Beschreibung:
Dieses Dokument beschreibt die Funktion der Rogue AP Detection im WLAN-Monitor.
Voraussetzung:
Als Rogue AP bezeichnet man solche WLAN-Geräte, die unerlaubt versuchen, als Access Point Teilnehmer in einem WLAN zu werden. Rogue AP sind solche Access Points, die z.B. von den Mitarbeitern einer Firma ohne Kenntnis und Erlaubnis der System-Administratoren an das Netzwerk angeschlossen werden und so über ungesicherte WLAN-Zugänge bewusst oder unbewusst Tür und Tor für potentielle Angreifer öffnen.
Nicht ganz so gefährlich, aber zumindest störend sind z.B. Access Points in der Reichweite des eigenen WLAN, die zu fremden Netzwerken gehören. Verwenden solche Geräte dabei z.B. die gleiche SSID und den gleichen Kanal wie die eigenen AP (Default-Einstellungen), können die eigenen WLAN-Clients versuchen, sich bei dem fremden Netzwerk einzubuchen.
Da alle unbekannten Access Points in der Reichweite des eigenen Netzwerks oft eine mögliche Bedrohung und Sicherleitslücke, zumindest aber eine Störung darstellen, können mit dem WLANmonitor Rogue AP identifiziert werden, um ggf. weitere Maßnahmen zur Sicherung des eigenen Netzwerks einzuleiten.
Vordefinierte Gruppen
Alle AP: Auflistung aller gescannter WLAN-Netze der folgenden Gruppen
Neue AP: neue unbekannte und unkonfigurierte WLAN-Netze gelangen automatisch in diese Gruppe (die AP werden gelb dargestellt)
Rogue AP: WLAN-Netze, die als Rogue erkannt und dringend zu beobachten sind (die AP werden rot dargestellt)
Unbekannte AP: WLAN-Netze, bei denen weitere Untersuchungen notwendig sind (die AP werden grau dargestellt)
Bekannte AP: WLAN-Netze, die keine Gefahr darstellen (die AP werden grau dargestellt)
Eigene AP: neue eigene WLAN-Netze von Access Points, die der WLANmonitor beobachtet, gelangen automatisch in diese Gruppe (die AP werden grün dargestellt)
Die WLAN-Netze können mit dem Mauszeiger in die entsprechenden Gruppen verschoben werden (ausgenommen der Gruppe 'Alle AP').
Selbstdefinierte Gruppen können unterhalb der vordefinierte Gruppen angelegt werden (ausgenommen der Gruppe 'Alle AP').
Access Points ohne Verschlüsselung werden ebenfalls rot dargestellt.
Detailinformationen
Markiert man ein WLAN-Netz mit der linken Maustaste, dann werden im unteren Fensterbereich Details angezeigt:
- die Access Points, die dieses WLAN-Netz gescannt haben,
- wann sie das WLAN-Netz zuletzt gescannt haben,
- auf welchem Interface sie das WLAN-Netz gescannt haben und
- mit welcher Signalstärke sie das WLAN-Netz empfangen haben
Background-Scan
Zur Erkennung anderer Access Points in der eigenen Funkreichweite können LANCOM Wireless Router die empfangenen Beacons (Management-Frames) aufzeichnen und in der Scan-Resultate-Tabelle speichern. Da diese Aufzeichnung im Hintergrund neben der „normalen“ Funktätigkeit der Access Points abläuft, wird diese Funktion auch als „Background Scan“ bezeichnet.
Mit dem WLANmonitor werden die eigenen Access Points beobachtet. Für die Rogue AP Detection werden die Daten der Scan-Resultate-Tabelle aus diesen Access Points herangezogen. In den Access Points muss in den Radio-Einstellungen der Background-Scan konfiguriert sein.
Wichtig: Der Background-Scan muss zuerst in den Radio-Einstellungen der Access Points eingestellt werden. Zur Konfiguration des Background-Scans wird eine Zeit angegeben, innerhalb der alle verfügbaren WLAN-Kanäle einmal auf die empfangenen Beacons hin gescannt werden sollen. Diese Funktion wird ab LCOS 6.20 unterstützt.
Das Intervall wird im WLANmonitor bei den beobachteten Access Points angezeigt.
Hinweis Background-Scan Zeiten:
Der Background-Scan dient im Basistations-Modus der Erkennung von benachbarten Access Points.
Der kleinste Wert wäre im 2,4 GHz-Band 260 Sekunden. Dieser Wert führt dazu, dass alle 20 Sekunden ein weiterer Kanal gescannt wird (Intervall / Anzahl Kanäle).
Beispiel:
2,4 GHz Band : 13 Kanäle * 20 sec. = 260 Sekunden
Im verwendeten 5 GHz-Band werden je nach Einstellungen des verwendeten Unterbandes die jeweiligen Kanäle gescannt.
Beispiel:
5Ghz-Band + Unterband 1+2: 19 Kanäle * 20 sec. = 380 Sekunden
Kleinere Werte werden vom Access Point nicht ausgewertet, da hier die kleinste auswertbare Zeit bei 20 Sekunden pro Kanal liegt.
Höhere Werte führen lediglich zu einer späteren Erkennung neuer benachbarter Access Points, erhöhen aber den möglichen Datendurchsatz.
Hinweis zur Kanal-Liste:
Sie können in diesem Feld die Kanäle aufzählen, welche durchsucht werden, wenn die automatische Kanalsuche eingeschaltet ist. Dabei werden für das jeweilige Frequenzband ungültige Kanäle ignoriert.
Zum Beispiel würde "1,7-9,13" bei der automatischen Kanalsuche nur die Kanäle 1, 7 bis 9 und 13 berücksichtigen.
Wenn in der Kanal-Liste Kanäle aufgezählt werden, welche durchsucht werden sollen, so gilt dieses auch für den Background-Scan. Achten Sie bitte hier auf die jeweiligen aufgezählten Kanäle.
Beispiel:
Durch die Kanal-Liste ausgewählte Kanäle 1,7-9,13
5 Kanäle * 20 sec.= 100 Sekunden |
|
