Funk-Erkennung

Identifizieren von WLAN-Clients

Praxis & Tipps | Praxis

Ungebetene Gäste möchte jeder Administrator aus seinem Funknetz heraushalten. Doch ob ein eingebuchter Client tatsächlich nicht autorisiert ist, muss man erst einmal herausfinden. WLAN-Fingerprinting kann beim Identifizieren helfen.

Theoretisch ist das Identifizieren von Stationen einfach, denn wie bei Ethernet besitzt jedes WLAN-Gerät eine weltweit eindeutige MAC-Adresse, deren erste drei Bytes übrigens auf den Hersteller verweisen. Doch zum Identifizieren von Eindringlingen taugt die MAC-Adresse nicht, denn sie lässt sich leicht fälschen. Deshalb ist der von vielen WLAN-Basisstationen (Access Points) angebotene Adressfilter (ACL, Access Control List) keine ernst zu nehmende Sicherheitsmaßnahme. Hier kann WLAN-Fingerprinting helfen, denn manche Merkmale der Hardware kann der Anwender nicht beeinflussen.

Alle Fingerprinting-Verfahren arbeiten mit im Voraus aufgenommenen Profilen bekannter Karten. Ändert sich der Fingerabdruck eines bekannten Clients im laufenden Betrieb abrupt, dann liegt es nahe, dass ein Eindringling versucht, sein Unwesen zu treiben. Durch Vergleich mit einer Datenbank gespeicherter Profile kann ein Intrusion Detection System (IDS) dann sogar Hinweise geben, um welchen Client-Typ es sich handelt.

Auf der untersten Netzwerk-Ebene – der Physik – geht es um Eigenschaften des Funkteils der Karte, beispielsweise das Einschwingverhalten (Amplituden- und Frequenzverlauf) ihres Sendeteils, was ein Team der kanadischen Universität Carleton untersuchte. Zwar liegen diese Schwankungen bei WLAN-Karten in einer Größenordnung, die die Empfangbarkeit des Signals durch die Gegenstelle nicht beeinträchtigt, aber mit darauf ausgelegten Messaufbauten sind sie problemlos festzustellen. Das funktioniert zwar im Labor auf sehr kurze Distanz, aber im praktischen Einsatz beeinflusst der Übertragungsweg die Parameter: Beispielsweise verschleift die Einschalttransiente des Senders durch Mehrwegausbreitungsechos.

Folglich reichen einzelne Messwerte des Einschwingverhaltens nicht, um den Fingerabdruck zu ermitteln oder Eindringlinge von berechtigten Nutzern zu unterscheiden. Erst das Erstellen eines durchschnittlichen Profils aus vielen Messungen erlaubt die Klassifizierung von Signalen mit einer bestimmten Wahrscheinlichkeit. Doch sinnvoller Einsatz ist fraglich: Der größte Stolperstein liegt in der für die Messung der Signaleigenschaften erforderlichen Hardware. Die Kanadier verwendeten in Hochfrequenzlaboren übliche Messempfänger und Spektrum-Analysatoren zu Preisen im sechsstelligen Euro-Bereich.

Wesentlich näher am praktischen Einsatz sind Methoden, die Fingerprints aus Informationen einer höheren Ebene gewinnen, nämlich dem MAC-Layer (Lackner et al.: WiFi Chipset Fingerprinting, IAIK, TU Graz, Oktober 2006). 802.11 definiert für den Zugriff auf das Funkmedium ein recht kompliziertes Protokoll, in dem zahlreiche Zeitparameter mitspielen. Durch Timing-Beobachtung kann man zumindest verschiedene Chipsätze und Treiberversionen unterscheiden. Das kann selbst angesichts der Centrino-Dominanz in Notebooks hilfreich sein, denn WLAN-Chips stecken mittlerweile auch in Skype- und SIP-Telefonen, PDAs, Handys und Streaming Clients.

Anzeige