Diplomarbeit-Wlan-sicherheit

7/23/2019 Diplomarbeit-Wlan-sicherheit

1/132

WLAN War DrivingDA Sna 02/6

8. September 2002 - 28. Oktober 2002

Studierende:Alain Girardet

Dominik BlunkDozent:

Prof. Dr. Andreas Steffen


2/132

ZHW Diplomarbeit WLAN War Driving Einfhrung

Seite 1/132

Inhaltsverzeichnis

1 Einfhrung _________________________________________________ 5

1.1 Zusammenfassung ____________________________________________________ 5

1.2 Abstract _____________________________________________________________ 6

1.3 Aufgabenstellung _____________________________________________________ 7

1.4 Einleitung ___________________________________________________________ 9

1.5 WLAN 802.11 _______________________________________________________ 101.5.1 Standards________________________________________________________________ 101.5.2 Grundlagen ______________________________________________________________ 101.5.3 Authentisierung___________________________________________________________ 121.5.4 WEP (Wireless Equivalent Privacy) ___________________________________________ 12

1.6 Attacken auf WLAN__________________________________________________ 141.6.1 Weak IV ________________________________________________________________ 141.6.2 Dictionary Attack _________________________________________________________ 141.6.3 Brute Force ______________________________________________________________ 151.6.4 Denial of Service (DOS) ____________________________________________________ 16

2 Systementwicklung __________________________________________ 17

2.1 Analyse_____________________________________________________________ 172.1.1 Frameformat 802.11 (MAC Frameformat) ______________________________________ 172.1.2 SNAP (Subnetwork Access Protocol)__________________________________________ 292.1.3 RC4 ____________________________________________________________________ 302.1.4 Initialization Vector________________________________________________________ 302.1.5 CRC-32 (Cyclical Redundancy Check)_________________________________________ 322.1.6 Keymapping _____________________________________________________________ 352.1.7 Integration in bestehendes Tool_______________________________________________ 37

2.2 Lsungsansatz_______________________________________________________ 382.2.1 Datenerfassung ___________________________________________________________ 382.2.2 Datenextraktion ___________________________________________________________ 382.2.3 Schlsselbehandlung _______________________________________________________ 382.2.4 berprfung des Passwortes _________________________________________________ 382.2.5 Generierung der Passwrter _________________________________________________ 39

2.3 Software Konzept ____________________________________________________ 402.3.1 Netzwerkdaten____________________________________________________________ 402.3.2 Dictionary _______________________________________________________________ 402.3.3 Verschlsselungs-Modi_____________________________________________________ 412.3.4 Mehrere Netzwerke________________________________________________________ 412.3.5 Resultat _________________________________________________________________ 422.3.6 Logfiles _________________________________________________________________ 422.3.7 Optionen ________________________________________________________________ 422.3.8 Name des Tools___________________________________________________________ 42

2.4 Installation Entwicklungsumgebung ____________________________________ 432.4.1 Umgebung_______________________________________________________________ 432.4.2 Treiber__________________________________________________________________ 432.4.3 Konfigurationstools________________________________________________________ 452.4.4 Konfigurationseinstellungen _________________________________________________ 482.4.5 Tools ___________________________________________________________________ 49

2.5 Implementation WepAttack ___________________________________________ 56

2.5.1 Hauptprogramm __________________________________________________________ 562.5.2 Packet Capturing und Filtering _______________________________________________ 562.5.3 RC4 ____________________________________________________________________ 562.5.4 CRC 32 _________________________________________________________________ 57


3/132


Seite 2/132

2.5.5 SNAP___________________________________________________________________ 572.5.6 Logfile__________________________________________________________________ 572.5.7 KEYGEN _______________________________________________________________ 572.5.8 WepAttack Modi__________________________________________________________ 582.5.9 Module _________________________________________________________________ 59

2.6 bersetzung_________________________________________________________ 702.6.1 Verwendete Bibliotheken ___________________________________________________ 702.6.2 Linker __________________________________________________________________ 702.6.3 Makefile ________________________________________________________________ 70

2.7 Installation__________________________________________________________ 72

2.8 Shell-Skripte ________________________________________________________ 732.8.1 wepattack.conf____________________________________________________________ 732.8.2 wepattack_word___________________________________________________________ 732.8.3 wepattack_inc ____________________________________________________________ 74

2.9 CVS _______________________________________________________________ 75

2.10 Software Test________________________________________________________ 76

2.11 Erweiterungsmglichkeiten____________________________________________ 772.11.1 Verteiltes System _______________________________________________________ 772.11.2 Mehrere Dump-Dateien __________________________________________________ 772.11.3 Programmunterbruch ____________________________________________________ 77

3 Systemanwendung __________________________________________ 78

3.1 HOW-TO WepAttack (Deutsch)________________________________________ 783.1.1 Einfhrung_______________________________________________________________ 783.1.2 Anforderungen ___________________________________________________________ 783.1.3 Anwendung ______________________________________________________________ 79

3.2 HOW-TO WepAttack (English) ________________________________________ 81

3.2.1 Introduction______________________________________________________________ 813.2.2 Requirements_____________________________________________________________ 813.2.3 Using WepAttack _________________________________________________________ 82

3.3 Feldversuch (Wardriving) _____________________________________________ 843.3.1 Bedingungen _____________________________________________________________ 843.3.2 Wardrive Winterthur _______________________________________________________ 853.3.3 Wardrive Zrich-Flughafen__________________________________________________ 893.3.4 Wardrive Zrich __________________________________________________________ 913.3.5 Auswertung ______________________________________________________________ 99

4 Projektverlauf _____________________________________________ 100

4.1 Soll-Planung _______________________________________________________ 101

4.2 Ist-Planung ________________________________________________________ 102

5 Schlusswort _______________________________________________ 103

5.1 Ziele ______________________________________________________________ 103

5.2 Fazit ______________________________________________________________ 103

5.3 Empfehlungen______________________________________________________ 104

6 Anhang __________________________________________________ 105

6.1 Glossar ____________________________________________________________ 105

6.2 Quellen____________________________________________________________ 1076.3 Sourcecode_________________________________________________________ 108

6.3.1 Config.h________________________________________________________________ 108


4/132


Seite 3/132

6.3.2 wepattack.h _____________________________________________________________ 1086.3.3 wepattack.c _____________________________________________________________ 1096.3.4 wepfilter.h ______________________________________________________________ 1136.3.5 wepfilter.c ______________________________________________________________ 1146.3.6 rc4.h___________________________________________________________________ 1186.3.7 rc4.c___________________________________________________________________ 118

6.3.8 keygen.h _______________________________________________________________ 1196.3.9 keygen.c________________________________________________________________ 1206.3.10 modes.h______________________________________________________________ 1226.3.11 modes.c______________________________________________________________ 1226.3.12 misc.h _______________________________________________________________ 1256.3.13 misc.c _______________________________________________________________ 1256.3.14 log.h ________________________________________________________________ 1276.3.15 log.c ________________________________________________________________ 1276.3.16 verify.h ______________________________________________________________ 1296.3.17 verify.c ______________________________________________________________ 129

6.4 CD _______________________________________________________________ 131


5/132


Seite 4/132


6/132


Seite 5/132

1 Einfhrung

1.1 Zusammenfassung

Immer mehr Drahtlose Netzwerke (Wireless LAN, WLAN) schiessen wie Pilze aus demBoden. Die Preise sinken, und die Installation ist einfach und schnell durchgefhrt.Bedingungen, die vermehrt dazu fhren, dass Firmen und auch Private eine WLANInfrastruktur aufbauen. Um ein gewisses Mass an Sicherheit zu gewhrleisten, kanngrundstzlich eine WEP Verschlsselung (Wireline Equivalent Privacy) mit 64 oder 128Bit eingeschaltet werden, welche jedoch selten aktiviert ist. Doch auch verschlsselte

Netze sind nur beschrnkt sicher. Tools wie Airsnort oder WepCrack basieren auf passivenAttacken und knnen bei gengend abgehrtem Netzwerkverkehr den Schlssel

berechnen.

Die Schlssel knnen unter anderem mit Konfigurationstools in Form eines Passwortes

gesetzt werden. Es ist allgemein bekannt, dass in einem solchen Fall schwache Schlssel inForm von Wrtern, allenfalls kombiniert mit Zahlen gewhlt werden.

Diese Arbeit verfolgte das Ziel, eine Dictionary Attacke (aktive Attacke) auf verschlsselteWLANs durchzufhren. Mit einem Wrterbuch sollen Millionen von Wrtern geprftwerden, um schwache Schlssel zu finden.

Diese Attacke konnte erfolgreich implementiert werden. Mit einem Netzwerksniffer kannder verschlsselte Datenverkehr aufgezeichnet und dann WepAttack (dem erstellten Tool)als Grundlage bergeben werden. Die zu prfenden Passwrter (Wrterbuch) knnen auseiner einfachen Datei gelesen oder von einem externen Tool geliefert werden. Gefundene

WEP-Schlssel werden sofort angezeigt und zustzlich in eine Logdatei geschrieben.

Herausforderungen stellten vor allem das Treiberkonzept von Linux und der WLAN-Standard (IEEE 802.11) dar. Zu jeder WLAN-Karte ist ein passender Treiber ntig, und esstellte sich heraus, dass nicht alle Karten fr eine Aufzeichnung der Daten geeignet sind.Fundierte Kenntnisse des IEEE 802.11-Standards waren notwendig, da die Extraktion der

bentigten Daten auf Layer 2-Ebene stattfindet.

Winterthur, 28. Oktober 2002

Alain Girardet Dominik Blunk


7/132


Seite 6/132

1.2 AbstractThe number of wireless networks is rapidly increasing everywhere. Securityissues concerning the network are being neglected not only by privatehouseholds, but also firms. Most administrators reframe from encrypting theirnetworks and if they do so, they utilize weak passwords.

The prices of wireless networks are sinking and the installation can be doneeasily in no time. These favourable conditions have been leading to theincreased usage of such wireless infrastructures by companies as well as

private households. In principle a WEP encryption (Wireline EquivalentPrivacy) with 64 or 128 bits can be activated without much effort, thishowever is rarely done. An encrypted network has its safety limitations aswell. Tools such as Airsnort or WepCrack are based on passive attacks and cancompute the necessary key after analysing sufficient network traffic.

The keys to encrypt wireless networks can be set with administration tools inform of a password. It is well-known that in many cases, weak keys arecommonly selected. Weak keys are normal words, possibly combined with numbers.

In the course of this degree dissertation a tool named WepAttack, for activeattacks on encrypted wireless networks, was developed. The goal was to testthe safety of such infrastructures. Active attacks work with dictionaries,trying millions of words in order to find weak keys.

WepAttack could successfully be implemented and tested on surrounding wireless

networks. With a sniffer network traffic is recorded and passed on toWepAttack. WepAttack then exams the code and tries to crack the passwordusing the dictionary. The dictionary is a list of millions of words saved inan external file. If WepAttack finds a match, the WEP-Key is displayedimmediately and additionally written into a log file.

The biggest challenge was the driver concept of linux and the wireless networkstandard IEEE 802.11. Each wireless network card had to have a suitable driver,and it turned out that it was not possible to record traffic with some of thecards. Profound knowledge of the IEEE 802.11 standard was necessary as well,since the extraction of the data took place on layer 2.


