WPA3 Veranschaulichung der Notwendigkeit einer sicheren Implementation
advertisement
BACHELORARBEIT 1 WPA3 Veranschaulichung der Notwendigkeit einer sicheren Implementation durchgeführt am Studiengang Informationstechnik und System-Management Fachhochschule Salzburg GmbH vorgelegt von Rudolf Eiser Josef Marold Studiengangsleiter: FH-Prof. DI Dr. Gerhard Jöchtl Betreuer: FH-Prof. Priv.-Doz. DI Mag. Dr. Dominik Engel Puch/Salzburg, Jänner 2022 ii Eidesstattliche Erklärung Wir erklären hiermit eidesstattlich, dass wir die vorliegende Bachelorarbeit selbstständig und ohne fremde Hilfe verfasst, und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt haben. Weiters versichern wir hiermit, dass wir die den benutzten Quellen wörtlich oder inhaltlich entnommenen Stellen als solche kenntlich gemacht haben. Die Arbeit wurde bisher in gleicher oder ähnlicher Form keiner anderen Prüfungskommission weder im In- noch im Ausland vorgelegt und auch nicht veröffentlicht. Datum Unterschrift Datum Unterschrift Abstract / Josef Marold iii Abstract In January 2018 a new Wi-Fi Protected Access (WPA) security standard, WPA3, was announced by the Wi-Fi Alliance. The new standard implements many new features, like Opportunistic Wireless Encryption (OWE), Brute-force Attack Prevention and Strong Protection for Weak Passwords. Simultaneous Authentication of Equals (SAE) replaces the 4-way-handshake. Management Frames are protected by default, but most Wi-Fi networks still rely on WPA2, while WPA2 is considered broken. This work is written to provide arguments for network admins, especially in small and medium companies to raise the awareness of their management. It is also meant to advance the transition of existing networks from WPA2 to secure WPA3 installations. This seems necessary, because three years after introduction of WPA3, most Wi-Fi networks still lack the new standard. iv Inhaltsverzeichnis Abkürzungsverzeichnis ........................................................................................................ vi Abbildungsverzeichnis ....................................................................................................... viii Tabellenverzeichnis .............................................................................................................. ix 1 Einleitung ...................................................................................................................... 1 2 Technische Grundlagen ................................................................................................. 3 2.1 Wireless Local Area Network ................................................................................. 4 2.1.1 Standards und Protokolle ................................................................................. 4 2.1.2 Wired Equivalent Privacy und Wi-Fi Protected Access .................................. 5 2.2 Wi-Fi Protected Access 2 ....................................................................................... 6 2.2.1 2.3 Wi-Fi Protected Access 3 ....................................................................................... 7 2.3.1 Grundlagen ...................................................................................................... 7 2.3.2 WPA3-Transition Mode .................................................................................. 8 2.3.3 Sicherheitsgewinn durch WPA3 ...................................................................... 9 2.3.4 Bekannte Schwachstellen .............................................................................. 10 2.4 3 Verbesserungen gegenüber WPA .................................................................... 6 Angriffsszenarien auf Wireless Local Area Networks ......................................... 11 2.4.1 Bekannte und veröffentlichte Angriffsmethoden .......................................... 11 2.4.2 Ausgewählte Angriffsmethoden .................................................................... 11 Gegenüberstellung unterschiedlicher WPA2 und WPA3-SAE Konfigurationen ....... 13 3.1 Versuchsaufbau ..................................................................................................... 13 3.1.1 WLAN-Infrastruktur Setup............................................................................ 13 3.1.2 Einrichtung Kali Linux und Aircrack-ng....................................................... 15 3.2 Ergebnisse des Angriffs auf das WPA2-Only Setup ............................................ 17 3.2.1 Szenario ......................................................................................................... 17 v 3.2.2 Ablauf ............................................................................................................ 17 3.2.3 Fazit ............................................................................................................... 19 3.3 Ergebnisse des Angriffs auf das WPA3-Unsafe Setup ......................................... 21 3.3.1 Szenario ......................................................................................................... 21 3.3.2 Ablauf ............................................................................................................ 21 3.3.3 Fazit ............................................................................................................... 22 3.4 Ergebnisse des Angriffs auf das WPA3-Safe Setup ............................................. 23 3.4.1 Szenario ......................................................................................................... 23 3.4.2 Ablauf ............................................................................................................ 23 3.4.3 Fazit ............................................................................................................... 24 3.5 Leitfaden zur sicheren Implementation von WPA3.............................................. 25 3.5.1 Interne Tests vorbereiten ............................................................................... 25 3.5.2 Empfehlungen im Umgang mit nicht WPA3-fähigen Geräten ..................... 25 3.5.3 Optimales Setup............................................................................................. 26 4 Zusammenfassung und Ausblick ................................................................................. 28 5 Literaturverzeichnis ..................................................................................................... 29 vi Abkürzungsverzeichnis Im Sinne einer besseren Lesbarkeit werden englischsprachige Begriffe im Fließtext kursiv formatiert. Die folgenden Abkürzen bleiben davon unbetroffen: AP Access Point BSI Bundesamt für Sicherheit in der Informationstechnik (Deutschland) BSSID Basic Service Set Identifier CCMP Cipher Block Chaining Message Authentication Code Protocol DA Deauthentication Attack DOS Denial of Service (Attacke) EAP Extensible Authentication Protocol EAPOL Extensible Authentication Protocol over Local Area Network ECC Elliptic Curve Cryptography FFC Finite Field Cryptography HCDA Handshake Capture and Dictionary Attack IEEE Institute of Electrical and Electronics Engineers IV Initialisierungsvektor KMU kleines mittleres Unternehmen KRACK Key Reinstallation Attack MITM Man in the Middle (Attacke) OWE Opportunistic Wireless Encryption PMF Protected Management Frames PMK Pairwise Master Key POC Proof of Concept PSK Pre-Shared Key PTK Pairwise Transient Key RADIUS Remote Authentication Dial-In User Service vii RC4 Ron's Code 4 (Algorithmus) RSN Robust Security Network RSNE Robust Security Network Element SAE Simultaneous Authentication of Equals TKIP Temporal Key Integrity Protocol TLS Transport Layer Security VM Virtuelle Maschine WEP Wired Equivalent Privacy Wi-Fi Wireless Fidelity; The Standard of WPA Wi-Fi Protected Access (1. Generation) WPA2 Wi-Fi Protected Access 2 (2. Generation) WPA3 Wi-Fi Protected Access 3 (3. Generation) XOR Exklusiv-Oder (Schaltalgebra) viii Abbildungsverzeichnis Abbildung 1: Gesamtergebnisse der Studie zur IT-Sicherheit KMU [3, S.31] ..................... 