Inhaltsverzeichnis
Werbung
Referenzhandbuch
12 Wireless LAN – WLAN
Schnelles Roaming im Client-Modus
Das Verfahren des Background-Scanning kann aber auch mit anderen Zielen als der Rogue AP Detection verwendet
werden. Ein AP im Client-Modus, der sich selbst bei einem anderen AP anmeldet, kann in einer mobilen Installation auch
das Roaming-Verfahren nutzen. Dies ist z. B. dann der Fall, wenn der AP in einer Industrieanwendung auf einem
Gabelstapler befestigt ist, der sich durch mehrere Hallen mit separaten APs bewegt. Normalerweise würde der WLAN-Client
sich nur dann bei einem anderen AP einbuchen, wenn er die Verbindung zu dem bisherigen Access Point vollständig
verloren hat. Mit der Funktion des Background-Scanning kann der AP im Client-Modus schon vorher Informationen über
andere verfügbare APs sammeln. Die Umschaltung auf einen anderen AP erfolgt dann nicht erst, wenn die bisherige
Verbindung vollständig verloren wurde, sondern wenn ein anderer AP in Reichweite über ein stärkeres Signal verfügt.
Auswertung des Background-Scans
Die Informationen über die gefundenen APs können in der Statistik des APs eingesehen werden. Sehr komfortabel stellt
der WLANmonitor die Scan-Ergebnisse dar und bietet darüber hinaus zusätzliche Funktionen wie das Gruppieren der
APs oder die automatische Benachrichtigung per E-Mail beim Auftauchen neuer WLAN-Geräte.
12.5.7 Erkennung von Replay-Attacken
Bei mit AES oder TKIP verschlüsselten Paketen erhält jedes Paket eine eindeutige Sequenznummer, damit der Empfänger
Replays erkennen und verwerfen kann. Sofern QoS aktiviert ist, muss der Empfänger sogar pro Prioritäts-Stufe einen
solchen Replay-Zähler mithalten.
Damit ergibt sich eine Angriffsmöglichkeit, bei der ein Angreifer ein mitgesnifftes Paket auf einer anderen Prio-Stufe
'replayen' kann. Einige Ansätze für Angriffe auf TKIP beruhen auf diesem Umstand.
Seit LCOS-Version 7.70 gibt es im Empfänger neben der Replay-Prüfung pro Prio-Stufe eine weitere 'globale' Prüfung,
die zuletzt von der Gegenstelle genutzte Sequenznummern mithält. Da Sequenznummern vom Sender nicht auf
verschiedenen Prio-Stufen mehrfach genutzt werden dürfen, kann man so Replay-Attacken auf einer anderen Prio-Stufe
in begrenztem Umfang erkennen.
Einige WLAN-Clients, z. B. aus dem Bereich der Mobiltelefone, nutzen eine fehlerhafte AES-Implementierung mit einem
separaten Sequenzzähler im Sender pro Prio-Stufe, so dass die beschriebenen Mehrfachverwendungen bei diesen Geräten
normal sind.
Um auch für diese Geräte einen Betrieb zu ermöglichen, kann die globale Prüfung der Krypto-Sequenz ausgelassen
werden.
WEBconfig: LCOS-Menübaum / Setup / WLAN
1
Globale-Krypto-Sequenz-Pruefung-auslassen
Stellen Sie hier die globale Prüfung der Krypto-Sequenz ein.
Mögliche Werte:
2
Auto, Ja, Nein
Default:
2
Auto
Besondere Werte:
2
Auto: LCOS enthält eine Liste der für diese Verhalten bekannten Geräte und schaltet in der Einstellung 'Auto' die
globale Sequenzprüfung ab. Für andere, noch nicht in der Liste enthaltenen Geräte muss die globale
Sequenzprüfung manuell deaktiviert werden.
12.5.8 WLAN Protected Management Frames (PMF)
Die in einem WLAN übertragenen Management-Informationen zum Aufbau und Betrieb von Datenverbindungen sind
standardmäßig unverschlüsselt. Jeder innerhalb einer WLAN-Zelle kann diese Informationen empfangen und auswerten,
selbst wenn er nicht an einem AP angemeldet ist. Das birgt zwar keine Gefahren für eine verschlüsselte Datenverbindung,
696
Werbung
Inhaltsverzeichnis
