johnmcclane
Goto Top

Wireless Isolation vs. Sniffing

Hallo zusammen,

kann man am AP durch die Aktivierung von Wireless Isolation der einzelnen verbundenen WLAN Clients erreichen, dass von diesen aus kein Datenverkehr aufgezeichnet (sniffen) werden kann?

Grüße Sebastian.

Content-ID: 273036

Url: https://administrator.de/forum/wireless-isolation-vs-sniffing-273036.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

quin83
Lösung quin83 28.05.2015, aktualisiert am 30.05.2015 um 12:46:25 Uhr
Goto Top
Hi.

Warum sollte es Sniffing verhindern?

Da ist ein AccessPoint, welcher Daten aussendet.
Ob dann 1, 10 oder 100 Systeme die gesendeten Pakete empfangen, kann der AP ja logischerweise nicht beeinflussen.
WLAN ist immer Punkt-zu-Multipunkt.

Natürlich kann man nun diverse Sachen verwenden, um das halbwegs sicher zu kriegen.
Wenn das WLAN sauber verschlüsselt ist, hat es der Angreifer schon mal schwerer.

Aber selbst modernes WPA2 ist vor diversen Tools nicht sicher.
Man bootet Backtrack 5 und erzeugt einen Evil-Twin. Oder man greift das WPA2 Secret mit aircrack-ng an.

An einem WLAN hängt ein Client / Endgerät. Niemals davon ausgehen, dass ein Client sicher ist.
Jedes professionell geplante Netzwerk das ich kenne, ist immer so gebaut, dass es sich gegen die Clients verteidigt.
Ob das jetzt fremde Clients oder Firmen-Clients sind, ist dabei eigentlich egal.

Grüße,

Daniel
Lochkartenstanzer
Lösung Lochkartenstanzer 28.05.2015, aktualisiert am 30.05.2015 um 12:46:31 Uhr
Goto Top
Moin,

Wireless Isolation ist nr ein Feature des AP, der dann selbst Pakete nur an das Internet weiterreicht udn nciht zu anderen internen Systemen.

Das mit wird aber keinesfalls verhindert, daß jemand die Pakete die an ihn gesendet wrden mitsniffen kann.

Weiterhin kann man damit überhaupt nicht verhindern, daß jemand einen Funkempfänger betreibt, der alles mitsnifft, was auf dem Äther vor sich geht.

Also: Wireless Isolation ist ein Hilfmittel, um die klomminikationm der WLAN.Teilnehmer unterneinander zu erschweren. Aber verhindern kannst Du das damit nicht.

lks
jonsch
Lösung jonsch 28.05.2015, aktualisiert am 30.05.2015 um 12:46:45 Uhr
Goto Top
Hallo,

wie Quin83 schon erläutert hat, ist ein mitsniffen trotz Isolation möglich. In den meisten Fällen, ist der Access Point nur die Schnittstelle zum Firmennetz, die eigentliche Arbeit macht der dafür vorgesehene WLAN-Controller. Dies ist aber nicht immer der Fall, da es auch wesentlich intelligentere Access Points gibt, die dann DHCP- und Routingfunktionen anwenden können. Ein WPA2-Netzwerk ist heutzutage auch nicht sicher, jeder der ein bisschen Ahnung von der Materie hat, kann an den PSK rankommen, z.B. Mac-Spoofing oder ARP-Spoofing. Das größte Problem an WPA2 liegt an dem unverschlüsseltem Handshake, der diese Spoofingfunktionen überhaupt erst ermöglicht. Ein RADIUS dagegen verschlüsselt auch schon den Handshake und bietet da zumindest ein bisschen mehr Schutz.
aqui
Lösung aqui 28.05.2015, aktualisiert am 30.05.2015 um 12:46:46 Uhr
Goto Top
Soweit muss man noch nicht einmal gehen...
Isolation bewirkt nur das der AP vom Client ausgehende ARP Requests an die Clients forwardet. Damit ist dann keinerlei Any zu Any Kommunikation der Clients mehr möglich. ARP Requests werden einzug nur auf den LAN Port geforwardet dann.

Für ein reines Sniffing im WLAN ist aber überhaupt gar keine Assoziation mit einem WLAN erforderlich.
Funkwellen lassen sich ja bekanntlich nicht einsperren und so kann ein nur irgendwie in der Nähe befindlicher (oder weit weg mit Richtantenne) unbeteiligter Client den gesamten Verkehr der Funkzelle mitsniffern egal ob Isolation aktiviert ist oder nicht.
Neffe2
Lösung Neffe2 28.05.2015, aktualisiert am 30.05.2015 um 12:47:00 Uhr
Goto Top
Hallo JohnMcClane,
nope nicht möglich.
Wie quin83 bereits geschrieben hat, ist es mit z.B. aircrack-ng ganz leicht mit der SSID den Handschlag zu sehen und sogar diesen erneut zu provozieren und dann mit Brute-Force deinen Key zu bekommen.
Wenn es dir im die Sicherheit geht:
- WLAN in ein anderes Netz bringen
- Laaanges komplexes Passwort (dauert länger für BruteForce)
- WLAN Signalstärke so das ihr damit arbeiten könnt aber nicht die Nachbarschaft bestrahlt.
aqui
Lösung aqui 28.05.2015, aktualisiert am 30.05.2015 um 12:47:01 Uhr
Goto Top
WLAN in ein anderes Netz bringen
Das sollte so oder so in jedem Netzdesign eines verantwortungsvollen Netzwerkers der Fall sein !!
WLAN Signalstärke so das ihr damit arbeiten könnt aber nicht die Nachbarschaft bestrahlt.
Wenn man sie doch anmalen könnte um zu sehen zu welchem Nachbarn sie noch reicht..
P.S.: Pfiffige Nachbarn mit einem um das zu umgehen... face-wink
Neffe2
Neffe2 29.05.2015, aktualisiert am 29.03.2023 um 23:15:15 Uhr
Goto Top
P.S.: Pfiffige Nachbarn mit einem Raspberry_und_Aircrack haben eine Richtantenne um das zu umgehen... face-wink

Wenn jemand in das Netz umbedingt rein will schafft er es meist auch.
Es geht in den meisten Fällen darum zu wenig Gelegenheit zu bieten wie möglich.

Wie sagt man so schön: Gelegenheit schafft Diebe ;)
JohnMcClane
JohnMcClane 29.05.2015 um 21:58:03 Uhr
Goto Top
Oh 1000 Danke Leute, dass sind eine menge Antworten! Tolle Community, mal so nebenbei.

Was genau meint Ihr mit "WLAN in ein anderes Netz bringen"?


Grüße Sebastian.
aqui
Lösung aqui 30.05.2015 aktualisiert um 12:46:04 Uhr
Goto Top
Was genau meint Ihr mit "WLAN in ein anderes Netz bringen"?
Das du das WLAN wenn möglich IMMER in ein eigenes IP Segment getrennt vom produktiven Kabelnetz anbindest.
Das kann entweder über separate HW geschehen mit einem dedizierten Router:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
aber sinnvollerweise macht man das mit einem separaten VLAN:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern