Open System

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Open System

Bei der Open System Authentifizierung findet keine tatsächliche Authentifizierung von Clients an einem Access Point statt, ein offenes System eben. Jeder Client der sich am Access Point anschliessen möchte wird ohne weitere Prüfung aufgenommen. Der Access Point muss allerdings seine Stationskennung (SSID) aussenden, damit ihn Clients finden können.

Auch wenn der Begriff „Open System“ (offenes System) etwas anderes vermuten lassen könnte, heisst dies nicht das ein solcher Access Point völlig ungeschützt wäre, denn die Authentifizierung der Clients hat nichts mit der Verschlüsselung der Daten zu tun. Die Authentifizierung am Access Point und die Verschlüsselung der Daten (z.B. durch WEP) sind zwei voneinander unabhängige Systeme. Clients die z.B. nicht den passenden WEP-Schlüssel haben, können sich zwar am Access Point anmelden, aber den verschlüsselten Datenverkehr nicht mitlesen. Der Benutzer wäre damit zwar am Access Point angemeldet, kann aber den verschlüsselten Datenverkehr nicht mitlesen, was für ihn aber wertlos wäre, da so keine Kommunikation stattfinden kann. Einfach gesagt wäre das so als wenn man zwar einen gültigen Fahrschein für die S-Bahn in der Hand hat, aber von der S-Bahn nicht mitgenommen und am Bahnsteig stehengelassen wird.

Es gibt einige WLAN-Betreiber die auf das Open System statt dem Shared Key System vertrauen, da beim Shared Key System die Authentifizierungsdaten validiert werden müssen und dieses WEP-verschlüsselt geschieht, was eine weitere Angriffsfläche für WEP-Cracker bedeuten kann da Teile des anfänglichen Datenverkehrs völlig unverschlüsselt im Klartext erfolgen.

Zur Authentifizierung kann der Betreiber des Access Points ausserdem nur bestimmte MAC-Adressen zulassen. Dazu trägt der Betreiber des Access Points eine Liste zugelassener MAC-Adressen ist eine sogenannte MAC-ACL ein. Dies ist jedoch kein wirklicher Schutz, da MAC-Adressen auch leicht gefälscht werden können.

Als professionelle Lösung zur Verschlüsselung des Datenverkehrs bietet es sich an auf das relativ unsichere WEP ganz zu verzichten und stattdessen mit IPsec Verschlüsselung zu arbeiten.

Siehe auch Shared Key

Deassociation

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Deassociation

Deassociation beschreibt den Versuch einen Wireless Access Point mit massenhaften (Anmelde-)Anfragen so zu überlasten daß andere gleichzeitig angemeldete Clients ausgebucht werden. Bei Intrusion Detection Systemen (IDS) werden solche Szenarien durchgeführt um zu erkennen wo die Schmerzgrenze liegt und wann unnormales Verhalten um einen Alarm auszulösen.

Für Administratoren von Wireless Access Points und der dahinterliegenden Netzwerkinfrastruktur ist es von bedeutsamer Hilfe wenn sie genau wissen von welcher Art ein Angriff genau ist. Die meisten IDS lösen zwar gleich eine Horde von Alarmen aus, aber der Administrator ist dennoch auf seine Berufserfahrung angewiesen um die Hinweise richtig deuten zu können um darauf angemessen reagieren zu können.

Einige Attacken wie MAC-Spoofing ähneln denen in der drahtgebundenen Welt. Andere dagegen kommen nur in der Wireless-Welt vor wie Authentication- oder Deassociation-Frame-Floods. Diese dienen dazu, die Kommunikation zwischen einem Wireless Access Point und einem oder mehreren Clients zu unterbrechen. Bei einem Angriff werden dann zum Beispiel nicht existente Wireless Access Points gefälscht (spoofing) und dann Deauthentication-Pakete an die Clients geschickt. Eine typische Reaktion eines IDS ist dann die Meldung, dass MAC-Adressen-Spoofing und Deauthentication-Floods stattfänden.

move IT Home Base

Open System

Open System

Deassociation

Deassociation