1 Abbildung 2: schematische Darstellung eines WLAN als Teil eines LAN .......................... 4 Abbildung 3: Einordnung von 802.11 in ISO/OSI-Modell [10, S.736] ................................ 5 Abbildung 4: Verbindungsaufbau WPA2-Client zu WPA3-Transition-AP [5, S.2] ............. 9 Abbildung 5: Flussdiagramm bekannter Angriffsmethoden auf WLAN [20, S.7] ............. 11 Abbildung 6: Schematische Darstellung der HDCA [15, S.263] ........................................ 12 Abbildung 7: Initialisierung des Wi-Fi Adapters im Monitoring Mode ............................. 15 Abbildung 8: Übersicht über die zum Versuchszeitpunkt erreichbaren Wi-Fi-Netzwerke. 16 Abbildung 9: wesentliche Parameter der aufgezeichneten Datenübertragung .................... 17 Abbildung 10: aufgezeichneter Schlüsseltausch visualisiert mit Wireshark ....................... 18 Abbildung 11: parallel durchgeführte Aufzeichnung und Deauthentication....................... 18 Abbildung 12: erfolgreicher Hash-Crack mittels wifi_cracker_wordlist Wörterbuch ........ 19 Abbildung 13: geschätzte Zeit zum Entschlüsseln eines Passwortes [23, S.1] ................... 20 Abbildung 14: erfolgreich mitgeschnittener WPA-Handshake in WPA3-Unsafe .............. 21 Abbildung 15: erfolgreich mittels Offline Dictionary Attack entschlüsselter PSK ............ 22 Abbildung 16: erfolgreich mitgeschnittener WPA-Handshake in WPA3-Safe .................. 24 Abbildung 17: erfolgreich mittels Offline Dictionary Attack entschlüsselter PSK ............ 24 Abbildung 18: Windows 11 Meldung beim ersten Verbinden mit einem WPA3 ............... 27 ix Tabellenverzeichnis Tabelle 1: Authentifizierung und Features WEP, WPA, WPA2 und WPA3 [12, S.80] ....... 8 Tabelle 2: Verwendete Wi-Fi-Konfigurationen .................................................................. 14 Tabelle 3: Im Versuch verwendete Clients.......................................................................... 14 Tabelle 4: Ergebnisse des Angriffs auf Clients im WPA-Only Setup ................................. 20 Tabelle 5: Ergebnisse des Angriffs auf Clients im WPA3-Unsafe Setup ........................... 23 Tabelle 6: Ergebnisse des Angriffs auf Clients im WPA3-Safe Setup................................ 25 Einleitung / Josef Marold 1 1 Einleitung Nach einer Erhebung der Wirtschaftskammer aus dem Jahr 2018 sind mehr als 99% der Unternehmen in Österreich als kleine und mittlere Unternehmen (KMU) anzusehen [1]. Diese Verteilung trifft, wenn man ein KMU als Unternehmen mit weniger als 250 Mitarbeiter*innen betrachtet, auf ganz Europa zu. Wie C. Paulson in ihrem Artikel [2] ausführt, steigt die Anzahl von Cyber-Attacken gegen diese Gruppe in den letzten Jahren enorm an. Obgleich das Thema IT-Sicherheit durch die Medienpräsenz über die letzten Jahre eine Sensibilisierung erfährt, besteht in KMUs oft nicht die Möglichkeit eine eigene Netzwerk- und Sicherheitsabteilung, oder auch nur eine IT-Abteilung einzurichten. Die Autorin stellt weiters fest, dass die Auswirkungen solcher Angriffe von KMUs oft unterschätzt werden. Auch Firmen, die Cybersecurity-Themen generell umsetzen wollen, räumen diesen laut der Autorin nicht die erforderliche Priorität ein [2]. Der Artikel identifiziert als eines der zentralen Probleme für KMU, dass Firmen oft gar nicht wissen, mit welchem Risiko sie sich zuerst befassen sollen. Deshalb schlägt C. Paulson eine Analyse der Geschäftsprozesse vor, um so die kritischen Ressourcen zu erfassen. Mit Hilfe dieser gewichteten Liste soll im Nachgang gemeinsam mit spezialisierten Dienstleistern eine maßgeschneiderte Strategie für die jeweilige Firma festgelegt werden [2]. Die lokale Netzwerkinfrastruktur als Grundlage für die Unternehmens-IT wird dabei immer einen zentralen Punkt in solchen Überlegungen einnehmen. Abbildung 1: Gesamtergebnisse der Studie zur IT-Sicherheit KMU [3, S.31] Betrachtet man die Ergebnisse der Studie zur IT-Sicherheit in KMU durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) [3], wird dies besonders deutlich. Im Einleitung / Josef Marold 2 Rahmen dieser Studie, aber auch in den laufenden Lageberichten zur Cyber-Sicherheit in Deutschland werden Handlungsempfehlungen basierend auf einer Bewertung des IstZustands der IT-Sicherheitsmaßnahmen deutscher Unternehmen entwickelt und deren Umsetzung in diesen Unternehmen geprüft. Man kann in den Ergebnissen dieser Studie den hohen Stellenwert der Netzwerksicherheit im Vergleich zu den anderen Schwerpunkten (siehe Abbildung 1) gut erkennen. Die Komplexität von Firmennetzwerken nimmt auch in KMU stetig zu. Vor allem der durch die COVID-19 Pandemie im Jahr 2020 ausgelöste Anstieg von Remote-Nutzern zeigte bei vielen Unternehmen Schwachstellen auf. In einer Studie zur Verbesserung der CyberSicherheit und Datenschutzbedenken von Benutzern in drahtlosen Netzwerken während der COVID-19 Pandemie [4] gehen die Autoren auf typische Versäumnisse und Probleme von Firmen in Bezug auf deren Wireless Fidelity (Wi-Fi) Netzwerke ein. Sie versuchen diesen Unternehmen mit Hilfe ihrer Studie einen Leitfaden und praktische Ratschläge an die Hand zu geben. Eine der grundlegenden Empfehlungen in dieser Arbeit ist der Hinweis, Wi-FiNetzwerke zumindest mit Wi-Fi Protected Access 2 (WPA2), besser jedoch mit Wi-Fi Protected Access 3 (WPA3) zu verschlüsseln. Diese Arbeit soll in einem ähnlichen Stil, als eine leicht nachzuvollziehende Argumentationsbasis für (Netzwerk-) Administrator*innen dienen, um allen Stakeholdern die Notwendigkeit einer Einführung von WPA3 aufzeigen zu können. Gleichzeitig soll sie auch einen Leitfaden für die Erarbeitung einer sicheren WPA3-Konfiguration darstellen und Netzwerkadministrator*innen bei der Architektur eines neuen Wireless Local Area Network (WLAN)-Konzepts unterstützen. Um die praktische Bedrohung durch bekannte Schwachstellen, sowie deren weitreichende Auswirkungen hervorzuheben, wird im ersten Abschnitt unserer Gegenüberstellung gezeigt, wie angreifbar ein klassisches WPA2gesichertes Wi-Fi-Netzwerk in Bezug auf Denial of Service (DOS)-Attacken, Man in the Middle (MITM)-Attacken, sowie eine Key Reinstallation Attack (KRACK) ist. Zusätzlich wird demonstriert, wie Angreifer eine schlechte Konfiguration von WPA3-gesicherten WiFi-Netzwerken ausnutzen können, um am Ende aufzuzeigen, wie eine richtige Implementation von WPA3 oder zumindest WPA3- Simultaneous Authentication of Equals (SAE) viele der zuvor präsentierten Schwachstellen beseitigt. Technische Grundlagen / Rudolf Eiser 2 3 Technische Grundlagen Um einen Kontext zu bisherigen Sicherheitsverbesserungen von WLAN-Standards herstellen zu können, ist eine Betrachtung der zeitlichen Entwicklung ebendieser notwendig. Die Einführung des WLAN-Standards 802.11 im Jahr 1997 durch das Institute of Electrical and Electronics Engineers (IEEE) war eine Revolution im Sinne der Flexibilität von Netzwerken. Dabei beschränkt sich die IEEE als unabhängiges Expertengremium [5] auf die grundlegenden technischen Anforderungen, welche zu erfüllen sind. Exemplarisch erwähnt seien hier die Standardisierung der physischen Datenübertragung sowie des