Adhoc WLANs (Peer-to-Peer-Verbindungen zwischen zwei Computern ohne die Verwendung von APs) umgehen grundsätzlich jede Sicherheit und bieten kaum Mechanismen zur Authentifizierung und Verschlüsselung. Daher sind Adhoc-Netze immer wieder Ziel von Angriffen. Es gibt zwei Möglichkeiten zur Durchführung einer Wireless Intrusion Detection: Entweder das WLAN verfügt über spezielle WLAN-Sensoren oder Sie nutzen das so genannte Time Slicing. Beim Time Slicing werden in den Access Points bestimmte Zeitfenster zum Scannen der Kanäle für die Intrusion-Detection-Funktionalität genutzt. Einige Produkte scannen die Kanäle standardmäßig alle 15 Sekunden für einen Zeitraum von 50 Millisekunden. Dies klingt erst einmal prima, aber wenn Sie die Zahlen einmal hochrechnen, dann stellen Sie fest, dass Sie nur auf eine Scan-Zeit von ungefähr viereinhalb Minuten innerhalb von 24 Stunden kommt. In die Praxis umgesetzt bedeutet dies, dass Sie nur mit viel Glück innerhalb dieser fast fünf Minuten Scan-Zeit pro Tag den Eindringling oder das nicht im Netz erlaubte Gerät erkennen.

Was ist die Alternative? Verwenden Sie anstelle des Time Slicings spezielle in die APs integrierte Sensoren. Diese Sensoren scannen das Netz 24 Stunden pro Tag, sieben Tage die Woche. Es gibt zwei Arten dieser Sensoren: Embedded- oder Overlay-Sensoren. Embedded-Sensoren nutzen eine zusätzliche Funkeinheit innerhalb des gleichen APs und melden die entdeckten WLAN-Anomalitäten an den gleichen WLAN-Controller beziehungsweise die gleiche Management-Plattform wie die Access Points. Damit laufen die Kontrollfunktionen der Sensoren und die WLAN-Client-Funktionen der Access Points in einer administrativen Oberfläche zusammen.

Bei Overlay-Sensoren handelt es sich um separate Geräte, die in der Regel von einem anderen Unternehmen als dem Hersteller der Access Points entwickelt werden. Daher werden die Overlay-Sensoren ihre entdeckten WLAN-Anomalitäten in der Regel an einen separaten Server melden. Möchten Sie Kabel, Geräte und Ressourcen einsparen, dann sind integrierte Sensoren von Vorteil.

Ein Wireless IPS (WIPS) besteht aus einem zentralen Managementserver und den im Gebäude oder über das Gelände verteilten WLAN-Sensoren. Die RF-Sensoren werden über das gesamte Netz beziehungsweise den zu schützenden Bereich verteilt. Innerhalb des Funkfelds untersuchen die RF-Sensoren kontinuierlich die Funksignale aller Access Points und WLAN-Clients. Der RF-Manager sammelt sämtliche Daten aus dem WLAN-Netz und wertet die Informationen entsprechend der vom Administrator festgelegten Regeln (autorisiert, nicht autorisiert oder extern; in diesem Fall: bekannte/benachbarte Komponente) automatisch auf Sicherheitsverstöße aus. Die heute verfügbaren Plattformen bieten, neben einem automatischen Erkennen und Klassifizieren von Bedrohungen, auch Funktionen wie Intrusion Prevention, die Überwachung der Clients und Access Points (APs), sowie Hilfsmittel zur Frequenzplanung.

APs anhand ihrer MAC-Adresse entdecken
In der Vergangenheit ließen sich per Scanning-Prozess die gängigen Herstellerkennungen anhand der registrierten MAC-Adressen herausfinden. Da inzwischen die großen Hersteller immer schneller kleinere Anbieter aufkaufen, endet die Suche nach Herstellerkennungen oft in einer Sackgasse. Beispielsweise nutzen die Linksys-Geräte seit der vollen Integration in Cisco Systems die MAC-Adressen von Cisco. Für einen Netzwerk-Scan auf Basis der MAC-Adressen sollten Sie über eine vollständige Liste aller im Netzwerk gültigen MAC-Adressen verfügen. Und selbst in diesem Fall liefert ein MAC-Adress-Scanning nicht immer zu 100 Prozent richtige Ergebnisse. Dies hat seine Ursache in den ständig sich verändernden Netz- und Rechnerkonfigurationen oder dem Ausschalten von Rechnern. Abgeschaltete Rechner können während des momentanen Scans nicht gefunden werden oder die Geräte reagieren nicht auf einen Ping.