8/132


Seite 7/132

1.3 Aufgabenstellung

Zrcher Hochschule Winterthur, Studiengang Informationstechnologie

KommunikationPraktische Diplomarbeiten 2002 - Sna02/6

WLAN War Driving

Studierende:

Dominik Blunk, IT3b Alain Girardet, IT3b

Partnerfirma:

Blue Saturn GmbH, Hohlstrasse 190, 8004 Zrich (http://www.bluesaturn.ch)

Termine:

Ausgabe: Freitag, 6.09.2002 9:00 im E509 Abgabe: Montag, 28.10.2002 12:00

Beschreibung:

WLAN Netzwerke schiessen wie Pilze aus dem Boden. Die meisten bertragen ihre Datenunverschlsselt ber die Luft. Prinzipiell besteht aber die Mglichkeit, mit WEP (WirelineEquivalent Privacy) eine 40 oder 128 bit RC4 Verschlsselung einzuschalten. Dies ist abernur Augenwischerei, da es Tools wie Airsnort oder WEPCrack gelingt, innerhalb vonMinuten bis Stunden auf der Basis von schwachen Initialisierungsvektoren (IVs) dengeheimen RC4 Schlssel herauszufinden. Mit dieser Diplomarbeit soll dieser Prozess nochwesentlich beschleunigt werden. Es ist allgemein bekannt, dass die meisten Anwenderschwache Passwrter whlen. Mit einem Passwort-Cracker wie zum Beispiel "John theRipper" knnen mit einer Brute-Force Attacke Millionen von schwachen Passwrterndurchprobiert werden.

Durch die Kombination von Airsnort oder WEPCrack und einem Passwortcracker sollunmissverstndlich aufgezeigt werden, dass WLAN-Verbindungen nur mit kryptografisch-sicheren Protokollen wie z.Bsp. ssh, SSL oder IPsec effektiv vor "War Driving" Attackengeschtzt werden knnen.

Ziele:

Es soll untersucht werden, wie gngige WLAN-Karten Passwrter via ASCIIMapping oder Hashfunktionen in 40 oder 104 Bit WEP Schlssel konvertieren.

Mit Hilfe eines Passwort-Crackers soll eine off-line Bestimmung des WEP-

Schlssels auf der Basis von gesnifften WLAN-Paketen realisiert werden. Als Erweiterung soll das Passwort-Cracking durch Einbau in Airsnort parallel zum

Sammeln von schwachen Initialisierungsvektoren in real-time durchgefhrt werden


9/132


Seite 8/132

knnen.

Infrastruktur / Tools:

Raum: E523

Rechner: 2 PCs + 1 Notebook unter Linux Hardware: 2 ORiNOCO WLAN Cards, 1 D-Link WLAN Card, 1 I-Gate WLAN

Card SW-Tools: Linux OpenSource Tools

Literatur / Links:

IEEE 802.11 Standard, 1999 Editionhttp://standards.ieee.org/getieee802/download/802.11-1999.pdf

AirSnort Homepagehttp://airsnort.shmoo.com/

WEPCrack Homepagehttp://wepcrack.sourceforge.net/

Michael Sutton, "Hacking the Invisible Network", iALERT white paper, iDEFENSELabs

http://www.astalavista.net/data/Wireless.pdf Adam Stubblefield, John Ioannidis, and Aviel Rubin, "Using the Fluhrer, Mantin, and

Shamir Attack to Break WEB"http://www.cs.rice.edu/~astubble/wep/wep_attack.pdf

Scott Fluhrer, Itsik Mantin, and Adi Shamir, " Weaknesses in the Key SchedulingAlgorithm of RC4 "

http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf Tim Newsham, "Applying known techniques to WEP keys"

http://www.lava.net/~newsham/wlan/WEP_password_cracker.ppt John the Ripper Homepage

http://www.openwall.com/john/

Winterthur, 5. September 2002

Prof. Dr. Andreas Steffen


10/132


Seite 9/132

1.4 EinleitungDrahtlose Netzwerke erfreuen sich einer immer grsser werdenden Beliebtheit, sowohl imgeschftlichen, als auch im privaten Umfeld. WLANs bertragen ihre Daten per Funk. Ausdiesem Grunde entfllt die lstige Verkabelung, wie man sie fr konventionelle(drahtgebundene) Netzwerke bentigt. Obschon die Mglichkeit besteht, den Datenverkehrzu verschlsseln, bertragen die meisten Netzwerke ihre Daten unverschlsselt, imKlartext, ber die Luft. Dies stellt natrlich ein grosses Sicherheitsrisiko dar. Aber auchwenn von der WEP-Verschlsselung Gebrauch gemacht wird und der Netzwerkverkehrmit einem 64 Bit oder 128 Bit Schlssel verschlsselt wird, besteht immer noch eingewisses Sicherheitsrisiko. Verschiedene Tools existieren, die eine Schwche imKommunikationsprotokoll (IEEE 802.11) ausnutzen und den eingesetzten Schlssel

berechnen knnen, wenn sie gengend verschlsselte Datenpakete belauscht haben. Diesdauert aber bei einem durchschnittlich belasteten Netzwerk mehrere Stunden bis Tage

Die Firma BlueSaturn ist mit der Idee an die ZHW herangetreten, ein Tool zu entwickeln,

welches ermglicht, den Schlssel eines geschtzten Netzwerkes viel schneller zu finden,als das mit den bereits existierenden Tools mglich ist. Unter der Annahme, dass WLAN-Benutzer einen schwachen Schlssel whlen, sollte es mglich sein, mit einer DictionaryAttacke den Schlssel schnell zu finden. Dieses Tool soll bei Sicherheitsaudits eingesetztwerden knnen.

In einer ersten Phase haben wir uns mit der Funktionsweise von WLANs vertraut gemacht,Fragen zur Sicherheit geklrt und bereits bestehende Attacken analysiert. Nach demAufbau dieses Basiswissens, folgte die Analyse einer mglichen Dictionary-Attacke unddie Formulierung eines Lsungsansatzes. Anschliessend an das genaue Studium dereinzelnen Details, folgte die Realisation und Implementierung des Tools. Es folgten

verschiedene Tests und Feldversuche, welche erstaunliche Resultate zutage brachten.Zuletzt vervollstndigten wir die Dokumentation und verfassten eine genaueGebrauchsanweisung.


11/132


Seite 10/132

1.5 WLAN 802.11

1.5.1 StandardsWireless Lan Standards wurden von einer IEEE Arbeitsgruppe definiert. Es gibtverschiedene Ausfhrungen, wobei vor allem die drei wichtigsten, 802.11a, 802.11b und802.11g, zu nennen sind. Netzwerkgerte, welche nach dem Standard 802.11b arbeiten,sind seit 1999 auf dem Markt erhltlich und erfreuen sich einer grossen Beliebtheit.802.11b-Gerte operieren im Bereich von 2.4 GHz 2.4835 GHz mit einer Datenrate von

bis zu 11 Mbps. Wenn die Signalqualitt abnimmt, kann der Durchsatz auf 5.5 Mbps, 2Mbps oder sogar 1 Mbps reduziert werden. In der Praxis sehen diese Werte leider nicht sogut aus. Selbst bei direkter Verbindung knnen bestenfalls 3-4 Mbps erreicht werden.Der Standard 802.11a erhht den maximalen Durchsatz auf 54 Mbps und bedient sich dazueines Frequenzbereiches von 5.15 5.35 GHz und 5.725 5.825 GHz. Gerte, welchenach diesem Standard arbeiten, sind erst seit Ende 2001 erhltlich. Durch die Benutzung

eines anderen Frequenzbereiches ist dieser Standard nicht mit 802.11b kompatibel.Volle Kompatibilitt mit 802.11b hingegen verspricht der noch nicht abgesegnete Standard802.11g, da er auch im 2.4 GHz Bereich arbeitet. Grsster Fortschritt gegenber 802.11bist der erhhte Durchsatz auf 54 Mbps, wie bei 802.11a.

Da WEP im bergeordneten Standard 802.11 definiert ist und nicht in den individuellen802.11x Standards, sind alle gleichermassen von den bekannt gewordenen Schwchen inWEP betroffen.

1.5.2 Grundlagen

Ein 802.11 WLAN basiert auf einer Struktur aus Zellen, wobei jede Zelle (Basic ServiceSet, BSS) von einer Basisstation (Access Point, AP) gesteuert wird.

Grundstzlich gibt es zwei Betriebsarten im WLAN: den Ad-Hoc-Modus und denManaged-Modus (auch Infrastruktur-Modus genannt).

Der Ad-Hoc-Modus wird benutzt, wenn zwei oder mehr Rechner mit einer Funkkartedirekt miteinander kommunizieren wollen. Es wird spontan ein Netzwerkverbund mit einerZelle aufgebaut. Typische Anwendung ist der schnelle Datenaustausch zwischen einigenwenigen Notebooks. Es handelt sich um ein Peer-to-Peer Netzwerk.

Im Managed-Modus verwenden die Clients einen Access Point, um darber auf dasrestliche Netzwerk (Distribution System, DS) zuzugreifen. Dabei funktioniert der AccessPoint quasi als Bridge, die das Funk-Protokoll in das drahtgebundene Protokoll umsetzt.Verschiedene Zellen werden dabei aus Sicht der oberen OSI-Layer als ein Netzwerkangesehen. In diesem Falle wird von einem Extended Service Set, ESS gesprochen.


12/132


Seite 11/132

Abbildung 1: Struktur eines WLAN

Beim Einsatz eines WLAN muss zustzlich zu den herkmmlichen Angaben, wie IP-Adresse und Subnetz-Maske, ein Service Set Identifier (SSID) und ein Funkkanal gewhlt

werden. Der Funkkanal darf zwischen 1 und 13 liegen (1 11 in Amerika) und bezeichnetdie Frequenz, auf welcher das Netzwerk arbeiten soll (siehe Tabelle 1: 802.11b Kanle).Die SSID besteht aus einer alphanumerischen Zeichenfolge und bezeichnet den Namen des

Netzwerkes. Mit Hilfe der SSID knnen Netzwerke unterschieden werden, die aufdemselben Kanal arbeiten. Die wirkliche Unterscheidung geschieht zwar aufgrund derESSID bzw. BSSID (Extended Service Set Identifier / Basic Service Set Identifier), daaber diese im Format einer MAC-Adresse vorliegt, ist sie nicht sehr einprgsam.Alle drei Einstellungen (SSID, BSSID, Kanal) sind wichtige Faktoren bei der Betreibungeines WLANs.


13/132


Seite 12/132

Kanal Frequenz (GHz)

1 2.412

2 2.417

3 2.422

4 2.427

5 2.432

6 2.437

7 2.442

8 2.447

9 2.452

10 2.457

11 2.462

12 2.467

13 2.472

Tabelle 1: 802.11b Kanle

1.5.3 AuthentisierungWenn sich ein Teilnehmer (Client) am WLAN anmelden will, sendet er einenentsprechenden Request. In der einfachsten Form wird eine Open System Authentisierungdurchgefhrt. Im Wesentlichen wird dabei jeder Client zum Netzwerk zugelassen. Eineechte Authentisierung findet nicht statt.

Die nchste Stufe der Authentisierung ist die Shared Key Authentisierung. Hierbei wirdeine auf WEP basierende Verschlsselung eingesetzt. Das bedeutet aber, dass diesesVerfahren nur eingesetzt werden kann, wenn auch ein WEP Schlssel definiert ist. ImWesentlichen wird bei diesem Challenge Response Protokoll vom Access Point ein 128Byte langer Zufallstext an den Client geschickt, den dieser mit einem auf beiden Seiten

bekannten Schlssel (Shared Key) verschlsseln muss. Als Verschlsselungsverfahrenkommt dabei der RC4 Algorithmus zum Tragen.Da beim Belauschen des Challenge Response Protokolls der Anmeldung sowohl die 128Byte Klartext (Challenge), als auch der verschlsselten Text (Response) mitgelesenwerden knnen, kann dieser Teil des Schlsselstroms problemlos berechnet werden. Damitsteht einer Replay-Attacke nichts mehr im Wege. Wenn ein anderer Client versucht sich

anzumelden, sind bis auf den anderen Challenge und die Prfsumme alle Daten, dieverschlsselt werden, gleich. Der neue Challenge kann aber, da ja der Schlsselstrombekannt ist, problemlos verschlsselt werden.