Medienzugriffs. Diese stellen jedoch nur ein kleines Segment der gesamten IEEE 802-Norm-Familie dar. Basierend auf dieser normativen Grundlage begannen Hersteller und Produzenten entsprechend mit der Implementierung des Standards. Plötzlich war man nicht mehr auf das Vorhandensein von Kabeln angewiesen, was vor allem die Investitionskosten in die Netzwerkinfrastruktur auf Anhieb zu senken schien. Verständlicherweise gingen damit auch Nachteile einher. Die Einführung einer Luftschnittstelle brachte neue Probleme wie Signalverluste oder sich überschneidende Funkzellen. Noch bevor IEEE 2004 mit 802.11i einen neuen WLAN-Standard veröffentlichte, definierte die Wi-Fi Alliance 2003 mit Wi-Fi Protected Access (WPA) einen verbesserten Pseudostandard. Die 1999 gegründete Wi-Fi Alliance, bestehend aus Firmen mit berechtigtem Interesse an der Entwicklung von WLANStandards, definiert und zertifiziert die Umsetzung standardisierter technischer Anforderungen [6]. Somit lässt sich eine Verbesserung bestehender Normen im Eigeninteresse nachvollziehen. Beide beteiligten Institutionen unterscheiden sich insofern, als dass IEEE rein technische Interessen verfolgt und Standards komplett veröffentlicht, die Wi-Fi Alliance auch wirtschaftliche Aspekte berücksichtigt und nur eingeschränkt Details zu ihren Pseudostandards publiziert [7], [8]. Die Evolution von WLANs brachte auch völlig neue Angriffsvektoren mit sich. Es war nicht länger nötig, sich als Angreifer physikalisch auf Geräte oder Leitungen zu beschränken. Das führte unter anderem dazu, dass bereits nach wenigen Jahren Wired Equivalent Privacy (WEP) als Teil des IEEE 802.11-Standards eingeführt wurde, als unsicher galt. Grundlagen hierzu, technische Unterschiede sowie spezifische Entwicklung werden im Anschluss dargestellt. Technische Grundlagen / Rudolf Eiser 2.1 4 Wireless Local Area Network Mit der Verbreitung des Internet und zunehmender privater Nutzung konnten nach Verfügbarkeit von geeigneten Netzwerkkomponenten auch lokale Netzsegmente, sogenannte Local Area Networks (LAN), errichtet werden. Wie eingangs erwähnt, wurde mit der funktechnischen Entwicklung eine alternative Möglichkeit geschaffen, leitungsunabhängig Datenverkehr zu vermitteln. Auch im deutschen Sprachgebrauch wird diese Art von Netzsegment als WLAN bezeichnet. Eine mögliche Kombination der beiden Netzsegmente wird in der folgenden Abbildung veranschaulicht. Abbildung 2: schematische Darstellung eines WLAN als Teil eines LAN Für die Errichtung eines WLAN werden grundlegend zwei Gerätetypen benötigt. Einerseits ein Endgerät, auch Station oder Client genannt, andererseits eine Luftschnittstelle beziehungsweise der leitungsgebundene Access Point (AP). 2.1.1 Standards und Protokolle Mit IEEE 802.11 wurde der erste Standard publiziert, welcher den Datenaustausch zwischen AP und Client beschreibt. Wie in Abbildung 3 ersichtlich ist, beschränkt sich der Standard auf die physische Bitübertragungsschicht und die Datensicherungsschicht. Auf die rein physische Datenübertragung wird im Rahmen dieser Arbeit nicht näher eingegangen, da ausschließlich der Dateninhalt und nicht der funktionelle Datentransport sicherheitstechnisch relevant ist. Für die Realisierung solcher Standards werden entsprechende Protokolle verwendet. Nachdem WLAN-Funksignale prinzipiell omnidirektional ausgestrahlt werden, heißt das, jeder Client in Sendereichweite könnte uneingeschränkt die gesamte Kommunikation mitlesen. Um das zu verhindern, werden Protokolle für Verschlüsselung und Authentifizierung verwendet. Letztendlich können diese Protokolle als wichtigste Elemente für eine sichere WLAN-Verbindung subsumiert werten. Technische Grundlagen / Rudolf Eiser 5 Abbildung 3: Einordnung von 802.11 in ISO/OSI-Modell [10, S.736] 2.1.2 Wired Equivalent Privacy und Wi-Fi Protected Access WEP war das erste Verschlüsselungsprotokoll in 802.11. Damit sollten Authentifizierung, Vertraulichkeit und Integrität umgesetzt werden. Dieses Protokoll implementiert unterschiedliche Algorithmen. Ein 24-Bit-Initialisierungsvektor (IV) verknüpft mit einem Schlüssel (K) bilden einen Keystream. Mittels Rons Code 4 (RC4) -Algorithmus wird daraus eine Zufallszahl erzeugt. Diese mit Nachricht (M) exklusiv verodert (XOR) ergibt den Ciphertext [10]. Bereits 2001 wurden Sicherheitslücken in WEP durch Forscher der Berkley Universität veröffentlicht. Unter anderem beschrieben K. Curran und E. Smyth 2006 diese Schwachstellen in [11]. Zusammengefasst sind das die Verwendung von statischen Schlüsseln, die Länge der IV und der RC4-Algorithmus. Nachdem Verbesserungen des Standards durch IEEE andauerten, bildete sich mit der Wi-Fi Alliance eine Interessensvertretung mit dem Ziel, Sicherheitsmängel möglichst rasch zu beseitigen. Es folgte 2003 die interimistische Einführung von WPA basierend auf WEP. Abgesehen von der Weiterverwendung von RC4 wurden die Schlüssellängen auf 128 Bit vergrößert und das Erzeugen der IV dynamisch implementiert [12]. Dies löste die erkannten Sicherheitsmängel nur kurzfristig und mangelhaft. Technische Grundlagen / Rudolf Eiser 2.2 6 Wi-Fi Protected Access 2 Bereits 2004 wurde durch die Wi-Fi Alliance mit WPA2, als Vorgriff auf den durch IEEE angekündigten 802.11i-Standard, nachgebessert. 802.11i, ebenfalls 2004 veröffentlicht, unterscheidet sich deshalb nicht wirklich von WPA2 und kann synonym verwendet werden [9]. Da WPA2 wieder einen enormen Sicherheitsgewinn und zusätzlich im Vergleich zu WPA einfach zu implementieren war, setzte sich dieser Standard durch und wird mittlerweile auch als Robust Security Network (RSN) bezeichnet. WPA2 gilt derzeit als der verbreitetste Standard in (Heim-) Netzwerken [12]. 2.2.1 Verbesserungen gegenüber WPA WPA2 setzt anders als seine Vorgänger auf eine Advanced Encryption Standard (AES)Verschlüsselung in Verbindung mit unterschiedlichen Möglichkeiten der Schlüsselverteilung, wie beispielsweise dem Pre-Shared Key (PSK)-Verfahren. AES wurde im Jahr 2000 durch das National Institute of Standards and Technology (NIST) veröffentlicht. Eine umfangreiche Dokumentation, Lizenz- beziehungsweise Patentfreiheit und breite öffentliche Überprüfung waren maßgebende Kriterien, um AES auch in WPA2 zu integrieren. Das sollte zur Zukunftsfähigkeit von WPA2 wesentlich beitragen [9]. Zwar unterstützt WPA2 ebenfalls wie WPA die beiden als Personal und Enterprise bezeichneten Sicherheitsmodi, jedoch beschränkt sich die verbesserte Sicherheit im Personal-Modus auf einen einzigen Faktor. Da in diesem Modus die Konfiguration des Passwortes manuell durchgeführt werden muss, hängt die objektive Sicherheit ausschließlich von der Komplexität dieses Passwortes ab. Einerseits verbessert die Ableitung des Schlüssels vom willkürlich gewählten Passwort die Sicherheit. Andererseits sind sowohl 64 ASCII-Zeichen als auch eine 256 Bit große Zufallszahl subjektiv schlecht zu merken und gelten daher als unpraktikabel. Eine sichere Alternative hierzu ist die Verwendung des Enterprise-Modus, der auf dem Extensible Authentication Protocol (EAP) Framework zur Authentifizierung basiert. Die Transport Layer Security (TLS) kann durch die Implementation eines Remote Authentication Dial-In User Service (RADIUS) Servers gewährleistet werden. Authentifizierung, Autorisierung und Accounting, auch Triple-A-System genannt, werden vom Server durchgeführt und bedürfen somit keiner manuellen Eingabe [9]. Technische Grundlagen / Josef Marold 2.3 7 Wi-Fi Protected Access 3 WPA3 wurde, wie seine Vorgängermodelle durch die Wi-Fi-Alliance [13] als Reaktion auf kritische Sicherheitslücken seiner Vorgänger eingeführt. Der Standard wurde im Januar 