22.01.2008 | Autor / Redakteur: Lisa Phipher und Peter Riedlberger / Stephan Augsten
Trotz aller Fortschritte bei der Sicherheit bleiben Funknetze weiterhin sehr verletzlich gegenüber DoS-Angriffen. Solche Attacken lassen sich kaum verhindern. Ein Wireless Intrusion Detection System hilft aber, den Zeitpunkt und den Ausgangspunkt eines DoS-Angriffs zu erkennen. So kann man den Angreifer juristisch belangen oder ihm wenigstens Angst einjagen und vertreiben. Dieser Artikel erläutert, wie man Interferenzen und DoS-Angriffe im WLAN erkennt und wie man auf sie reagiert.
Viele Wireless Intrusion Detection Systeme (WIDS) können mehr, als nur Angriffe auf das WLAN zu erkennen. Mit ihrer Hilfe lassen sich auch Funkwellen-Überlagerungen (Funkinterferenzen) aufspüren und umgehen.
Kein WLAN-Netzwerk ist gegen Funkinterferenzen gefeit, seien es nun zufällige oder absichtlich hervorgerufene. Da 802.11b/g-Netzwerke das stark belegte 2,4 GHz-Band benutzen, kommt es oft zu Überlagerungen durch andere Funkgeräte wie Bluetooth, Handys, Mikrowellen und WLANs von Nachbarn.
802.11a-Netzwerke verwenden das 6 GHz-Band, das größer und schwächer frequentiert ist, sodass dort weniger Interferenzprobleme auftreten. Indes sollte jedes Unternehmen, das WLAN für missionskritische Applikationen verwendet, auf mögliche Störungen vorbereitet sein.
Gegen die Interferenzen selbst kann man wenig tun. Die genannten Frequenzbänder sind öffentlich, sodass jedermann das gleiche Recht hat, sie zu verwenden (natürlich innerhalb der gesetzlichen Grenzen, was Sendeleistung usw. angeht).
Spezielle Baumaterialien und Farben schützen zwar gegen Funkstrahlen, vorhandene Räumlichkeiten lassen sich aber nur schwer „nachrüsten“. Außerdem könnte man auf diesem Weg auch das eigene WLAN stören. Daher ist meist die einzig gangbare Lösung, den Interferenzen aus dem Weg zu gehen:
1. Man sucht mit einem WIDS nach neuen Geräten, die 802.11-Traffic auf den Bändern und Kanälen des eigenen WLANs senden.
2. Mittels WIDS-Warnungen lässt man sich überlastete Kanäle (zu viele APs oder Ad-Hocs auf derselben Frequenz), zu hohe Fehlerraten oder zu häufige Sendeversuche melden (was auf Interferenz durch andere Geräte als 802.11-Hardware hinweist).
3. Man sucht die Interferenzquellen mit einem WIDS, das den ungefähren Standort des Störsenders auf dem Gebäudeplan anzeigt. Dann bestimmt man ihre exakte Position mithilfe eines mobilen Tools (Netstumbler oder WLAN-Analyzer).
4. Um nicht-802.11-Interferenzquellen aufzuspüren, überwacht man die Übertragungen mit einem Spektrum-Analysator und sucht nach den Charakteristika des vermutlichten Störsenders.
5. Falls sich der Störsender nicht eliminieren lässt, konfiguriert man die APs so um, dass sie weniger belegte Kanäle verwenden. Manche WLAN-Switches nehmen sogar automatische eine neue Kanalzuweisung vor, wenn sie Interferenz entdecken. Manchmal bleibt sogar nur die Umstellung auf 802.11a, z. B. in Bürogebäuden mit vielen verschiedenen Firmen.
