Funknetze: Hot Spots heißer als erwartet
Drahtlos Websurfen im Cafe und am Flughafen, das sollen Hot Spots bringen. Nur hat sich die dafür vorgeschlagene Zugangskontrolle schon als mangelhaft herausgestellt.
Vom Internetzugang durch WLAN-Clients (IEEE 802.11, Wireless LAN) an belebten öffentlichen Plätzen (so genannten Hot Spots, beispielsweise an Flughäfen) erwarten Hardware-Hersteller und Provider neue Profite für das in letzter Zeit deutlich stagnierende Geschäft. Sogar von einer ernst zu nehmenden Konkurrenz zum aufkommenden UMTS-Standard wird gesprochen. Um die Sicherheitsadministration solcher (und anderer) Szenarien zu erleichtern, hat das IEEE den 802.1x-Standard geschaffen, der eine zentrale, skalierbare und leicht administrierbare Authentifizierung und Zugriffskontrolle von WLAN-Clients an Access Points (AP) verspricht. Dazu implementiert 802.1x das Extensible Authentication Protocol (EAP, RFC 2284)) und greift für die Authentifizierung auf einen zentralen RADIUS-Server (RFC 2138) zu.
Die Forscher William Arbaugh und Arunesh Mishra von der Universität Maryland wollen nun herausgefunden haben, dass 802.1x in dieser Konstellation erhebliche Schwächen aufweist. In ihrer Untersuchung schildern sie zwei Fälle, in denen ein Angreifer die erfolgreiche Authentifizierung eines rechtmäßigen WLAN-Clients zum unbefugten Systemzugang ausnutzen kann.
Im ersten Szenario "entführt" der Angreifer eine reguläre Client/AP-Verbindung nach erfolgter Authentifizierung, indem er vorgibt, der Access Point zu sein. Anschließend meldet der Angreifer den Client zwangsweise mit einer "Disassociate"-Nachricht ab. Da nun der Client glaubt, abgemeldet zu sein, kann der Angreifer die Sitzung mit diesem AP übernehmen. Der AP selbst merkt von dem ganzen Spuk überhaupt nichts. Dieser Angriff funktioniert allerdings nur, solange er bestimmte Timing-Bedingungen einhält und das WLAN-Verschlüsselungsprotokoll WEP entweder nicht eingesetzt wird oder bereits gebrochen ist.
Das zweite Szenario ist eine klassische Man-in-the-Middle-Attacke, in der sich der Angreifer gegenüber dem Access Point als Client und dem gegenüber wiederum als AP ausgibt. Dadurch kann er alle Nachrichten inspizieren und gegebenenfalls nach passender Manipulation an den nichts ahnenden Empfänger weiterleiten. Diese Form der Attacke ist möglich, da der AP nur den Client authentifiziert, aber umgekehrt nicht. Laut des Interessenverbandes WECA (Wireless Ethernet Compatibility Alliance) soll dieser Bug bereits behoben sein, was William Arbaugh jedoch ernsthaft anzweifelt.
Arbaugh und Mishra zufolge ließe sich das 802.1x-Protokoll mit vertretbarem Aufwand -- Maßnahmen zur Authentizitätssicherung der Nachrichten innerhalb EAP sowie eine striktere Überprüfung der auftretenden Zustände in der 802.11-internen State Machine bei An- und Abmeldung -- gegen die Angriffe absichern. Zudem müsste man sowohl Clients als auch APs von vornherein als nicht vertrauenswürdig ansehen, sodass eine beiderseitige Authentifizierung erforderlich würde.
802.1x wird derzeit beispielsweise in Ciscos Aironet-350-Produkten eingesetzt, auch Microsoft nutzt diesen Standard, unter anderem in Windows XP Professional oder mit CE und .NET. (Michael Schmidt) / (ea)