2018 veröffentlicht und im Juni desselben Jahres zertifiziert. WPA3 wurde 14 Jahre nach der Einführung von WPA2 (2004) unter anderem als eine Reaktion auf die Arbeit der Sicherheitsexperten M. Vanhoef und F. Piessens [14] eingeführt, in der sie die Durchführung einen später als KRACK-Attacke bekannt gewordenen Angriff beschreiben. Diese Schwachstelle erlaubt es dem Angreifer den 4-way-Handshake zu manipulieren. In ihrem Proof of Concept (POC) zeigen die Autoren auf, dass diese Manipulation gegen alle WPA2Protokolle gleich gut funktioniert. Die Arbeit belegt weiters, dass auch im besten Fall, einer Kombination aus AES und CCMP (siehe Tabelle 1) zumindest Replay- und Entschlüsselungsattacken möglich sind. Im Fall einer WPA- Temporal Key Integrity Protocol (TKIP)-Konfiguration können zusätzlich Pakete gefälscht werden. Mit dieser Arbeit zeigten die Forscher eine Schwachstelle auf, die alle zur Zeit der Veröffentlichung (2017) verfügbaren Wi-Fi-Geräte betraf und bei Android 6.0-Geräten zu einer All-zeroVerschlüsselung, also einer de facto unverschlüsselten Kommunikation führte. Die einfache Ausnutzbarkeit dieser Schwachstelle [15] machte eine rasche Reaktion durch die Wi-Fi Alliance notwendig, worauf diese mit der Einführung von WPA3 reagierte[13]. Anfang 2019 kamen die ersten WPA3-zertifizierten Geräte auf den Markt. Da kein großer „Big Bang“ zu erwarten war, bei dem alle Beteiligten die vorhandenen nicht WPA3-zertifizierten Geräte austauschen, wurde auch bei diesem Standard großer Wert auf Rückwärtskompatibilität gelegt. Allerdings kann diese Rückwärtskompatibilität, wie D. Westhoff in seiner Arbeit zu WPA3 veranschaulicht, in verschiedenen Konstellationen für Downgrade-Attacken genutzt werden und bringt damit besondere Herausforderungen mit sich [16]. 2.3.1 Grundlagen Der WPA3-Standard ist eine Erweiterung des WPA2-Standards und dient sowohl zur Authentifizierung von Clients als auch zum Verschlüsseln der Daten. Der Standard ist durch die Arbeit der Wi-Fi Alliance seit Juni 2018 für neue Wi-Fi-Geräte verpflichtend zu verwenden, womit die Anzahl WPA3-fähiger Geräte stetig wächst [13]. Wie S. Kwon und H. Choi in Ihrem Artikel [12] beschreiben, setzt WPA3 wieder auf zwei unterschiedliche Management Frameworks, WAP3-Personal und WPA3-Enterprise (siehe Tabelle 1). Diese Arbeit beschäftigt sich allerdings rein mit dem in KMU häufiger genutzten Technische Grundlagen / Josef Marold 8 WPA3-Personal Framework und verzichtet auf die Betrachtung des in Abschnitt 2.2.1 erwähnten Enterprise Mode, da in kleineren Firmen oft kein eigener RADIUS-Server zur Verfügung steht. Tabelle 1: Authentifizierung und Features WEP, WPA, WPA2 und WPA3 [12, S.80] Die Betriebsart legt, wie in Tabelle 1 zu sehen ist, die Verschlüsselung und die Art der Authentifizierung fest. In Ihrer Analyse des WPA3 Standards [17] gehen die Autoren zuerst auf die Funktionsweise neuer Mechanismen, wie die der Abwärtskompatibilität ein. Sie erklären, dass diese im Fall von WPA2-Personal über die Koexistenz einer Authentifizierung durch PSK und einer Authentifizierung durch SAE realisiert wird. Neuen Clients werden also beide Versionen angeboten und der höchstmögliche Standard bevorzugt. 2.3.2 WPA3-Transition Mode Die Koexistenz von WPA2 und WPA3 wird als Transition Mode bezeichnet und soll den Betrieb älterer Geräte ermöglichen. Auch in der Arbeit von S. Kwon und H. Choi wird empfohlen, die neuen sicherheitstechnischen Möglichkeiten von WPA3, den vorhandenen Clients entsprechend, möglichst restriktiv zu gestalten [12]. Der WPA3 Transition Mode wird von den Forschern auch dann empfohlen, wenn in einer Umgebung nur WPA2-fähige Geräte zu erwarten sind. Wie in Abbildung 4 veranschaulicht wird, werden Clients in einem WPA3 Transition-Netzwerk über regelmäßig gesendete Robust Security Network Element (RSNE) Beacons vom AP über unterstützte Authentifizierungsmodi informiert [17]. Technische Grundlagen / Josef Marold 9 Daraufhin wird per SAE der Pairwise Master Key (PMK) ausgehandelt und mittels 4-wayHandshake ein Pairwise Transient Key (PTK) festgelegt. Abbildung 4: Verbindungsaufbau WPA2-Client zu WPA3-Transition-AP [5, S.2] Zusätzlich wird das RSNE im Prozess kryptographisch verifiziert, um so die Echtheit der Beacons zu garantieren. So wird ein Fälschen dieser Beacons und damit letztendlich ein Erzwingen einer schwächeren Cipher Suite verhindert. Die gekreuzten Linien in Abbildung 4 stellen die Möglichkeit gleichzeitigen Sendens und Empfangens dar, welches in MeshNetzwerken (IEEE 802.11s) benötigt und von SAE unterstützt wird. 2.3.3 Sicherheitsgewinn durch WPA3 SAE, auch Dragonfly-Handshake genannt, ist neben dem Erzwingen der Protected Management Frames (PMF) auch im Transition Mode [18] eine der großen Neuerungen in WPA3. SAE ersetzt den unsicheren Schlüsseltausch über das Medium durch eine beiderseitige Berechnung des Schlüssels über kryptographische Verfahren wie Finite Field Cryptography (FFC) und Elliptic Curve Cryptography (ECC). Durch die Unterstützung von Mesh-Netzwerken können sowohl der Supplicant als auch der Authenticator den Vorgang initiieren und das Gegenüber über die Prüfung des RSNE bestätigen [17]. Die Verwendung eines PMK, der eine viel höhere Entropie als der im Transition Mode verwendete PSK aufweist, beschränkt bei Verwendung des Dragonfly-Handshakes gemeinsam mit dem Übertagen der Berechnungsfaktoren über den PTK den Erfolg von Offline Dictionary Technische Grundlagen / Josef Marold 10 Attacken [16]. Es wird also Perfect Forward Secrecy erreicht [19]. Wird der PTK zusätzlich regelmäßig getauscht, trägt das in Verbindung mit der 192-bit-Verschlüsselung (siehe Tabelle 1) zu einer starken Verbesserung der Sicherheit auch von Netzwerken im Transition Mode bei. 2.3.4 Bekannte Schwachstellen Zu den bekanntesten Schwachstellen in WPA3 gehören die Dragonblood Attack und die Downgrade Attack. In Ihrer Arbeit zu Dragonblood [17] stellen die Autoren M. Vanhoef und E. Ronen fest, dass es die Wi-Fi Alliance einmal mehr verabsäumt hat, WPA3 durch Einbeziehen der Öffentlichkeit in die Entwicklung, gleich von Beginn an sicherer zu machen. Sie gehen davon aus, dass die meisten der in der Dragonblood Attacke verwendeten Schwachstellen, wie das Einbeziehen der MAC-Adresse bereits bei der Passwortverschlüsselung, damit ausgeräumt werden hätten können. Ein weiterer Vorschlag derselben Forscher in einer anderen Arbeit [19] greift die Maßnahmen gegen Downgrade Attacken auf. Sie vertreten in dieser Arbeit den Standpunkt, dass einerseits auf Client-Seite eine schwächere Verschlüsselung eines bereits bekannten Netzwerks nicht akzeptiert werden darf und zusätzlich eine Bitmap des RSNE während des 4-way-Handshakes eingeführt werden sollte, um es Clients zu ermöglichen eine Downgrade Attacke zu erkennen. Allerdings stellen die Autoren in beiden Arbeiten fest, dass WPA3 trotz seiner Schwachstellen einen Sicherheitsgewinn im Vergleich zu WPA2 darstellt. Technische Grundlagen / Rudolf Eiser 2.4 11 Angriffsszenarien auf Wireless Local Area Networks Mit der Veröffentlichung erfolgreicher Angriffe auf WLANs geht auch die Gefahr von missbräuchlicher Anwendung des geteilten Wissens einher. Diesbezüglich ermöglichen umfangreiche Versuche und Dokumentationen dazu nicht nur eine qualitative Verbesserung etablierter Standards, sondern erhöhen gleichzeitig auch das Bedrohungsspektrum durch rechtswidrige Nachahmung [12]. Selbst Laien können unter Ausnutzung frei verfügbarer Ressourcen, wie beispielsweise automatisierte Angriffs-Software und Schritt-für-SchrittAnleitungen erfolgreiche Angriffe auf WLANs reproduzieren. 