Anfang November gingen die ersten Schlagzeilen durch die Medien, mit Effekt haschenden Titeln die jedem Schmierenblatt zu höchsten Ehren gereicht hätten.
Was stimmt nun aber wirklich ? Hat dies Auswirkungen auf bestehende WLAN Installationen und wenn ja welche ? Müssen Gegenmaßnahmen ergriffen werden, und wenn ja wie sollten diese aussehen ?
Wir erklären Ihnen die Details und zeigen Ihnen praktische Maßnahmen zum verbesserten Schutz.
Basierend auf einer Vorankündigung des Einwicklungsberichtes „Practical attacks against WEP and WPA“ der Herren Martin Beck, TU-Dresden, und Erik Tews, TU-Darmstadt, wurden sofort die schönsten Horrorszenarien berichtet oder Filme mit Inhalten wie „ich habs in nur einer Sekunde geschafft“ im Netz verbreitet. Findige Geschäftemacher hatten natürlich sofort entsprechende Crack-Software aus China oder Rußland im Angebot, andere die Lösung zur Rettung der Menschheit parat.
Mit Veröffentlichung des Berichtes selbst konnte erste Klarheit über Problem und vor allem Lösung geschaffen werden. Entsprechende Detailerläuterungen finden sich in o.g. Bericht, in diversen publizierten Kommentaren, aber vor allem auf der Webseite des aircrack-ng teams, dem Martin Beck angehört. Wir wollen hier keine Nacharbeit vornehmen, sondern unseren Kunden das Gefahrenpotential aufzeigen und Hilfestellung zur Sicherung des eigenen WLAN-Netzes bieten.
Lt. o.g. Bericht, besteht die theoretische Möglichkeit, daß mit WPA-TKIP verschlüsselte Kommunikation zwischen WLAN Accesspoint und WLAN Client mitgelesen werden kann.
Dazu müssen folgende Voraussetzungen herrschen:
- Der Accesspoint muß auf WPA-TKIP Verschlüsselung eingestellt werden. Es wird also mit vordefinierten Paßwörtern (PSK) gearbeitet. WPA-AES (AES-CCMP), oder WPA2 in allen Konfigurationen ist davon nicht betroffen. Gleiches gilt für andere Authentifizierungsverfahren, welche typischerweise in Unternehmensumgebungen angewandt werden. WEP, gleich welcher Ausführung, gilt längst als unsicher und sollte generell nicht mehr eingesetzt werden.
- Der Rekeying Intervall, also der Zeitrahmen, nachdem der automatische Schlüsselwechsel systemtechnisch erfolgt, muß auf hohe Werte eingestellt werden, mindestens 20 Minuten, besser 60 Minuten.
- Der Accesspoint muß QoS (auch als Wi-Fi Multi-media WMM bezeichnet) unterstützen und aktiviert haben.
- Es werden verschiedene Hackertools benötigt, mind. eines, welches dieses neue Verfahren implementiert hat. Das auf der aircrack-ng aufgeführte Tool Tkiptun-ng wird dort seit längerem als „is not fully working. A working version will be released shortly” aufgeführt.
- Es muß kriminelle Energie vorliegen. Bereits der versuchte Angriff als auch der Besitz entsprechender Hackerprogramme stellt einen Straftatbestand dar.
WPA Cracked - Ja oder Nein ?
Ein klares NEIN. Durch vorstehende Problematik lassen sich ggfs. Teile der übertragenen Pakete ändern, was als mittleres Gefahrenpotential zu betrachten ist, da sich damit z.B. Pakete an nicht gewünschte Orte rerouten lassen, oder es könnten über einen bidirektionalen Channel Firewall-Policies umgangen werden.
Schaden ließe sich wohl eher anrichten, wenn damit Accesspoints überlastet, Intrusion-Detection Systeme außer Kraft gesetzt oder Intrusion-Protection Systeme manipuliert würden.
Einen Zugriff auf die WPA-Passwörter und somit unauthorisierter Zugriff auf das Netzwerk ist über dieses Verfahren definitiv nicht möglich, auch nicht absehbar.
Was tun ?
Diese Problematik unbeachtet zu lassen wäre sicherlich ein Fehler. Auch wenn aktuell noch keine derartigen Programme zur Verfügung stehen, sollte man damit rechnen, daß hier die Szene aktiv wird.
- QoS deaktivieren ? Für den, der QoS benötigt, stellt sich die Frage nicht. Wer allerdings QoS, z.B. wegen fehlender durchgehender Client-Funktionalität, nicht nutzen kann, sollte dieses Feature auch ausschalten, generell. QoS benötigt Kapazität, wenn auch nur minimal.
- Rekeying Intervall: Hier sollte, sofern es der Hersteller als konfigurierbares Feature anbietet, eine Werteüberprüfung und –anpassung stattfinden. Auch bei hoher Auslastung des WLANs sind Werte von 600 Sekunden (10 Minuten) ohne Folgeprobleme machbar. Bei geringer Last sind auch 5 Minuten ok. Darunter sollte man nicht gehen, da dadurch über das Netz verteilt gesehen, evtl. fortlaufend ein ReKeying erfolgt. Das ist unnötige Zusatzbelastung.
- Paßwörter: Auch hier gilt, was generell gilt; verwenden Sie keine unsicheren Paßwörter. Ein entsprechendes Tool mit dem Paßwort Amplifier von Funk/Juniper steht kostenfrei zur Verfügung. Verwenden Sie die typischerweise bei TKIP angebotenen vier verschiedenen Paßwortmöglichkeiten im Accesspoints für unterschiedliche Clients / Clientgruppen und ändern sie diese zumindest bei jedem Wartungsintervall komplett.
- WPA-AES: Nutzen Sie, sofern Ihr Accesspoint dies unterstützt, WPA-AES statt WPA-TKIP. AES ist generell als sicherer zu betrachten.
Und letztendlich: Die WPA-TKIP Problematik ist nicht in Hardware vergossen, also kein Fehler des Chipsatzes sondern ein Problem der Implementierung unterschiedlicher Teilstandards. Für den Hersteller besteht somit die Möglichkeit, durch entsprechende Anpassung der Firmware, dieses potentielle Sicherheitsleck zu schließen. Also fragen Sie nach einem Statement Ihres Anbieters, evtl. auch mehrfach.
Die „Lösungsansätze“, wie z.B. das Tunneling von Header- und Nutzdaten (Aruba Networks), oder die Implementierung einer VPN-Struktur, schützen vor dem Auslesen der Daten, bringen auch Sicherheit. Eine komplett andere Sicherheit, aber sie können das hier entstandene Problem nicht lösen.
Zusammenfassung:
WPA ist nicht geknackt, sondern hat in Zusammenspiel mit TKIP einen potentielle Angriffspunkt. Diesen sollte man mit eigenen Mitteln, wie beschrieben, abdecken. Ignorieren hilft ebensowenig wie die kostenintensive Installation von Ergänzungssystemen, es sei denn diese sind zusätzlich gewollt. Parallel dazu sind die Hersteller aufgefordert, daran zu arbeiten – tun Sie das, fordern Sie – mit uns zusammen. Sicherheit geht uns alle an.
Thomas Rödel
Geschäftsführer Aeroaccess GmbH
