move IT Home Base

Open System

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Open System

Bei der Open System Authentifizierung findet keine tatsächliche Authentifizierung von Clients an einem Access Point statt, ein offenes System eben. Jeder Client der sich am Access Point anschliessen möchte wird ohne weitere Prüfung aufgenommen. Der Access Point muss allerdings seine Stationskennung (SSID) aussenden, damit ihn Clients finden können.

Auch wenn der Begriff „Open System“ (offenes System) etwas anderes vermuten lassen könnte, heisst dies nicht das ein solcher Access Point völlig ungeschützt wäre, denn die Authentifizierung der Clients hat nichts mit der Verschlüsselung der Daten zu tun. Die Authentifizierung am Access Point und die Verschlüsselung der Daten (z.B. durch WEP) sind zwei voneinander unabhängige Systeme. Clients die z.B. nicht den passenden WEP-Schlüssel haben, können sich zwar am Access Point anmelden, aber den verschlüsselten Datenverkehr nicht mitlesen. Der Benutzer wäre damit zwar am Access Point angemeldet, kann aber den verschlüsselten Datenverkehr nicht mitlesen, was für ihn aber wertlos wäre, da so keine Kommunikation stattfinden kann. Einfach gesagt wäre das so als wenn man zwar einen gültigen Fahrschein für die S-Bahn in der Hand hat, aber von der S-Bahn nicht mitgenommen und am Bahnsteig stehengelassen wird.

Es gibt einige WLAN-Betreiber die auf das Open System statt dem Shared Key System vertrauen, da beim Shared Key System die Authentifizierungsdaten validiert werden müssen und dieses WEP-verschlüsselt geschieht, was eine weitere Angriffsfläche für WEP-Cracker bedeuten kann da Teile des anfänglichen Datenverkehrs völlig unverschlüsselt im Klartext erfolgen.

Zur Authentifizierung kann der Betreiber des Access Points ausserdem nur bestimmte MAC-Adressen zulassen. Dazu trägt der Betreiber des Access Points eine Liste zugelassener MAC-Adressen ist eine sogenannte MAC-ACL ein. Dies ist jedoch kein wirklicher Schutz, da MAC-Adressen auch leicht gefälscht werden können.

Als professionelle Lösung zur Verschlüsselung des Datenverkehrs bietet es sich an auf das relativ unsichere WEP ganz zu verzichten und stattdessen mit IPsec Verschlüsselung zu arbeiten.

Siehe auch Shared Key

Registration

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:19 +0000

Registration

Wenn Sie Wiki-Seiten editieren möchten, müssen Sie sich vorher als Benutzer registrieren. Die Registration ist kostenfrei und ermöglicht Ihnen eigene Beiträge unter Ihrem Namen zu schreiben. Nichtregistrierte Benutzer können in diesem Wiki nur lesen. Während der Startphase sind noch keine Registrierungen von unbekannten Benutzern möglich, sondern werden vom Administrator manuell hinzugefügt.

Sollten Sie an einer Registration schon während der Startphase interessiert sein, dann wenden Sie sich bitte direkt an den Online-Support.

Benutzernamen

Der gewählte Benutzername darf ein Pseudonym, aber auch der echte Name sein. Echte Namen werden bevorzugt, denn es handelt sich hier ja um eine Wissensdatenbank mit verifizierbaren Daten, deren Herkunft bzw. Quelle bekannt sein muß. Beiträge von Leuten mit Pseudonym mit Beiträgen aus nichtverifizierbaren Quellen oder deren Herkunft können unter Umständen von den Administratoren als Löschkandidat gewertet werden. Der gewählte Benutzername darf ausserdem weder anstössig sein, noch gegen gute Sitten verstoßen, noch ein gesetzlich geschütztes Warenzeichen oder Markenname sein.