2.4.1 Bekannte und veröffentlichte Angriffsmethoden Im Oktober 2018, also bereits acht Monate nach der Veröffentlichung des WPA3-Standards durch die Wi-Fi Alliance, führten C.P. Kohlios und T. Hayajneh in [20] eine Analyse bekannter Angriffsmethoden auf WLANs durch. Der Fokus wurde dabei auf aktuelle Methoden wie beispielsweise KRACK oder PMKID-Wörterbuchattacken gegen WPA3 gelegt. Für ein besseres Verständnis unterteilen die Autoren unterschiedliche Angriffsmethoden und deren Einsatzzeitpunkte in Phasen, wie im Folgenden dargestellt. Abbildung 5: Flussdiagramm bekannter Angriffsmethoden auf WLAN [20, S.7] Basierend auf der einfachen Nachvollziehbarkeit, wird die Zuordnung der dargestellten Phasen im Weiteren gleichermaßen verwendet. Unter den in Abschnitt 2.4 ausgeführten Gesichtspunkten wurden für den praktischen Teil dieser Arbeit die anschließenden Szenarien festgelegt. 2.4.2 Ausgewählte Angriffsmethoden Für Phase 1 nach [20] wurden sowohl die Handshake Capture and Dictionary Attack (HCDA), als auch in Verbindung damit die Deauthentication Attack (DA) ausgewählt. Technische Grundlagen / Rudolf Eiser 12 Die HCDA als klassische Brute Force Attack kann basierend auf unterschiedlichen Plattformen, wie zum Beispiel mit Kali Linux in Verbindung mit einem WLAN-Adapter [21], durchgeführt werden. Dabei wird der Handshake beim Verbindungsaufbau zwischen AP und Client gänzlich oder partiell aufgezeichnet. Die Pakete mit den darin enthaltenen Hash-Werten werden lokal in einer Datei gespeichert. Anschließend werden durch ein Programm mittels bekannter Passwörter (Wörterbuch) Hash-Werte generiert und mit den aufgezeichneten Hash-Werten verglichen. Bei Übereinstimmung ist somit das verwendete Passwort bekannt. Die Sicherheit der WLAN-Verbindung basiert ausschließlich auf der Sicherheit des gewählten Passwortes. Abbildung 6: Schematische Darstellung der HDCA [15, S.263] Ist eine Aufzeichnung des Handshake aus Mangel an Verbindungsaufbauten nicht möglich, kann diese bei zumindest einem verbundenen Client mittels DA erzwungen werden. Für diese DOS-Attacke wird mittels der sichtbaren Basic Service Set Identifier (BSSID) gezielt ein Deauthentication-Frame mit der BSSID des verbundenen Clients an den AP gesendet. Bei der anschließend erfolgenden Reauthentifizierung kann der Handshake aufgezeichnet werden. Somit kann ab Phase 2 aus den gewonnenen Parametern mittels Decryption- und SniffingTools wie beispielsweise Wireshark der weitere Datenverkehr mitgelesen werden. Da eine WLAN-Verbindung hier bereits als kompromittiert betrachtet werden muss, wird dieser Teil erfolgreicher Angriffe nicht weiter berücksichtigt. Gegenüberstellung / Josef Marold 13 3 Gegenüberstellung unterschiedlicher WPA2 und WPA3SAE Konfigurationen 3.1 Versuchsaufbau Der Versuchsaufbau bildet eine Übersicht über die Vor- und Nachteile des WPA3 Transition Modes in heterogenen Netzwerken eines fiktiven KMU ab. Um diesen Versuchsaufbau realitätsnah zu gestalten, wird versucht die verwendete Infrastruktur an die Situation von KMU im Raum Salzburg anzupassen. Auf Nachfrage bei zwei lokalen IT-Dienstleistern, Herrn Thomas Hödlmoser von der Peter Rauter GmbH in Neumarkt am Wallersee und Herrn Daniel Matheisl von der Firma SOLUTIONBOX Informationstechnologie GmbH in Salzburg wurde von beiden Dienstleistern Ubiquiti Hardware als die verbreitetste selbstverwaltete Wi-Fi-Infrastruktur bei Kunden im KMU Sektor genannt. Auch bei der Auswahl der Clients wird versucht, das heterogene Spektrum vieler Firmen abzubilden und daher kommen Geräte von zwei unterschiedlichen Produktlinien beziehungsweise unterschiedlichen Baujahren zum Einsatz. Auch bei den, für die Angriffe verwendeten Materialien und Programmen, sowie bei der Wahl der Attacke selbst, wird Wert auf ein einfaches, günstiges Setup gelegt, welches für einen potenziellen Angriff auf ein fiktives KMU auch am ehesten in Frage kommt. 3.1.1 WLAN-Infrastruktur Setup Der für die Konfiguration verwendete Unifi-Controller entspricht der, zur Zeit des Versuchs aktuellen Version 6.4.54. Um die im Abschnitt 2.3.3 zusammengefassten Überlegungen zu veranschaulichen, werden für die Demonstration drei WLAN-Netzwerke mit unterschiedlicher Konfiguration eingerichtet. Die Konfiguration dieser Wi-Fi-Netzwerke wird in Tabelle 2 veranschaulicht. Das Hauptaugenmerk der erfassten Konfigurationsparameter fokussiert sich dabei auf die für Wi-Fi-Netzwerke sicherheitstechnisch wichtigen Einstellungen. Alle zusätzliche Features, wie beispielsweise Unscheduled Automatic Power Save, BSS Transition etc. wurden deaktiviert. Zusätzlich zu den in Tabelle 2 aufgelisteten sicherheitsrelevanten Einstellungen wurde auch die Unterstützung von Legacy Devices deaktiviert. Gegenüberstellung / Josef Marold 14 Tabelle 2: Verwendete Wi-Fi-Konfigurationen SSID SAE- GROUP WPA- LAYER2 SAE-ANTI MODE ISOLATION CLOGGING WPA2 - - - - - - 5 5 Optional - aktiviert 5 5 Required 3600s SYNC PMF TIME REKEY INTERVAL WPA2ONLY WPA3- WPA2/ UNSAFE WPA3 WPA3- WPA2/ SAFE WPA3 Der verwendete AP Ubiquiti Unifi U6-Lite wird mit Firmware Version 5.60.18 betrieben. Die drei Wi-Fi-Netzwerke werden durch diesen AP zeitgleich abgestrahlt. Tabelle 3 gibt einen Überblick über die für die Angriffe verwendeten Clients. Um die Relevanz einer guten Konfiguration aufzuzeigen und gleichzeitig die Probleme des WPA3 Transition Modes hervorzuheben, wird für dieses Setup ein hochwertiges Notebook mit dem aktuellen Microsoft Betriebssystem Windows 11 verwendet, das durch sein Baujahr 2018 noch nicht über eine WPA3-Unterstützung verfügt. Gleichzeitig wird ein aktuelleres Notebook mit einer Windows 10 Installation, sowie ein aktuelles Smartphone für die Angriffe herangezogen. Tabelle 3: Im Versuch verwendete Clients CLIENT HERSTELLER MODELL BETRIEBSSYSTEM VERSION WPA STANDARD MT-20LD CLIENT 1 Lenovo ThinkPad X1 Windows 11 22000 Windows 10 21H1 Android 11 WPA2 only 3rd CLIENT 2 Lenovo CLIENT 3 Samsung L340-17IRH SMA515F/DSN WPA2 / WPA3 WPA2 / WPA3 Gegenüberstellung / Josef Marold 15 Für die Angriffe wurde mittels Oracle Virtual Box 6.1.28 eine virtuelle Maschine (VM) mit Kali Linux 2021.3a eingerichtet und ein physischer Wi-Fi-USB-Adapter eingebunden. Da dieser Wi-Fi-Adapter für den Betrieb im Monitoring Mode geeignet sein muss, fiel die Wahl auf das Modell AWUS036NHA der Firma Alpha Network. Um Wi-Fi-Pakete auszulesen und zum Senden von Deauthentifizierungspaketen wird in diesem Versuch das in Kali Linux 2021.3a bereits enthaltene Aircrack-ng verwendet. 3.1.2 Einrichtung Kali Linux und Aircrack-ng Im ersten Schritt wird das offizielle Kali Image1 installiert und mit Hilfe von Oracle Virtual Box eine VM erzeugt. Der Wi-Fi-USB-Adapter AWUS036NHA wird ebenso in Oracle Virtual Box als USB-Gerät erfasst und an die Kali VM durchgereicht. Als nächstes wird das Wi-Fi-Interface der Kali VM über Aircrack-ng im Monitoring Mode initialisiert, um an die für die einzelnen Angriffe benötigten Informationen zu gelangen. Abbildung 7: Initialisierung des Wi-Fi Adapters im Monitoring Mode Nach dieser Initialisierung werden mit folgendem Befehl Informationen zu den vorhandenen WLAN-AP, beziehungsweise deren ausgestrahlter SSIDs ausgelesen. # aerodump-ng wlan0mon 1 Quelle: https://www.kali.org/get-kali/#kali-virtual-machines Gegenüberstellung / Josef Marold 16 Für die in dieser Arbeit durchgeführten Deauthentication Attacks und Handshake Capture Dictionary Attacks werden die Informationen der Spalten BSSID, CH, ENC und AUTH benötigt. Die geschwärzten Wi-Fi-Netzwerke stellen am Versuch unbeteiligte Netzwerke dar. Im unteren Bereich sind die aktuell verbundenen Clients zu erkennen. Abbildung 8: Übersicht über die zum Versuchszeitpunkt erreichbaren Wi-Fi-Netzwerke Gegenüberstellung / Rudolf Eiser 17 3.2 Ergebnisse des Angriffs auf das WPA2-Only Setup 3.2.1 Szenario Die Parameter für das WPA2-Only-Zielnetzwerk verstehen sich als Mindestmaß an Grundkonfiguration für herkömmliche WPA2-Netzwerke, welche ohne besondere Fachkenntnisse beziehungsweise mit geringem Aufwand eingerichtet werden können. 