9
Wireless Isolation vs. Sniffing
Hallo zusammen,
kann man am AP durch die Aktivierung von Wireless Isolation der einzelnen verbundenen WLAN Clients erreichen, dass von diesen aus kein Datenverkehr aufgezeichnet (sniffen) werden kann?
Grüße Sebastian.
kann man am AP durch die Aktivierung von Wireless Isolation der einzelnen verbundenen WLAN Clients erreichen, dass von diesen aus kein Datenverkehr aufgezeichnet (sniffen) werden kann?
Grüße Sebastian.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 273036
Url: https://administrator.de/contentid/273036
Printed on: April 19, 2024 at 12:04 o'clock
9 Comments
Latest comment
Hi.
Warum sollte es Sniffing verhindern?
Da ist ein AccessPoint, welcher Daten aussendet.
Ob dann 1, 10 oder 100 Systeme die gesendeten Pakete empfangen, kann der AP ja logischerweise nicht beeinflussen.
WLAN ist immer Punkt-zu-Multipunkt.
Natürlich kann man nun diverse Sachen verwenden, um das halbwegs sicher zu kriegen.
Wenn das WLAN sauber verschlüsselt ist, hat es der Angreifer schon mal schwerer.
Aber selbst modernes WPA2 ist vor diversen Tools nicht sicher.
Man bootet Backtrack 5 und erzeugt einen Evil-Twin. Oder man greift das WPA2 Secret mit aircrack-ng an.
An einem WLAN hängt ein Client / Endgerät. Niemals davon ausgehen, dass ein Client sicher ist.
Jedes professionell geplante Netzwerk das ich kenne, ist immer so gebaut, dass es sich gegen die Clients verteidigt.
Ob das jetzt fremde Clients oder Firmen-Clients sind, ist dabei eigentlich egal.
Grüße,
Daniel
Warum sollte es Sniffing verhindern?
Da ist ein AccessPoint, welcher Daten aussendet.
Ob dann 1, 10 oder 100 Systeme die gesendeten Pakete empfangen, kann der AP ja logischerweise nicht beeinflussen.
WLAN ist immer Punkt-zu-Multipunkt.
Natürlich kann man nun diverse Sachen verwenden, um das halbwegs sicher zu kriegen.
Wenn das WLAN sauber verschlüsselt ist, hat es der Angreifer schon mal schwerer.
Aber selbst modernes WPA2 ist vor diversen Tools nicht sicher.
Man bootet Backtrack 5 und erzeugt einen Evil-Twin. Oder man greift das WPA2 Secret mit aircrack-ng an.
An einem WLAN hängt ein Client / Endgerät. Niemals davon ausgehen, dass ein Client sicher ist.
Jedes professionell geplante Netzwerk das ich kenne, ist immer so gebaut, dass es sich gegen die Clients verteidigt.
Ob das jetzt fremde Clients oder Firmen-Clients sind, ist dabei eigentlich egal.
Grüße,
Daniel
Moin,
Wireless Isolation ist nr ein Feature des AP, der dann selbst Pakete nur an das Internet weiterreicht udn nciht zu anderen internen Systemen.
Das mit wird aber keinesfalls verhindert, daß jemand die Pakete die an ihn gesendet wrden mitsniffen kann.
Weiterhin kann man damit überhaupt nicht verhindern, daß jemand einen Funkempfänger betreibt, der alles mitsnifft, was auf dem Äther vor sich geht.
Also: Wireless Isolation ist ein Hilfmittel, um die klomminikationm der WLAN.Teilnehmer unterneinander zu erschweren. Aber verhindern kannst Du das damit nicht.
lks
Wireless Isolation ist nr ein Feature des AP, der dann selbst Pakete nur an das Internet weiterreicht udn nciht zu anderen internen Systemen.
Das mit wird aber keinesfalls verhindert, daß jemand die Pakete die an ihn gesendet wrden mitsniffen kann.
Weiterhin kann man damit überhaupt nicht verhindern, daß jemand einen Funkempfänger betreibt, der alles mitsnifft, was auf dem Äther vor sich geht.
Also: Wireless Isolation ist ein Hilfmittel, um die klomminikationm der WLAN.Teilnehmer unterneinander zu erschweren. Aber verhindern kannst Du das damit nicht.
lks
Hallo,
wie Quin83 schon erläutert hat, ist ein mitsniffen trotz Isolation möglich. In den meisten Fällen, ist der Access Point nur die Schnittstelle zum Firmennetz, die eigentliche Arbeit macht der dafür vorgesehene WLAN-Controller. Dies ist aber nicht immer der Fall, da es auch wesentlich intelligentere Access Points gibt, die dann DHCP- und Routingfunktionen anwenden können. Ein WPA2-Netzwerk ist heutzutage auch nicht sicher, jeder der ein bisschen Ahnung von der Materie hat, kann an den PSK rankommen, z.B. Mac-Spoofing oder ARP-Spoofing. Das größte Problem an WPA2 liegt an dem unverschlüsseltem Handshake, der diese Spoofingfunktionen überhaupt erst ermöglicht. Ein RADIUS dagegen verschlüsselt auch schon den Handshake und bietet da zumindest ein bisschen mehr Schutz.
