Pentest Blog

16. Januar 2018 – Know-how

Ein WLAN-Test - was geschieht denn da?

Einführung in die Methodologie eines Penetrationstests – Teil 5, von Dr. Erlijn van Genuchten

In vorigen Beiträgen wurde bereits die Methodologie für 1) Webapplikations-, 2) Perimeter-, 3) Hardware- und 4) Mobile-App-Tests in den Blick genommen. Der vorliegende Artikel bietet eine Einführung in die Durchführung eines WLAN-Tests. Dabei geht es hauptsächlich um die Analyse der vorhandenen Konfigurationen, sowohl des WLAN selbst als auch die des Clients, der sich mit diesem verbindet. Eine wichtige Voraussetzung hierfür ist die richtige Hardware. Dazu gehören eine WLAN-Karte mit ausreichender Funktionalität (z. B. "Monitor-Modus" und "Packet Injection") und ein Referenzclient. Sind diese Voraussetzungen erfüllt, lassen sich auch hier – genau wie bei der Hardware- und der Mobile-App-Analyse – Ansätze aus der Webapplikationsanalyse übertragen. Und auch hier können die bereits in den vorangegangenen Artikeln dargestellten Testphasen sinnvoll durchlaufen werden.  

Die Reconnaissance-Phase

Die Reconnaissance-Phase wird in einem WLAN-Test nur dann durchgeführt, wenn unklar ist, welche WLANs vorhanden sind. Der IT Security Consultant kann dazu eine Inventarisierung durchführen und alle Access Points – sprich die bereitgestellten WLANs – auflisten. Auf Grundlage dieser Liste lässt sich entscheiden, welche WLANs genauer angeschaut werden. Zudem lässt sich prüfen, ob die vorhandenen Access Points auch wirklich dem zu testenden Unternehmen gehören oder gar von einem Angreifer bereitgestellt werden. In letzterem Fall spricht man von einem „Rogue Access Point“. Ein Tool, das in diesem Zusammenhang Verwendung findet, ist aircrack-ng. Es ist jedoch auch möglich, dass diese Phase vom Auftraggeber selbst durchgeführt wird, da viele Access Points eine Funktion zur Erkennung anderer Access Points bereitstellen.  

Die Mapping-Phase  

In der Mapping-Phase wird für die in der vorangegangenen Phase ausgewählten WLAN-Netze  abgefragt, welchen Benutzern diese zur Verfügung stehen. Teilweise sagt bereits der WLAN-Name (auch SSID genannt) viel aus, zum Beispiel bei „gaeste-netz“ oder „mitarbeiter-netz“. Diese Informationen liefern einen wertvollen Beitrag, um später die Konfiguration sinnvoll prüfen zu können. Zudem ist es wichtig, vom Auftraggeber Informationen darüber zu erhalten, welche Rechner in welchen Netzen erreichbar sind. Auf dieser Grundlage lässt sich prüfen, ob die entsprechenden Netze sauber voneinander getrennt sind.  

Die Discovery-Phase  

In der nächsten Phase werden die Konfigurationen geprüft und Angriffe durchgeführt. So wird zum Beispiel geprüft, ob für offene WLANs Captive Portals (Anmeldemasken mit Bestätigung der AGBs) im Einsatz sind und, wenn ja, ob diese verschlüsselt per HTTPS aufgerufen werden müssen. Selbstverständlich wird auch getestet, ob vorhandene Captive Portals umgangen werden können, beispielsweise mithilfe abgeänderter MAC-Adressen. Zudem wird hier geprüft, ob aus dem Gästenetz auf Rechner im internen Netzwerk zugegriffen werden kann, entweder direkt oder durch entsprechende Manipulationen. Eine Möglichkeit wäre hier, die IP-Adresse des Testclients in eine IP-Adresse des internen Netzes zu ändern.  