3.2.2 Ablauf Nach abgeschlossener Vorbereitung wie in Abschnitt 3.1.2 dargestellt, wird der Datenverkehr für das anzugreifende WLAN aufgezeichnet. Die Aufzeichnung wird mit dem Befehl # airodump-ng -c <channel> --bssid <ap bssid> -w <encryption> <interface> gestartet [23]. Hierfür sind die jeweiligen Parameter entsprechend dem Ziel-WLAN einzusetzen. Abbildung 9: wesentliche Parameter der aufgezeichneten Datenübertragung Die erfolgreiche Aufzeichnung des Handshake wird durch Anzeige der jeweiligen BSSID (in Abbildung 9 gekennzeichnet) dargestellt. Überprüft kann dies ebenfalls in Wireshark werden, indem auf das Capture-File der Extensible Authentication Protocol over Local Area Network (EAPOL)-Filter angewendet wird. Gegenüberstellung / Rudolf Eiser 18 Abbildung 10: aufgezeichneter Schlüsseltausch visualisiert mit Wireshark Es besteht die Möglichkeit, dass während der Aufzeichnung kein Handshake zwischen AP und Client durchgeführt wird. Das kann unter anderem vorkommen, wenn sehr wenige oder nur ein einziger Client mit dem AP bereits verbunden ist und kein neuer Verbindungsaufbau erfolgt. Sollte diese Situation eintreten, kann die Wartezeit und somit auch die Größe der Aufzeichnungsdatei verringert werden. Hierfür kann eine DOS-Attacke in Form einer Deauthentication-Initialisierung durchgeführt werden. Mit dem Befehl # aireplay-ng -0 <channel> -a <ap bssid> -c <client bssid> <interface> wird diese umgesetzt, wobei als zusätzlicher Parameter die Anzahl an durchzuführenden Deauthentications gewählt werden muss [23]. Es empfiehlt sich, diese Maßnahme in einem zweiten Tab durchzuführen und parallel aufzuzeichnen, um die Trennungszeit zwischen AP und Client so kurz wie nötig zu halten. Der Erfolg kann wie bereits dargestellt in Wireshark überprüft werden. Nötigenfalls muss dieser Vorgang wiederholt werden. Abbildung 11: parallel durchgeführte Aufzeichnung und Deauthentication Gegenüberstellung / Rudolf Eiser 19 Im nächsten Schritt wird mittels der aufgezeichneten Verbindungsdaten und dem Befehl # aircrack-ng -w <dictionary file path> -b <ap bssid> <capture file path> eine HCDA durchgeführt [23]. Dafür ist eine Sammlung von Passwörtern als sogenanntes Wörterbuch notwendig. Mit Kali Linux wird in "/usr/share/wordlists" eine ganze Bibliothek an Wörterbüchern geliefert. Alleine in "rockyou.txt" sind 14344392 kompromittierte Passwörter gespeichert. Funktionieren diese Passwortlisten nicht, da etwa ein langer, zufälliger PSK gewählt wurde, kann man versuchen, den Hash mit Hilfe von Hashcat und ähnlichen Programmen zu entschlüsseln. Da der Angreifer zu diesem Zeitpunkt bereits über den PSK-Hash verfügt, kann diese Attacke an einem beliebigen Ort (offline) für eine uneingeschränkte Zeitspanne durchgeführt werden. Abhängig von Rechenleistung und Qualität des Wörterbuches kann das Passwort aus den aufgezeichneten Hashes ermittelt und der Angriff erfolgreich abgeschlossen werden. Abbildung 12: erfolgreicher Hash-Crack mittels wifi_cracker_wordlist Wörterbuch 3.2.3 Fazit Selbst wenn durch die Verwendung ungeeigneter Wörterbücher der zeitliche Aufwand für einen erfolgreichen Angriff steigt, ist die Erfolgsaussicht als sehr hoch einzustufen. Die Angriffsmethodik auf WLANs bleibt gleich, lediglich das Ermitteln des Passwortes kann geringfügig variieren. Jedenfalls konnte gezeigt werden, dass ausschließlich die Wahl eines geeigneten Passwortes zwar die Verbindungssicherheit signifikant erhöht, insgesamt Gegenüberstellung / Rudolf Eiser 20 allerdings WPA2-Netze leicht kompromittierbar sind und daher als unsicher betrachtet werden sollten. Abbildung 13: geschätzte Zeit zum Entschlüsseln eines Passwortes [23, S.1] Unter Verwendung von Geräten als Client mit unterschiedlichen WPA-Fähigkeiten hatte dieser Umstand keinen Einfluss auf den Angriffserfolg. In der gewählten WPA2-Only Konfiguration konnten alle Verbindungen kompromittiert werden, wie im Folgenden (Tabelle 4) dargestellt. Tabelle 4: Ergebnisse des Angriffs auf Clients im WPA-Only Setup WPA BETRIEBS- DEAUTH- OFFLINE STANDARD SYSTEM ATTACKE DICTIONARY CLIENT 1 WPA2 only Windows 11 erfolgreich erfolgreich CLIENT 2 WPA2 / WPA3 Windows 10 erfolgreich erfolgreich CLIENT 3 WPA2 / WPA3 Android erfolgreich erfolgreich CLIENT Gegenüberstellung / Josef Marold 21 3.3 Ergebnisse des Angriffs auf das WPA3-Unsafe Setup 3.3.1 Szenario Das WPA3-Unsafe WLAN wird für den Versuch wie in Kapitel 2 beschrieben und in Tabelle 2 zusammengefasst konfiguriert. In diesem Setup werden PMF nicht verpflichtend eingesetzt. Das kann in machen Umgebungen auf Grund veralteter Clients nötig sein, macht das Netzwerk im Allgemeinen aber anfälliger für DOS-Attacken. 3.3.2 Ablauf Der Ablauf dieses Angriffs erfolgt analog zum Angriff auf das WPA2-Netzwerk. Es werden lediglich die Parameter entsprechend der in Abbildung 8 entnommenen Informationen angepasst. Wie der Spalte AUTH entnommen werden kann, muss bei Eingabe des Befehls in Abbildung 14 darauf geachtet werden, dass die Authentifizierung in einem WPA3Netzwerk mittels SAE erfolgt (siehe 1. roter Pfeil). Abbildung 14: erfolgreich mitgeschnittener WPA-Handshake in WPA3-Unsafe Wie in Abbildung 14 zu sehen ist, bietet die Ausgabe von airodump-ng viele relevante Daten, unter anderem zu der überwachten BSSID, den aktuell verfügbaren Clients (Station) und auch der Signalstärke des ausgewählten Wi-Fi-Netzwerks an. Sobald ein WPAHandshake aufgezeichnet wurde, wird dieser im rechten oberen Bereich angezeigt (siehe 3. roter Pfeil, Abbildung 14). Um an einen Handshake zu kommen, ist es wichtig die Signalstärke im Auge zu behalten. Bei einem sehr schlechten Signal ist die Wahrscheinlichkeit eines vollständigen Handshakes geringer. Das Erzwingen einer Reauthentifizierung durch das Senden von Deauthentication Packets (siehe Abbildung 11) funktioniert in diesem Szenario nur noch bedingt, da von Clients die PMF unterstützen keine unverschlüsselten Management Frames angenommen werden. Ein Angreifer muss in diesem Fall auf eine tatsächliche neue Authentifizierung warten, was den Gegenüberstellung / Josef Marold 22 Angriff durchaus erschwert und eine Entdeckung wahrscheinlicher macht. Jeder der in Tabelle 3 angeführten Clients unterstützt PMF, weshalb eine manuelle Reauthentifizierung durchgeführt wurde. Wird zumindest ein oder mehrere Handshakes gesichert, kann die Überwachung abgebrochen werden. Abbildung 15: erfolgreich mittels Offline Dictionary Attack entschlüsselter PSK 3.3.3 Fazit In diesem Setup wird kein Group Rekeying Intervall eingesetzt, wodurch zusätzlich mit Hilfe eines im Nachhinein gefundenen PSK und den daraus abgeleiteten Session Keys alle mitgeschnittenen Daten entschlüsselt werden können. Die mit airodump-ng mitgeschnittenen WPA-Handshakes werden für diesen Versuch, wie in Abbildung 15 dargestellt, mit Hilfe einer Wörterbuch-Attacke angegriffen. Um eine Vergleichbarkeit herzustellen wurde wiederum ein Handshake aller Clients aus Tabelle 3 aufgezeichnet und die Attacke (Abbildung 14) auf jeden dieser Mitschnitte einzeln angewendet. In Tabelle 5 sind die Ergebnisse zusammengefasst. Man kann deutlich erkennen, dass Clients, die den WPA3-Standard und zusätzlich PMF verwenden deutlich widerstandsfähiger gegen die durchgeführten Attacken sind. Clients