wie Quin83 schon erläutert hat, ist ein mitsniffen trotz Isolation möglich. In den meisten Fällen, ist der Access Point nur die Schnittstelle zum Firmennetz, die eigentliche Arbeit macht der dafür vorgesehene WLAN-Controller. Dies ist aber nicht immer der Fall, da es auch wesentlich intelligentere Access Points gibt, die dann DHCP- und Routingfunktionen anwenden können. Ein WPA2-Netzwerk ist heutzutage auch nicht sicher, jeder der ein bisschen Ahnung von der Materie hat, kann an den PSK rankommen, z.B. Mac-Spoofing oder ARP-Spoofing. Das größte Problem an WPA2 liegt an dem unverschlüsseltem Handshake, der diese Spoofingfunktionen überhaupt erst ermöglicht. Ein RADIUS dagegen verschlüsselt auch schon den Handshake und bietet da zumindest ein bisschen mehr Schutz.
Soweit muss man noch nicht einmal gehen...
Isolation bewirkt nur das der AP vom Client ausgehende ARP Requests an die Clients forwardet. Damit ist dann keinerlei Any zu Any Kommunikation der Clients mehr möglich. ARP Requests werden einzug nur auf den LAN Port geforwardet dann.
Für ein reines Sniffing im WLAN ist aber überhaupt gar keine Assoziation mit einem WLAN erforderlich.
Funkwellen lassen sich ja bekanntlich nicht einsperren und so kann ein nur irgendwie in der Nähe befindlicher (oder weit weg mit Richtantenne) unbeteiligter Client den gesamten Verkehr der Funkzelle mitsniffern egal ob Isolation aktiviert ist oder nicht.
Isolation bewirkt nur das der AP vom Client ausgehende ARP Requests an die Clients forwardet. Damit ist dann keinerlei Any zu Any Kommunikation der Clients mehr möglich. ARP Requests werden einzug nur auf den LAN Port geforwardet dann.
Für ein reines Sniffing im WLAN ist aber überhaupt gar keine Assoziation mit einem WLAN erforderlich.
Funkwellen lassen sich ja bekanntlich nicht einsperren und so kann ein nur irgendwie in der Nähe befindlicher (oder weit weg mit Richtantenne) unbeteiligter Client den gesamten Verkehr der Funkzelle mitsniffern egal ob Isolation aktiviert ist oder nicht.
Hallo JohnMcClane,
nope nicht möglich.
Wie quin83 bereits geschrieben hat, ist es mit z.B. aircrack-ng ganz leicht mit der SSID den Handschlag zu sehen und sogar diesen erneut zu provozieren und dann mit Brute-Force deinen Key zu bekommen.
Wenn es dir im die Sicherheit geht:
- WLAN in ein anderes Netz bringen
- Laaanges komplexes Passwort (dauert länger für BruteForce)
- WLAN Signalstärke so das ihr damit arbeiten könnt aber nicht die Nachbarschaft bestrahlt.
nope nicht möglich.
Wie quin83 bereits geschrieben hat, ist es mit z.B. aircrack-ng ganz leicht mit der SSID den Handschlag zu sehen und sogar diesen erneut zu provozieren und dann mit Brute-Force deinen Key zu bekommen.
Wenn es dir im die Sicherheit geht:
- WLAN in ein anderes Netz bringen
- Laaanges komplexes Passwort (dauert länger für BruteForce)
- WLAN Signalstärke so das ihr damit arbeiten könnt aber nicht die Nachbarschaft bestrahlt.
WLAN in ein anderes Netz bringen
Das sollte so oder so in jedem Netzdesign eines verantwortungsvollen Netzwerkers der Fall sein !!WLAN Signalstärke so das ihr damit arbeiten könnt aber nicht die Nachbarschaft bestrahlt.
Wenn man sie doch anmalen könnte um zu sehen zu welchem Nachbarn sie noch reicht..P.S.: Pfiffige Nachbarn mit einem um das zu umgehen...
P.S.: Pfiffige Nachbarn mit einem Raspberry_und_Aircrack haben eine Richtantenne um das zu umgehen...
Wenn jemand in das Netz umbedingt rein will schafft er es meist auch.
Es geht in den meisten Fällen darum zu wenig Gelegenheit zu bieten wie möglich.
Wie sagt man so schön: Gelegenheit schafft Diebe ;)
Oh 1000 Danke Leute, dass sind eine menge Antworten! Tolle Community, mal so nebenbei.
Was genau meint Ihr mit "WLAN in ein anderes Netz bringen"?
Grüße Sebastian.
Was genau meint Ihr mit "WLAN in ein anderes Netz bringen"?
Grüße Sebastian.
Was genau meint Ihr mit "WLAN in ein anderes Netz bringen"?
Das du das WLAN wenn möglich IMMER in ein eigenes IP Segment getrennt vom produktiven Kabelnetz anbindest.Das kann entweder über separate HW geschehen mit einem dedizierten Router:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
aber sinnvollerweise macht man das mit einem separaten VLAN:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
