Bei einem Man-in-the-Middle-Angriff versucht ein Angreifer in eine vorhandene Verbindung einzudringen und den gesamten Netzwerkverkehr mitzulesen. Dabei befindet sich der Angreifer in der Mitte der Kommunikation zwischen seinem Opfer und dessen Kommunikationspartner. Neben der passiven Variante kann ein Angreifer auch aktiv den Netzwerkverkehr manipulieren.
Ein größeres WLAN-Netzwerk besteht üblicherweise aus mehreren Access Points. Die Endgeräte wechseln hierbei automatisch zum stärksten Signal innerhalb des Verbundes. Daher ist es technisch vorgesehen, dass mehrere Access Point die gleiche Kennung (SSID) und das gleiche Passwort verwenden. Sind diese Daten einem Angreifer bekannt, kann er einen eigenen Access Point erstellen, der sich in das vorhandene System einfügt. Wird eine zweite Verbindung mit einem echten Access Point eingerichtet und der gesamte Datenverkehr weitergeleitet, wird der Angriff vom Opfer nicht bemerkt. Der Angreifer kann den Netzwerkverkehr mitschneiden und wenn keine Verschlüsselung verwendet wird auch Manipulationen vornehmen. Hier wird auch von einem Evil Twin bzw. Rogue Access Point gesprochen.
WiFi Pineapple
Der WiFi Pineapple von Hak5 ist ein WLAN-Zugangspunkt (Access Point) mit mehreren Funkmodulen. Damit kann er zwei WLAN-Verbindungen aufbauen, während er per USB mit einem Rechner verbunden ist. Der WiFi Pineapple kann sehr flexibel konfiguriert werden und ermöglicht dadurch tiefgreifende Analysen von Funknetzwerken. Darüber hinaus ist eine Weboberfläche vorhanden, mit welcher einfache Befehle ausgeführt werden können. Fertige Skripte ermöglichen komplexere Angriffsszenarien abzubilden. Mit dem WiFi Pineapple lassen sich sehr einfach Man-in-the-Middle-Angriffe realisieren.
Es gibt zwei Ausführungen des Gerätes: den WiFi Pineapple Tetra mit einer Unterstützung für 2,4 GHz- und 5 GHz-Verbindungen und vier Antennen und die kleinere Variante, den WiFi Pineapple Nano, welcher nur 2,4 GHz-Verbindungen unterstützt und zwei Antennen besitzt. Durch regelmäßige Firmwareupdates wird der Funktionsumfang kontinuierlich erweitert. Über Module können zusätzliche Funktionen hinzugefügt werden. Eine ausführliche Anleitung zur Nutzung des WiFi Pineapple gibt es auf der offiziellen Hak5Website.
Gegenmaßnahmen
Im Unternehmensumfeld sollten RADIUS Authentifizierungen mit durchgängiger Zertifikatskette eingesetzt werden, um dieser Angriffsart entgegenzuwirken. Auf der Client Seite sollte eine automatische Verbindung des WLAN deaktiviert werden.
Zusätzlich sollten alle Verbindungen über ein WLAN ausschließlich verschlüsselt erfolgen. Vor allem in öffentlichen Netzwerken wie an Flughäfen oder in Hotels, z. B. alle Aufrufe im Web nur per HTTPS. Dort sollte auch immer eine VPN-Verbindung eingesetzt werden.
Artikelserie
Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen: