In der heutigen vernetzten Welt sind WLAN-Netzwerke allgegenwärtig und bilden das Rückgrat unserer digitalen Konnektivität. Diese Bequemlichkeit birgt jedoch das Risiko von Sicherheitslücken, die von böswilligen Akteuren ausgenutzt werden können.
WLAN basiert auf dem IEEE-802.11-Standard und überträgt Daten als elektromagnetische Funkwellen im 2,4-, 5- oder 6-GHz-Frequenzband. Ein Access Point moduliert digitale Daten auf diese Funkwellen, die von Endgeräten empfangen, demoduliert und in nutzbare Informationen umgewandelt werden.
Zur Sicherung der Kommunikation kommen verschiedene Sicherheitsprotokolle wie WEP, WPA, WPA2 und WPA3 zum Einsatz. Während WEP und WPA aufgrund bekannter Sicherheitslücken als veraltet gelten, ist WPA2 weiterhin weit verbreitet, jedoch nicht frei von Schwachstellen. WPA3 stellt den aktuellen Sicherheitsstandard dar, wird jedoch noch nicht von allen Endgeräten unterstützt.
Der IEEE-802.11-Standard verwendet MAC-Frames zur drahtlosen Kommunikation. Ein MAC-Frame besteht aus mehreren Feldern wie Frame Control, Duration/ID, Adressfeldern, Sequenzsteuerungsfeld, Datenfeld und CRC (FCS), die Steuerinformationen, Adressierung, Reihenfolge und Fehlererkennung bereitstellen und somit verschiedene WLAN-Funktionen ermöglichen.
Es existieren drei grundlegende Frame-Typen, die im Type-Feld des Frame-Control-Headers definiert sind: Management (00), Control (01) und Data (10).
Besonders relevant für den Verbindungsaufbau und die Verwaltung eines WLANs sind die Management-Frames. Diese werden zur Steuerung der Verbindung zwischen Access Point und Client verwendet und können beispielsweise mit Wireshark analysiert werden. Zu den wichtigsten Management-Frame-Untertypen zählen:
- Beacon Frames (1000)
- Probe Request (0100) und Probe Response (0101)
- Authentication Request und Response (1011)
- Association / Reassociation Request und Response (0000, 0001, 0010, 0011)
- Disassociation / Deauthentication (1010, 1100)
Aircrack-ng
Aircrack-ng umfasst eine umfassende Suite von 20 Tools zur Bewertung der Sicherheit von WLAN-Netzwerken. Die wichtigsten dabei sind:
- Airmon-ng kann den Überwachungsmodus auf drahtlosen Schnittstellen aktivieren und deaktivieren.
- Airodump-ng kann rohe 802.11-Frames erfassen.
- Airgraph-ng kann verwendet werden, um Grafiken von drahtlosen Netzwerken anhand der von Airodump-ng generierten CSV-Dateien zu erstellen.
- Aireplay-ng kann drahtlosen Datenverkehr generieren.
- Airdecap-ng kann WEP-, WPA-PSK- oder WPA2-PSK-Capture-Dateien entschlüsseln.
- Aircrack-ng kann WEP- und WPA/WPA2-Netzwerke knacken, die vorab geteilte Schlüssel oder PMKID verwenden.
Bypassing Mac Filterung
Das Umgehen der MAC-Filterung in WLAN-Netzwerken ist eine Technik, mit der eine grundlegende Sicherheitsmaßnahme mithilfe von MAC-Spoofing umgangen werden kann, die viele WLAN-Router implementieren. Bei der MAC-Filterung dürfen nur Geräte mit bestimmten MAC-Adressen (Media Access Control) eine Verbindung zum Netzwerk herstellen.
Bei MAC-Spoofing nehmen wir die MAC-Adresse eines legetimen Clients an. Dafür Scannen wir das Netzwerk mittels sudo airodump-ng <Interface> und kopieren uns die MAC-Adresse eines Clients der mit dem Zielnetzwerk verbunden ist. Um Kollisionsereignisse zu vermeiden trennen wir den legetimen Client vom AP mithilfe eines Deauthentication-Angriff.
Mit sudo aireplay-ng -0 5 -a <MAC AP> -c <MAC Client> <Interface> für wir einen Deauthentication-Angriff durch so das sich der Client vom AP trennt.
Mit sudo macchanger wlan0 -m 3B:41:72:B2:12:2E ändern wir die MAC-Adresse des Interfaces. Anschließend können wir uns im Netz anmelden und so die Filterung umgehen.
Cracking WPA
Nach einem Deauthentication-Angriff versucht der Client, sich erneut mit dem Access Point zu verbinden und führt dabei den sogenannten Four-Way-Handshake durch. Dieser Handshake kann mit airodump-ng aufgezeichnet werden.
Die dabei entstehende .pcap-Datei enthält kryptographische Parameter (Nonces und Hashes), anhand derer mit aircrack-ng ein Offline-Wörterbuchangriff auf den WPA/WPA2-Pre-Shared-Key (PSK) durchgeführt werden kann: aircrack-ng test.pcap -w /opt/wordlist.txt