Passwörter

Das Passwort darf beliebig sein und sollte so gewählt werden das es nicht von jemand anderes erraten werden kann. Ein Passwort sollte mindestens aus 8 Zeichen oder mehr bestehen und eine Kombination aus großen und kleinen Buchstaben, Ziffern und Sonderzeichen sein.

E-Mail Adresse

Ihre e-Mail Adresse muß dauerhaft gültig und erreichbar sein, denn dies ist oft der einzige Weg die Autoren von Wiki-Beiträgen über wichtige Änderungen oder Nachrichten zu erreichen. Sollten E-Mails an registrierte Benutzer mit einer Fehlermeldung zurückkommen, behalten sich die Administratoren eine Sperrung des betreffenden Benutzers vor.

WDS

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:10 +0000

WDS

Das „Wireless Distribution System“ (WDS) ermöglicht es die Funkausleuchtungszone eines WLAN Access Points zu vergrössern, indem ein zweiter oder mehr WLAN Access Points in die Nachbarschaft gestellt werden die das Funksignal des ersten WLAN Access Points aufnehmen und nochmals abstrahlen bzw. wiederholen. Dabei müssen alle beteiligten WLAN Access Points den WDS-Modus unterstützen. Im Prinzip handelt es sich um einen Repeater, nur mit dem Unterschied daß ein im WDS-Modus laufender Access Point sich gegenüber Clients immer noch wie ein normaler Access Point verhält, er also quasi Repeater und Access Point gleichzeitig ist.

Vorteile von WDS

Ein grosser Vorteil ist es mittels WDS auch Funkbrücken (Wireless Bridge) herstellen zu können, denn Geräte die am LAN-Anschluss eines im WDS-Betriebs laufenden Access Point angeschlossen sind, können über die Funkbrücke mit Geräten auf der anderen Seite kommunizieren. Dabei können die im WDS-Betrieb laufenden Geräte überall aufgestellt werden. Es ist lediglich eine Stromversorgung nötig. Sie können so zum Beispiel zwei oder mehr Häuser per WLAN miteinander verbinden. Dabei sind sowohl alle per WLAN, aber auch alle kabelbasierten (LAN) Geräte miteinander verbunden. Beachten Sie dazu aber auch die Nachteile von WDS.

Nachteile von WDS

Die am LAN-Anschluss hängenden oder per WLAN verbundenen Geräte werden durch die Bandbreitenhalbierung „träger“, reagieren also nur noch langsamer als direkt am ersten WLAN Access Point angeschlossenen Geräte. Die zur Verfügung stehende Bandbreite und damit die Geschwindigkeit der Netzwerkverbindung wird halbiert und die PING-Raten werden größer.

WDS-Authentifizierung

Die Authentifizierung der einzelnen WDS-Geräte läuft über MAC-Adressen und zusätzlich über den WEP- oder WPA-Zugangsschlüssel, die am ersten WLAN Access Point und jedes im WDS-Modus laufendene Gerät eingetragen werden. Wenn WDS mit Geräten von unterschiedlichen Herstellern verwendet wird, kann leider fast immer nur die ältere, als unsicher geltende WEP-Verschlüsselung eingesetzt werden. Nur Geräte des selben Herstellers ermöglichen beispielsweise auch sicherer Verschlüsselungen wie WPA. Sie sollten daher, wenn Sie planen den WDS-Modus einzusetzen, möglichst Geräte desselben Herstellers, besser noch diesselben Gerätetypen einkaufen.

Single-Radio-WDS benutzt die WLAN-Schnittstelle sowohl für die Verbindung zum vorhergehenden und/oder nächsten Zugriffspunkt als auch für die Versorgung der Clients. Dabei wird für jeden zusätzlichen Zugriffspunkt die Datenübertragungsrate des Netzes halbiert, weil die Pakete doppelt übertragen werden müssen. Besser lässt es sich mit Dual-Radio-Zugriffspunkten realisieren. Ein Sender wird zur Anbindung des nächsten Zugriffspunktes verwendet, ein zweiter für die Clients.

