move IT Home Base

WDS

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:10 +0000

WDS

Das „Wireless Distribution System“ (WDS) ermöglicht es die Funkausleuchtungszone eines WLAN Access Points zu vergrössern, indem ein zweiter oder mehr WLAN Access Points in die Nachbarschaft gestellt werden die das Funksignal des ersten WLAN Access Points aufnehmen und nochmals abstrahlen bzw. wiederholen. Dabei müssen alle beteiligten WLAN Access Points den WDS-Modus unterstützen. Im Prinzip handelt es sich um einen Repeater, nur mit dem Unterschied daß ein im WDS-Modus laufender Access Point sich gegenüber Clients immer noch wie ein normaler Access Point verhält, er also quasi Repeater und Access Point gleichzeitig ist.

Vorteile von WDS

Ein grosser Vorteil ist es mittels WDS auch Funkbrücken (Wireless Bridge) herstellen zu können, denn Geräte die am LAN-Anschluss eines im WDS-Betriebs laufenden Access Point angeschlossen sind, können über die Funkbrücke mit Geräten auf der anderen Seite kommunizieren. Dabei können die im WDS-Betrieb laufenden Geräte überall aufgestellt werden. Es ist lediglich eine Stromversorgung nötig. Sie können so zum Beispiel zwei oder mehr Häuser per WLAN miteinander verbinden. Dabei sind sowohl alle per WLAN, aber auch alle kabelbasierten (LAN) Geräte miteinander verbunden. Beachten Sie dazu aber auch die Nachteile von WDS.

Nachteile von WDS

Die am LAN-Anschluss hängenden oder per WLAN verbundenen Geräte werden durch die Bandbreitenhalbierung „träger“, reagieren also nur noch langsamer als direkt am ersten WLAN Access Point angeschlossenen Geräte. Die zur Verfügung stehende Bandbreite und damit die Geschwindigkeit der Netzwerkverbindung wird halbiert und die PING-Raten werden größer.

WDS-Authentifizierung

Die Authentifizierung der einzelnen WDS-Geräte läuft über MAC-Adressen und zusätzlich über den WEP- oder WPA-Zugangsschlüssel, die am ersten WLAN Access Point und jedes im WDS-Modus laufendene Gerät eingetragen werden. Wenn WDS mit Geräten von unterschiedlichen Herstellern verwendet wird, kann leider fast immer nur die ältere, als unsicher geltende WEP-Verschlüsselung eingesetzt werden. Nur Geräte des selben Herstellers ermöglichen beispielsweise auch sicherer Verschlüsselungen wie WPA. Sie sollten daher, wenn Sie planen den WDS-Modus einzusetzen, möglichst Geräte desselben Herstellers, besser noch diesselben Gerätetypen einkaufen.

Single-Radio-WDS benutzt die WLAN-Schnittstelle sowohl für die Verbindung zum vorhergehenden und/oder nächsten Zugriffspunkt als auch für die Versorgung der Clients. Dabei wird für jeden zusätzlichen Zugriffspunkt die Datenübertragungsrate des Netzes halbiert, weil die Pakete doppelt übertragen werden müssen. Besser lässt es sich mit Dual-Radio-Zugriffspunkten realisieren. Ein Sender wird zur Anbindung des nächsten Zugriffspunktes verwendet, ein zweiter für die Clients.

Im Optimalfall verwendet man Sender mit unterschiedlichen Standards (z.B. 802.11a und 802.11b/802.11g). Die einzelnen Zugriffspunkte müssen so eingestellt sein, dass jeder dieselbe SSID, denselben Funkkanal und denselben Netzwerkschlüssel (WPA, WEP) verwendet.

Es wird unterschieden zwischen dem Bridging-Modus (Direktverbindung, Point-to-Point, PtP), bei dem nur zwei WLAN-Bridges miteinander kommunizieren, ohne dass sich weitere Clients verbinden können, und dem Repeating-Modus, bei dem mehrere Zugriffspunkte untereinander über WDS verbunden sind und sich zusätzlich WLAN-Clients verbinden dürfen (Point-to-Multipoint, PtMP). Im letzteren Modus kann somit das WLAN-Netz erweitert werden.

Auf was muß man beim WDS-Betrieb achten ?

