WEP – Schwachstellen
Nachdem ich bereits die Shared-Key-Authentication und die WEP-Verschlüsselung erklärt habe, ist es nun an der Zeit die Schwachstellen von WEP genauer zu betrachten.
WEP sollte für Wireless-LANs eine den drahtgebundenen Netzwerken vergleichbare Sicherheit bieten. Es sollte sowohl die Zugangskontrolle als auch die Abhörsicherheit und Datenintegrität gewährleisten. Spätestens seit 2001 ist jedoch bekannt, dass der Sicherheitsmechanismus diese Aufgaben aufgrund diverser Schwachstellen nicht erfüllen kann.
Die Schwachstellen von WEP, wie sie in der einschlägigen Literatur dargestellt werden, sind:
- Zu kurze WEP-Schlüssel Die Schlüssellänge von 40 Bit bietet keinen ausreichenden Schutz vor Brute-Force-Angriffen. Ein Angreifer kann durch das Aufzeichnen eines einzigen verschlüsselten Datenpaketes und das systematische Durchprobieren möglicher Schlüssel den richtigen WEP-Schlüssel in kurzer Zeit finden. Ein 104 Bit langer Schlüssel, der erst mit IEEE-802.11i (2004) offiziell in den Standard aufgenommen wurde, ist durch einen solchen Brute-Force-Angriff jedoch nicht in praktikabler Zeit zu bestimmen.
- Kein Schlüsselmanagement Die statischen WEP-Schlüssel müssen manuell bei allen Clients und Access-Points im Netzwerk getauscht werden. Da die Verteilung auf diese Weise einen hohen Verwaltungsaufwand bedeutet, werden die Schlüssel in der Regel selten oder gar nicht gewechselt. Dies hat jedoch eine starke Gefährdung der Sicherheit zur Folge. Denn somit ist der Schlüsselstrom bei einem statischen sich nie ändernden WEP-Schlüssel nur vom IV abhängig. Da zusätzlich alle Teilnehmer den selben WEP-Schlüssel verwenden, besteht eine erhebliche Gefahr, dass ein Angreifer diesen Schlüssel ermitteln kann.
- Zu kurze Initialisierungsvektoren Mit einer Länge von 24 Bit gibt es nur eine Gesamtmenge von 2^24 möglichen IVs und das führt zu einer häufigen Wiederverwendung. Somit entstehen aus den wiederholten IVs und dem WEP-Schlüssel auch Schlüsselströme, die bereits verwendet wurden. Ein Angreifer kann durch den unverschlüsselt übertragenen IV solche IV-Kollisionen erkennen und eine sog. Known-Plaintext-Attack durchführen.
- Schwache Initialisierungsvektoren Einige IVs ermöglichen Rückschlüsse auf den WEP-Schlüssel. Die mit ihnen erzeugten Schlüsselströme korrelieren stärker mit dem WEP-Schlüssel als vorgesehen. Kann ein Angreifer genug Chiffretext aufzeichnen, der mit solchen schwachen IVs erzeugt wurde, so kann er daraus den eigentlichen WEP-Schlüssel ermitteln. Ein solcher Angriff wird als Weak-Attack bzw. FMS-Angriff bezeichnet und ist linear zur Schlüssellänge.
- Mangelhafte Integritätsprüfung Der ICV ist keine kryptographische Prüfsumme sondern lediglich ein 32 Bit langer CRC (Cyclic Redundancy Check) Wert. Er bietet Schutz gegen zufällige Übertragungsfehler jedoch nicht gegen gezielte Manipulationen eines Angreifers. Ein solcher könnte durch gleichzeitige Manipulation der Nutzdaten und des CRC ein weiterhin gültiges Paket erzeugen. Somit ist das Verfahren wirkungslos, denn weder Sender noch Empfänger könnten denen manipulierten Nachrichteninhalt erkennen. Eine solche Nachrichtenmodifikation wird als Injection-Attack bezeichnet.
- Fälschbare Authentisierung Ein Angreifer kann die Authentisierung eines anderen Clients beobachten und dabei den IV sowie den Challenge-Text sowohl im Klartext als auch verschlüsselt aufzeichnen. Daraus kann er anschließend den Schlüsselstrom berechnen. Diesen kann er für seine eigene Authentisierung nutzen. Ein solcher Angriff wird als Authentication-Spoofing bezeichnet und gehört zur Klasse der Message-Injection-Angriffe. Auf diese Weise ermittelte Schlüsselströme kann der Angreifer außerdem dazu verwenden, andere verschlüsselte Daten, mit entsprechendem IV, zu entschlüsseln. Die Shared-Key-Authentication ist somit in zweierlei Hinsicht ein Sicherheitsrisiko.
- Fehlende Access-Point-Authentifizierung Die Access-Points authentisieren sich nicht gegenüber den Clients. Somit ist ein Man-in-the-Middle-Angriff möglich, bei dem sich der Angreifer als Access-Point ausgibt. Dies ermöglicht ihm, die Daten des Clients zu analysieren und ggf. zu manipulieren und anschließend an den richtigen Access-Point weiterzuleiten.
- Keine Benutzer-Authentifizierung Die Authentifizierung überprüft nicht die Authentizität des Benutzers. Es werden lediglich die WLAN-Adapter authentifiziert. Dazu ist der WEP-Schlüssel auf dem jeweiligen Gerät z.T. sogar im Klartext abgelegt. So kann bspw. ein verloren gegangenes Notebook zum Eindringen in das WLAN verwendet werden.
- Unverschlüsselte Steuerungsdaten Es werden nur die Nutzdaten, jedoch nicht die Steuerungsdaten verschlüsselt. Somit kann ein Angreifer bspw. die MAC-Adressen aller über das WLAN kommunizierenden Geräte abhören.
(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)
Diese große Anzahl an Schwachstellen und die diversen Angriffsmöglichkeiten zeigen deutlich, warum WEP heute nicht mehr eingesetzt werden sollte. WPA bzw. WPA2 sind heute die Sicherheitsmechanismen der Wahl um das eigene private WLAN abzusichern. In weiteren Artikeln werde ich diese Sicherheitsstandards noch genauer vorstellen.
Links:
http://standards.ieee.org/getieee802/download/802.11-1999.pdf
http://standards.ieee.org/getieee802/download/802.11i-2004.pdf
[...] wobei die Sicherheit von der verwendeten Methode abhängt. Wie bereits im Beitrag WEP – Schwachstellen festgestellt wurde, ist eine gegenseitige Authentifizierung im Wireless-LAN besonders wichtig, da [...]
Hallo,
am Ende wird eine Diplomarbeit als Quelle angegeben. Kann man diese im Internet irgendwo einsehen?
Gruss
Hallo Joachim. Entschuldige die verspätete Antwort.
Momentan ist die Arbeit nicht im Internet verfügbar sondern lediglich in der Bibliothek meiner alten Uni. Momentan beschränke ich mich darauf einzelne (Grundlagen-)Teile hier im Blog zu veröffentlichen.