WLAN ist ein shared medium. Wer die Funkwellen physikalisch empfangen kann, kann auch mithören. Im Unterschied zu kabelgebundenen Netzwerken sind WLAN-Netzwerke deshalb bereits protokollseitig mit Schutzmechanismen ausgestattet. Einer dieser Mechanismen: WPA2. Neue Geräte unterstützen bereits WPA3, die Weiterentwicklung von WPA2.
Für Privatpersonen wird in der Regel mit dem sogenannten PSK, dem Preshared Key gearbeitet. Der Key ist sozusagen das Passwort, welches vor dem Verbindungsversuch manuell einem Endgerät mitgeteilt werden muss, um sich mit dem WLAN-Netzwerk zu verbinden. In der Regel wählt man dazu das gewünschte WLAN aus und gibt dann das passende Passwort ein. Im Anschluss wird die Verbindung ausgehandelt und die Datenübermittlung kann beginnen. In Firmennetzwerken wird dieser Vorgang des Schlüsselaustauschs im Prinzip automatisiert. Für den heutigen Beitrag ist dieser Unterschied zwischen Privat- und Firmen-WLAN aber gar nicht so entscheidend.
Da könnte man also denken, ein potenzieller Angreifer muss sowohl WLAN-Namen als auch Passwort kennen, um eine Verbindung ins Funknetzwerk aufzubauen. Wenn man das WLAN nicht auswählen kann und seinen Namen nicht kennt, dann hilft ein Passwort herzlich wenig. Wäre es also nicht auch ein Sicherheitsgewinn, wenn man im WLAN-Router die Option zum Verstecken der SSID auswählt? In der Folge müsste ein Angreifer nicht nur das Passwort kennen, sondern auch den exakte SSID? Also doppelte Sicherheit? Und wenn ein Angreifer das WLAN nicht mehr sieht, dann kommt er womöglich gar nicht erst auf die Idee, es anzugreifen. Noch mehr Sicherheit? Weit gefehlt.
Das passiert bei einer hidden SSID
In anderen Artikeln habe ich bereits von Beacon Frames gesprochen. Beacon Frames gehören zu den Management Frames des WLAN-Protokolls. Sie werden in regelmäßigen Abständen von einem Access Point ausgestrahlt und ermöglichen erst die Verbindung mit einem WLAN-Netzwerk. Mann kann es sich so vorstellen: Regelmäßig ruft ein Access Point „Hallo, hier bin ich. Ich heiße Max und ich biete Internet“. Stellen wir uns vor, die Option zum Verstecken der SSID ist aktiv. Max würde dann trotzdem rufen und zwar: „Hallo, hier bin ich. Ich biete Internet.“ Man kann Max also trotz versteckter SSID hören. Obwohl er seinen Namen nicht mitteilt, ist er trotzdem da. Man erkennt ihn sogar an der Stimme (oder technischer: der BSSID). Und so kann ein möglicher Angreifer mithören und Kenntnis über das WLAN erhalten. Eine SSID benötigt er nicht, die BSSID reicht völlig aus.
Die Option zum Verstecken der SSID wirkt sich also auf die Beacon Frames aus. Wenn Max seinen Namen nicht mitteilt, wird auf den meisten Endgeräten das Netzwerk nicht mehr angezeigt. Das WLAN ist aber trotzdem da. Sofern man aber den Namen von Max kennt, kann man ihn persönlich ansprechen, d.h. die SSID samt Passwort manuell eingeben und sich verbinden. Das funktioniert auf allen Betriebssystemen etwas anders. Und wenn man in der Vergangenheit bereits mit Max verbunden war und das Passwort gespeichert wurde, dann verbindet sich ein Endgerät wenn gewünscht automatisch wieder mit Max.
Kein Vorteil. Eher Nachteil.
Und hier genau liegt das eigentliche Problem. Da Max mit versteckter SSID seinen Namen nicht ausruft, muss ein Endgerät, das sich mit Max verbinden will, regelmäßig überprüfen, ob Max überhaupt in der Nähe ist. Man spricht vom Directed Probe Request. Das Endgerät ruft gewissermaßen: „Hallo Max, bist du da?“ Und Max antwortet (Probe Response). Wichtig dabei: Sowohl im Directed Probe Request und in der Probe Response wird der WLAN-Name protokollbedingt übermittelt. Würde das Endgerät nicht nach Max fragen, wäre eine automatische Verbindung nicht möglich.
Zusammengefasst wissen wir nun also: Versteckt man den WLAN-Namen, wird die entsprechende SSID-Information aus den Beacon Frames entfernt. In Probe Request und Probe Response bleibt die Info aber vorhanden. Wirkliche Angreifer hält das nicht ab, denn sowohl Beacons als auch Probes können von Angreifern mit entsprechender Hardware problemlos ausgelesen werden.
Anstatt nur zuzuhören, muss ein Endgerät bei einem WLAN mit versteckter SSID also regelmäßig nachfragen, ob die gewünschte SSID verfügbar ist. Nur wenn die SSID in Reichweite ist, kann eine automatische Verbindung hergestellt werden. Das Endgerät ruft also regelmäßig „Hallo Max, bist du da?“ und hofft auf Antwort. So lange bis Max antwortet. Das nennt man aktives Probing. Wenn das Endgerät aber wüsste, dass Max immer brüllt sobald er in der Nähe ist, bräuchte das Endgerät nur abwarten und zuhören bis Max seinen Namen ruft. Man nennt das passiver Scan.
Bewegungsprofile sind möglich
Ein mobiles Endgerät kann aber nie wissen, ob Max im Moment in Reichweite ist. Und so fragt das Endgerät regelmäßig und überall nach Max, solange bis Max antwortet. Und jeder Angreifer kann die verzweifelte Suche nach Max mithören und damit feststellen: Aha, das Endgerät war in der Vergangenheit mit Max verbunden! Und so ist die eigentlich versteckte SSID überhaupt nicht mehr geheim. Während ein Access Point nur innerhalb eines begrenzten Radius funkt, wird die SSID durch ein Endgerät sogar noch viel weiter gestreut.
Und mit diesen Kenntnissen lässt sich noch viel mehr anstellen: Wenn man weiß, mit welchen WLANs ein Endgerät in der Vergangenheit verbunden war, könnte man diese Information sogar mit einer Karte abgleichen, auf der die WLAN-Namen abgebildet sind. So könnte man recht einfach ein Bewegungsprofil des Endgerätes erstellen.
Also besser den WLAN-Namen sichtbar lassen. WLANs sind so konzipiert, dass versteckter Betrieb im Grunde nicht vorgesehen ist. Versteckte WLANs könnten bei Angreifern eher Neugier wecken. Und wenn es unbedingt ein verstecktes WLAN sein muss, bitte unbedingt das automatische Verbinden ins Netzwerk auf dem Endgerät deaktivieren, denn das verringert das Probing-Intervall teilweise enorm. Aber ist das manuelle Verbinden nicht einfach furchtbar unpraktisch?