Im Optimalfall verwendet man Sender mit unterschiedlichen Standards (z.B. 802.11a und 802.11b/802.11g). Die einzelnen Zugriffspunkte müssen so eingestellt sein, dass jeder dieselbe SSID, denselben Funkkanal und denselben Netzwerkschlüssel (WPA, WEP) verwendet.

Es wird unterschieden zwischen dem Bridging-Modus (Direktverbindung, Point-to-Point, PtP), bei dem nur zwei WLAN-Bridges miteinander kommunizieren, ohne dass sich weitere Clients verbinden können, und dem Repeating-Modus, bei dem mehrere Zugriffspunkte untereinander über WDS verbunden sind und sich zusätzlich WLAN-Clients verbinden dürfen (Point-to-Multipoint, PtMP). Im letzteren Modus kann somit das WLAN-Netz erweitert werden.

Auf was muß man beim WDS-Betrieb achten ?

Alle Geräte müssen sich im selben IP-Subnet befinden, also z.B. 192.168.1.x
Es darf nur 1 DHCP-Server im Netzwerk in Betrieb sein
Alle Geräte müssen den selben Funkkanal verwenden
Alle Geräte müssen die selbe Verschlüsselungsart und den selben Schlüssel verwenden
Alle Geräte sollten die selbe SSID (hier ESSID) verwenden
Bei allen Geräten müssen die MAC-Adressen der anderen Geräte in der Konfiguration eingetragen werden

Häufige Probleme

Prüfen Sie vorher ob sich die Geräte die per WDS verbunden werden sollen überhaupt per Funk empfangen können. Wenn der Empfang gar nicht vorhanden oder nur sehr schlecht funktioniert wird WDS auch nicht funktionieren. Die Funkausleuchtungszonen der einzelnen Geräte müssen sich also leicht überlappen. Die können Sie beispielsweise mit einem WLAN-Scanner wie Netstumbler überprüfen.

Achten Sie darauf daß Ihre WDS-Verbindung verschlüsselt ist. Als Verschlüsselungsart ist meistens nur WEP möglich wenn Sie Geräte von unterschiedlichen Herstellern verwenden. Wenn Sie Geräte eines Herstellers nutzen, beispielsweise die bekannte FritzBox von AVM, dann sind auch sichere Verschlüsselungsarten wie WPA möglich. Wenn Sie den Einsatz der Betriebsart WDS planen, dann kaufen Sie am besten nur einen Gerätetyp eines Herstellers.

Schalten Sie immer zuerst das erste WDS-Gerät (WDS-Master) ein, welches zumeist über das Internetgateway verfügt. Warten Sie bis das Gerät seine Startroutinen bzw. Selbsttest durchlaufen hat. Erst dann schalten Sie die am WDS-Master hängenden WDS-Clients ein. Wenn Sie vernünftig programmierte Geräte einsetzen wie z.B. die FritzBox von AVM, dann sehen Sie in der Konfiguration des Gerätes auch den momentanen Datendurchsatz, sowie die empfangene Feldstärke in Prozent % und können dann eventuell den Standort der einzelnen WDS-Clients ein wenig optimieren. Manchmal hilft es schon die Geräte nur leicht zu drehen oder ein paar cm zu verschieben um den Empfang zu verbessern.

Roaming

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:10 +0000

Roaming

Roaming ermöglicht den Wechsel von einem WLAN Access Point zu einem benachbarten WLAN Access Point, im Idealfall ohne die Verbindung zu verlieren und ohne IP-Wechsel, also genau so wie es beim Mobilfunk mit Handys auch möglich ist.

Damit Roaming funktioniert sind viele Einzelheiten bei der Netzwerkkonfiguration zu beachten, da bereits der Wechsel der IP-Adresse oder einem anderen Internet-Gateway zwangsläufig zum Abbruch einer bestehenden Internetverbindung beim WLAN-Nutzer führt.

