Das Wi-Fi Protected Setup Protocol
Wie sicher ist Pushbutton?
Seit Festlegung des Standards 802.11b im Jahr 1999 ist der WLAN-Boom ungebrochen. Leider werden aber viele Funknetze dennoch unverschlüsselt betrieben. Einrichtung und sichere Konfiguration überfordern die Anwender. Die Eingabe eines WPA-Schlüssels erfordert zumindest Kenntnis über dessen Zweck, und zur Einrichtung eines MAC-Filters muss die Funktion einer MAC-Adresse bekannt sein.
Die Industrievereinigung Wi-Fi-Alliance hat mit der Taskgroup "Simple Config" eine Arbeitsgruppe
etabliert, die mit ihrer Spezifikation "Wi-Fi Protected Setup" eine einfache Konfiguration von
drahtlosen Wi-Fi Heimnetzwerken ermöglicht. Im Rahmen dieser Spezifikation werden vier alternative
Vorgehensweisen vorgestellt, von denen die Methode "Pushbutton" besonders simpel erscheint: Am
Access-Point und am Client-Gerät, das dem Funknetz hinzugefügt werden soll, werden nacheinander
jeweils eine Taste betätigt. Alle weitere Konfiguration erledigt die Prozedur automatisch.
Wi-Fi Protected Setup (auch als "Simple Config" bezeichnet) kennt verschiedene Methoden, um
einen Client-Rechner in ein Funknetz einzubinden. Im Zusammenhang mit der Registrierung kann ein
Gerät drei Rollen übernehmen:
Der "Access Point" (AP) ist der (oder ein) Zugangspunkt eines
802.11-Netzwerks.
Als "Enrollee" wird jenes Gerät bezeichnet, das Zugang zum Funknetz begehrt
und nach der Zulassung ein Mitglied des Netzes wird.
Der "Registrar" ist diejenige Netzeinheit, die darüber befindet, ob ein
Enrollee zugelassen wird oder nicht. Es muss sich dabei nicht zwingend um den Access Point selbst
handeln. Die Funktion kann auch ein drittes Gerät übernehmen, sofern es über eine Verbindung zum
Access Point verfügt.
Im Rahmen von Simple Config wird unterschieden, ob die Konfiguration bereits unter Nutzung des
WLAN-Netzes geschieht (In-Band-Configuration), oder ob die Konfiguration über separate Kanäle wie
einen USB-Anschluss oder Near Field Communication (NFC) erfolgt (Out-of-Band).
Um die Identität des Enrollee zu prüfen, gibt es unterschiedliche Ansätze. Man kann
kontrollieren, ob der Client im Besitz eines Schlüssels oder einer Karte ist. Alternativ können die
Kenntnis eines Geheimnisses (Passwort) oder eine eindeutige Eigenschaft (Fingerabdruck) geprüft
werden. Darüber hinaus besteht auch die Möglichkeit, sich über physikalische Zugriffsrechte (zum
Beispiel Zugang zu einem Raum und Rechner) abzusichern.
Die Taskgroup Simple Config hat mit Blick auf diese alternativen Authentifizierungskonzepte
passende Verfahren spezifiziert, um einen Client in ein Funknetz zu integrieren.
PIN-Verfahren: Bei diesem Verfahren wird eine PIN (Personal Identification Number) verwendet. Im
Falle einer statischen PIN kann diese etwa auf dem Label des Geräts aufgedruckt sein. Im Falle
einer dynamischen PIN ist eine Benutzerschnittstelle (zum Beispiel ein Display) nötig, um die
jeweils generierte PIN anzuzeigen. Die Eingabe dieser PIN erfolgt am Registrar. Nach Verifikation
der PIN werden die Konfigurationsdaten verschlüsselt übertragen. Die Authentifizierung erfolgt
somit durch Kenntnis der PIN. Es ergibt sich folgendes Szenario: Zunächst wird der Registrar in den
Registration Mode versetzt. Über ein User-Interface wird die PIN des Enrollee eingegeben. Nachdem
der Vorgang auch am Enrollee gestartet und die PIN verifiziert wurde, werden die
Konfigurationsdaten übermittelt.
Man beachte, dass es einem Angreifer unter Umständen möglich ist, eine statische PIN mit zwei
Konfigurationsversuchen zu rekonstruieren (Näheres dazu in der ausführlichen Onlineversion dieses
Arikels).
USB-Verfahren: Um einen USB-fähigen Enrollee in das Netzwerk zu integrieren wird ein
USB-Speicher an den Registrar angeschlossen. Darauf werden die Konfigurationsdaten abgelegt. Der
Speicher wird anschließend mit dem Enrollee verbunden, der so auf die Daten zugreifen kann. Eine
Verschlüsselung der Daten auf dem USB-Speicher ist optional. Die Authentifizierung erfolgt hier
über den physikalischen Zugriff zum Registrar. Eine ähnliche Variante wird unter dem Namen "Stick
& Surf" bereits vermarktet. Hierbei wird der Enrollee in Form eines USB-WLAN-Sticks direkt an
die Basisstation angeschlossen.
