5. Aug 2008, 22:34

Wired Equivalent Privacy (WEP) ist der ehemalige Standard-Verschlüsselungsalgorithmus für WLAN. Er soll sowohl den Zugang zum Netz regeln, als auch die Vertraulichkeit und Integrität der Daten sicherstellen. Aufgrund verschiedener Schwachstellen wird das Verfahren als unsicher angesehen. Zum Entschlüsseln müssen ausreichende Datenmengen mitgeschnitten werden, was nur einige Minuten dauert. Anschließend können diese Daten in wenigen Sekunden analysiert und der Schlüssel berechnet werden. Daher sollten WLAN-Installationen die sicherere WPA-Verschlüsselung verwenden.

Inhaltsverzeichnis 1 Funktionsweise 1.1 Open System Authentication 1.2 Shared Key Authentication 1.3 Angriff auf die Authentifikation 2 Das WEP-Datenpaket 3 Schwachstellen 3.1 Sicherheitsmaßnahmen 3.2 Einsatz 4 Einzelnachweise 5 Weblinks

[Bearbeiten] Funktionsweise

Generell handelt es sich um eine einfache XOR-Verknüpfung des Bitstroms der Nutzdaten mit einem aus dem RC4-Algorithmus generierten, pseudozufälligen Bitstrom.

Das WEP-Protokoll verwendet den RC4-Algorithmus als Pseudozufallszahlengenerator (PRNG) bei der Erzeugung eines Keystreams, der einen Schlüssel und einen Initialisierungsvektor als Eingabe erhält. Für jede zu schützende Nachricht M wird ein neuer 24 bit langer Initialisierungsvektor IV gebildet und mit einem Schlüssel K verknüpft, der allen Stationen im Basic Service Set bekannt ist. Das Ergebnis dient als Eingabe für den RC4-Algorithmus, welcher daraus einen Keystream erzeugt. Zusätzlich wird mittels Zyklischer Redundanzprüfung (ZRP, engl. CRC) ein vermeintlich sicherer „Integritätsprüfwert“ (Integrity Check Value – ICV) berechnet und an die Nachricht M angehängt (||). Die resultierende Nachricht (M||ICV) wird mit dem Keystream (RC4(IV||K)) des RC4 Algorithmus XOR-verknüpft und der Initialisierungsvektor IV wird dem resultierenden Ciphertext vorangestellt. Die unteren Abbildungen verdeutlichen Kodierung und Dekodierung.

Bei der Authentifizierung unterscheidet man zwei Verfahren:

[Bearbeiten] Open System Authentication

Die Open System Authentication ist die Standard-Authentifizierung.

• Ist der Accesspoint für keine Verschlüsselung konfiguriert, findet praktisch keine Authentifizierung statt und jeder Client kann sich mit dem WLAN verbinden.
• Ist der Accesspoint für Verschlüsselung konfiguriert (in diesem Fall WEP):
  • logisch: Der WEP-Schlüssel dient gleichzeitig zur Authentifizierung: Jeder Client mit korrektem WEP-Schlüssel bekommt Zugang zum Netz.
  • technisch: Es findet ein Austausch von Authentifizierungs-Nachrichten statt und der Client wird authentifiziert. Stimmen WEP-Key auf Accesspoint und Client überein, ist Kommunikation möglich. Stimmen diese nicht überein, ist der Client zwar authentifiziert, kann jedoch keine Daten mit dem Netz austauschen.

[Bearbeiten] Shared Key Authentication

Die Shared Key Authentication ist die vermeintlich sichere Variante. Die Authentifizierung erfolgt dabei über die Challenge-Response-Authentifizierung mit einem geheimen Schlüssel.

Allerdings basiert das Challenge-Response-Verfahren auch auf WEP und weist dieselbe Schwäche auf. Durch den Einsatz von Shared-Key Authentication wird der geheime Schlüssel entblößt, wie im nächsten Abschnitt gezeigt wird. Höchst ratsam ist es daher, auf die Shared-Key-Authentication zu verzichten und die Open Authentication einzusetzen. Auf WEP sollte dennoch nie verzichtet werden. Auch mit Open Authentication kann ein verbundener Netzwerkteilnehmer nur mit Kenntnis des WEP-Schlüssels eine Kommunikation mit dem Access Point aufbauen.

Die vier Nachrichten der WEP-Authentifizierung stellen die Zugriffsberechtigung des Client sicher.