jedoch, die nur WPA2 unterstützen, stellen weiterhin eine Schwachstelle und damit ein gutes Ziel für Angriffe dar. Gegenüberstellung / Josef Marold 23 Tabelle 5: Ergebnisse des Angriffs auf Clients im WPA3-Unsafe Setup WPA BETRIEBS- DEAUTH- OFFLINE STANDARD SYSTEM ATTACKE DICTIONARY CLIENT 1 WPA2 only Windows 11 erfolgreich erfolgreich CLIENT 2 WPA2 / WPA3 Windows 10 erfolglos erfolglos CLIENT 3 WPA2 / WPA3 Android erfolglos erfolglos CLIENT 3.4 Ergebnisse des Angriffs auf das WPA3-Safe Setup 3.4.1 Szenario Im letzten Szenario wird ein Wi-Fi-Netzwerk mit der in Tabelle 2 dokumentierten Wi-FiKonfiguration eingerichtet. Das besondere Augenmerk liegt in dieser Konfiguration auf dem Setzen eines Group Rekey Intervals. Durch das Setzen dieses Intervalls auf 3600 Sekunden tauschen der Client und der AP den aktuellen Session Key nach Ablauf dieser Zeit durch einen mit Zufallszahlen errechneten neuen Session Key aus. Ein Angreifer hat vor Ort also nur eine Stunde Zeit diesen Key zu ermitteln. Zusätzlich schützt der Tausch dieses Keys auch aufgezeichnete Daten vor Zugriff, selbst wenn der PSK durch andere Methoden ermittelt wurde. PMF wird in diesem Setup auf required gesetzt um einer DA (siehe 2.3.2) entgegen zu wirken. Ausserdem wird eine Layer 2 Isolation aktiviert, was die Kommunikation von Clients mit anderen MAC-Adressen außer der BSSID des APs innerhalb desselben Layer 2Netzwerks verhindert. 3.4.2 Ablauf Der Ablauf dieses Angriffs erfolgt analog zu den vorhergehenden. Wiederum wird der initialisierte Wi-Fi-USB-Adapter mit den aus Abbildung 8 entnommenen Informationen auf das Zielnetzwerk angesetzt (Abbildung 16). Wie schon in 2.3.2 muss darauf geachtet werden, dass die Authentifizierung mittels SAE erfolgt (siehe 1. roter Pfeil). Durch Angabe der BSSID, des genutzten Channels, der verwendeten Authentifizierung und des Wi-FiAdapters werden nun gezielt EAPOL Pakete des WPA3-Safe für verwendeten BSSID des AP mitgeschnitten und in einer .cap Datei (2. roter Pfeil, Abbildung 16) gespeichert. Gegenüberstellung / Josef Marold 24 Abbildung 16: erfolgreich mitgeschnittener WPA-Handshake in WPA3-Safe Wie in Abbildung 16 zu sehen ist, bietet die Ausgabe von airodump-ng alle benötigten Daten. Es wird für jeden Client eine Ab- und eine Anmeldung durchgeführt und abermals kann in jedem Fall ein Handshake (siehe Abbildung 16, siehe 3. roter Pfeil) mitgecaptured werden. In dem Punkt kann kein Sicherheitsgewinn durch die neue Konfiguration festgestellt werden. Abbildung 17: erfolgreich mittels Offline Dictionary Attack entschlüsselter PSK 3.4.3 Fazit Die mit airodump-ng mitgeschnittene WPA-Handshakes werden einer Offline Dictionary Attack unterzogen (Abbildung 17). Das Ergebnis unterscheidet sich bis auf die in diesem Fall erzwungenen PMF des Windows 11 Clients (Client 1, Tabelle 6) kaum vom Ergebnis der „unsicheren“ WPA3 Implementierung. Bemerkenswert ist auf den ersten Blick lediglich das Verhalten von Client 1 in Bezug auf PMF. Gegenüberstellung / Josef Marold 25 Tabelle 6: Ergebnisse des Angriffs auf Clients im WPA3-Safe Setup WPA BETRIEBS- DEAUTH- OFFLINE STANDARD SYSTEM ATTACKE DICTIONARY CLIENT 1 WPA2 only Windows 11 erfolglos erfolgreich CLIENT 2 WPA2 / WPA3 Windows 10 erfolglos erfolglos CLIENT 3 WPA2 / WPA3 Android erfolglos erfolglos CLIENT 3.5 Leitfaden zur sicheren Implementation von WPA3 Die Autoren dieser Arbeit möchten an dieser Stelle wie eingangs erwähnt die Beobachtungen aus allen drei Szenarien zusammenfassen, um darauf basierend Empfehlungen zur Konfiguration eines Wi-Fi-Netzwerks abzuleiten. 3.5.1 Interne Tests vorbereiten Für das Testen der einzelnen Sicherheitseinstellungen mit den Clients im eigenen, meist recht heterogenen Betrieb wird ausdrücklich empfohlen ein Test-Wi-Fi mit einer Konfiguration, die der des WPA3-Safe Wi-Fi-Netzwerks (Tabelle 2) entspricht, anzulegen. Außerdem wird die Verwendung einer neuen SSID empfohlen, um inkompatible Clients möglichst früh zu identifizieren und so eine Entscheidungsgrundlage zu schaffen. Das Anlegen einer eigenen SSID ist vor allem deshalb besonders wichtig, da viele Clients, vor allem Windows und Linux Clients keine Änderung der Sicherheitseinstellungen eines gespeicherten Netzwerks zulassen. Dadurch kann es beim Versuch ein Wi-Fi-Netzwerk mit derselben ID und einem anderen Sicherheitsstandard einzubinden zu verfälschten Ergebnissen kommen. Findet man nicht WPA3-fähige Geräte vor, sollte auch auf die Kompatibilität mit PMF geprüft werden. Geräte, die sich nicht mit einem solchen Wi-FiNetzwerk verbinden können, sollten auch mit einem WPA3-SAE Wi-Fi-Netzwerk getestet werden, das PMF nur optional nutzt. 3.5.2 Empfehlungen im Umgang mit nicht WPA3-fähigen Geräten Die Versuche mit dem WPA3-SAE-Modus zeigen klar, dass Clients, die nur über einen WPA2 Modus verfügen gut angreifbar bleiben. Allerdings kann man die Sicherheit im eigenen Netzwerk steigern, indem man zumindest PMF aktiviert, sofern die Clients damit Gegenüberstellung / Josef Marold 26 umgehen können. Da manche Clients diese Option jedoch nur bei erzwungenem PMF nutzen, wird von den Autoren ein Erzwingen des PMF klar empfohlen. WPA2-Handshakes können in einem WPA3-SAE-Netzwerk nicht unterbunden werden. Deshalb muss in einem solchen Setup zwingend ein möglichst zufälliger String mit 64 Zeichen als PSK gewählt werden. Verbindet man ein gutes Passwort mit dem Setzen eines Group-Rekey-Intervalls verringert man abermals die Angreifbarkeit eines solchen Netzwerks. Setzt man dieses Intervall etwa auf 3600 Sekunden, hat ein Angreifer vor Ort nur eine Stunde Zeit diesen Key zu ermitteln. Als weiteren Mehrwert schließt man damit noch einen zusätzlichen Angriffsvektor, da man einem potenziellen Angreifer, der den Datenverkehr über längere Zeit mitschneidet, die Möglichkeit nimmt, diese Daten nach einer erfolgreichen Infiltration des Netzwerks zu entschlüsseln. Zusätzlich zu Überlegungen wie einer Segmentierung der Wi-Fi-Netzwerke in ein internes, ein DMZ-Wi-Fi und ein Guest-WiFi, die nicht im Fokus dieser Arbeit liegen, wird auch die Layer-2-Isolierung von Wi-Fi-Clients in allen internen Wi-Fi-Netzwerken empfohlen. Die erreichbaren MAC-Adressen können über eine entsprechende Whitelist gesteuert werden, um so gewünschte Zugriffe, wie etwa auf allgemeine Data-Shares oder ähnliches zu ermöglichen. Das Steuern von Zugriffen über eine solche Whitelist ist ein nicht zu unterschätzender Zugewinn an Sicherheit für die einzelnen Clients. Allerdings sollte diese Einstellung mit den vorhandenen Clients gut getestet werden, da es teilweise zu unvorhergesehenen Einschränkungen kommen kann. Um zu guter Letzt auch noch die eher unwahrscheinlichen Side-Channel-Attacken auf WPA3 auszuschließen, empfehlen die Autoren SAE-Anti-Clogging auf Unifi Controllern beim Standardwert 5 zu belassen. Dadurch kann ein Angreifer nicht auf Grund der Berechnungszeit Rückschlüsse auf den verwendeten PSK ziehen. 