Alle Geräte müssen sich im selben IP-Subnet befinden, also z.B. 192.168.1.x
Es darf nur 1 DHCP-Server im Netzwerk in Betrieb sein
Alle Geräte müssen den selben Funkkanal verwenden
Alle Geräte müssen die selbe Verschlüsselungsart und den selben Schlüssel verwenden
Alle Geräte sollten die selbe SSID (hier ESSID) verwenden
Bei allen Geräten müssen die MAC-Adressen der anderen Geräte in der Konfiguration eingetragen werden

Häufige Probleme

Prüfen Sie vorher ob sich die Geräte die per WDS verbunden werden sollen überhaupt per Funk empfangen können. Wenn der Empfang gar nicht vorhanden oder nur sehr schlecht funktioniert wird WDS auch nicht funktionieren. Die Funkausleuchtungszonen der einzelnen Geräte müssen sich also leicht überlappen. Die können Sie beispielsweise mit einem WLAN-Scanner wie Netstumbler überprüfen.

Achten Sie darauf daß Ihre WDS-Verbindung verschlüsselt ist. Als Verschlüsselungsart ist meistens nur WEP möglich wenn Sie Geräte von unterschiedlichen Herstellern verwenden. Wenn Sie Geräte eines Herstellers nutzen, beispielsweise die bekannte FritzBox von AVM, dann sind auch sichere Verschlüsselungsarten wie WPA möglich. Wenn Sie den Einsatz der Betriebsart WDS planen, dann kaufen Sie am besten nur einen Gerätetyp eines Herstellers.

Schalten Sie immer zuerst das erste WDS-Gerät (WDS-Master) ein, welches zumeist über das Internetgateway verfügt. Warten Sie bis das Gerät seine Startroutinen bzw. Selbsttest durchlaufen hat. Erst dann schalten Sie die am WDS-Master hängenden WDS-Clients ein. Wenn Sie vernünftig programmierte Geräte einsetzen wie z.B. die FritzBox von AVM, dann sehen Sie in der Konfiguration des Gerätes auch den momentanen Datendurchsatz, sowie die empfangene Feldstärke in Prozent % und können dann eventuell den Standort der einzelnen WDS-Clients ein wenig optimieren. Manchmal hilft es schon die Geräte nur leicht zu drehen oder ein paar cm zu verschieben um den Empfang zu verbessern.

Shared Key

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Shared Key

Beim shared Key Verfahren wird zur Authentifizierung von auf einen Access Point zugriffsberechtigten WLAN-Clients ein Challenge Response Verfahren auf Basis des WEP-Keys gemacht. Dazu wird die Authentifizierungsanfrage von WLAN-Clients mit einem 128 Byte langen Zufallstext vom Access Point beantwortet. Der WLAN-Client verschlüsselt diesen Zufallstext anhand des beiden Systemen bekannten WEP-Schlüssels und sendet das Ergebnis als Antwort an den Access Point zurück. Erst wenn der Access Point diese Antwort über den eingestellten WEP-Schlüssel wieder rekonstruieren kann, erhält der Client Zugriff auf das Netz. Dieses Verfahren kostet natürlich etwas Performance, macht aber den Datenverkehr per Funk etwas sicherer als völlig ungeschützte Systeme. Allerdings ist dieses Verfahren nicht sicher gegenüber Replay-Attacken und gilt deshalb als unsicher.

Der am Access Point benutzte WEP-Schlüssel muß an allen angeschlossenen WLAN-Clients identisch sein. Da alle WLAN-Clients quasi denselben Schlüssel verwenden (to share = teilen) um sich als berechtigter Nutzer am Access Point zu authentifizieren ist dieses System für professionelle Hotspots mit individualisierten User-Logins (z.B. zur Abrechnung) völlig unbrauchbar.

Der Unterschied zum sichereren Personal-Key-Verfahren ist, dass hier ganze Gruppen von Usern denselben Schlüssel benutzen. Es kann über diese Methode also festgestellt werden, ob jemand überhaupt die Berechtigung hat, sich in ein Netz einzulinken – die Frage, um wen es sich nun aber ganz genau handelt, wird mit diesem Verfahren jedoch nicht geklärt.

Auch wenn bei diesem Verfahren der WEP-Key involviert ist, hat die Benutzer-Authentifizierung nichts mit der Daten-Verschlüsselung zu tun, denn beide Systeme sind unabhängig voneinander. Da das shared Key Verfahren eigentlich nicht wirklich wasserdicht funktioniert wie es sollte und zudem beim Cracken des WEP-Keys hilft ist es zu empfehlen Open System zu verwenden, am besten in Kombination mit einem professionellen Verschlüsselungssystem wie IPsec auf höherer Ebene und zur Authentifizierung von berechtigten Usern einen RADIUS-Server (Stichwort: Virtual Private Network, VPN).

Siehe auch Open System

Open System

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Open System

Bei der Open System Authentifizierung findet keine tatsächliche Authentifizierung von Clients an einem Access Point statt, ein offenes System eben. Jeder Client der sich am Access Point anschliessen möchte wird ohne weitere Prüfung aufgenommen. Der Access Point muss allerdings seine Stationskennung (SSID) aussenden, damit ihn Clients finden können.

Auch wenn der Begriff „Open System“ (offenes System) etwas anderes vermuten lassen könnte, heisst dies nicht das ein solcher Access Point völlig ungeschützt wäre, denn die Authentifizierung der Clients hat nichts mit der Verschlüsselung der Daten zu tun. Die Authentifizierung am Access Point und die Verschlüsselung der Daten (z.B. durch WEP) sind zwei voneinander unabhängige Systeme. Clients die z.B. nicht den passenden WEP-Schlüssel haben, können sich zwar am Access Point anmelden, aber den verschlüsselten Datenverkehr nicht mitlesen. Der Benutzer wäre damit zwar am Access Point angemeldet, kann aber den verschlüsselten Datenverkehr nicht mitlesen, was für ihn aber wertlos wäre, da so keine Kommunikation stattfinden kann. Einfach gesagt wäre das so als wenn man zwar einen gültigen Fahrschein für die S-Bahn in der Hand hat, aber von der S-Bahn nicht mitgenommen und am Bahnsteig stehengelassen wird.

Es gibt einige WLAN-Betreiber die auf das Open System statt dem Shared Key System vertrauen, da beim Shared Key System die Authentifizierungsdaten validiert werden müssen und dieses WEP-verschlüsselt geschieht, was eine weitere Angriffsfläche für WEP-Cracker bedeuten kann da Teile des anfänglichen Datenverkehrs völlig unverschlüsselt im Klartext erfolgen.

Zur Authentifizierung kann der Betreiber des Access Points ausserdem nur bestimmte MAC-Adressen zulassen. Dazu trägt der Betreiber des Access Points eine Liste zugelassener MAC-Adressen ist eine sogenannte MAC-ACL ein. Dies ist jedoch kein wirklicher Schutz, da MAC-Adressen auch leicht gefälscht werden können.

Als professionelle Lösung zur Verschlüsselung des Datenverkehrs bietet es sich an auf das relativ unsichere WEP ganz zu verzichten und stattdessen mit IPsec Verschlüsselung zu arbeiten.

Siehe auch Shared Key

SSID

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:06 +0000

SSID

Als Service Set Identifier (SSID) bezeichnet man den Namen bzw. die Stationskennung eines WLAN Funknetzwerkes, das auf IEEE 802.11 basiert.

Jedes WLAN besitzt eine konfigurierbare, so genannte SSID oder ESSID (Extended Service Set IDentifier), um das Funknetz eindeutig identifizieren zu können. Sie stellt also den Namen des Netzes dar. Die SSID-Zeichenfolge kann bis zu 32 Zeichen lang sein. Sie wird in Konfigurationsmenü des WLAN Access Point eingestellt.

SSID oder ESSID

Arbeiten mehrere WLAN Access Points nebeneinander, die alle an einem gemeinsamen verkabelten Netzwerk angeschlossen sind, kann man allen Geräten die selbe SSID geben um zu kennzeichnen daß diese zusammengehören. Man spricht dann allerdings nicht mehr von einer SSID, sondern von einer ESSID. Der Vorteil einer ESSID ist es, daß sich WLAN-Nutzer dann von Funkzelle zu Funkzelle bewegen können und trotzdem immer noch mit demselben Netzwerk verbunden sind. Dazu müssen die einzelnen WLAN Access Points aber auch denselben Netzwerkschlüssel verwenden. Ausserdem ist darauf zu achten daß sich die einzelnen WLAN Access Points nicht gegenseitig stören. So muß jedes Gerät auf einem anderen Funkkanal arbeiten. Da es nur 3 wirklich überlappungsfreie WLAN-Kanäle auf 2,4 GHz gibt, können folglich nur maximal 3 WLAN-Access Points in direkter Nachbarschaft arbeiten ohne sich gegenseitig zu stören. Um dieses Problem zu umgehen können Sie alternativ Repeater einsetzen, oder den WDS-Modus verwenden.