[Bearbeiten] Angriff auf die Authentifikation

Wie schon erwähnt, trägt die Shared-Key-Authentifikation nicht zum Schutz bei, sondern gibt im Gegenteil ungewollt Informationen preis. Da wir es hier mit einer Challenge-Response-Authentifizierung zu tun haben, spielt sich das ganze folgendermaßen ab:

• Der Server schickt dem Client die Challenge1, bspw. eine Zufallszahl.
• Der Client verschlüsselt diese Zahl wie oben angegeben und schickt das WEP-Paket (IV1 + Ciphertext1) zurück an den Server
• Trudy, die Angreiferin (von engl. intruder), kann also die drei fettgedruckten Informationen erlauschen. Sie errechnet nun mittels XOR Challenge1 Ciphertext1 = Challenge1 (Challenge1 Keystream1) = Keystream1

Trudy hat nun Keystream1 und IV1, was sich als gültige Kombination erweist. Sie kann nun selbst versuchen, sich authentifizieren zu lassen. Eine Challenge2 vom Server beantwortet sie nun einfach mit dem WEP-Paket, bestehend aus IV1 + Ciphertext2, wobei sich letzterer ergibt aus Challenge2 Keystream1. Dies schickt sie an den Server und wird erfolgreich authentifiziert.

[Bearbeiten] Das WEP-Datenpaket

Ein WEP-Datenpaket besteht aus:

• den eigentlichen Nutzdaten,
• einer 32-Bit-Prüfsumme dieser Nutzdaten (Integrity Check Value, ICV, mittels Zyklischer Redundanzprüfung) und
• einem unverschlüsselten 24-Bit-Initialisierungsvektor (IV), der den WEP-Schlüssel zum Gesamtschlüssel mit 64 Bit, 128 Bit oder 256 Bit macht.

Das eigentliche WEP-Datenpaket besteht aus den Daten und der 32 Bit langen Prüfsumme. Dieses wird mit der IV-WEP-Schlüsselkombination verschlüsselt, und dem Ganzen wird der Initialisierungsvektor vorangestellt.

Aus dem IV kann der Empfänger schließlich zusammen mit dem RC4-Schlüssel wieder den Klartext der Nachricht berechnen.

[Bearbeiten] Schwachstellen

Die CRC32-Funktion ist streng linear und somit nicht sicher. Daher ist es möglich, die Bits zu berechnen, die sich in der Prüfsumme ändern müssen, wenn man den Geheimtext ändert.

Verschiedene Gruppierungen konnten die genutzten WEP-Schlüssel und damit die gesamte WEP-Verschlüsselung knacken. Es gibt für verschiedene Systeme Zubehör, welches durch Mithören einer ausreichenden Menge des Datenverkehrs den verwendeten WEP-Schlüssel berechnen kann, zum Beispiel Aircrack oder Airsnort. Dieser Angriff basiert darauf, möglichst viele Pakete mit gleichem, schwachem Initialisierungsvektor zu haben. So ist es heute möglich eine WEP-Verschlüsselung bereits unter einer Minute zu knacken ^[1].

In den letzten Jahren wurden die Angriffsmöglichkeiten immer weiter verbessert und ausgeweitet. So ist es beispielsweise möglich, wenn auch nur eine der übermittelten Nachrichten auch im Klartext bekannt ist, beliebige Inhalte (korrekt verschlüsselt) in das WLAN einzuspeisen. Des Weiteren gibt es eine Technik, einzelne, mitgehörte Datenpakete zu entschlüsseln, indem sie mehrmals leicht modifiziert wieder in das WLAN eingespielt werden. Dieser so genannte KoreK-Angriff verwendet nicht wie bisher Datenpakete mit gleichem Initialisierungvektor, sondern mit unterschiedlichen, wodurch der Angriff viel effektiver wird.

Außerdem kommen neben den passiven Angriffen auch aktive Angriffe zum Einsatz. So kann man Antworten des Access-Points forcieren, um innerhalb kürzester Zeit (~1 min) ausreichend Daten für einen erfolgreichen passiven Angriff zu sammeln. Dazu werden ARP-Pakete anhand bestimmter Signaturen gezielt abgefangen und – ohne ihren entschlüsselten Inhalt zu kennen – wieder verschlüsselt in das WLAN eingespeist.

