Der Wi-Fi-Deauthentication-Angriff

Liebe Leserinnen und Leser,

als IT-Sicherheitsexperte bei AGIBO, einem führenden IT-Security Unternehmen aus Recklinghausen, stehe ich täglich vor der Herausforderung, Cyber-Bedrohungen zu identifizieren und Gegenmaßnahmen zu entwickeln. Ein Angriffsvektor, der in der Praxis immer wieder auftaucht, ist der Wi-Fi-Deauthentication-Angriff. In diesem Beitrag möchte ich meine Erfahrungen und das technische Know-how teilen, um das Bewusstsein für diesen Angriff zu schärfen. Besonders kritische Bereiche wie OT oder z.B. Krankenhäuser können durch einen solchen Angriff schweren Schaden tragen.

1. Was ist ein Wi-Fi-Deauthentication-Angriff?

Ein Wi-Fi-Deauthentication-Angriff, oft einfach „Deauth-Angriff“ genannt, ist eine Methode, bei der Angreifer den Verkehr zwischen einem Client und einem Wi-Fi-Router stören, indem sie Deauthentication-Pakete im Namen des Routers oder des Clients senden. Ziel ist es, den Client von einem Netzwerk zu trennen und/oder Informationen über den Netzwerkverkehr zu gewinnen.

2. Warum funktioniert der Deauth-Angriff?

Wi-Fi-Netzwerke nutzen den 802.11-Standard. Im 802.11-Protokoll gibt es sogenannte „Management Frames“, die keine Datenübertragung beinhalten, sondern für das Verwalten von Verbindungen eingesetzt werden. Einer dieser Management Frames ist das Deauthentication-Paket, das den Zweck hat, eine Verbindung zwischen einem Client und einem Router zu trennen.

Da diese Pakete aus legitimen Gründen existieren, z. B. wenn ein Router oder Client die Verbindung aktiv trennen will, sind sie ein notwendiger Bestandteil des 802.11-Protokolls. Das Problem: Diese Pakete sind unverschlüsselt und können daher von einem Angreifer abgefangen und nachgeahmt werden.

3. Wie wird ein Deauth-Angriff durchgeführt?

Für den Angriff benötigt man in erster Linie ein Wireless-Gerät, das im Monitor-Modus arbeiten kann. Mit Werkzeugen wie Aircrack-ng kann man den Netzwerkverkehr überwachen, um die MAC-Adressen von Client und Router zu ermitteln. Ist dies gelungen, kann der Angreifer Deauthentication-Pakete im Namen des Routers oder des Clients senden und so den Client vom Netzwerk trennen. Einen Deauther kann man z.B. schon für 10 Euro bei E-Bay erwerben.

4. Was kann ein Angreifer mit einem Deauth-Angriff erreichen?

Ein Deauth-Angriff kann verschiedene Ziele verfolgen:

Störung des Netzwerks: Ein Angreifer könnte den Angriff nutzen, um ein Netzwerk gezielt zu stören und die Verbindung von Nutzern dauerhaft zu unterbrechen.
Zwischenschaltung eines Rogue Access Points: Wird ein Nutzer vom legitimen Netzwerk getrennt, könnte er versucht sein, sich mit einem anderen, vermeintlich legitimen Netzwerk zu verbinden. Ein Angreifer könnte ein solches „Rogue Access Point“ bereitstellen, das genauso aussieht wie das legitime Netzwerk, um Datenverkehr abzufangen oder Malware zu verbreiten.
WPA-Handshake abfangen: Der Angriff kann auch dazu verwendet werden, einen Client dazu zu zwingen, erneut eine Verbindung zum Netzwerk herzustellen und dabei den WPA-Handshake abzufangen, der dann zur Entschlüsselung des Passwortes genutzt werden kann.

5. Schutzmaßnahmen gegen Deauth-Angriffe

Als Sicherheitsexperte bei AGIBO habe ich schon viele Organisationen beraten, wie sie sich am besten gegen Deauth-Angriffe schützen können:

802.11w-Standard: Dieser Standard fügt Management Frame Protection (MFP) hinzu, die verhindert, dass Deauthentication-Pakete von nicht autorisierten Sendern angenommen werden.
Rogue Access Point-Erkennung: Mit Intrusion Prevention Systemen (IPS) kann man unerwünschte Access Points erkennen und automatisch isolieren.
Stärkere Authentifizierung: Einsatz von Multi-Faktor-Authentifizierung oder zertifikatbasierte Authentifizierung kann dazu beitragen, dass sich Nutzer nicht mit Rogue Access Points verbinden.