Near Field Communication (NFC): Hinter NFC verbirgt sich eine drahtlose Übertragungstechnik über
kürzeste Distanzen. Sie ist kompatibel zu verschiedenen Contactless-Smartcard-Technologien und hat
eine Reichweite von typischerweise zehn Zentimetern. Die Idee besteht darin, ein Token in Form
einer Smartcard nacheinander in die Reichweite der Geräte zu bringen. Die Konfigurationsdaten
können dabei auf der Smartcard abgelegt beziehungsweise ausgelesen werden. Auch hier erfolgt die
Authentifizierung über den physikalischen Zugriff.
Pushbutton: Bei dieser Methode wird am Enrollee und am Registrar nacheinander jeweils eine Taste
betätigt, die per Software emuliert sein kann. Daraufhin wird das Registration Protocol gestartet
und die Konfigurationsdaten werden über das WLAN übertragen. Die Reihenfolge der Tastenbetätigungen
ist nicht festgelegt. Bei dieser In-Band-Konfiguration erfolgt keine Authentifizierung!
Um als Wi-Fi Protected Setup-konform zu gelten, müssen Produkte die PIN-Methode implementieren.
Sie ist obligatorisch. Die USB-, Pushbutton- und NFC-Methoden hingegen sind als optional
spezifiziert.
Für beide In-Band-Methoden (PIN und Pushbutton) gilt, dass der Registrar erst in den
Registration Mode versetzt werden muss, bevor das Protokoll gestartet werden kann. Dadurch sind
Angriffe nur zu bestimmten Zeitpunkten möglich, was die Sicherheit erheblich erhöht. Dennoch muss
das verwendete Registrierungsprotokoll letztlich sicherstellen, dass einerseits der Enrollee sich
auch im richtigen Funknetz einbindet (und nicht in einem in Reichweite befindlichen anderen Netz),
und dass andererseits der Registrar den richtigen Enrollee anspricht (und nicht einen in der Nähe
befindlichen weiteren Rechner). Dies wird durch das Wi-Fi Protected Setup Registration Protocol
sichergestellt, indem eine definierte Sequenz von Nachrichten zwischen Enrollee und Registrar hin
und her gesendet wird. Dabei initiiert stets der Enrollee den Nachrichtenaustausch. Es braucht acht
Nachrichten, bis alle verwendeten Schlüssel ausgetauscht sind und die Identität des jeweiligen
Kommmunikationspartners geprüft ist (Details siehe ausführliche Darstellung in der
Onlineversion).
Das Registration Protocol setzt mehrere Verfahren ein, um den Nachrichtenaustausch
abzusichern:
Der Schlüsselaustausch erfolgt mittels Diffie-Hellman.
Alle Nachrichten werden durch die Verwendung einer HMAC-Funktion
authentifiziert.
Die eigentlichen Konfigurationsdaten werden mit AES verschlüsselt.
Zudem sind zeitliche Beschränkungen für den Austausch der einzelnen Nachrichten vorgesehen.
Trotz dieser Vorkehrungen sind Angriffe auf die Authentifizierung durchführbar. Kritisch zu
sehen ist, dass beim Pushbutton-Verfahren keine Authentifizierung der Kommunikationspartner gegeben
ist wie zum Beispiel beim PIN-Verfahren durch die verwendete PIN der Fall ist. Man versucht das
Risiko einer fehlerhaften Konfiguration zu minimieren, indem der Registrar explizit in den
Registration Mode versetzt werden muss, den er nach kurzer Zeit wieder verlässt. Die Zeitspanne, in
der beide Tasten an Enrollee und Registrar gedrückt werden müssen, ist die so genannte "Walk Time".
Sie wurde auf 120 Sekunden fixiert und soll dem Anwender genügend Zeit einräumen, um von einem
Gerät zum anderen zu laufen, auch wenn dieses in einiger Entfernung steht.
Der Registrar muss somit ein Zeitfenster ("Monitor Time") von 120 Sekunden beobachten. Ist in
dieser Zeit kein Request seitens des Enrollee eingegangen, kann er den Modus automatisch verlassen.
Der Enrollee muss, bevor er das Protokoll startet, alle Kanäle auf vorhandene und im Registration
Mode befindliche Registrars durchsuchen. Auf diese Weise soll gewährleistet werden, dass sich der
Benutzer nicht in ein falsches Netzwerk einbucht. Befinden sich mehrere Registrars im Registration
Mode, so kann der Enrollee aufgrund der mangelnden Authentifizierung nicht entscheiden, mit wem er
eine Konfiguration starten soll. Daher wird der Prozess in diesem Fall sofort abgebrochen, und der
Benutzer muss den Vorgang zu einem späteren Zeitpunkt wiederholen oder eine andere Methode
verwenden, zum Beispiel die PIN-Methode. Der Registrar prüft, sobald bei ihm die Taste betätigt
wird, ob in den vergangenen 120 Sekunden mehr als eine Anfrage eingegangen ist. Falls ja, wird auch
in diesem Fall der Vorgang abgebrochen, da eine der Anfragen nicht vom Benutzer selbst stammen
kann.