[Bearbeiten] Sicherheitsmaßnahmen

An erster Stelle sollte der Verzicht auf WEP zugunsten von WPA oder WPA2 stehen. Dieses Ziel lässt sich in vielen Fällen bereits durch ein Treiber- oder Firmwareupdate erreichen. Lässt sich der Einsatz von WEP nicht vermeiden, sollten aber folgende, teils grundlegende, teils umstrittene, Behelfsmaßnahmen beachtet werden, um Angriffe so genannter Scriptkiddies und zufällige Zugriffe fremder Personen auf das WLAN zu unterbinden:

• Das Standard-Passwort des Access-Points ändern bzw. überhaupt erstmal ein Passwort setzen.
• Umstritten ist die Aktivierung der Zugriffskontrollliste auf MAC-Adressen-Basis. Hier wird eine Liste, die ACL (Access Control List) aktiviert, damit der Access-Point nur Endgeräte (WLAN-Karten) mit bekannter (und vorher in der ACL registrierten) MAC-Adresse zulässt. Diese Maßnahme verhindert in der Praxis nur das unabsichtliche Einbuchen, denn die MAC-Adresse lässt sich oft ganz einfach per Software beliebig einstellen, so dass ein Angreifer eine mitgelesene zugelassene MAC-Adresse leicht als eigene Adresse ausgeben kann.
• Die SSID des Access-Points sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen.
• Umstritten ist die Deaktivierung der SSID-Übermittlung (Broadcasting). Sie verhindert das unabsichtliche Einbuchen in das WLAN, jedoch kann die SSID trotz deaktiviertem Broadcasting mit einem Sniffer mitgelesen werden, wenn sich etwa ein Endgerät beim Access-Point anmeldet.
• WLAN-Geräte (wie der Access-Point) sollten nicht per WLAN konfiguriert werden können, sondern ausschließlich über eine kabelgebundene Verbindung.
• Im Access-Point sollte, sofern vorhanden, die Fernkonfigurierbarkeit abgestellt werden.
• WLAN-Geräte ausschalten, wenn sie nicht genutzt werden.
• Reichweite des Access-Points verringern (z. B. durch Antennenauswahl, Dämpfungsglieder, Teil-Abschirmung)
• Regelmäßige Firmware-Updates vom Access-Point durchführen, um sicherheitsrelevante Aktualisierungen zu erhalten.

Alle diese Sicherheitsmaßnahmen dürfen aber nicht darüber hinwegtäuschen, dass diese letztlich keinen wirklichen Schutz beim Einsatz von WEP bedeuten. Ein Angriff auf die WEP-Verschlüsselung ist trotz all dieser Vorkehrungen mit den richtigen technischen Voraussetzungen innerhalb von ca. einer Minute mit großer Sicherheit erfolgreich.

• Wirkungsvoll – aber aufwendig – ist die Kombination von beliebiger WEP- Technologie (WEP64 oder WEP128) mit professioneller VPN-Technologie wie IPsec. Einziger Wermutstropfen sind hier die Kosten für die zusätzlichen VPN-Gateway-Systeme wie z. B. Cisco PIX, Checkpoint VPN oder auch die frei verfügbare OpenVPN-Lösung.

[Bearbeiten] Einsatz

Aufgrund der Schwachstellen empfehlen Netzwerktechniker, den Verkehr über den Access Point mit einer zusätzlichen Verschlüsselung abzusichern. In der Praxis wird dies häufig durch ein VPN gelöst. Als Nachfolger für das unsichere WEP gilt WPA bzw. dessen Verbesserung WPA2 als IEEE 802.11i-Standard.

Bei der Absicherung durch ein VPN wird wahlweise nur die Nutzlast oder das gesamte Datenpaket verschlüsselt. Da WEP dann keinerlei zusätzlichen Sicherheitsgewinn mehr bringt, kann es nach dem KISS-Prinzip abgeschaltet werden, um mögliche Fehlerquellen zu minimieren. Eine andere Meinung ist, dass man WEP nutzen sollte, um die OSI-Schicht 2 wenigstens minimal abzusichern.

[Bearbeiten] Einzelnachweise

1. ↑ heise Online WEP-Verschlüsselung von WLANs in unter einer Minute geknackt

[Bearbeiten] Weblinks

• TU Darmstadt - Angriff auf WEP in einer Minute
• Break WEP Faster with Statistical Analysis Rafik Chaabouni, June 2006.
• „Weaknesses in the Key Scheduling Algorithm of RC4“ von Scott Fluhrer, Itsik Mantin, und Adi Shamir (PDF)
• aircrack-ng Airsnort, KisMAC – Programme zum Brechen der WEP-Verschlüsselung
• WLAN-Hacking en passant
• Dammbruch bei WEP
• Vorbereiten des Einsatzes von IEEE 802.11-Netzwerken in Unternehmen
• WEP-Hexschlüssel aus Merksatz (Passphrase) generieren
• WEP-/WPA-Schlüssel generieren

• "WEP is dead", Podcast mit Erik Tews

Dieser Artikel ist eine Kopie aus der freien Enzyklopädie Wikipedia. Am Originalartikel kann jeder Korrekturen und Ergänzungen vornehmen. Zudem kann man frühere Versionen einsehen.

Abkürzungen • Dateiendungen • Netzjargon