1.5.4 WEP (Wireless Equivalent Privacy)WEP ist ein Bestandteil des 802.11 Standards, mit dessen Hilfe man einen vergleichbarenDatenschutz im WLAN wie im drahtgebundenen Netzwerk erreichen soll. Drahtgebundene

Netzwerke sind blicherweise durch verschiedene physische Schranken gesichert, wieZutrittskontrollen oder gesicherte Rumlichkeiten. Diese verhindern, dass sichUnberechtigte Zugang zum Netzwerk verschaffen und Daten aussphen knnen.

In einem Wireless LAN ntzen diese Sicherheitsmassnahmen nicht viel. Ein Zugriff aufdas WLAN ist mglich, ohne physischen Zugang zu haben. Aus diesem Grund knnen imWLAN alle Daten auf Link Layer Ebene mit einer RC4-Verschlsselung geschtzt


14/132


Seite 13/132

werden. Zustzlich integriert WEP eine Integrittsprfung, welche sicherstellt, dass diebertragenen Daten nicht verndert worden sind. Dies wird durch die bertragung einerCRC 32-Prfsumme sichergestellt.


15/132


Seite 14/132

1.6 Attacken auf WLANDie Benutzung von WLANs bringt verschiedene Sicherheitsrisiken mit sich, denenRechnung getragen werden muss.

1.6.1 Weak IVRC4 besteht aus zwei Teilen, einem Schlsselfestlegungsalgorithmus und einemAusgangsgenerator. In WEP verwendet der Schlsselfestlegungsalgorithmus entwedereinen 64 Bit Schlssel (40 Bit geheimer Schlssel plus 24 Bit IV) oder einen 128 BitSchlssel (104 Bit geheimer Schlssel plus 24 Bit IV), um eine Zustandsreihe S zu bilden.Der Ausgangsgenerator verwendet die Zustandsreihe S, um eine pseudozuflligeZahlenfolge zu bilden, welche zur Verschlsselung benutzt wird. Der Angriff basiertdarauf, sogenannte schwache IVs zu suchen, die den Schlsselfestlegungsalgorithmus ineinen bestimmten Zustand versetzen, so dass Rckschlsse auf den Schlssel gezogen

werden knnen. Die Art und Weise, wie diese schwachen IVs bestimmt werden, kann inWeaknesses in the Key Scheduling Algorithm of RC41 von Fluhrer, Mantin und Shamirnachgelesen werden. Jedes Paket mit einem schwachen IV lsst Rckschlsse ber einSchlsselbyte zu. Das Schlsselbyte muss anschliessend geschtzt werden. DieWahrscheinlichkeit einer korrekten Schtzung liegt dabei bei 5%. Je mehr Pakete mitschwachen IVs jedoch zur Verfgung stehen, desto besser knnen die Schlsselbytegeschtzt werden.Aktuelle Tools, die auf dieser Angriffsart basieren sind Airsnort2 und WEP-Crack3. Um ineinem mittleren Netzwerk mit durchschnittlichem Verkehr den Schlssel (Passwort) zurekonstruieren, mssen um die 5 bis 10 Mio. Pakete abgefangen werden, was mehrereStunden bis sogar einige Tage dauern kann.

1.6.2 Dictionary AttackVon der Annahme ausgehend, dass viele Benutzer ein einfaches Passwort als

Netzwerkschlssel (siehe Abbildung 2: Eingabemaske fr den Netzwerkschlssel unterWindows XP)whlen, ist eine weitere Mglichkeit den Netzwerkschlssel zu bestimmen,eine Dictionary Attacke durchzufhren. Dabei werden alle Wrter aus einer Wortlistedurchprobiert und getestet, ob der passende Schlssel dabei ist. Mit der heutigenRechenleistung eines durchschnittlichen PCs lassen sich mehrere tausend Wrter proSekunde testen.

1http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf2http://airsnort.shmoo.com3http://wepcrack.sourceforge.net


16/132


Seite 15/132

Abbildung 2: Eingabemaske fr den Netzwerkschlssel unter Windows XP

Aktuelle Wortlisten umfassen mehrere hunderttausend Wrter und liegen in diversenSprachen vor. Es gibt auch spezielle Wortlisten, die auf ein bestimmtes Thema, bspw.

Literatur, Schauspieler oder Biologie zugeschnitten sind.

1.6.3 Brute ForceUnter Brute Force versteht man eine Attacke, bei der alle mglichen Schlsseldurchgetestet werden, bis man den korrekten findet. Dies ist aufgrund der hohenRechenzeit keine realisierbare Lsung. Um einen Netzwerkschlssel per Brute Force zuknacken, wrde dies folgende Zeit in Anspruch nehmen:

Basis: 3500 Wrter/Sekunde (PII 266 MHz)

64 Bit-Schlssel (40 Bit Schlssel + 24 Bit IV)

240 mgliche Schlssel / 3500 Schlssel/s = 314146179.3646 Sekunden

314146179.3646 Sekunden / (60 * 60 * 24 * 365) = 9.96 Jahre


2104 mgliche Schlssel / 3500 Schlssel/s = 5794974172471905835413500367 Sekunden

5794974172471905835413500367 Sekunden / (60 * 60 * 24 * 365) 18 * 1019 Jahre


17/132


Seite 16/132

Bei vielen WLAN Implementationen werden direkt die Hexwerte der einzelnen Passwort-Buchstaben aus der ASCII-Tabelle genommen. Dies bedeutet, dass der mglicheSchlsselbereich weiter eingeschrnkt ist. Unter der Annahme, dass im Passwort nur 224verschiedene Zeichen mglich sind (druckbare Zeichen aus dem ASCII-Zeichensatz),verndert sich die Kalkulation folgendermassen:

Basis: 3500 Wrter/Sekunde (PII 266 MHz)


2245 mgliche Schlssel / 3500 Schlssel/s = 161128382.464 Sekunden

161128382.464 Sekunden / (60 * 60 * 24 * 365) = 5.11 Jahre


22413 mgliche Schlssel / 3500 Schlssel/s = 1021306730590234469495958667 Sekunden

1021306730590234469495958667 Sekunden / (60 * 60 * 24 * 365) 3 * 1019 Jahre

Mit einem schnelleren Rechner knnte die Rechenzeit, schtzungsweise um den Faktor 20verringert werden. Aber auch dann sind noch keine akzeptablen Zeiten zu erreichen.

1.6.4 Denial of Service (DOS)WLANs operieren in einem ffentlichen Frequenzbereich und knnen durch andere Senderim selben Frequenzbereich gestrt werden4. Dies lsst sich leicht demonstrieren, indemman einen Laptop, der ans WLAN angebunden ist, neben einen Mikrowellenofen stellt5.Weil beide Gerte im Bereich von 2.4 GHz arbeiten, nimmt die Signalqualitt des WLANsstark ab. Ein Angreifer knnte ein WLAN nach diesem Prinzip lahm legen oder zumindest

beeintrchtigen, indem er einen starken Sender in dessen Bereich anbringt.

4http://www.isaca.org/wirelesswhitepaper.pdf5http://www.devx.com/wireless/articles/Bluetooth/whitepapers/1a6900.pdf


18/132

ZHW Diplomarbeit WLAN War Driving Systementwicklung

Seite 17/132

2 Systementwicklung

2.1 Analyse

Bei der Analyse der Aufgabenstellung kristallisierten sich folgende Schwerpunkte heraus,die zur erfolgreichen Bewltigung dieser Aufgabe notwendig waren:

Grundlagen WLAN

Extraktion der notwendigen Daten aus gesammelten Paketen

Berechnung des RC4 Algorithmus

Berechnung der CRC 32 Prfsumme

Mglichkeit, automatisiert verschiedene Passwrter zu testen (Dictionary Attack)

Einen berblick ber den Aufbau und die Funktionsweise von WLANs ist in derEinleitung zu finden.

2.1.1 Frameformat 802.11 (MAC Frameformat)Das WLAN-Frameformat ist im Standard 802.11 definiert. Alle Stationen, die auf das

Netzwerk zugreifen wollen, mssen diese Konventionen zwingend einhalten.

2.1.1.1AufbauAlle Frames im WLAN bestehen aus folgenden Komponenten: einemMAC Header, welcher die ElementeFrame Control,Duration,Address und

Sequence Control Information enthlt.

einemFrame Body mit variabler Lnge, welcher spezifische Informationen zumFrame Type enthlt

einerFrame Check Sequence (FCS), welche die CRC-32-Prfsumme enthlt

Folgende Abbildung zeigt den generellen Aufbau des MAC Frameformats. Einige Feldersind in allen Frames enthalten, andere nur in gewissen Frametypen. Die FelderAddress 2,

Address 3, Sequence Control,Address 4 undFrame Body sind nicht in allen Frametypenenthalten.


19/132


Seite 18/132

Bytes

2 2 6 6 6 2 6 0-2312 4

FrameControl

Duration /ID Address 1 Address 2 Address 3

SequenceControl Address 4

FrameBody FCS

MAC Header

Abbildung 3: MAC Frameformat

2.1.1.2Felder2.1.1.2.1 Frame ControlDas FeldFrame Controlsetzt sich aus den ElementenProtocol Version, Type, Subtype, To

DS,From DS,More Fragments,Retry,Power Management,More Data, WEPund Orderzusammen. Das Format des Feldes Frame Controlsieht folgendermassen aus:

B0 B1 B2 B3 B4 B7 B8 B9 B10 B11 B12 B13 B14 B15

ProtocolVersion

Type Subtype To DSFromDS

MoreFrag

RetryPwrMgt

MoreData

WEP Order

Bits: 2 2 4 1 1 1 1 1 1 1 1

Abbildung 4: Feld Frame Control

2.1.1.2.2 Protocol VersionDas FeldProtocol Version hat eine Lnge von 2 Bit und bezeichnet die Version deseingesetzten 802.11 Protokolles. Es ist fr alle Revisionen dieses Standards gleich undenthlt den Wert 0. Alle anderen Werte sind reserviert und kommen erst zum Zuge, wenneine grundlegende Inkompatibilitt zwischen dem bestehenden und einer neuen Revisiondes Standards entstehen sollte. Ein Client, der ein Frame erhlt, dessen Revision er nicht

untersttzt, muss das empfangene Frame verwerfen, ohne dies der sendenden Stationanzuzeigen.

2.1.1.2.3 TypeType ist 2 Bit lang. Es kennzeichnet die Funktion des Frames. Es gibt drei verschiedeneFrame Typen: Control Frames, Data Frames und Management Frames.

2.1.1.2.4 Subtype

Das Feld Subtype hat eine Lnge von 4 Bit. Seine Aufgabe ist es, zusammen mit demFrame Type, die genaue Funktionalitt eines Frames noch genauer zu bezeichnen. Es gibt


20/132


Seite 19/132

momentan insgesamt 25 verschiedene Untertypen, wobei fr diese Arbeit nur Frames vomTypData, Untertyp 0000 0011 von Bedeutung sind.

