WLAN-Nutzer denken oftmals, dass Vorsorgemaßnahmen wie etwa die WPA2-Verschlüsselung vor kriminellen Hackern und Abhörmaßnahmen schützen. Doch genau diese Sorglosigkeit ist es, welche die Verwendung von WLANs gefährlich macht.
Warum dem so ist, erläutert ein umfangreicher Blogbeitrag, den ich hier auf Deutsch zusammen fassen will. Funknetzwerke nach dem 802.11-Standard arbeiten bei der Verbindungsaufnahme zwischen Client und Access Point mit Management-Frames. Bei einem kabelgebundenen Netzwerk würde man sie Packets (Datenpakete) nennen. Zwei dieser Frames verdienen besondere Aufmerksamkeit: Zum einen sind da die Beacons, die ein Access Point aussendet, damit er von den Clients gefunden werden kann, und die SSID enthalten. Zum anderen gibt es Probe-Request-Frames, welche der Client aussendet und über die er in der Umgebung nach WLANs sucht, mit denen er bereits verbunden war. Das Problem bei beiden Frames ist: Sie sind unverschlüsselt. Und: Jedes Gerät kann diese Management-Frames erzeugen.
Wenn ein WLAN-Client die Wahl unter verschiedenen Access Points mit der gleichen SSID hat, wählt er immer den Zugang, bei dem er den besten Empfang bekommt. Bewegt sich der Anwender vom Sendebereich eines Funknetzes in den eines anderen, wechselt der Client automatisch zum nächsten Zugangspunkt. Das bedeutet jedoch auch: Wenn es einem Hacker gelingt, einen Access Point aufzubauen, der ein stärkeres Signal aussendet als der üblicherweise genutzte, loggt sich der Client sofort dort ein. Verschlüsselung und Passwortschutz helfen in diesem Fall nicht weiter, der Client achtet lediglich auf die SSID. Der fremde Access Point kann also einfach ein offenes WLAN anbieten. Anschließend kann der Hacker den gesamten Datenverkehr des Benutzers mitlesen und auch speichern.
Wie schützt man sich gegen solche Attacken?
Was können Sie dagegen tun beziehungsweise wie können Sie solche Angriffe erkennen? Tatsächlich gibt es lediglich Indizien, die auf die Verbindung zu einem fremden Access Point hinweisen.
- Einige neuere WLAN-Clients und Security-Softwarepakete warnen Sie, wenn eine zuvor verschlüsselte Verbindung plötzlich unverschlüsselt ist. Das ist auf jeden Fall ein Alarmsignal. Wenn Sie jedoch etwa in einem Geschäft oder einem öffentlichen Gebäude ein ohnehin offenes Netzwerk nutzen, läuft dieser Schutz ins Leere. Trotzdem sollten Sie auch selbst darauf achten, ob sich an einer für gewöhnlich verschlüsselten Verbindung etwas geändert hat.
- Schreiben Sie sich die MAC-Adresse(n) des üblicherweise benutzten Routers auf. Normalerweise sind es zwei, eine für das 2,4- und eine für das 5-GHz-Band. Vergleichen Sie sie mit der Adresse des Geräts, mit dem sich Ihr PC oder Smartphone verbindet. Denken Sie jedoch daran, dass man per Software auch falsche MAC-Adressen angeben kann (Spoofing).
- Achten Sie auf die Einstellung des oder der Funkkanäle. Sollte sich hier etwas ändern, sollten Sie den Grund erkunden. Das funktioniert natürlich nur, wenn der Router die Kanäle – abhängig von der Auslastung – nicht dynamisch einstellt. Und: Es gibt Dutzende Tools, die Ihnen die Funkkanäle der WLANs in der Umgebung anzeigen. Hacker können mit diesen Informationen ihre eigene Hardware an das vorhandene WLAN anpassen.
- Verdächtig sind auch deutliche und anhaltende Änderungen bei der empfangenen Signalstärke des WLAN. Gehen Sie auch in diesem Fall der Sache auf den Grund.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.