Bei geschützten WLANs wird zum Beispiel geprüft, ob der neueste Sicherheitsstandard (momentan WPA2) verwendet wird. Diese Konfiguration ist drahtlos verfügbar und kann mit dem Tool airodump-ng eingesehen werden. Auch lässt sich prüfen, ob die im Sommer 2017 publizierte WPA2-Schwachstelle  “KRACK” aufgrund fehlender Aktualisierungen noch vorhanden ist. Zudem wird das WPA2-Passwort – das dem IT Security Consultant aus Zeitgründen sinnvollerweise bereitgestellt wird – lang und komplex genug ist. Falls es sich um das interne Firmennetzwerk handelt, ist es empfehlenswert, WPA Enterprise mit Einsatz von Zertifikaten anstatt einem Passwort zu verwenden. In diesem Fall erlangt der vom Auftraggeber bereitgestellte Referenzclient besondere Bedeutung, denn auf diesem lässt sich prüfen, ob das Zertifikat exportierbar ist. Sollte dies der Fall sein, liegt ein Problem vor. Lässt sich das Zertifikat exportieren, kann es auch weitergegeben und auf mehreren Geräten verwendet werden.  

Zwei weitere Angriffe können ebenfalls in dieser Phase durchgeführt werden. Mit Deauthentication-Angriffen lässt sich prüfen, ob es möglich ist, Clients vom WLAN abzumelden. Stresstests wiederum prüfen, was passiert, wenn Clients sich massenhaft am WLAN anmelden. Um jedoch die Verfügbarkeit des zu prüfenden WLAN nicht zu gefährden, wird auf Stresstests in den meisten Fällen eher verzichtet.  

Die Exploitation-Phase  

Die letzte Phase besitzt in einem WLAN-Test keinen hohen Stellenwert, da es bei diesem Testtyp lediglich um die Identifizierung und nicht um die Ausnutzung von Schwachstellen geht. Sollte der Auftraggeber Interesse daran haben, Angriffswege vom WLAN auf das interne Netzwerk zu beleuchten, wird ein Sicherheitstest im internen Netz empfohlen (mehr dazu in einer nächsten Ausgabe dieser Artikelreihe).  

Zu allen während einer WLAN-Tests identifizierten Schwachstellen spricht die SySS GmbH Empfehlungen aus, auf deren Grundlage sich die Sicherheit der getesteten WLAN-Netze nachhaltig verbessern lässt. Auch wenn WLAN-Netze je nach Einsatzzweck anders konfiguriert werden, gelten grundsätzlich folgende Faustregeln:  

  • Verschiedene Netzwerke (z. B. Gästenetz und internes Netz) sollten sauber voneinander getrennt werden, sodass Geräte innerhalb des einen Netzes keinen Zugriff auf Geräte innerhalb des anderen Netzes haben.
  • Für mit WPA-PSK gesicherte WLANs sollte ein starkes Passwort verwendet werden.
  • Für WLANs mit Zugriff auf das interne Unternehmensnetzwerk sollte WPA-Enterprise mit zertifikatbasierter Authentifizierung verwendet werden, sodass Zugangsdaten nicht weitergegeben werden können. Dabei sollte sichergestellt werden, dass sich Zertifikate nicht exportieren lassen.
  • Der Sicherheitsstandard WPA2 oder WPA2 Enterprise sollte grundsätzlich für gesicherte Netzwerke verwendet werden.
  • Alle Geräte mit WLAN sollten auf dem aktuellen Stand sein, sodass die KRACK-Schwachstelle behoben ist.
  • Falls für ein offenes Netz ein Captive Portal zum Einsatz kommt, sollte dieses ausschließlich per HTTPS erreichbar sein.

Werden die genannten Maßnahmen ergriffen, lässt sich auf diese Weise die Angriffsoberfläche so gering wie möglich halten. Angreifer werden es schwer haben, ein WLAN als Einstiegspunkt für Angriffe zu missbrauchen. Wichtig ist jedoch, dass bestimmte Prüfungen, – beispielsweise auf die Anwesenheit von Rogue Access Points oder die Verfügbarkeit von Aktualisierungen – regelmäßig wiederholt werden, idealerweise im Rahmen einer firmenweit einheitlichen Vorgehensweise.          

Termine

27.02.2018 - 28.02.2018
SySS-Schulung – Hack5: Exploit-Development
06.03.2018 - 07.03.2018
SySS-Schulung – Hack7: Sicherheit und Einfallstore bei Webapplikationen
08.03.2018
SySS-Schulung – Secu6: Planung und Durchführung von Penetrationstests
13.03.2018 - 15.03.2018
SySS-Schulung – Secu2: Incident Response