Type ValueB3 B2

TypeDescription

Subtype ValueB7 B6 B5 B4

Subtype Description

00 Management 0000 Association Request00 Management 0001 Association Response00 Management 0010 Reassociation Request00 Management 0011 Reassotiation Response00 Management 0100 Probe Request00 Management 0101 Probe Response00 Management 0110 0111 Reserved00 Management 1000 Beacon

00Management

1001Announcement Traffic Indication Message(ATIM)

00 Management 1010 Disassotiation00 Management 1011 Authentication00 Management 1100 Deauthentication00 Management 1101 - 1111 Reserved01 Control 0000 1001 Reserved01 Control 1010 Power Save Poll (PS)01 Control 1011 Request to Send (RTS)01 Control 1100 Clear to Send (CTS)01 Control 1101 Acknowledgement (ACK)01 Control 1110 Contention-Free-End (CF)01 Control 1111 CF-End + CF-Ack10 Data 0000 Data10 Data 0001 Data + CF-Ack10 Data 0010 Data + CF-Poll10 Data 0011 Data + CF-Ack + CF-Poll

10 Data 0100 Null Function (No Data)10 Data 0101 CF-Ack (No Data)10 Data 0110 CF-Poll (No Data)10 Data 0111 CF-Ack + CF-Poll (No Data)10 Data 1000 1111 Reserved11 Reserved 0000 1111 Reserved

Tabelle 2: Frame-Untertypen

2.1.1.2.5 To DS (Distribution System)

Das Feld To DSist 1 Bit lang. Bei allen Datenpaketen, welche fr ein DS bestimmt sind,ist dieses Feld auf 1 gesetzt. Dies gilt ebenso fr Datenpakete von Stationen, welche miteinem AP verbunden sind. In allen anderen Paketen ist dieses Feld auf den Wert 0 gesetzt.


21/132


Seite 20/132

2.1.1.2.6 From DSDas FeldFrom DShat eine Lnge von 1 Bit und ist bei allen Datenpaketen, welche das DSverlassen, auf 1 gesetzt. Bei allen anderen Paketen ist dieser Wert auf 0 gesetzt.

Die Bedeutung der einzelnen Kombinationen der FelderTo DSundFrom DSsind aus

untenstehender Tabelle ersichtlich:

ToDS

FromDS

Bedeutung

0 0 Direkte Datenpakete zwischen Stationen im gleichen WLAN (Ad-Hoc-Modus), sowie auch Managementpakete und Kontrollpakete.

1 0 Datenpakete, welche fr das DS bestimmt sind (Managed-Modus)

0 1 Datenpakete, welche das DS verlassen (bergang WLAN - drahtgeb.Netzwerk)

1 1 Paket eines Wireless Distribution System (WDS), welches von einemAP zu einem anderen transportiert wird.

Tabelle 3: Bedeutung der Felder To DS / From DS

2.1.1.2.7 More FragmentsDas FeldMore Fragments ist 1 Bit lang und ist bei allen Daten- oder Managementpaketenauf 1 gesetzt, sofern sie fragmentiert sind und nicht das letzte Fragment darstellen. Beiallen anderen Paketen ist dieses Feld auf 0 gesetzt.

2.1.1.2.8 RetryDas FeldRetry hat eine Lnge von 1 Bit und ist bei allen Daten- oder Managementpaketen,welche bereits einmal bermittelt wurden, auf 1 gesetzt. Bei allen anderen Paketen istdieser Wert 0. Die Empfangsstation kann mit Hilfe dieser Information Duplikate bessereliminieren.

2.1.1.2.9 Power ManagementDas FeldPower Managementist ein Bit lang und zeigt den Stromsparmodus einer Stationan. Der Wert wird whrend der bertragung nicht verndert und kennzeichnet den Modus,

in welchem die sendende Station nach der erfolgreichen bertragung sein wird.Ein Wert von 1 zeigt an, dass der Sender in den Stromsparmodus gehen wird, wobei einWert von 0 bedeutet, dass die Station im aktiven Modus bleibt. In Paketen zwischen APsist dieser Wert immer auf 0 gesetzt.

2.1.1.2.10More DataDas FeldMore Data hat eine Lnge von 1 Bit. Mit seiner Hilfe wird einer Station imStromsparmodus angezeigt, dass weitere Pakete fr sie beim AP vorliegen. Dieses Feld istgltig bei Daten- oder Managementpaketen, die von einem AP zu einer Station, die sich im

Stromsparmodus befindet, gesendet werden. Ein Wert von 1 bedeutet, dass mindestens 1weiteres Paket fr diese Station beim AP zwischengespeichert ist.


22/132


Seite 21/132

Dieses Feld ist auch bei Broadcast- und Multicast-Paketen, welche vom AP gesendetwerden, wenn noch weitere Pakete anliegen, auf 1 gesetzt. Ansonsten ist der Wert auf 0gesetzt, ebenso bei allen Broadcast-, bzw Multicast-Paketen, die nicht von APs gesendetwerden.

2.1.1.2.11 WEPDas Feld WEPist 1 Bit lang. Es ist auf den Wert 1 gesetzt, wenn der Inhalt des Feldes

Frame Body mit dem WEP Algorithmus verschlsselt worden ist. Dieses Feld kann nur inPaketen vom TypData und TypManagement, UntertypAuthentication auf den Wert 1gesetzt sein. Bei allen anderen Paketen ist dieses Feld immer 0. Ist dieses Feld auf 1gesetzt, dann wird das FeldFrame Body um 8 Bit erweitert. Aufgrund dieses Feldes kannentschieden werden, ob ein Paket WEP verschlsselt ist oder nicht.

2.1.1.2.12 OrderDas Feld Orderhat die Lnge von 1 Bit und ist in allen Datenpaketen, die nach der StrictlyOrdered Service Class6 transportiert werden, auf 1 gesetzt. Dieses Feld hat den Wert 0 beiallen anderen Frames.

2.1.1.2.13Duration / IDDas FeldDuration / ID ist 16 Bit lang. Der Inhalt dieses Feldes sieht folgendermassen aus:

In Frames vom Typ Control, UntertypPower Save Pollist in diesem Feld dieAssociation Identity (AID) der sendenden Station vermerkt.

In allen anderen Frames enthlt dieses Feld einen Wert, der zur Aktualisierung desNetwork Allocation Vectors (NAV) bentigt wird. Bei Frames, welche whrend derContention-Free Period7(CFP) bertragen werden, ist dieses Feld auf den Wert32768 gesetzt.

Bit 15 Bit 14 Bit 13 - 0 Verwendung0 0 - 32768 Duration

1 0 0

Fixed value within frames transmitted during the

CFP1 0 1 - 16383 Reserved1 1 0 Reserved1 1 1 - 2007 AID in Power Save Poll Frames1 1 2008 - 16383 Reserved

Tabelle 4: Bedeutung des Feldes Duration

6 weitere Details im IEEE 802.11-Standard: http://standards.ieee.org/getieee802/download/802.11-1999.pdf7 einer der zwei bertragungsmodi im WLAN (Details siehe http://www.80211-

planet.com/tutorials/article.php/1216351)


23/132


Seite 22/132

2.1.1.2.14AddressEs gibt vier Adressfelder im MAC Frame Format. Sie werden dazu benutzt, um den BasicService Set Identifier (BSSID), die Source Address (SA), dieDestination Address (DA),die Transmitting Station Address (TA) und dieReceiving Station Address (RA) zu

bermitteln. Nicht alle Adressfelder sind in allen Frames enthalten.

Die Verwendung dieser Adressfelder ist in einigen Fllen unabhngig vom Frametyp undvom Typ der Adresse in diesem Feld. So wird beispielsweise die Zustelladresse immer ausdem FeldAddress 1 gelesen und die Zustelladresse fr CTS- und ACK-Frames aus demFeldAddress 2.

2.1.1.2.14.1 Adressaufbau

Jedes Adressfeld enthlt eine 48 Bit lange MAC Adresse, wie sie im Standard IEEE 802-1990 definiert ist.

2.1.1.2.14.2 Adresstypen

Es gibt zwei Typen von MAC Adressen:

Individual Address. Diese Adressen sind einer bestimmten Station im Netzwerkzugeordnet.

Group Address. Diese Adressen gelten fr eine oder mehrere Stationen imNetzwerk. Handelt es sich dabei um eineMulticast Address, so gilt diese Adressefr eine ausgewhlte lokale Gruppe von Stationen. Ist es jedoch eineBroadcast

Address, so gilt die Adresse fr alle Stationen in diesem LAN. Bei einerBroadcastAddress sind alle Bit auf 1 gesetzt. Sie wird verwendet, wenn alle Stationenangesprochen werden sollen.

Der Adressraum wird unterteilt in lokal administrierbare und global administrierbareAdressen. Die Abhandlung dieses Themas wrde diesen Rahmen aber sprengen, deshalbsei auf den Standard IEEE 802-1990 verwiesen, wo dies detailliert nachzulesen ist.

2.1.1.2.14.3 BSSID

Das FeldBSSID hat dieselbe Struktur wie eine IEEE 802 MAC Adresse und ist ebenfalls48 Bit lang. Dieses Feld ist die eindeutige Identifikation jedes WLANs.

Die BSSID ist eine lokal administrierbare Adresse und wird nach einem genau festgelegtenVerfahren aufgrund einer 46 Bit Zufallszahl bestimmt. DasIndividual/Group Bit derAdresse wird auf 0 gesetzt und das Universal/LocalBit auf 1. Dieses Verfahren ermglichteine hohe Wahrscheinlichkeit, eine einzigartige Netzwerkkennung zu finden.

Wenn alle Werte auf 1 gesetzt sind, handelt es sich um eineBroadcast BSSID. Diese darfnur in Paketen vom TypManagement, UntertypProbe Requesteingesetzt werden.


24/132


Seite 23/132

2.1.1.2.14.4 Destination Address (DA)

Dieses Feld enthlt eine IEEE 802 MAC Adresse, welche die Zustelladresse desendgltigen Empfngers beinhaltet.

2.1.1.2.14.5 Source Address (SA)Dieses Feld enthlt eine IEEE 802 MAC Adresse, welche die Absenderadresse desursprnglichen Senders beinhaltet. DasIndividual/Group Bit der Adresse ist immer auf 0gesetzt.

2.1.1.2.14.6 Receiver Address (RA)

Dieses Feld enthlt eine IEEE 802 MAC Adresse, welche die Adresse des nchstenunmittelbar folgenden Empfngers beinhaltet. Dies ist bsp. dann der Fall, wenn in einem

Netzwerk mehrere APs aufgestellt sind.

2.1.1.2.14.7 Transmitter Address (TA)

Dieses Feld enthlt eine IEEE 802 MAC Adresse der Station, die das Paket weitergeleitethat. Dies ist bspw. dann der Fall, wenn in einem Netzwerk mehrere APs aufgestellt sind.DasIndividual/Group Bit der Adresse ist immer auf 0 gesetzt.

2.1.1.2.15Sequence Control

Das Feld Sequence Controlhat eine Lnge von 16 Bit und enthlt zwei Elemente; dieSequence Numberund dieFragment Number.

B0 B1 B2 B3

Fragment Number Sequence Number

Bits: 4 12

Abbildung 5: Feld Sequence Control

2.1.1.2.15.1 Sequence Number

Das Feld Sequence Numberist 12 Bit lang und in jedem Paket enthalten. Zusammen mitderFragment Numberkennzeichnet diese Nummer ein Paket eindeutig. Sequenznummernwerden mit einem einfachen Modulo 4096-Zhler gebildet. Sie beginnen bei 1 und werden

bei jedem neuen Paket um 1 erhht. Die Sequenznummern bleiben gleich, wenn ein Paketerneut gesendet wird (Retransmission).

2.1.1.2.15.2 Fragment NumberDas FeldFragment Numberhat eine Lnge von 4 Bit und bezeichnet die Fragmentnummereines Paketes. Das erste Fragment eines Paketes und unfragmentierte Pakete haben eine


25/132


Seite 24/132

Fragmentnummer von 0. Die Fragmentnummern bleiben gleich, wenn ein Paket erneutgesendet wird (Retransmission).

2.1.1.2.16 Frame BodyDas FeldFrame Body hat eine variable Lnge, wobei die minimale Lnge 0 ist. Diemaximale Lnge setzt sich aus denDaten (2312 Byte), demICV (4 Byte) und demIV (4

Byte) zusammen.ICVundIV sind Felder, die nur vorkommen, wenn die WEP-Verschlsselung angewendet wird. Es ergibt sich somit eine maximale Lnge von 2320Byte.