SSID ANY

Als Besonderheit kann an einem Client die SSID „ANY“ (zu deutsch: beliebig) eingestellt werden. Verlangt ein Client den Zugang zu einem Wireless LAN, senden alle erreichbaren Basisstationen einen SSID Broadcast, so dass aus einer Liste ausgewählt werden kann, welchen Zugang man wünscht.

Versteckte SSID

Eine fragwürdige Sicherheitsmaßnahme ist es, die Aussendung (Broadcast) der SSID abzuschalten. Nur wem die Netzkennung explizit mitgeteilt wird, soll sich in das Netz einbuchen können. Nicht alle Basisstationen haben diese Eigenschaften. Sobald ein Angreifer allerdings einen anderen Client beim Beitreten des Netzes belauschen kann, kann dieser die SSID mithören. Da der Angreifer mit manipulierten Datenpaketen Clients aus dem Netz werfen kann, und diese sich dann meistens automatisch wieder anmelden, ist es leicht, diesen Schutz zu umgehen. Der passive Netzwerk-Sniffer Kismet hat beispielsweise keinerlei Probleme, eine unterdrückte SSID zu ermitteln. Ein WLAN Access Point kann daher nicht wirklich dadurch versteckt werden indem man die Aussendung der SSID unterdrückt.

Deassociation

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:13 +0000

Deassociation

Deassociation beschreibt den Versuch einen Wireless Access Point mit massenhaften (Anmelde-)Anfragen so zu überlasten daß andere gleichzeitig angemeldete Clients ausgebucht werden. Bei Intrusion Detection Systemen (IDS) werden solche Szenarien durchgeführt um zu erkennen wo die Schmerzgrenze liegt und wann unnormales Verhalten um einen Alarm auszulösen.

Für Administratoren von Wireless Access Points und der dahinterliegenden Netzwerkinfrastruktur ist es von bedeutsamer Hilfe wenn sie genau wissen von welcher Art ein Angriff genau ist. Die meisten IDS lösen zwar gleich eine Horde von Alarmen aus, aber der Administrator ist dennoch auf seine Berufserfahrung angewiesen um die Hinweise richtig deuten zu können um darauf angemessen reagieren zu können.

Einige Attacken wie MAC-Spoofing ähneln denen in der drahtgebundenen Welt. Andere dagegen kommen nur in der Wireless-Welt vor wie Authentication- oder Deassociation-Frame-Floods. Diese dienen dazu, die Kommunikation zwischen einem Wireless Access Point und einem oder mehreren Clients zu unterbrechen. Bei einem Angriff werden dann zum Beispiel nicht existente Wireless Access Points gefälscht (spoofing) und dann Deauthentication-Pakete an die Clients geschickt. Eine typische Reaktion eines IDS ist dann die Meldung, dass MAC-Adressen-Spoofing und Deauthentication-Floods stattfänden.

ESSID

anonymous@undisclosed.example.com (Anonymous) — Fri, 29 Nov 2019 10:59:06 +0000

ESSID

Mit der Vergabe unterschiedlicher Netzkennungen ist es möglich, verschiedene WLAN Access Points an einem Standort bzw. in unmittelbarer Nachbarschaft zu betreiben, vorrausgesetzt diese senden nicht alle auf dem selben Funkkanal. Um mehrere WLAN Access Point zu einem gemeinsamen Funknetz (WMAN auf OSI Schicht 2) miteinander zu verbinden, stellt man auf mehreren Basisstationen dieselbe SSID ein, sie wird dann allerdings als ESSID bezeichnet, da sie von mehreren WLAN Access Points gemeinsam verwendet wird. Dieses Prinzip nutzt beispielsweise eines der grössten WMAN in Deutschland, das Würmtal Wireless Network.

WLAN-Nutzer bzw. die Clients (Funkteilnehmer) geben die ESSID entweder explizit an, oder versuchen, mit der ESSID „*“ einem beliebigen Netz beizutreten. Im letzteren Fall liegt es an der Basisstation, ob der Client sich in das Netz einbuchen darf.