstruieren kann, erhält der Client Zugriff auf das Netz. Dieses Verfahren kostet natürlich etwas Performance, macht aber den Datenverkehr per Funk etwas sicherer als völlig ungeschützte Systeme. Allerdings ist dieses Verfahren nicht sicher gegenüber Replay-Attacken und gilt deshalb als unsicher.

Der am Access Point benutzte WEP-Schlüssel muß an allen angeschlossenen WLAN-Clients identisch sein. Da alle WLAN-Clients quasi denselben Schlüssel verwenden (to share = teilen) um sich als berechtigter Nutzer am Access Point zu authentifizieren ist dieses System für professionelle Hotspots mit individualisierten User-Logins (z.B. zur Abrechnung) völlig unbrauchbar.

Der Unterschied zum sichereren Personal-Key-Verfahren ist, dass hier ganze Gruppen von Usern denselben Schlüssel benutzen. Es kann über diese Methode also festgestellt werden, ob jemand überhaupt die Berechtigung hat, sich in ein Netz einzulinken – die Frage, um wen es sich nun aber ganz genau handelt, wird mit diesem Verfahren jedoch nicht geklärt.

Auch wenn bei diesem Verfahren der WEP-Key involviert ist, hat die Benutzer-Authentifizierung nichts mit der Daten-Verschlüsselung zu tun, denn beide Systeme sind unabhängig voneinander. Da das shared Key Verfahren eigentlich nicht wirklich wasserdicht funktioniert wie es sollte und zudem beim Cracken des WEP-Keys hilft ist es zu empfehlen Open System zu verwenden, am besten in Kombination mit einem professionellen Verschlüsselungssystem wie IPsec auf höherer Ebene und zur Authentifizierung von berechtigten Usern einen RADIUS-Server (Stichwort: Virtual Private Network, VPN).

Siehe auch Open System

Deassociation

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Deassociation

Deassociation beschreibt den Versuch einen Wireless Access Point mit massenhaften (Anmelde-)Anfragen so zu überlasten daß andere gleichzeitig angemeldete Clients ausgebucht werden. Bei Intrusion Detection Systemen (IDS) werden solche Szenarien durchgeführt um zu erkennen wo die Schmerzgrenze liegt und wann unnormales Verhalten um einen Alarm auszulösen.

Für Administratoren von Wireless Access Points und der dahinterliegenden Netzwerkinfrastruktur ist es von bedeutsamer Hilfe wenn sie genau wissen von welcher Art ein Angriff genau ist. Die meisten IDS lösen zwar gleich eine Horde von Alarmen aus, aber der Administrator ist dennoch auf seine Berufserfahrung angewiesen um die Hinweise richtig deuten zu können um darauf angemessen reagieren zu können.

Einige Attacken wie MAC-Spoofing ähneln denen in der drahtgebundenen Welt. Andere dagegen kommen nur in der Wireless-Welt vor wie Authentication- oder Deassociation-Frame-Floods. Diese dienen dazu, die Kommunikation zwischen einem Wireless Access Point und einem oder mehreren Clients zu unterbrechen. Bei einem Angriff werden dann zum Beispiel nicht existente Wireless Access Points gefälscht (spoofing) und dann Deauthentication-Pakete an die Clients geschickt. Eine typische Reaktion eines IDS ist dann die Meldung, dass MAC-Adressen-Spoofing und Deauthentication-Floods stattfänden.

Open System

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Open System

Bei der Open System Authentifizierung findet keine tatsächliche Authentifizierung von Clients an einem Access Point statt, ein offenes System eben. Jeder Client der sich am Access Point anschliessen möchte wird ohne weitere Prüfung aufgenommen. Der Access Point muss allerdings seine Stationskennung (SSID) aussenden, damit ihn Clients finden können.

Auch wenn der Begriff „Open System“ (offenes System) etwas anderes vermuten lassen könnte, heisst dies nicht das ein solcher Access Point völlig ungeschützt wäre, denn die Authentifizierung der Clients hat nichts mit der Verschlüsselung der Daten zu tun. Die Authentifizierung am Access Point und die Verschlüsselung der Daten (z.B. durch WEP) sind zwei voneinander unabhängige Systeme. Clients die z.B. nicht den passenden WEP-Schlüssel haben, können sich zwar am Access Point anmelden, aber den verschlüsselten Datenverkehr nicht mitlesen. Der Benutzer wäre damit zwar am Access Point angemeldet, kann aber den verschlüsselten Datenverkehr nicht mitlesen, was für ihn aber wertlos wäre, da so keine Kommunikation stattfinden kann. Einfach gesagt wäre das so als wenn man zwar einen gültigen Fahrschein für die S-Bahn in der Hand hat, aber von der S-Bahn nicht mitgenommen und am Bahnsteig stehengelassen wird.

Es gibt einige WLAN-Betreiber die auf das Open System statt dem Shared Key System vertrauen, da beim Shared Key System die Authentifizierungsdaten validiert werden müssen und dieses WEP-verschlüsselt geschieht, was eine weitere Angriffsfläche für WEP-Cracker bedeuten kann da Teile des anfänglichen Datenverkehrs völlig unverschlüsselt im Klartext erfolgen.

Zur Authentifizierung kann der Betreiber des Access Points ausserdem nur bestimmte MAC-Adressen zulassen. Dazu trägt der Betreiber des Access Points eine Liste zugelassener MAC-Adressen ist eine sogenannte MAC-ACL ein. Dies ist jedoch kein wirklicher Schutz, da MAC-Adressen auch leicht gefälscht werden können.

Als professionelle Lösung zur Verschlüsselung des Datenverkehrs bietet es sich an auf das relativ unsichere WEP ganz zu verzichten und stattdessen mit IPsec Verschlüsselung zu arbeiten.

Siehe auch Shared Key