2.1.1.2.17 FCSDas FeldFCSist 32 Bit lang. Es enthlt eine CRC-Prfsumme, welche ber den gesamten

MAC Headerund denFrame Body gebildet wird.

Die CRC-Prfsumme wird gebildet unter Verwendung des untenstehenden standardisiertenGenerator Polynoms:

G(x) = x32 + x26 + x23 + x22 + x16 + x12 + x11 + x10 + x8 + x7 + x5 + x4 + x2 + x + 1

Die Original-Rechenanweisung (aus IEEE 802.11) lautet wie folgt:

The FCS ist the 1s complement of the sum(modulo 2) of the following:

The remainder of xk x (x31 + x30 + x29 ++ x2 + x + 1) divided (modulo 2) byG(x), where k is the number of bits in the header and body of the frame and

The remainder after multiplication of the contents (treated as a polynomial) of theheader and the body of the frame by x32 and then division by G(x).


26/132


Seite 25/132

2.1.1.3Formate der unterschiedlichen Frame Typen2.1.1.3.1 Control FramesDiese Frames werden eingesetzt, um den Zugriff aufs Netzwerk zu steuern. Oft eingesetzte

Untertypen sind deshalb auchRequest-to-Send, Clear-to-SendundAcknowledgement.

Das FeldFrame Controlhat bei allen Frames vom Typ Control Frame folgende Werte:

ProtocolVersion

Type Subtype To DSFromDS

MoreFrag

RetryPwrMgt

MoreData

WEP Order

ProtocolVersion

Control Subtype 0 0 0 0PwrMgt

0 0 0

Bits: 2 2 4 1 1 1 1 1 1 1 1

Abbildung 6: Feld Frame Control

Das FeldFrame Body ist bei allen Frames immer 0.

Kontrollframes und die dazugehrigen Untertypen sind fr diese Arbeit nicht vonBedeutung und werden deshalb hier nicht weiter erlutert. Alle Details knnen imStandard IEEE 802.11 nachgelesen werden.

2.1.1.3.2 Data FramesDas Format fr Frames vom TypData ist bei allen Untertypen gleich und siehtfolgendermassen aus:

Bytes

2 2 6 6 6 2 6 0-2312 4

FrameControl

Duration /ID

Address 1 Address 2 Address 3Sequence

ControlAddress 4 Frame Body FCS

MAC Header

Abbildung 7: Data Frame

Die Inhalte der Adressfelder 1 bis 4 sind abhngig von den Werten in den Feldern To DSundFrom DS. Das FeldAddress 1 enthlt immer die Adresse des nchsten Empfngers,und das FeldAddress 2 die Adresse der Station, die das Frame sendet. Diese Feldermssen ausgewertet werden, um die Position der BSSID zu bestimmen, damit das

Netzwerk eindeutig identifiziert werden kann.


27/132


Seite 26/132

To DS From DS Address 1 Address 2 Address 3 Address 40 0 DA SA BSSID N/A0 1 DA BSSID SA N/A1 0 BSSID SA DA N/A

1 1 RA TA DA SADA Destination Address RA Receiver AddressSA Source Address BSSID Basic Service Set IdentifierTA Transmitter Address N/A Not applicable

Tabelle 5: Bedeutung der Adressfelder

Eine Station, die ein Frame empfngt benutzt das FeldAddress 1 um zu entscheiden, wiees mit dem Paket weiter verfahren soll. Ist dies eine Gruppenadresse, wird zustzlich dasFeldAddress 2 ausgewertet, um zu prfen, ob das Frame vom gleichen BSS stammt.

Wenn eine Besttigung gesendet werden muss, wird das FeldAddress 2 von der Stationausgelesen und an die darin enthaltene Adresse ein Acknowledgement gesendet.

DieDA ist die Adresse des endgltigen Empfngers des Paketes.

Das Feld SA enthlt die Adresse des Absenders, der das Paket ursprnglich losgeschickthat.

Im FeldRA ist die Adresse des nchsten unmittelbaren Empfngers enthalten, der dasPaket weiterleiten wird.

Die Adresse derjenigen Station, die das Paket unmittelbar gesendet hat, steht im Feld TA.Die BSSID eines Paketes ist folgendermassen gegeben:

Wenn es sich um ein Netzwerk im Managed-Modus handelt, dann ist die BSSIDdiejenige des aktuellen APs.

Handelt es sich hingegen um ein Ad-Hoc-Netzwerk, so ist die BSSID berallgleich und entspricht derjenigen der Station.

Im FeldFrame Body sind die Daten enthalten oder zumindest ein Fragment davon. FallsWEP verwendet wird, wird das FeldFrame Body zustzlich mit demIVund demICVerweitert. In Datenpaketen vom UntertypNull Function (No Data), CF-Ack (No Data),CF-Poll (No Data) und CF-Ack-Poll (No Data) ist das FeldFrame Body leer, d.h. es hateine Lnge von 0.

In allen Datenpaketen, die whrend derCFPgesendet werden, ist das FeldDuration aufden Wert 32768 gesetzt. Whrend derContention Periodist das Feld gemss folgendenRegeln gefllt:

Wenn das FeldAddress 1 eine Gruppenadresse enthlt, ist es auf 0 gesetzt.

Wenn das FeldMore Fragments auf 0 gesetzt ist und das FeldAddress 1 eine

Adresse vom TypIndividual Address enthlt, so ist im FeldDuration die Zeit inMikrosekunden zu finden, die bentigt wird, um 1ACK-Frame (+ 1 SIFSIntervall)zu bertragen.


28/132


Seite 27/132

Wenn das FeldMore Fragments auf 0 gesetzt ist und das FeldAddress 1 eineAdresse vom TypIndividual Address enthlt, so ist im FeldDuration die Zeit inMikrosekunden zu finden, die bentigt wird, um das nchste Fragment (+ 2ACK-

Frames + 3 SIFSIntervalle) zu bertragen.

2.1.1.3.2.1 WEP-Erweiterung

Wenn die WEP-Verschlsselung aktiviert ist, wird das FeldFrame Body um das FeldInitialisation Vector (IV) und das FeldIntegrity Check Value (ICV) erweitert.

Bytes

4 1 - 2320 4

IV Data ICV

Encrypted

3 Bytes 6 Bits 2 Bits

IV Pad Key ID

Abbildung 8: Frame Body (WEP enabled)

Das FeldICVenthlt eine CRC 32-Prfsumme, welche ber das FeldData berechnetworden ist. Vor dem eigentlichen Datenfeld wird das FeldIVangefgt, welches aus 3Elementen besteht: demIV (3 Byte), der aktuellen Schlsselnummer (2 Bit) und einemElementPad (6 Bit).

DerIVwird zusammen mit dem geheimen Schlssel zur Datenver- undDatenentschlsselung bentigt.

Die Schlsselnummer kann zwischen 0 und 3 variieren und bezeichnet den in diesem

Paket zur Verschlsselung eingesetzten Schlssel. Es knnen also maximal 4 verschiedeneSchlssel eingesetzt werden.

Das FeldPadwird nicht gebraucht und enthlt den Wert 0.

Die Verwendung des WEP Algorithmus ist unsichtbar fr Einheiten ausserhalb des IEEE802.11 MAC Layers.

2.1.1.3.3 Management Frames

Mit Management Frames werden unter anderem folgende Vorgnge realisiert:Authentisierung, Netzan- und Netzabmeldung, Netzinformationen (Beacons).


29/132


Seite 28/132

Das Format fr Frames vom TypManagementist bei allen Untertypen gleich und siehtfolgendermassen aus:

2 2 6 6 6 2 0-2312 4

FrameControl

Duration / ID DA SA BSSIDSequence

ControlFrame Body FCS

MAC Header

Abbildung 9: Management Frame

Eine Station, die ein Frame empfngt benutzt das FeldAddress 1, um zu entscheiden, wiees mit dem Paket weiter verfahren soll. Ist dies eine Gruppenadresse und das Paket nicht

vom UntertypBeacon

, wird zustzlich das FeldBSSID

ausgewertet, um zu prfen, ob dasFrame vom gleichen BSS stammt.

Die Adressfelder sind fr alle Untertypen gleich.

Die BSSID eines Paketes ist folgendermassen gegeben:

Wenn es sich um ein Netzwerk im Managed-Modus handelt, ist die BSSIDdiejenige des aktuellen APs.

Handelt es sich hingegen um ein Ad-Hoc-Netzwerk, ist die BSSID berall gleichund entspricht derjenigen der Station.

Bei Management Frames vom UntertypProbe Requestist die BSSID entwedereine spezifische BSSID oder eine Broadcast BSSID.

DieDA ist die Adresse des endgltigen Empfngers des Paketes.

Das Feld SA enthlt die Adresse des Absenders, der das Paket ursprnglich losgeschickthat.

In allen Datenpaketen, die whrend derCFPgesendet werden, ist das FeldDuration aufden Wert 32768 gesetzt. Whrend derContention Periodist das Feld gemss folgenden

Regeln gefllt:

Wenn das FeldAddress 1 eine Gruppenadresse enthlt, ist es auf 0 gesetzt.

Wenn das FeldMore Fragments auf 0 gesetzt ist und das FeldDA eine Adressevom TypIndividual Address enthlt, so ist im FeldDuration die Zeit inMikrosekunden zu finden, die bentigt wird, um 1ACK-Frame (+ 1 SIFSIntervall)zu bertragen.

Wenn das FeldMore Fragments auf 0 gesetzt ist und das FeldDA eine Adressevom TypIndividual Address enthlt, so ist im FeldDuration die Zeit inMikrosekunden zu finden, die bentigt wird, um das nchste Fragment (+ 2ACK-

Frames + 3 SIFSIntervalle) zu bertragen.


30/132


Seite 29/132

Das Feld Frame Body besteht aus festgelegten Feldern, die fr jeden Untertyp genaudefiniert sind. Nicht alle Felder sind zwingend vorgeschrieben, aber sie drfen nur in derfestgelegten Reihenfolge bermittelt werden. Stationen, die einzelne Elemente nichtkennen, sollen diese ignorieren. Elemente, welche nicht im Standard IEEE 802.11 definiertsind, drfen nicht verwendet werden.

Frames vom TypManagementund die dazugehrigen Untertypen sind fr diese Arbeitnicht von Bedeutung und werden deshalb hier nicht weiter behandelt. Alle Details knnenim Standard IEEE 802.11 nachgelesen werden.

2.1.1.4ZusammenfassungFr diese Arbeit sind nur Pakete vom TypData, Untertyp 0000 0011 von Bedeutung, danur diese Frames verschlsselte Daten bertragen knnen. Pakete vom TypManagement,UntertypAuthentication knnen zwar auch verschlsselte Daten bertragen, aber dieser

Typ kommt so selten im Netzwerk vor, dass die Chance ein solches Paket zu belauschensehr gering ist.DerMAC-Header, insbesondere das FeldFrame Controlmuss bei jedem belauschtenPaket ausgewertet werden, um zu entscheiden, wie mit dem Paket weiterverfahren werdensoll.

2.1.2 SNAP (Subnetwork Access Protocol)Es hat sich gezeigt, dass in allen WLAN Implementationen ein zustzlicher SNAP Headerverwendet wird, um alle Datenpakete zu kapseln. SNAP stellt drei Funktionalitten zur

Verfgung: Datenbertragung, Verbindungssteuerung und rudimentre QoS-Anwendungsmglichkeiten.Der SNAP Header enthlt fr alle Pakete vom Typ IP und ARP die Werte0xAAAA03000000.