6. Erweiterte Anwendungsszenarien von Deauth-Angriffen

Das Grundprinzip des Deauth-Angriffs mag einfach erscheinen, doch in den Händen von versierten Angreifern kann er als Basis für komplexere Angriffe dienen:

Man-in-the-Middle (MitM) Angriffe: Nach dem Trennen des Clients vom legitimen Netzwerk kann ein Angreifer einen Rogue Access Point mit dem gleichen SSID-Namen einrichten. Wenn der Client versucht, sich erneut zu verbinden, könnte er unwissentlich eine Verbindung mit dem gefälschten Access Point des Angreifers herstellen. Dies ermöglicht dem Angreifer, den Datenverkehr zu überwachen, zu manipulieren oder weiterzuleiten.
DOS (Denial of Service) Angriffe: Stellt man sich vor, ein Angreifer setzt den Deauth-Angriff im großen Stil in einem Geschäftsumfeld oder öffentlichen WLAN ein, kann dies erhebliche Betriebsunterbrechungen verursachen. Solch ein DOS-Angriff kann sogar als Ablenkung für andere bösartige Aktivitäten dienen.

7. Herausforderungen bei der Erkennung

Das Erkennen eines Deauth-Angriffs in Echtzeit kann herausfordernd sein:

Hohe Netzwerkaktivität: In Umgebungen mit viel Netzwerkverkehr kann es schwierig sein, den schädlichen Verkehr von legitimen Anfragen zu unterscheiden.
Kurze Angriffszeiträume: Einige Angreifer nutzen kurze, sporadische Deauth-Angriffe, um ihre Chancen zu erhöhen, unentdeckt zu bleiben.

8. Praktische Beispiele aus meiner Arbeit bei AGIBO

In meiner Tätigkeit bei AGIBO bin ich auf einige Fälle gestoßen, bei denen Deauth-Angriffe verwendet wurden:

Unternehmensumgebung: Ein Mitarbeiter beschwerte sich über ständige Verbindungsabbrüche. Nach Untersuchung stellten wir fest, dass ein externer Angreifer versuchte, Zugriff auf sensible Daten zu erhalten, indem er einen Deauth-Angriff mit einem anschließenden MitM-Angriff kombinierte.
Öffentliches WLAN: Bei einem Kunden, der ein Café betreibt, wurde der kostenlose WLAN-Service immer wieder unterbrochen. Ein Deauth-Angriff wurde hier als Racheakt eines unzufriedenen Kunden identifiziert.

Schlusswort

Ein Wi-Fi-Deauthentication-Angriff ist ein kraftvolles Werkzeug in den Händen von Cyberkriminellen, aber das Wissen über seine Funktionsweise ist der erste Schritt, um sich dagegen zu verteidigen. Mit dem richtigen Know-how und den richtigen Schutzmaßnahmen können Organisationen ihre Netzwerke sicher halten und sicherstellen, dass ihre Nutzer vertrauensvoll surfen können.

Bei AGIBO sind wir stolz darauf, unsere Kunden im Bereich Schwachstellenmanagement und Verschlüsselung von IT- und OT-Systemen zu beraten. Sicherheit ist ein ständiger Prozess, und wir sind hier, um Sie auf jedem Schritt dieses Weges zu begleiten.

Stefan Eggert, ein renommierter Name im IT- und OT-Sicherheitssektor, blickt auf zwei beeindruckende Jahrzehnte Berufserfahrung zurück. Sein professioneller Werdegang begann mit der Faszination für Technologie und entwickelte sich schnell zu einer Passion für Sicherheit in digitalen Netzwerken. Als Experte für Schwachstellen hat Eggert bei jeder Station seiner Karriere innovative Sicherheitslösungen entwickelt und zahlreiche DAX Unternehmen vor komplexen Bedrohungen geschützt. Mit einem stetigen Blick für Details und einem unermüdlichen Streben nach Perfektion hat er sich international einen Namen gemacht. Nach Deutsche Telekom AG, T-Systems, T-Mobile Deutschland, Daimler AG, AXA und SIEMENS ist er nun eine unverzichtbare Stimme bei AGIBO im Bereich der Cybersicherheit.

AGIBIO bietet die besten IT Lösungen für kleine und große Unternehmen.