Inhaltsverzeichnis
Werbung
Bei LEPS wird jeder MAC-Adresse in einer zusätzlichen Spalte der ACL (Access Control List) eine individuelle Passphrase
zugeordnet – eine beliebige Folge aus 8 bis 63 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse
erlaubt die Anmeldung am AP und die anschließende Verschlüsselung per IEEE 802.11i oder WPA.
Da Passphrase und MAC-Adresse verknüpft sind, ist auch das Spoofing der MAC-Adressen wirkungslos – LEPS schließt
damit auch einen möglichen Angriffspunkt gegen die ACL aus. Wenn als Verschlüsselungsart WPA oder 802.11i verwendet
wird, kann zwar die MAC-Adresse abgehört werden – die Passphrase wird bei diesem Verfahren jedoch nie über die
WLAN-Strecke übertragen. Angriffe auf das WLAN werden so deutlich erschwert, da durch die Verknüpfung von
MAC-Adresse und Passphrase immer beide Teile bekannt sein müssen, um eine Verschlüsselung zu verhandeln.
LEPS kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines RADIUS-Servers zentral verwaltet werden. LEPS
funktioniert mit sämtlichen am Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Änderung stattfinden
muss. Da LEPS ausschließlich im AP konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.
5
Ein weiterer Sicherheitsaspekt: Mit LEPS können auch einzelne Point-to-Point-Strecken (P2P) mit einer individuellen
Passphrase abgesichert werden. Wenn bei einer P2P-Installation ein AP entwendet wird und dadurch Passphrase
und MAC-Adresse bekannt werden, sind alle anderen per LEPS abgesicherten WLAN-Strecken weiterhin sicher,
insbesondere wenn die ACL auf einem RADIUS-Server abgelegt ist.
Konfiguration
Bei der Konfiguration von LEPS wird lediglich jeder MAC-Adresse eines im WLAN zugelassenen Clients eine eigene
Passphrase zugeordnet. Dazu wird der MAC-Filter positiv eingestellt, d. h., die Daten von den hier eingetragenen
WLAN-Clients werden übertragen.
5
Verwenden Sie als Passphrase zufällige Zeichenketten von mindestens 32 Zeichen Länge.
Die client-spezifische Passphrase ist in der Benutzertabelle des RADIUS-Servers gespeichert. Somit kann auch ein
LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die Vorteile von LEPS nutzen.
12.5.6 Background WLAN Scanning
Zur Erkennung anderer APs in der eigenen Funkreichweite können LANCOM Wireless Geräte aktiv alle verfügbaren
Kanälen prüfen (so wie das ein WLAN-Client machen würde, der nach verfügbaren APs sucht). Wenn dort ein anderer
AP aktiv ist, werden die entsprechenden Informationen in der Scan-Tabelle gespeichert. Da diese Aufzeichnung im
Hintergrund neben der „normalen" Funktätigkeit der APs abläuft, wird diese Funktion auch als „Background Scan"
bezeichnet.
Das Background-Scanning wird vorwiegend für die folgenden Aufgaben eingesetzt:
1
Rogue AP Detection
1
Schnelles Roaming von WLAN-Clients
Rogue AP Detection
Als Rogue bezeichnet man solche WLAN-Geräte, die unerlaubt versuchen, als AP oder Client Teilnehmer in einem WLAN
zu werden. Rogue APs sind solche APs, die z. B. von den Mitarbeitern einer Firma ohne Kenntnis und Erlaubnis der
System-Administratoren an das Netzwerk angeschlossen werden und so über ungesicherte WLAN-Zugänge bewusst oder
unbewusst Tür und Tor für potentielle Angreifer öffnen. Nicht ganz so gefährlich, aber zumindest störend sind z. B. APs
in der Reichweite des eigenen WLAN, die zu fremden Netzwerken gehören. Verwenden solche Geräte dabei z. B. die
gleiche SSID und den gleichen Kanal wie die eigenen APs (Default-Einstellungen), können die eigenen WLAN-Clients
versuchen, sich bei dem fremden Netzwerk einzubuchen.
Da alle unbekannten APs in der Reichweite des eigenen Netzwerks oft eine mögliche Bedrohung und Sicherleitslücke,
zumindest aber eine Störung darstellen, können mit dem Background-Scanning Rogue APs identifiziert werden, um ggf.
weitere Maßnahmen zur Sicherung des eigenen Netzwerks einzuleiten.
Referenzhandbuch
12 Wireless LAN – WLAN
695
Werbung
Inhaltsverzeichnis