Ein typisches 802.11 DATA Paket sieht also folgendermassen aus:

Bytes

2 2 6 6 6 2 6 0-2312 4

FrameControl

Duration /ID

Address 1 Address 2 Address 3 SequenceControl

Address 4 FrameBody

FCS

6 1-2306

SNAP(0xAAAA03000000)

Data

Abbildung 10: Frame 802.11 DATA ohne WEP


31/132


Seite 30/132

Bytes

2 2 6 6 6 2 6 0-2312 4

Frame

Control

Duration /

IDAddress 1 Address 2 Address 3

Sequence

ControlAddress 4

Frame

BodyFCS

3 1 1-2306

IV Key Encrypted Data

6 0-2306 4

SNAP Data ICV

Abbildung 11: Frame 802.11 DATA mit WEP

2.1.3 RC4RC4 ist ein Stream-Verschlsselungsalgorithmus, der von Ron Rivest, RSA Securityerfunden worden ist. Ein Stream-Verschlsselungsalgorithmus expandiert einen Schlssel

bestimmter Lnge in einen beliebig langen Pseudo-Zufallsschlssel, um Daten zuverschlsseln. In WEP werden alle Klartext-Daten mit dem generierten Stream desSchlssel in einer XOR (exklusiv Oder) Operation addiert. Als Resultat erhlt man diechiffrierten Daten, welche nun gefahrlos bertragen werden knnen. XOR ist eine

boolsche Operation, welche zwei Bit vergleicht, bei Gleichheit eine 0 zurckgibt und beiUngleichheit eine 1. Folgendes Beispiel soll dies veranschaulichen:

01100001 Buchstabe a in binrer Schreibweise01110111 Buchstabe w in binrer Schreibweise00010110 Wert nach XOR Operation

WEP erfordert fr jedes Wireless Netzwerk einen geheimen, privaten Schlssel, welcherzur Verschlsselung der Daten eingesetzt wird. WEP definiert keineSchlsselmanagement-Funktionen, etwa wie gross die Anzahl der eingesetzten Schlsselsein soll oder die Hufigkeit mit der diese gewechselt werden sollen. In der Praxis wird oftnur ein Schlssel eingesetzt, obschon praktisch alle Tools bis zu deren vier erlaubenwrden. Die Erneuerung (Austausch) dieser Schlssel geschieht unregelmssig, da diesmanuell durchgefhrt werden muss.

2.1.4 Initialization Vector

Die Erzeugung des Streams, der zur Verschlsselung der Daten eingesetzt wird, ist vonzwei Faktoren abhngig: einerseits vom gewhlten Schlssel und andererseits vomInitialisierungsvektor (IV). Der Initialisierungsvektor wird dazu gebraucht, um


32/132


Seite 31/132

sicherzustellen, dass gleiche Datenpakete nach dem Verschlsseln verschieden aussehen,obwohl sie den gleichen Schlssel verwenden. Der IV ist 24 Bit lang und wirdunverschlsselt bertragen.

+----------------------------------+-----------------+| Plaintext Message | CRC |+----------------------------------+-----------------+| Keystream = RC4(IV, Key) | XOR+----------------------------------------------------+

+--------+----------------------------------------------------+| IV | Ciphertext |+--------+----------------------------------------------------+

Abbildung 12: WEP Verschlsselung

Die Verwendung eines 24 Bit langen IV ist ungengend, weil derselbe IV und somit auch

derselbe Schlssel-Stream bereits nach einer relativ kurzen Zeit wieder verwendet werden.In einem 24 Bit grossen Feld knnen 264 oder 16'777'216 Werte dargestellt werden. Unterder Annahme, dass ein Netzwerk bei 11 Mbps einen konstanten Datenstrom mit 1500 Bytegrossen Paketen erzeugt, wrde bereits nach 5 Stunden der erste IV wiederholt werden.Wird ein IV mehr als einmal benutzt, so spricht man von einer IV-Kollision.

11 Mbps / (1500 Byte pro Paket x 8 Bit pro Byte) = 916.67 Pakete pro Sekunde

16777216 IVs / 916.67 Pakete pro Sekunde = 18'302.42 Sek

18'302.42 Sekunden x 60 Sekunden x 60 Minuten = 5.08 Stunden

Es dauert also 5.08h, bis alle IVs aufgebraucht sind.

Wenn die IVs nicht inkrementell, sondern zufllig erzeugt werden, wird die Zeitspanne biszur ersten IV-Kollision noch weiter verringert. Sobald eine IV-Kollision entsteht und einAngreifer im Besitze der beiden unterschiedlichen Pakete ist, welche mit demselbenSchlssel-Stream verschlsselt worden sind, ist es ihm vielfach mglich, Netzwerkverkehrzu entschlsseln. Durch einfache XOR-Verknpfung der beiden verschlsselten Paketeerhlt man den verwendeten Schlssel-Stream.

Folgende Kalkulation zeigt diesen Sachverhalt auf:

C1 = Ciphertext 1C2 = Ciphertext 2P1 = Plaintext 1P2 = Plaintext 2IV = Initialization vectorKey = Secret key^ = XOR

If C1 = P1 ^ RC4(IV, Key)And C2 = P2 ^ RC4(IV, Key)Then C1 ^ C2 = (P1 ^ RC4(IV, Key)) ^ (P2 ^ RC4(IV, Key)) = P1 ^ P2


33/132


Seite 32/132

Beispiel:

Description Data

Letter a - plaintext 01100001

Letter w secret key 01110111

XOR a 00010110

Description Data

Letter b - plaintext 01100010

Letter w secret key 01110111

XOR b 00010101

Description DataXOR a 00010110

XOR b 00010101

XOR a & b 00000011

Description Data

Letter a - plaintext 01100001

Letter b - plaintext 01100010

XOR a & b 00000011

Tabelle 6: Beispiel WEP Verschlsselung

Wenn ein Angreifer also einen Klartext kennt und eine IV-Kollision stattfindet, so kann erden Inhalt des entsprechenden Pakets entschlsseln, ohne den Schlssel-Stream zu kennen.

2.1.5 CRC-32 (Cyclical Redundancy Check)Um die Gewhrleistung der Datenintegritt sicherzustellen, verwendet WEP eine 32 Bit-Prfsumme, welche mit jedem Datenpaket bertragen wird. Der Empfnger bildet beim

Empfang dieselbe Prfsumme und vergleicht sie mit der bertragenen. Sind beide gleich,sind die Daten nicht verndert worden. Zu bertragende Daten werden in Abschnittefestgelegter Grsse unterteilt und durch einen bestimmten Divisor geteilt. Der bleibendeRest ist ein Bit kleiner als der Divisor und stellt die Prfsumme dar. Im Falle des CRC-32ist die Prfsumme ein Wert von 32 Bit Lnge und wird vor der Verschlsselung an dieDaten gefgt.


34/132


Seite 33/132

Abbildung 13: CRC Polynomial division

CRC-32 ist eine lineare Prfsumme und deshalb fr WEP nicht geeignet. Trotz derVerschlsselung knnen nderungen an den Daten vorgenommen und eine neuePrfsumme berechnet werden, so dass der Empfnger nicht merkt, dass die Datenverndert worden sind.

Folgendes Szenario soll dies veranschaulichen:Der Buchstabe b soll verschlsselt werden mit dem Schlssel n. Um dieDatenintegritt zu gewhrleisten, wird eine CRC-8 Prfsumme gebildet und vor demVerschlsselungsvorgang an den Buchstaben b gehngt. Ein Angreifer will nun einigeBit in den verschlsselten Daten verndern. Wrde er dabei die Prfsumme nicht auchanpassen, so wre die entschlsselte Prfsumme nicht mehr korrekt, und der WEPAlgorithmus wrde bemerken, dass die Daten verndert worden sind. Der potentielleAngreifer muss also zwingend auch die Prfsumme entsprechend verndern.

Die ursprnglichen Originaldaten sehen folgendermassen aus:

Description Data CRC-8

Letter b - plaintext 01100010 00101001

Letter n secret key 01101110 01101110

XOR encryption 00001100 01000111

Tabelle 7: Originaldaten

Der Angreifer kann die zu ndernden Bits in der Prfsumme (a) herausfinden, indem er diePrfsumme ber die nderung der Daten (b) berechnet. Schlussendlich wird (b) mit derXOR encryption XOR verknft. Das gleiche gilt fr (a).


35/132


Seite 34/132


XOR encryption 00001100 01000111

Change 00000011 (b)00001001 (a)

CRC of (b)

Altered XOR encryption 00001111 01001110

Tabelle 8: Genderte Daten

Um zu berprfen, ob die genderte Prfsumme korrekt ist, wird das Paket entschlsseltund die CRC-8-Prfsumme berechnet.


Altered XOR encryption 00001111 01001110

Letter n secret key 01101110 01101110

Decrypted data - Letter a 01100001 00100000

Tabelle 9: Entschlsselte Daten

Der entschlsselte Paketinhalt enthlt also den Buchstaben a. Nun fehlt noch die CRC-8-Prfsumme fr den Buchstaben a.

Abbildung 14: CRC 8-Prfsumme fr den Buchstaben a

Die CRC-8-Prfsumme wurde korrekt berechnet. Das bermittelte Paket wird also alsunverndert betrachtet, obwohl die Daten tatschlich verndert worden sind. Der Angreifer


36/132


Seite 35/132

bentigt nicht die Kenntnis des ganzen Klartextes, sondern es gengen ihm die zundernden Bit.

2.1.6 KeymappingDa diese Arbeit auf der Annahme beruht, dass schwache Passwrter (Schlssel) zurVerschlsselung gewhlt werden, ist es wichtig zu wissen, wie diese Schlssel erzeugtwerden.

Aus Sicht des Anwenders oder des Netzwerk-Administrators sieht die Eingabemaskeimmer sehr hnlich aus. Es kann die Schlssellnge gewhlt (64 oder 128 Bit) undwahlweise der Schlssel direkt als HEX-Wert oder im Klartext mit Buchstaben und Zahlenhinterlegt werden.

Abbildung 15: Schlsseleingabemaske Windows XP

Es knnen hchstens 4 Schlssel definiert werden, die anschl. zur sicheren

Datenbertragung zur Verfgung stehen. Zwischen dem Sender und dem unmittelbarenEmpfnger muss dabei zwingend der gleiche Schlssel (gleicher Schlsselindex)verwendet werden. Oft wird im ganzen Netzwerk nur ein Schlssel verwendet.

Die Schlssel werden dabei auf verschiedene Art und Weise erzeugt:

2.1.6.1ASCII-MappingDie Schlssel werden gebildet, indem die Hexwerte der einzelnen Zeichen des Passwortesaus der ASCII-Tabelle gelesen werden. Fr einen 40 Bit-Schlssel ist dabei die Eingabe

von 5 Zeichen erforderlich. 104 Bit-Schlssel bentigen die Eingabe von 13 Zeichen. Esgibt Tools, die zu kurze Schlssel mit dem HEX-Wert 0 auffllen.


37/132


38/132


Seite 37/132

Bei dieser Methode kann der ganze Schlsselraum ausgenutzt werden, was die Anflligkeitgegenber einer Dictionary-Attacke erhht. Sobald aber die Generator-Funktion bekanntist, sind die Vorteile wieder hinfllig, sofern das Angriffstool in der Lage ist, dieseFunktion nachzuahmen. Zudem ist festgestellt worden, dass bei gewissen Generator-Funktionen verschiedene Passwrter zum selben Schlssel fhren knnen.

Passwort Generierter Schlssel

choieraient CA 31 65 3F 42

covertbaron CA 31 65 3F 42

Tabelle 11: Generierte Schlssel mit KEYGEN (untersch. Passwrter gleicher Schlssel)

Die Verwendung einer Generator-Funktion erschwert ausserdem die Zusammenarbeit mitProdukten verschiedener Hersteller, da bei fehlender Generator-Funktion die Schlssel nurim HEX-Format eingetragen werden knnen.

Analysen der beiden Tools NWEPGEN8 und KEYGEN9 haben gezeigt, dass zurErzeugung der 64 Bit Schlssel eine Funktion verwendet wird, die die Zufallsfunktionrand() unter Windows nachahmt. Die 128 Bit Schlssel werden hingegen mit der

bekannten MD5-Hash-Funktion gebildet.