Einige Hersteller von WLAN Access Points stellen in ihren Produkten auch Mechanismen zur Erkennung von Rogue APs zur Verfügung. Die APs werden über das Funknetz identifiziert und anschließend per Netzverbindung analysiert. Dabei werden die entdeckten dubiosen Geräte auf offene Netzwerk-Ports untersucht und weitere Identifikationsfunktionen genutzt. Der größte Nachteil dieser Zusatzfunktionen in den Access Points besteht darin, dass sich die Hersteller diese Zusätze teuer bezahlen lassen. Egal mit welcher Technik Sie dem Problem auf den Leib rücken, wichtig ist, dass Sie die Rouge AP-Tests regelmäßig durchführen. Der PCI-Sicherheitsstandard fordert beispielsweise das vierteljährliche Scannen des gesamten Netzwerks.

Erhöhen Sie die Scan-Frequenz auf einen Test pro Monat, kann dies nicht schaden. Sie sollten jedoch auf die nachfolgenden Aktionen vorbereitet sein, wenn Sie einen nicht autorisierten AP entdecken. Vergewissern Sie sich, dass es sich um keinen Angreifer, sondern nur einen unbedarften Mitarbeiter handelt. Im letzteren Fall sollten Sie nicht den gefundenen AP sofort vom Netz nehmen, sondern sich erst einmal erkundigen, warum dieses Gerät existiert. Klären Sie den Nutzer über die möglichen Gefahren durch Rouge APs auf und stellen ihm anschließend eine autorisierte und sichere WLAN-Verbindung zur Verfügung.

Langsames WLAN
Viele Faktoren können zu einer Verlangsamung der Internet-Verbindung führen. Wollen Sie wissen, ob die Ursache für ihre Probleme am WLAN liegt, dann verbinden Sie ihren PC direkt mit dem Router. Sie bemerken, dass die Zugriffe auf bestimmte Dateien auf dem Server oder ins Internet immer langsamer werden. In der Regel suchen Administratoren die Ursache immer zuerst in den Servern. Und meist gehen sie auch davon aus, dass auf dem Rechner zu viele Prozesse laufen oder die Datenbank ein Problem hat. Sollten im Netzwerk mehrere Computer die gleichen Symptome aufweisen, stehen die Chancen gut, dass das WLAN die Ursache sein könnte. Beispielsweise könnte der Standort des Routers verändert worden sein und manchmal sorgt bereits das Verschieben des WLAN-Routers um nur wenige Zentimeter dafür, dass die Funksignale nicht mehr durch die Wände kommen oder der Empfänger-PC sich auf einmal am Rand eines Funkfelds befindet.

Es könnte durchaus auch sein, dass der Router überlastet ist und zu viele Nutzer gleichzeitig ihre Daten über die DSL-Verbindung übermitteln. Die Bandbreite im DSL-Uplink beträgt in der Regel nur ein Bruchteil der Downlink-Bandbreite. Dies ist vergleichbar mit einer Autobahn, auf der zu viele Autos gleichzeitig fahren, was wiederum zur allgemeinen Verlangsamung des Verkehrs oder zu einem Stau führt. Ohne die tatsächlich vorhandene Uplink-Geschwindigkeit zu kennen, ist die Behebung eines solchen Problems schwierig. In der Praxis versucht der IT-Verantwortliche, eine langsame WLAN-Verbindung durch einen Reset des Routers oder DSL-Modems zu beheben.

Durch das Zurücksetzen oder Ausschalten des Routers für etwa zehn Sekunden muss sich die DSL- und die WLAN-Verbindung neu initialisieren und sollte dabei alle hängenden Prozesse beseitigen. Selbstverständlich kann das Problem auch im Netzwerk des Providers liegen. Bei diesem Verdacht hilft nur ein Anruf bei der Hotline des Providers.

Hilft der Neustarts des Routers oder Modems nicht und die WLAN-Verbindung ist immer noch langsam, sollten Sie Ihren PC am besten direkt am Router anschließen. Deaktivieren Sie Ihren WLAN-Port und schließen Sie Ihren PC direkt per Ethernet-Kabel an den Router an. Windows sollte automatisch die neue Verbindung erkennen. Manchmal ist jedoch ein Neustart des PCs notwendig. Wurde damit das Performance-Problem gelöst? Wenn ja, wissen Sie, dass ihr WLAN an der Verlangsamung der Daten schuld ist. Wenn nicht, dann liegt die Ursache vermutlich im Router, der aktuellen Router-Konfiguration oder der Internet-Verbindung. Auf jeden Fall haben Sie damit die Fehlerquelle erst einmal eingekreist.

  <<Vorherige Seite                Seite 2 von 2

Ludwig Hein, Mathias Hein, Axel Simon/dr/ln