3.5.3 Optimales Setup Auch wenn man mit einer WPA3-SAE-Konfiguration wie sie in Abschnitt 3.5.2 beschrieben wird einen nicht unerheblichen Sicherheitsgewinn im Vergleich zu einem WPA2-Netzwerk erhält, sollte der SAE-Modus in einem optimalen Setup deaktiviert werden. Reines WPA3 bietet im Moment den bei weitem besten Schutz vor Angriffen. Sollen trotzdem Clients ohne WPA3-Kompatibilität mitversorgt werden, bietet sich eine Kombination aus einem reinen Gegenüberstellung / Josef Marold 27 WPA3-Netzwerk für sensiblen internen Traffic und einem WPA3-SAE-Netzwerk mit Einschränkungen, die man auch in einer DMZ vornehmen würde, an. In Bezug auf die hier vorliegende Arbeit sollen zwei positiv aufgefallene Aspekte nicht unerwähnt bleiben. Zum einen können KMU, die bisher auf Unifi-Geräte gesetzt haben, in vielen Fällen ohne Infrastrukturinvestitionen die Netzwerksicherheit erhöhen, da Updates für APs bis zurück ins Jahr 2015 ausgerollt wurden. Und zum anderen haben sich MicrosoftEntwickler im aktuellen Betriebssystem Windows 11 eine Art Easteregg für Kunden, die ein WPA3-Netzwerk nutzen, einfallen lassen (siehe Abbildung 18). Durch solche Meldungen kann aus Sicht der Autoren die Aufmerksamkeit von Nutzern auf einfache Weise erhöht werden. Abbildung 18: Windows 11 Meldung beim ersten Verbinden mit einem WPA3 Zusammenfassung / Rudolf Eiser 4 28 Zusammenfassung und Ausblick Dass WPA2 als unsicher betrachtet werden muss, haben nicht nur zahlreiche Untersuchungen verdeutlicht, sondern konnte auch im praktischen Teil dieser Arbeit durch das Kompromittieren einer WPA2-Verbindung nachgewiesen werden. Trotz der noch immer weiten Verbreitung von WPA2 ist mit dem neuen, verbesserten Standard WPA3 eine Option geschaffen worden, die entstandene Sicherheitslücke für mobile Netze zu schließen. Dabei scheint es unerheblich, ob diesbezügliche Standards zukünftig von IEEE oder der WiFiAlliance erarbeitet und veröffentlicht werden. In einer Kombination aus Netzwerkkonfiguration und unterschiedlichen Geräteeigenschaften gilt es, den Fokus auf das jeweils schwächste Element zu legen, da dieses den Sicherheitsstandard des gesamten Netzsegmentes bestimmt. Unter diesen Gesichtspunkten muss die Empfehlung ausgesprochen werden, für den Austausch sensitiver Daten ausschließlich ein mit WPA3 konfiguriertes WLAN zu verwenden. Unterschiedliche technische Voraussetzungen können allerdings zu einer Herausforderung werden. Hier sei beispielsweise die Differenzierung im Verhalten von Betriebssystemen, wie in Abschnitt 3.5.1 dargestellt, nochmals erwähnt. Wenn gerätebedingt Sicherheitsdefizite zu erwarten sind, sollten diese feingranular und durch Segmentierung gelöst werden. Zusätzlich zur reinen WPA3-Konfiguration empfiehlt sich am gleichen AP eine WPA3-SAE-Einrichtung mit eingeschränkten Berechtigungen. Bei unbedingt erforderlicher, ausreichender Passwortsicherheit finden so auch nicht WPA3fähige Clients Berücksichtigung. Mit dieser Konfiguration eines möglichen TransitionMode können auch Downgrade-Attacken weitestgehend verhindert werden. Pauschal bleibt garantierte WLAN-Sicherheit hinsichtlich aller Einflussfaktoren eine Illusion. Trotz der Bemühungen von Herstellern, Interessensvertretungen und Bedarfsträgern wie der WiFi-Alliance oder IEEE ist der Faktor Zeit eine unumstößliche Größe. So sicher, wie es immer als Reaktion auf erkannte Schwachstellen eine Verbesserung dieser geben wird, so sicher werden (Netzwerk-) Administrator*innen gefordert sein diese Verbesserungen zeitnah umzusetzen. Literaturverzeichnis 29 5 Literaturverzeichnis [1] Wirtschaftskammer Österreich, „Wirtschaftskraft KMU 2018 Österreichs KMU im Überblick“, S. 44, 2018, [Online]. Verfügbar unter: https://news.wko.at/news/oesterreich/wirtschaftskraft-kmu2018.pdf. [2] C. Paulsen, „Cybersecuring Small Businesses“, Computer (Long. Beach. Calif)., Bd. 49, Nr. 8, S. 92–97, 2016, doi: 10.1109/MC.2016.223. [3] BSI, Bundesamt für Sicherheit in der Informationstechnik, und Secunet, „Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen“, Informationstechnik, S. 118, 2011, [Online]. Verfügbar unter: https://www.bsi.bund.de/SharedDocs/Downloads /DE/BSI/Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.pdf?__blob= publicationFile. [4] H. F. Al-Turkistani und H. Ali, „Enhancing Users’ Wireless Network Cyber Security and Privacy Concerns during COVID-19“, 2021 1st Int. Conf. Artif. Intell. Data Anal. CAIDA 2021, S. 284–285, doi: 10.1109/CAIDA51941.2021.9425085. [5] IEEE, „IEEE at a Glance“. https://www.ieee.org/about/at-a-glance.html (zugegriffen Dez. 09, 2021). [6] Wi-Fi Alliance, „History | Wi-Fi Alliance“, 09.Dezember 2021. [Online]. Verfügbar unter: https://www.wi-fi.org/who-we-are/history (zugegriffen Dez. 09, 2021). [7] IEEE, „IEEE 802.11, The Working Group Setting the Standards for Wireless LANs“, ieee802.org, 30.Dezember 2021. [Online]. Verfügbar unter: https://ieee802.org/11/# (zugegriffen Dez. 30, 2021). [8] Wi-Fi Alliance, „Security | Wi-Fi Alliance“, 09.Dezember 2021. [Online]. Verfügbar unter: https://www.wi-fi.org/discover-wi-fi/security (zugegriffen Dez. 09, 2021). [9] J. Zhou, „A Survey on Wireless Security Protocols Wi-Fi (802.11) and WiMAX (802.16)“, Int. Conf. Comput. Eng. Technol. 3rd (ICCET 2011), Nr. January, S. 733– 738, 2011, doi: 10.1115/1.859735.paper111. [10] A. H. Lashkari, F. Towhidi, und R. S. Hosseini, „2009 International Conference on Future Computer and Communication“, in Wired Equivalent Privacy (WEP), 2009, S. 492–495, doi: 10.1109/ICFCC.2009.32. Literaturverzeichnis [11] 30 K. Curran und E. Smyth, „Demonstrating the wired equivalent privacy (WEP) weaknesses inherent in wi-fi networks“, Inf. Syst. Secur., Bd. 15, Nr. 4, S. 17–38, 2006, doi: 10.1201/1086.1065898X/46353.15.4.20060901/95121.3. [12] S. Kwon und H. K. Choi, „Evolution of Wi-Fi Protected Access: Security Challenges“, IEEE Consum. Electron. Mag., Bd. 10, Nr. 1, S. 74–81, 2021, doi: 10.1109/MCE.2020.3010778. [13] Wi-Fi Alliance, „Wi-Fi Alliance® introduces Wi-Fi CERTIFIED WPA3TM security | Wi-Fi Alliance“, 07.September 2021. [Online]. Verfügbar unter: https://www.wifi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security (zugegriffen Sep. 07, 2021). [14] M. Vanhoef und F. Piessens, „Key reinstallation attacks: Forcing nonce Reuse in WPA2“, Proc. ACM Conf. Comput. Commun. Secur., S. 1313–1328, 2017, doi: 10.1145/3133956.3134027. [15] M. Vanhoef, „krackattacks-poc-zerokey/krack-all-zero-tk.py at research · vanhoefm/krackattacks-poc-zerokey · GitHub“, 2017. [Online]. Verfügbar unter: https://github.com/vanhoefm/krackattacks-poc-zerokey/blob/research/krackattack /krack-all-zero-tk.py (zugegriffen Okt. 26, 2021). [16] D. Westhoff, Mobile Security : Schwachstellen verstehen und Angriffsszenarien nachvollziehen. Springer Berlin / Heidelberg, 2020, doi: 10.1007/978-3-662-60855-5. [17] M. Vanhoef und E. Ronen, „Dragonblood: A Security Analysis of WPA3’s SAE Handshake“, IACR Cryptol. ePrint Arch., Bd. 2019, S. 383, 2019. [18] Wi-Fi Alliance, „WPA3TM Specification Version 3.0“ , S.30, 2020. [Online]. Verfügbar unter: https://www.wi-fi.org/download.php?file=/sites/default/files/ private/WPA3_Specification_v3.0.pdf. [19] M. Vanhoef und E. Ronen, „Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd“, Proc. - IEEE Symp. Secur. Priv., Bd. 2020-May, S. 517–533, 2020, doi: 10.1109/SP40000.2020.00031. [20] C. P. Kohlios und T. Hayajneh, „A comprehensive attack flow model and security analysis for Wi-Fi and WPA3“, Electron., Bd. 7, Nr. 11, 2018, doi: 10.3390/electronics7110284. Literaturverzeichnis [21] 31 A. Carranza, D. Mayorga, C. DeCusatis, und H. Rahemi, „Comparison of wireless network penetration testing tools on desktops and raspberry Pi platforms“, Proc. LACCEI Int. Multi-conference Eng. Educ. Technol., Bd. 2018-July, Nr. July, S. 19– 21, 2018, doi: 10.18687/LACCEI2018.1.1.128. [22] S. Naik, M. K. Prajapati, B. S. Ferdousi, und H. Santhi, „Enhanced Brute Force Attack And Bypassing MAC Filtering In Wireless Networks School of Computer Science and Engineering , Vellore Institute of Technology“, Bd. 29, Nr. 12, S. 259– 268, 2020. [23] K. (Statista) Buchholz, „• Chart: How Safe Is Your Password? | Statista“ . 09.Dezember 2021. [Online]. Verfügbar unter: https://www.statista.com/chart/26298 /time-it-would-take-a-computer-to-crack-a-password/ (zugegriffen Dez. 09, 2021).