Deassociation

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Deassociation

Deassociation beschreibt den Versuch einen Wireless Access Point mit massenhaften (Anmelde-)Anfragen so zu überlasten daß andere gleichzeitig angemeldete Clients ausgebucht werden. Bei Intrusion Detection Systemen (IDS) werden solche Szenarien durchgeführt um zu erkennen wo die Schmerzgrenze liegt und wann unnormales Verhalten um einen Alarm auszulösen.

Für Administratoren von Wireless Access Points und der dahinterliegenden Netzwerkinfrastruktur ist es von bedeutsamer Hilfe wenn sie genau wissen von welcher Art ein Angriff genau ist. Die meisten IDS lösen zwar gleich eine Horde von Alarmen aus, aber der Administrator ist dennoch auf seine Berufserfahrung angewiesen um die Hinweise richtig deuten zu können um darauf angemessen reagieren zu können.

Einige Attacken wie MAC-Spoofing ähneln denen in der drahtgebundenen Welt. Andere dagegen kommen nur in der Wireless-Welt vor wie Authentication- oder Deassociation-Frame-Floods. Diese dienen dazu, die Kommunikation zwischen einem Wireless Access Point und einem oder mehreren Clients zu unterbrechen. Bei einem Angriff werden dann zum Beispiel nicht existente Wireless Access Points gefälscht (spoofing) und dann Deauthentication-Pakete an die Clients geschickt. Eine typische Reaktion eines IDS ist dann die Meldung, dass MAC-Adressen-Spoofing und Deauthentication-Floods stattfänden.

Sniffer

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:16 +0000

Sniffer

Ein Sniffer (engl. „to sniff“ für riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten kann. Es handelt sich also um ein Werkzeug der LAN-Analyse.

Herkunft des Begriffs

„Sniffer“ ist ein eingetragenes Warenzeichen des Herstellers Network General. Es bezeichnet ein Produkt der sogenannten LAN-Analyse. Da dieses Produkt als eines der ersten auf dem Markt war, und da sein Name so eingängig ist, hat sich der Name Sniffer allgemein durchgesetzt zur Bezeichnung vielfältigster Produkte der LAN-Analyse, ist also inzwischen auch als Gattungs-Begriff gebräuchlich.

Technik

Ein Sniffer kennt den so genannten „Non-promiscuous mode“ und den Promiscuous Mode. Im Non-promiscuous mode wird der ankommende und abgehende Datenverkehr des eigenen Computers gesnifft. Im Promiscuous Mode sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle. Es werden also nicht nur die an ihn adressierten Datenframes empfangen, sondern auch die nicht an ihn adressierten. Der Adressat eines Frames wird in Ethernet-Netzwerken anhand der MAC-Adresse festgelegt.

Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. Werden die Computer mit Hubs verbunden, kann sämtlicher Traffic von den anderen Hosts mitgeschnitten werden. Wird ein Switch verwendet, ist nur wenig oder gar kein Datenverkehr zu sehen, der nicht für das sniffende System selbst bestimmt ist. Allerdings gibt es in diesem Fall mehrere Möglichkeiten wie ARP-Spoofing, ICMP Redirects, DHCP Spoofing oder MAC-Flooding, um trotzdem die Frames empfangen zu können. Ein Switch darf also nicht als Sicherheitsfeature gesehen werden.

Robert

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:10 +0000

Robert

Robert von der Firma WirelessMaxx ist ein echter WLAN-Experte und verantwortlich für viele in den letzten Jahren entstandene, professionelle WLAN-Installationen bei Firmen. Die in der Nähe des Bodensees ansässige Firma gehört mit zu den besten Adressen in Deutschland wenn man einen Profi-Dienstleister für die Installation von WLAN-Lösungen sucht.

http://www.wirelessmaxx.de