2.1.7 Integration in bestehendes Tool

In der Aufgabenstellung wurde vorgeschlagen, die Dictionary Attacke in ein bestehendesTool zu implementieren.Airsnort oder Wepcrack sind bestehende Tools, welche auch Attacken auf WLANsdurchfhren. Die Attacken basieren auf schwachen Initialisierungsvektoren (Weak IV) und

beruhen dementsprechend auf einem ganz anderen Ansatz.

Dictionary Weak IV 1 Packet ntig Passive Attacke Attacke kann mit einem verschlsselten

Paket gestartet werden

Dictionary erforderlich

100 1000 MB Daten Aktive Attacke Berechnung startet, sobald gengend

Daten vorhanden sind

Es ist nicht sinnvoll, diese beiden Attacken in einem einzigen Tool zu vereinen, sind dochdie Konzepte grundverschieden. Die Verwirrung in der Handhabung und die Komplexittdes Tools wren vor den Benutzern nicht mehr zu verantworten.

8 siehe Abschnitt 2.5.79 siehe Abschnitt 2.5.7


39/132


Seite 38/132

2.2 LsungsansatzAusgehend von der Aufgabenstellung und den Resultaten der durchgefhrten Analysewurden folgende Anforderungen an WepAttack gestellt:

2.2.1 DatenerfassungWepAttack soll in der Lage sein, Network-Dump-Dateien zu lesen und notwendige Datenzu extrahieren. WepAttack soll ein Format untersttzen, welches von gngigen

Netzwerksniffern verwendet wird. Dies ermglicht die freie Wahl des zu verwendendenSniffers und erlaubt die Offline-Bearbeitung bereits existierender Network-Dump-Dateien.

Damit jeglicher Netzwerkverkehr im Empfangsbereich der WLAN-Karte belauscht werdenkann, muss diese den Monitor Modus (Promiscious Mode) untersttzen. Das bedeutet, dassauch Pakete, welche nicht fr diese Karte bestimmt sind, empfangen werden knnen.

2.2.2 DatenextraktionWepAttack soll alle notwendigen Daten extrahieren und strukturiert zur Verfgung stellen.

Notwendige Daten sind der Initialisierungsvektor (IV), der Schlsselindex (Key) und dieverschlsselten Daten. Zur Identifikation des Netzes soll zudem die BSSID ausgelesenwerden. Existieren fr ein Netzwerk verschiedene Schlssel, sollen alle Schlssel

bercksichtigt werden. Ansonsten soll nur ein Paket pro Netzwerk extrahiert werden, dadies fr eine Dictionary Attacke gengt.

2.2.3 SchlsselbehandlungZur Erzeugung der zu prfenden Schlssel sollen alle analysierten Verfahren integriertwerden. Das bedeutet konkret folgendes:

Passwrter, welche lnger als 13 Zeichen sind, werden auf 13 Zeichen gekrzt.

Passwrter, welche nicht genau 5 oder 13 Zeichen lang sind, werden mitentsprechend vielen 00 auf 5 resp. 13 Zeichen verlngert.

Die Generator-Funktion, welche beim Siemens Access-Point verwendet wird, sollintegriert werden

2.2.4 berprfung des PasswortesDie Tatsache, dass allen Datenpaketen ein SNAP Header vorgelagert ist, der immer diegleichen Werte (0xAAAA03000000) enthlt, vereinfacht die berprfung des gewhltenPassworts. Somit mssen nmlich nur die ersten 6 Byte der extrahierten Daten mit demaktuellen Passwort entschlsselt und auf Gleichheit geprft werden. Um Rechenzeit zusparen, prft WepAttack sogar nur das erste Byte (0xAA).Dies gilt zwar nur fr Datenpakete vom Typ IP und ARP, aber die meisten Netzwerke sind

ja heute IP basierend.

Resultiert aus der berprfung des ersten Byte eine bereinstimmung, so soll ein zweiter


40/132


Seite 39/132

Test die endgltige Gewissheit bringen, ob der richtige Schlssel gefunden ist. Dazu wirddas ganze Paket entschlsselt, eine CRC 32-Prfsumme ber die Daten gerechnet und mitdem berlieferten CRC (die letzten 4 Byte der Daten) verglichen. Verluft auch dieser Test

positiv, ist der gefundene Schlssel korrekt.

Die Wahrscheinlichkeit, dass ein mit diesem Verfahren geprfter Schlssel trotzdem falschist liegt bei 9 x 10-13.

Anzahl der durchschnittlichen Versuche bis ein Passwort auf das erste Byte 0xAAbereinstimmt: 28 = 256

Wahrscheinlichkeit, dass ein Passwort auf das erste Byte bereinstimmt:256

1

Anzahl der durchschnittlichen Berechnungen, bis eine CRC 32-Prfsumme mit derOriginal-Prfsumme bereinstimmt: 232 = 4294967296

Wahrscheinlichkeit, dass eine berechnete CRC 32-Prfsumme mit der Original-

Prfsumme bereinstimmt:322

1

Wahrscheinlichkeit, dass ein mit diesem Verfahren geprfter Schlssel falsch ist:

13

32109

2

1

256

1

=

2.2.5 Generierung der PasswrterWepAttack soll in der Lage sein, mit John the Ripper zusammen zu arbeiten, um vondessen Funktionalitt profitieren zu knnen. John the Ripper ist eine Software, welche mitHilfe einer Wordlist versucht, Passwortdateien zu knacken. Er untersttzt verschiedeneVerschlsselungs-Algorithmen. Als besondere Eigenschaft ist hierbei die Mglichkeit derDefinition von Regeln zu erwhnen, welche auf die Passwrter aus der Wordlistangewendet werden knnen. Beispielsweise kann eine Regel definiert werden, die alleBuchstaben des Passwortes GROSS schreibt oder am Ende des Passwortes eine einstelligeZahl hinzufgt.

Es soll geprft werden, ob die Anwendung John the Ripper sinnvoll eingesetzt werdenkann.


41/132


42/132


Seite 41/132

mehreren Millionen Einlesezyklen stark ins Gewicht fallen kann.

Ein Vergleich der Prozessorzeiten der beiden Varianten schafft Klarheit ber das Gewichtder Einleseoperation:

Einlese Operation RC4

Unix Pipe 12 s 113 s

Datei direkt 12 s 115 s

Es ist keine Leistungseinbusse bei der Verwendung einer Pipe zu beobachten. Zudemmacht die Einleseoperation nur knapp 10% des RC4 Algorithmus aus. Da jener im

Normalfall fr vier Modi in der Praxis auch vier Mal ausgefhrt wird, tritt das Einlesen

noch mehr in den Hintergrund.

Aus Benutzerfreundlichkeit werden beide Einlese-Verfahren, Pipe und Datei,implementiert. So kann ein simples Wrterbuch ohne externes Programm verwendetwerden und zugleich steht so anspruchsvollen Benutzern eine universelle Schnittstelle frdie Verwendung beliebiger Tools zur Verfgung.

2.3.3 Verschlsselungs-ModiEs existieren WEP Schlssel mit 40 und 128 Bit. Eine Attacke kann mit einem direkten

ASCII-Mapping des Passwortes in den Hex-Schlssel oder ber KEYGEN mit einerHashfunktion durchgefhrt werden.

Daraus folgen 4 Modi, um einen RC4 Schlssel zu generieren, basierend auf demPasswort, um die Attacke zu durchzufhren.

64 Bit 128 Bit

ASCII Mapping WEP, Lnge 5 WEP, Lnge 13

KEYGEN KEYGEN, Lnge 5 KEYGEN, Lnge 13

2.3.4 Mehrere NetzwerkeBeim WLAN War Driving mit Kismet ist es sehr wahrscheinlich, dass mehrere Netzwerkegleichzeitig aufgezeichnet werden. Dies ist insofern sinnvoll, um alle mit dem gleichenAufruf parallel zu attackieren. Es sollte aber auch eine Option existieren, die eine Attackeauf nur ein Netzwerk zulsst, um spezifische Attacken zu fahren.


43/132


Seite 42/132

2.3.5 ResultatSchliesslich interessiert, welche Schlssel zu welchen Netzen geknackt worden sind. Diessoll angezeigt werden, sobald ein Schlssel geknackt ist. Zur bersicht und spterenVerwendung soll ein Logfile geschrieben werden.

2.3.6 LogfilesLogfiles sind dazu da, um Resultate festzuhalten. Zu einem spteren Zeitpunkt sollen sieanalysiert und evtl. weiterverwendet werden knnen. Daraus ergeben sich folgendeAnforderungen:

Logfile darf bei erneuter Attacke nicht berschrieben werden

Logfile-Format: Tabulator getrennt

Allgemeine Informationen: Name des Dumpfiles, Verwendetes Wrterbuch,Startzeit

Informationen ber geknackte Netze: SSID, KeyNo, WEPKey (ASCII und Hex),Art der Verschlsselung, Zeitdauer

Informationen fr nicht geknackte Netze: SSID, KeyNo, Zeitdauer

2.3.7 OptionenDer Benutzer soll auf der Kommandozeile Optionen mitgeben knnen, die ihm eineSteuerung des Tools erlauben. Resultierend aus den vorangegangen Erfordernissen sinddies folgende:

Dumpfile

Wordlist oder Standard Input (stdin)

zu attackierendes Netzwerk (Nummer)

Auswahl des Modus (WEP64, WEP128, KEYGEN64, KEYGEN128)

Kurzer Hilfetext

Als Default werden die Wrter ber stdin eingelesen und mit allen Modi (WEP64,

WEP128, KEYGEN64, KEYGEN128) gleichzeitig attackiert.

2.3.8 Name des ToolsDas Tool basiert auf einer aktiven Attacke mittels Dictionary auf WLAN WEP Schlssel.Daraus ist der Name WepAttack entstanden.


44/132


Seite 43/132

2.4 Installation EntwicklungsumgebungBevor mit der Softwareentwicklung begonnen werden konnte, musste die Testumgebungeingerichtet werden. Dazu gehrten vor allem die Installation der WLAN Karten und dieEvaluation der hilfreichen Tools.

2.4.1 Umgebung

2.4.1.1HardwareDie Testumgebung bestand aus drei Notebooks, wobei zwei davon (2,3) fr dieTestverbindung eingesetzt wurden und das andere, um die Verbindung (1) abzuhren.

Abbildung 17: Entwicklungsumgebung

2.4.1.2Operating SystemAls Entwicklungsbetriebssystem wurde SUSE LINUX 8.0 mit dem Kernel der Version2.4.18 (1 und 3) eingesetzt. Fr die Testverbindung wurde ein Notebook (2) mit WindowsXP eingesetzt.

2.4.2 TreiberDer Linux Kernel untersttzte schon sehr frh Karten, mit denen man drahtlose Netze

betreiben konnte. Dennoch gab es lange kein einheitliches API fr solche Treiber. Erst mitden Wireless Extensions wurde eine Schnittstelle zum Kernel geschaffen, die den Zugriffauf die Treiber vereinheitlicht. Die Wireless Extensions sind als Erweiterung der NetzwerkSchnittstellen (z.B. eth0) definiert worden. ber die Erweiterungen knnen nun diezustzlichen Einstellungen, die fr ein drahtloses Netzwerk notwendig sind, vorgenommenwerden. Die Wireless Extensions knnen mit iwconfig, welches Bestandteil der WirelessTools ist, konfiguriert werden.

Mit dem Linux Kernel 2.4.x sind die PCMCIA Treiber und Module fester Bestandteil desKernel geworden. Damit die WLAN Karte in den bentigten Monitor Modus versetztwerden kann, musste das neuste PCMCIA Card Services Paket installiert werden.

