Tobias Scheible Cyber Security & IT-Forensik Dozent
Funk-Verbindungen per WLAN

WLAN-Verbindungen unterbrechen

WLAN gehört mittlerweile zum Standard und wird für viele Bereiche der IT verwendet. Diese wichtige Infrastruktur kann mit einem Deauther-Angriff gezielt unterbrochen werden. Dazu muss sich ein Angreifer nur in der Reichweite des Netzwerkes befinden, um das Signal zur Beendigung der Verbindung zu fälschen.

Donnerstag, 30. Juli 2020
0 Kommentare

Ein drahtloses LAN (WLAN) ist ein Computernetzwerk, das zwei oder mehrere Geräte kabellos miteinander verbindet. Dadurch haben Nutzer die Möglichkeit, sich innerhalb des Bereichs zu bewegen und mit dem Netzwerk verbunden zu bleiben. Über ein Gateway kann ein WLAN eine Verbindung zum Internet bzw. zu anderen Netzwerken herstellen. Die meisten modernen WLANs basieren auf dem IEEE 802.11-Standard und werden unter dem Markennamen Wi-Fi vermarktet.

Anwendung

Drahtlose LANs sind aufgrund ihrer einfachen Installation und Nutzung für den Einsatz zu Hause populär geworden. Sie sind auch in gewerblichen Objekten beliebt, die ihren Mitarbeitern und Kunden drahtlosen Zugang bieten. WLAN wird mittlerweile in vielen verschiedenen Produkten und Geräten eingesetzt. Das reicht von vernetzten Smartphones und Rechnern über smarte Fernseher bis hin zu medizinischen Geräten. Der Vorteil ist die hohe Bandbreite, dem gegenüber steht der erhöhte Energieverbrauch im Vergleich zu Bluetooth.

Angriffsarten

WLAN-Verbindungen sind auf der einen Seite flexibel, auf der anderen Seite lassen sie sich schlechter kontrollieren bzw. eingrenzen. Dadurch sind sie häufig auch von außerhalb des Grundstücks des Betreibers erreichbar. Das wird von Angreifern ausgenutzt. Mittels Deauther können zum Beispiel WLAN-Verbindungen unterbrochen werden.

Deauthentication

Bei einem Deauther-Angriff wird das Deauthentication Signal des Access Point gefälscht und damit dem Endgerät eine Beendung der Verbindung fälschlicherweise signalisiert. Die Funktion ist dazu gedacht, wenn ein System aus mehreren Access Points verwendet wird, dass ein Teilnehmer von einer überlasteten Station abgemeldet wird und sich mit einem anderen Access Point verbindet. Dieses Signal kann einfach gefälscht werden und damit kann gezielt die WLAN-Verbindung unterbrochen werden. Zum Beispiel kann ein Angreifer damit eine WLAN-Überwachungskamera ausschalten.

WLAN Deauther Hardware

Der Deauther-Angriff kann auf verschiedene Wege durchgeführt werden. Neben der Realisierung mit einem normalen Notebook gibt es dafür auch spezialisierte Hardware. Diese Tools werden als Deauther bezeichnet. Fortgeschrittene Geräte haben ein Display und einen kleinen Joystick für die Steuerung. Mit dem Deauther kann nach WLANs in der Nähe gescannt und dann ein bestimmtes WLAN-Netzwerk ausgewählt werden. Anschließend schickt der Deauther das fingierte Deauthentication Signal im Namen des Access Point. Alle Geräte in Reichweite, die mit diesem Netzwerk verbunden sind und das Signal erhalten, führen eine Trennung durch. Solange der Angriff noch läuft, können sich die Geräte nicht wieder mit diesem Netzwerk verbinden. Um das Deauthentication Signal zu senden, muss der Angreifer nicht die Zugangsdaten zum WLAN kennen, da es sich um einen Management Frame handelt und nur die Daten verschlüsselt werden.

WiFi Deauther
WiFi Deauther mit Display
WiFi Deauther WiFi Deauther mit Display
ESP8266 Deauther

Neben der speziell dafür vorgesehenen Hardware können auch verschiedene Boards mit dem WLAN-Chipsatz ESP8266 genutzt werden, um einen Deauther-Angriff durchzuführen. Das Projekt ESP8266 Deauther 2.0 auf GitHub stellt dafür die passenden Werkzeuge und Programmcodes bereit.

Störsender

Eine andere Methode, um ein WLAN-Signal zu unterbrechen, ist die Verwendung von Störsendern. Ein Störsender sendet auf einer bestimmten Frequenz ein zufälliges Signal (Rauschen oder Pulse) mit möglichst großer Stärke und überlagert so die ursprüngliche Übertragung. Diese Geräte werden auch als Jammer und der Vorgang als Noise Jamming bezeichnet.

TEXT
Mobiler Störsender mit Akku, der WLAN-Verbindungen unterbrechen kann
TEXT Mobiler Störsender mit Akku, der WLAN-Verbindungen unterbrechen kann

Weitere Informationen zum Thema Störsender gibt es im Artikel „Blockade mit Störsender“.

Gegenmaßnahmen

Bei der Verwendung von WLAN müssen neueste Sicherheitsprotokolle aktiviert werden, die der Standard IEEE 802.11w bereitstellt, um einen Schutz gegen Deauther-Angriffe zu realisieren. Diese Methode wurde allerdings nur von wenigen Herstellern und meistens nur in hochpreisigen Geräten umgesetzt. Gleichzeitig müssen die Clients auch den Standard unterstützen.

Zusätzlich sollte das Netz kontinuierlich auf Anomalien untersucht werden. Eine Unterbrechung eines Signals zu einem dauerhaften Client muss zum Beispiel als Angriff gewertet werden und entsprechend Alarm auslösen.

Artikelserie

Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.