Die Sicherheit des Pushbutton-Verfahrens
Stellt jemand dauerhaft einen Registrar im Registration Mode zur Verfügung, so kann kein
Enrollee in Reichweite dieses Registrars die Konfiguration mit einem anderen Registrar durchführen.
Ebenso könnte ein Angreifer einen Enrollee aufsetzen, der ständig Anfragen sendet. Man kann in
diesem Zusammenhang von einer Denial-of-Service-Attacke sprechen. Dem Benutzer bleibt in diesem
Fall nur die Verwendung einer anderen Methode, zum Beispiel NFC oder PIN.
Für einen gezielten Angriff auf ein Funknetz mit Pushbutton-Konfiguration gilt es jedoch, die
Monitor-Time des Registrars und den Scan-Vorgang des Enrollee zu beachten. Zunächst sei angemerkt,
dass der Benutzer unabhängig von einem Angriff die Konfiguration an beiden Geräten durchführen
wird. Mit anderen Worten, er wird die Taste immer an beiden Geräten betätigen. Ein Angreifer muss
daher jedem der Geräte einen entsprechenden Konfigurationspartner zur Verfügung stellen, um
Fehlermeldungen zu vermeiden. Es sind somit zwei Szenarien zu unterscheiden:
Szenario 1: Der Benutzer betätigt zunächst die Taste am Enrollee und begibt sich zum Registrar,
um auch dort die Taste zu drücken. Während dieser Zeit versucht der Angreifer, selbst eine
Konfiguration zu starten. Der Registrar wird dadurch innerhalb der Beobachtungszeit zwei Anfragen
erkennen und den Vorgang abbrechen. Sendet der angreifende Enrollee aber seine Anfrage erst nachdem
der Prozess am Registrar gestartet, also die Taste betätigt wurde, ergibt sich ein anderes
Szenario. Der Enrollee erkennt nur einen Registrar im Konfigurationsmodus und der Registrar erkennt
nur einen Request innerhalb der Monitor-Time. Ein Angreifer muss also lediglich warten bis der
Registrar des legitimen Benutzers aktiviert wurde, bevor er seinen Request aussendet (Szenario 1).
Da das Registration Protocol spezifiziert und allgemein bekannt ist, kann mit einem Analyseprogramm
(Sniffer) und geeignetem Filtern der Pakete eine Tastenbetätigung quasi in Echtzeit erkannt
werden.
Szenario 2: Bei umgekehrter Reihenfolge der Tastenbetätigungen ist ein Angriff wesentlich
einfacher. Der Angreifer bucht sich zunächst bei dem Access Point des Opfers ein und stellt
anschließend selbst einen Access Point mit Registrar (einen so genannten Rogue Access Point) zur
Verfügung. Wichtig ist, dass dies erst nach dem Einbuchen erfolgt, denn sonst könnte der Enrollee
zwei Registrars erkennen. Der ahnungslose Benutzer bucht sich somit in das falsche Netzwerk ein.
Der angreifende Enrollee selbst kann den Registrar des Angreifers ignorieren und bucht sich daher
bei dem für ihn richtigen Access Point ein (Szenario 2). Ein Angreifer hat so die Möglichkeit,
einen Rechner in das Netzwerk zu schleusen (Rogue Station) sowie einen Rogue Access Point zur
Verfügung zu stellen.
In Bild 5 zeigt die verschiedenen Angriffsmethoden zusammengefasst. Die rot eingerahmten
Angriffe sind nicht durchführbar, da die verwendeten Sicherheitsmaßnahmen nicht zu umgehen sind.
Die blau eingerahmten erfordern einen physikalischen Zugriff und kommen daher ebenfalls in der
Regel nicht in Frage. Lediglich die grün eingerahmten Angriffe sind kritisch, weil eher
durchführbar.
Bei Pushbutton betsteht aufgrund der mangelnden Authentifizierung - wie bereits dargestellt -
ein erhebliches Sicherheitsproblem. Bei der PIN-Methode besteht ein Risiko, falls eine statische
PIN verwendet wird.
Erfolgt ein Angriff In-Band, und keine Instanz seitens des Benutzers soll einen Fehler erkennen,
muss ein Angreifer sowohl einen Registrar als auch einen Enrollee einsetzen und wird damit nach
einem erfolgreichen Angriff zum Man-in-the-Middle, was weitere Folgeangriffe ermöglicht. Dieses
Szenario ergibt sich sowohl bei Pushbutton als auch bei PIN.
Geht man von einem ungerichteten Angriff aus, steigert das Verfahren, verglichen mit einem
unverschlüsselten oder unsicher verschlüsselten Netz, in jedem Fall die Sicherheit. Bei einem
gerichteten Angriff auf ein verschlüsseltes Netzwerk jedoch kann die Verwendung von Wi-Fi Protected
Setup in diesen Fällen einem Angreifer sogar von Nutzen sein.
Lesen Sie mehr zum Thema