BS: SuSE Linux 8.0WLAN: LucentOrinoco Gold Card

BS: Windows XPWLAN: 3ComOffice Connect

BS: SuSE Linux 8.0WLAN: D-LinkDWL-650

1 2 3


45/132


Seite 44/132

2.4.2.1Wireless ExtensionsDas ganze Wireless interface (Typen und Konstanten) ist in/usr/include/linux/wireless.hdefiniert. Das ist das zentrale Stck der WirelessExtension und fester Bestandteil des Kernels. Zur Kernelversion 2.4.18 gehren dieWireless Extension Version 12. Der PCMCIA-Treiber, wie auch die Wireless Tools

greifen auf die Wireless Extensions zurck.

2.4.2.2PCMCIACard Services for Linux werden stndig weiterentwickelt und sind als SourceforgeProjekt11 verfgbar. Es ist ein komplettes PCMCIA Paket und enthlt ein Set von ladbarenKernel Modulen, welche das PCMCIA 2.1 Card Services API implementiert. Ein CardManager Deamon reagiert auf Entfernen und Einfgen von Karten. Auch Hot Swappingwird untersttzt, was ein Kartenwechsel zu jeder Zeit mglich macht. Das aktuelle Paketuntersttzt Ethernet-, Modem-, Serielle-, SCSI- und Speicher Karten aller Art. Alle

gngigen PCMCIA Kontroller werden untersttzt. So sollten die PCMCIA-Services aufjedem Linux kompatiblen Notebook funktionieren.

Die Installation gliedert sich in folgende Schritte:

Das Tar-Archiv wird entpackt.

# tar xvfz pcmcia-cs-3.2.1.tar.gz

Ein Patch fr den Orinoco Treiber ist ntig, damit der Monitor Mode aktiviert werdenkann. Nur mit diesem Patch ist es berhaupt mglich, mit einem Netzwerksniffer Paketezu sniffen. Er ist auf der Website von Airsnort12 verfgbar. Das Kommando ist imbergeordneten Verzeichnis von pcmcia-cs auszufhren.

# patch p0 < pcmcia-cs-3.2.1-orinoco-patch.diff

Mit ./Configure wird das Package konfiguriert. Dabei knnen alle Standardeinstellungenbelassen werden.

# cd pcmcia-cs-3.2.1# ./Configure

Durch make allwerden die Sourcen bersetzt und anschliessend mit make installdie

Binaries installiert.# make all# make install

2.4.2.3Karten TreiberDem PCMCIA-CS Paket ist eine ganze Liste von Treibern beigelegt. Der Dokumentationvon PCMCIA-CS ist zu entnehmen, dass die beiden bekanntesten Chipstze Hermes(Orinoco) und PrismII untersttzt werden. Wobei der neuste Orinoco-Treiber auchPrismII-Karten untersttzt. Eine detaillierte Liste der untersttzen Karten ist auf der

11http://pcmcia-cs.sourceforge.net12http://airsnort.shmoo.com/orinocoinfo.html


46/132


Seite 45/132

Webseite von PCMCIA-CS13 zu finden.

Fr PrismII-Karten existiert zustzlich ein losgelstes Projekt wlan-ng14. Ist mit denOrinoco Treibern kein Erfolg zu verzeichnen, ist ein Versuch mit wlan-ng zu empfehlen.

Die Treiber von PCMCIA-CS fr die WLAN-Karten mssen explizit bersetzt undinstalliert werden. Dazu ist inpcmcia-cs/ein Verzeichnis wireless/vorhanden. In diesemVerzeichnis wird make allund make installaufgerufen.

# cd wireless# make# make install

Achtung: Es ist darauf zu achten, dass keine Kopien von hermes.o, orinoco.o undorinoco_cs.o in /lib/modules/ existieren. Falls dies der Fall sein sollte, sind diealten Treiber vor der Installation zu lschen, um ein korrektes Arbeiten des Treibers zugewhrleisten. Der Gebrauch der korrekt gepatchten Treiber kann mit

# iwpriv eth0

getestet werden (Wireless Tools). Wenn in der Liste der ioctl monitor aufgelistet ist,arbeitet der Treiber korrekt.

2.4.2.4Treiber ProblemeDie eingesetzte D-Link DWL 650 konnte nicht als Sniffer Karte eingesetzt werden. Beimabhren des verschlsselten Verkehrs (Karte im Monitorbetrieb) fehlen im Paket 4 Bytesmit IV und KEY. Nach unseren Vermutungen werden diese 4 Bytes von der Karte

weggeschnitten und nicht an das Betriebsystem weitergegeben. Ein Versuch die Karte mitden PrismII Treiber in Betrieb zu nehmen, scheiterte, weshalb unsere Vermutung nichtendgltig besttigt werden konnte. Somit ist die D-Link Karte fr ein WLAN War Drivingungeeignet. Im Normal-Betrieb arbeitet die Karte jedoch fehlerlos.

Mit der Karte von Lucent (Orinoco Gold) sind keine Probleme aufgetaucht. Diese Karte istfr WLAN War Driving uneingeschrnkt zu empfehlen.

2.4.3 Konfigurationstools

Mit den Wireless Treibern ist alles vorhanden, um ein WLAN zu betreiben, jedoch fehltnoch die Konfiguration. Um allfllige Fehlkonfigurationen zu erkennen, sind eine Reihentzlicher Tools zu erwhnen.

2.4.3.1CardctlCardctl knnen eine Menge von Optionen bergeben werden, die verschiedeneInformationen ber die PCMCIA Einschbe anzeigen lassen. Dadurch kann ein korrektesFunktionieren des Cardmanagers und eine korrekt erkannte PCMCIA-Karte visualisiertwerden.

13http://pcmcia-cs.sourceforge.net/ftp/SUPPORTED.CARDS14http://www.linux-wlan.com/linux-wlan/


47/132


Seite 46/132

Status der Einschbe:

# cardctl statusSocket 0:5V 16-bit PC Card

function 0: [ready]Socket 1:no card

Identifikation der Karten:

# cardctl identSocket 0:product info: "Lucent Technologies", "WaveLAN/IEEE", "Version 01.01",

""manfid: 0x0156, 0x0002function: 6 (network)

Socket 1:

no product info available

Configuration der Einschbe:

# cardctl configSocket 0:Vcc 5.0V Vpp1 0.0V Vpp2 0.0Vinterface type is "memory and I/O"irq 3 [exclusive] [level]function 0:config base 0x03e0option 0x41

io 0x0100-0x013f [16bit]Socket 1:not configured

Um eine Netzwerkkarte oder auch eine WLAN-Karte an verschienen Standorten zubetreiben, kann das Schema gewechselt werden. Die Schemas werden in denKonfigurationsfiles definiert (siehe Kapitel 2.4.4).

# cardctl scheme

2.4.3.2IfconfigWireless Karten werden ebenfalls mit ifconfigaufgelistet. Damit kann der IP Stackkonfiguriert werden. Fr detaillierte Optionen sei auf die Man-Page von ifconfigverwiesen.

2.4.3.3Wireless ToolsUm die Wireless Extensions zu konfigurieren, sind die Wireless Tools entwickeltworden15. Das Paket ist treiberunabhngig einsetzbar und wird wie folgt kompiliert undinstalliert.

15 http://pcmcia-cs.sourceforge.net/ftp/contrib/


48/132


Seite 47/132

# tar xvfz wireless_tools.25.tar.gz

# cd wireless_tools.25# make# make install

Die Wireless Tools sind, wie der Name schon sagt, eine Sammlung von Tools, dienachfolgend kurz beschrieben werden:

2.4.3.3.1 iwconfigiwconfig [interface]iwconfig interface [essid X] [nwid N] [freq F] [channel C]

[sens S] [mode M] [ap A] [nick NN][rate R] [rts RT] [frag FT] [txpower T][enc E] [key K] [power P] [retry R]

Iwconfigist hnlich wie ifconfig, aber auf die Wireless Extensions abgestimmt. Es wird

bentzt, um spezifische Parameter auf der Netzwerkschnittstelle zu setzen.Iwconfigwirdauch eingesetzt, um diese Parameter und die Interface-Statistik anzuzeigen.

2.4.3.3.2 iwspyiwspyinterfaceiwspyinterface[+]IPADDR|HWADDR[...]iwspyinterfaceoff

Iwspy wird bentzt, um eine Liste von Adressen (IP- und MAC-Adressen) auf einerWireless Netzwerkschnittstelle zu setzen und Qualittsinformationen ber dieselben

zurckzulesen.

2.4.3.3.3 iwlistiwlist interface freqiwlist interface apiwlist interface rateiwlist interface keysiwlist interface poweriwlist interface txpoweriwlist interface retry

Iwlistgibt Informationen von einer Wireless Netzwerkschnittstelle zurck, die voniwconfignicht angezeigt werden. Dies ist typischerweise eine Liste von Parametern.

2.4.3.3.4 Iwpriviwpriv [interface]iwpriv interface private-command [private-parameters]iwpriv interface roam {on,off}iwpriv interface port {ad-hoc,managed,N}

Iwpriv ist das Kameraden Tool zu iwconfig.Iwpriv handelt mit Parametern und

Einstellungen fr jeden Treiber. Ohne Argumente listet iwpriv private Kommandos auf,die fr jedes Interface verfgbar sind. Unter anderem kann damit das wichtige Kommandofr den Monitor Mode ausgefhrt werden.


49/132


Seite 48/132

iwpriv eth0 monitor m - one of the following

0 - disable monitor mode1 - enable monitor mode with Prism2 header info prepended

to packet (ARPHRD_IEEE80211_PRISM)2 - enable monitor mode with no Prism2 info (ARPHRD_IEEE80211)

c - channel to monitor

Fr die Lucent Orinoco-Karte muss Modus 2 verwendet werden.

# iwpriv eth0 monitor 2 5

2.4.4 KonfigurationseinstellungenEs ist sehr umstndlich, bei jedem Einstecken der Karte die Wireless Extensions zukonfigurieren und dann die Netzwerk Einstellungen zu vergeben. Mit Hilfe der CardServices kann dies aber automatisch bei jedem Einstecken der Karte erledigt und beim

Entfernen der Karte wieder rckgngig gemacht werden. Als erstes werden dieEinstellungen fr die Wireless Extensions eingetragen. Dies geschieht in der Datei/etc/pcmcia/wireless.opts. Wichtig sind hier der Netzwerkname, der Modus und der WEPSchlssel (siehe Beispiel 2.4.4.1).

Anschliessend muss das Netzwerk konfiguriert werden. Hierfr werden dieentsprechenden Eintrge in der Datei/etc/pcmcia/network.opts vorgenommen (sieheBeispiel 2.4.4.2).

Fr mobile Gerte wie Notebooks ist es absolut wichtig, das man sich schnell undunkompliziert in verschiedenen Netzwerken anmelden kann. Hierfr sind Einstellungen

wie IP-Addresse, Netzmaske und Gateway wichtig. Benutzt man darber hinaus auch einWireless LAN, muss man noch den Netzwerknamen und den WEP Schlssel kennen.Unter Windows mssen diese Daten fr jedes Netzwerk manuell eingetragen werden, undanschliessend ist meistens der Rechner neu zu starten. Unter Linux gibt es frPCMCIA Karten eine einfache Methode, dieses Problem in den Griff zu bekommen.

Mit den PCMCIA Card Services kann die Konfiguration von Profilen abhngig gemachtwerden. Diese Profile werden bei PCMCIA "Scheme" (Schema) genannt und mit Hilfe voncardctlgewechselt. Als Parameter wird hier das Kommandoscheme und dann der Namedes neuen "Scheme" angegeben. Es kann immer nur genau ein Schema aktiviert sein. Der

Name des aktuellen Schemas ist unter/var/lib/pcmcia/scheme abgespeichert.

# cardctl sch

Documents

Diplomarbeit-Wlan-sicherheit