| 02 - Deaktivierung des ESSID Broadcasts |
|
ESSID ist das Akronym für „Extended Service Set Identifier“. Einfacher ausgedrückt handelt es sich dabei um den „Namen“ des kabellosen Netzwerks, welcher standardmäßig von einer Basisstation als Bestandteil sog. Beacon Frames ausgesendet wird. Der ESSID dient der Differenzierung sich überlappender kabelloser Netzwerke, so dass eine eindeutige Zuordnung in einer leserlichen Form möglich wird. Die nachfolgende Abbildung zeigt ein abgefangenes Beacon Frame, welches von einer Basisstation mit aktiviertem ESSID Broadcast gesendet wurde:  Die rot markierte Zeile zeigt den ausgesendeten ESSID. Daneben werden diverse weitere Informationen über die Basisstation sowie deren Fähigkeiten übertragen. Da der ESSID dem Client für einen erfolgreichen Verbindungsaufbau bekannt sein muss, drängt sich der Gedanke auf, den ESSID geheim zu halten und somit als eine Art Zugangspasswort zum Netzwerk zu verwenden. Praktisch alle Basisstationen bieten auch diese Option. Deaktiviert man den ESSID Broadcast, so werden weiterhin Beacon Frames gesendet, welche allerdings den ESSID nicht mehr preisgeben. Das Netzwerk wird somit von den meisten Client Utilities nicht mehr anzeigt. Daher kommt auch die Bezeichnung Stealth Mode (unsichtbarer Modus). In Wirklichkeit ist das Netzwerk natürlich alles andere als unsichtbar. Schließlich sendet die Basisstation weiterhin Beacon Frames, was auch unabdingbar ist – wie sonst sollte ein Client noch Kontakt zur Basisstation aufnehmen oder die Signalqualität feststellen können? Ebenso verhält es sich mit der Sicherheit. Zwar ist der ESSID jetzt nicht mehr öffentlich bekannt, allerdings muss der ESSID während eines Verbindungsaufbaus überprüft werden. Das macht es natürlich notwendig, dass der ESSID übertragen wird. Da zu diesem Zeitpunkt aus technischen Gründen noch keine Verschlüsselung aktiv sein kann, muss der ESSID unverschlüsselt gesendet werden. Und eben darauf muss ein Angreifer nur warten. Die untenstehende Abbildung zeigt die Paketübersicht eines Snifferoutputs, welches während eines Verbindungsaufbaus zwischen Client und Basisstation aufgenommen wurde:  An den drei rot markierten Stellen wird der ESSID übertragen. Der Angreifer ist somit im Besitz der notwendigen Information. Wenn ein Angreifer nicht auf einen zufälligen Verbindungsaufbau warten möchte, kann er sogar einen bereits verbundenen Client deauthentifizieren (Deauthentication Attack). Der betroffene Client wird sich sofort erneut mit der Basisstation verbinden, wobei natürlich der ESSID wieder übertragen wird. Vorteile der Deaktivierung
Allgemeine Schwächen:
Infolge des sehr geringen Konfigurationsaufwands und der kleinen daraus resultierenden Vorteile kann es durchaus sinnvoll sein, den ESSID Broadcast abzuschalten. Allerdings darf man sich keines falls der Illusion hingeben, das eigene Netzwerk sei jetzt „getarnt“ und damit sicher! |
| < Prev | Next > |
|---|