Die meisten WLAN-Interferenzen sind zufälliger Natur. Zwar könnte ein Angreifer einen echten Störsender verwenden, zum Beispiel einen Funksignalgenerator mit hoher Leistung. Es gibt allerdings wesentlich einfachere Methoden, um einen WLAN-DoS absichtlich zu erzwingen. Beispiele wären:
Diese und viele andere schnurlose DoS-Angriffe sind möglich, weil nur 802.11-Daten-Frames Integritätsprüfsummen beinhalten, mit denen man gefälschte Nachrichten erkennen kann. Solche Angriffe lassen sich mit ganz normalen WLAN-Karten und Software-Tools aus dem Internet wie airjack oder void11 durchführen. Der Angreifer muss dem eigenen WLAN nur so nahe sein, dass er etwas Traffic mitschneiden kann, um mögliche Opfer zu identifizieren.
Glückerweise können die meisten WIDS diese DoS-Angriffssignaturen erkennen. Ein WIDS kann auf 802.11- oder 802.1X-Floods hinweisen, und zwar in Abhängigkeit von festgelegten Schwellwerten. Mit einem WIDS lässt sich auch eine Leistungsmessung des WLANs durchführen, sodass man Angriffsschwellwerte auf Grundlage genauer Information definieren kann.
Beispielsweise wird eine Associate-Flood-Warnung ausgegeben, wenn ein bestimmter AP mehr als x Associate-Frames pro Minute erhält. Der Faktor x hängt dabei von dem normalen Nutzerverhalten im vorliegenden Netzwerk ab.
Zudem ist ein WIDS ein große Hilfe, beginnende Angriffsmuster zu erkennen. So könnte ein Angreifer vor einem Deauth Flood zunächst einen Evil-Twin-Angriff durchführen. Ein WIDS würde erkennen, dass diese beiden Angriffe zusammenhängen.
Ein Angreifer kann sich von AP zu AP bewegen und ähnliche Attacken von verschiedenen MAC-Adressen aus durchführen. Ein WIDS würde dieses Verhalten erkennen und eine verschärfte Warnung ausgeben, um die Administratoren umgehend zu alarmieren.
Ohne WIDS hält man DoS-Angriffe oft für vorübergehende Performance-Probleme. Mit einem WIDS kann man sich genau ansehen, ob es zu dem Zeitpunkt des WLAN-Ausfalls zu sonstigen verdächtigen Aktivitäten kam.
Um einen Angriff auf einen Remote-Standort sofort zu untersuchen, setzt man einen WIDS-Sensor in den Capture-Modus. Wenn man einen laufenden Angriff mitschneidet, findet man heraus, welche Systeme betroffen sind. Anschließend lassen sich Daten sammeln, die man für disziplinarische oder sogar juristische Maßnahmen braucht.
Auf einer schwarzen Liste sollten außerdem jene MAC-Adressen vermerkt sein, von denen frühere Attacken ausgingen: Kehrt der Angreifer zurück, kann sofort roter Alarm gegeben werden.
Wie bei Interferenzproblemen kann ein WIDS helfen, DoS-Angriffsquellen physikalisch zu lokalisieren. Doch bleiben Kriminelle selten lang genug an einem Ort. Suchmaßnahmen bringen also meist nichts, außer man ist sehr schnell.
Über weitere Schritte sollte man sich ebenfalls bereits im Vorfeld Gedanken machen. Will man den Hacker jagen, den Sicherheitsdienst verständigen, den Gebäude-Alarm auslösen oder ganz anders vorgehen? Natürlich kann sich der Hacker auf öffentlichen Raum statt im Gebäude befinden. Dies würde den Zugriff erschweren.
Diese Maßnahmen helfen, Interferenzprobleme und DoS-Angriffe zu entdecken, zu diagnostizieren und zu bekämpfen. Aber nichts ist ein Ersatz dafür, das eigene WLAN komplett zu isolieren. Ist das WLAN missionskritisch, braucht man einen Ersatz für Notfälle.
In kabelgebundenen Netzwerken sind Hochverfügbarkeitsfeatures wie Linkdiversität, redudante Router und ausfallsichere Netzteile etwas Alltägliches. Man sollte ähnlich gründlich bei einem WLAN zu Werke gehen und sich ganz genau überlegen, an welchen Stellen ein kabelgebundenes Netzwerk nicht die bessere Alternative wäre.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2010286)
