Funk-Erkennung
Seite 2: Acknowledge-Verzögerung
Eine gut messbare Größe ist die Zeit, innerhalb der eine WLAN-Station an sie adressierte Unicast-Pakete bestätigt (Acknowledge): Im Media Access Controller vieler WLAN-Chipsätze – etwa den klassischen 11-MBit-Typen Prism und Orinoco – läuft Firmware, die für das Acknowledge verantwortlich ist. Da die Firmware sich auch noch um andere Dinge kümmern muss, kann die Antwortzeit variieren, und zwar unterschiedlich bei verschiedenen Chipsätzen und Treibern, denn Letzterer bringt üblicherweise die Kartenfirmware mit. Diesen Acknowledge-Verzug kann man im Monitormodus, bei dem eine WLAN-Karte passiv mithört, recht leicht messen: Die meisten WLAN-Chips liefern den Zeitpunkt empfangener Pakete – also initiale Daten und darauf folgendes Acknowledge – mit Mikrosekundenauflösung.
Spürhund
Eine Stufe höher setzt eine weitere Idee an: Der WLAN-Verbindungsaufbau beginnt damit, dass der Client eine verfügbare Funkzelle auswählt. Dazu setzt er nacheinander auf allen verfügbaren Kanälen einen Probe Request ab, mit dem er nach vorhandenen WLANs fragt. Enthält der Probe Request die SSID, antworten nur Access Points, die darauf konfiguriert sind. Doch meist erfolgt die Anfrage ohne SSID, denn dann antworten alle APs – was beispielsweise Windows XP macht, um alle benachbarten WLANs präsentieren zu können.
Die von Jason Franklin und Kollegen beschriebene Fingerprinting-Methode nutzt aus, dass der IEEE-Standard keine genauen Vorschriften zum zeitlichen Raster dieses Probing gibt. Je nach WLAN-Hardware, deren Treiber und dem darauf aufsetzenden Konfigurationstool unterscheidet sich das Muster. Dabei spielen mehrere Faktoren hinein, etwa die Anzahl der Probe Requests pro Kanal und ihr zeitlicher Abstand oder die Wartezeit bis zum Kanalwechsel, wenn niemand antwortet.
Weil der Funkkanal in einem belebten WLAN nicht immer frei ist, kann der Client seinen Probe Request aber nicht unmittelbar absetzen, sondern erst nach einer zufälligen Wartezeit. Wegen dieses Jitters sind die Werte erst nach einer Klassifizierung verwertbar. Der Fingerabdruck eines Clients ist dabei die relative Verteilung der Abstände auf die einzelnen Klassen. Da der Treiber das Verhalten bestimmt, kann schon ein Software-Update bewirken, dass ein Teilnehmer plötzlich als Eindringling gilt. Wer mit solch einer Methode seine Clients identifizieren will, kommt um regelmäßiges Nachmessen nicht herum.
Fazit
Die geschilderten Verfahren sind noch im Forschungsstadium. Bis WLAN-Fingerprinting in kommerziellen Intrusion-Detection-Systemen auftaucht, dürfte es also noch etwas dauern. Generell gilt es als ergänzende Methode, um beispielsweise das Kloning von MAC-Adressen oder den Typ von Eindringlingen zu erkennen. Es wird wohl niemals in der Lage sein, Clients so sicher und eindeutig zu erkennen, dass der Fingerabdruck allein als Zugangskontrolle dienen könnte.
Für die Authentifizierung genügt weiterhin das etablierte WPA respektive WPA2 (802.11i) mit Passwörtern oder Zertifikaten. Kombiniert mit der Ortung von WLAN-Clients anhand ihrer Signalstärke können Fingerprinting-Verfahren in Zukunft aber dem WLAN-Admin die Suche nach ungebetenen Gästen erleichtern. (ea) (ea)
