2 access points gleiche ssid

Auch bei der Konfiguration von WLANs k�nnen unn�tige Fehler passieren. Da es die verschiedensten M�glichkeiten gibt, ein Netzwerk zu konfigurieren, existieren auch viele wirksame Wege zur Vermeidung von Fehlern. In diesem Workshop finden Sie einige Regeln f�r die richtige Konfiguration von WLANs. So etwa gehen wir darauf an, wie zu viele SSIDs die Stabilit�t eines Funknetzes gef�hrden.

Eine relativ beliebte WLAN-Sicherheitsma�nahme ist das Verbergen der SSID. Jeder Access Point (AP) verf�gt �ber einen 802.11 Media Access Control-Layer (MAC), inklusive dem individuellen Basic Service Set Identifikator (BSSID), dem Service Set Identifikator (SSID) und den notwendigen Sicherheitsfunktionen. Jede MAC-Instanz sendet periodisch eine Beacon-Sequenz. Der Beacon ist eine Art Leuchtfeuer, mit dessen Hilfe die SSID und die wichtigsten Betriebsparameter propagiert werden. Der WLAN-Client sendet eine Anforderungsabfrage (Probe Request), die der Access Point mit einer Anforderungsantwort (Probe Response) quittiert. Sind die gegenseitigen Parameter passend, beginnt der Einbuchungsvorgang des WLAN-Clients auf dem Access Point.

Durch die unabh�ngigen MAC-Instanzen ist gew�hrleistet, dass mehrere virtuelle APs die gleiche SSID (f�r unterschiedliche Dienste) propagieren k�nnen. Auf den meisten Access Points gibt es die M�glichkeit, die propagierten SSIDs zu verbergen. Nutzen Sie Windows, kann die WLAN-Supplicant-Funktion des Clients diese versteckten WLANSSIDs nicht mehr erkennen. Bef�rworter dieser Sicherheitsoption postulieren, dass das Deaktivieren der SSIDs die WLANs vor Angriffen sch�tzt und die Verf�gbarkeit der WLANs verschleiert.

Allerdings gibt es im Internet viele kostenlose Programme wie etwa Kismet, die eine schnelle Erkennung der versteckten SSID erm�glichen. Das kostenlose Tool Netstumbler kann zwar die SSID nicht erkennen, entdeckt aber den Access Point trotzdem. Dieser wird vom Netstumbler mit einer Null-SSID dargestellt. Das Tool erkennt den versteckten Access Point durch das Aussenden von Probe Requests, da der AP selbst bei unterdr�ckter SSID auf die Requests reagiert. In der Response ist zwar die SSID nicht enthalten, trotzdem liefert diese Antwort n�tzliche Hinweise wie die MAC-Adresse des APs, die Kanalnummer und die Signalpegel. Ein Angreifer auf das WLAN nutzt diese Informationen als Sprungbrett f�r seine unerw�nschten Zugriffe auf das Wireless Netzwerk. Da legitime Nutzer die SSID f�r den Zugriff auf das WLAN kennen m�ssen, erreichen Sie durch das Verstecken der SSIDs nur Verwirrung und die Anrufe bei der Hotline steigen unn�tigerweise an.

�berm��ig viele SSIDs
Ein virtueller Access Point stellt eine logische Zugangskomponente innerhalb eines realen Access Points dar. Ein virtueller AP erbringt gegen�ber den WLAN-Endger�ten die gleichen Dienste und Funktionen wie ein normaler physikalischer AP. Durch die Implementierung eines kompletten MAC-Protokollstacks in jedem virtuellen AP wird sichergestellt, dass s�mtliche IEEE 802.11-Standards eingehalten werden und somit keine Interoperabilit�ts-Probleme mit anderen Wi-Fi-Komponenten entstehen. Jede MAC-Instanz agiert dabei wie ein physikalischer AP und sendet periodisch eine Beacon-Sequenz. Durch die unabh�ngigen MAC-Instanzen ist gew�hrleistet, dass mehrere virtuelle APs die gleiche SSID (f�r unterschiedliche Dienste) propagieren k�nnen.

Der Schl�ssel zu einer vollst�ndigen Interoperabilit�t virtueller APs liegt in der Bereitstellung unabh�ngiger MAC-Protokolle (inklusive universeller BSSIDs pro SSID). Dieses Verfahren wird auch als "Single SSIDs/Beacon, Multiple Beacon, Multiple BSSIDs" bezeichnet. Auf Basis dieses Verfahrens enth�lt jeder Management Frame nur noch eine SSID. Der Netzzugangspunkt �bermittelt somit die individuellen Beacon Frames w�hrend des Standard Beacon Intervalls f�r jeden konfigurierten virtuellen AP und propagiert ebenfalls pro virtuellen AP den individuellen BSSID (oder die MAC-Adresse). Die Zugangskomponente reagiert auf Probe Requests der unterst�tzten SSIDs (inklusive Broadcast SSIDs) mit einem Probe Response und �bermittelt damit die Betriebsparameter des virtuellen APs.

Das Problem mit vielen SSIDs in einer Funkzelle besteht darin, dass jede SSID pro Sekunde zehn Beacons aussendet. Dies bedeutet, dass ein physikalischer Access Point, der in f�nf virtuelle Access Points aufgeteilt ist, pro Sekunde 50 Beacons �bermittelt. Die Beacons kosten verf�gbare Bandbreite in der Funkzelle und wirken sich somit negativ auf die WLAN-Performance aus. Aber selbst kleinere Unternehmen ben�tigen zwei bis drei unterschiedliche SSIDs, um die Nutzergruppen zu segmentieren beziehungsweise diesen den verschiedenen VLANs zuzuordnen. Auch unterschiedliche Authentifizierungs- und Verschl�sselungssysteme – wenn beispielsweise interne Mitarbeitern mit Hilfe des 802.1x-Mechanismus autorisiert werden und G�ste per WPA2 auf ein Captive Portal �bermittelt werden – geh�ren zu den Standards.

Allerdings finden sich in den Unternehmen oftmals mehrere Benutzergruppen, die die gleiche Authentifizierungs- und Verschl�sselungsmethoden nutzen, aber �ber unterschiedliche SSIDs auf das WLAN zugreifen. In solchen F�llen sollten Sie die SSIDs beziehungsweise die Nutzergruppen konsolidieren. In der Praxis bedeutet dies, dass die Mitarbeiter unterschiedlicher Organisationseinheiten (beispielsweise Buchhaltung und Technik) �ber ein Active Directory provisioniert werden. Sowohl die Mitarbeiter der Buchhaltung als auch die Techniker greifen auf das drahtlose Netzwerk mit Hilfe der gleichen SSID (beziehungsweise 802.1x und EAP-Protokoll) zu. Reagiert der RADIUS-Server auf die �ber das drahtlose Netzwerk empfangenen Anfragen, orientiert sich dieser auf Basis der Organisationseinheit (OU) und nutzt dieses als RADIUS-Attribut. Das drahtlose Netzwerk erkennt diese OU-Informationen und ordnet den Nutzer in die richtige Benutzergruppe (entweder Buchhaltung und Technik) ein. Das drahtlose Netzwerk kann dar�ber hinaus auf Basis spezifischer Zugriffsregeln f�r jede Benutzergruppe den Zugriff auf Ports, Services, IP-Adressen et cetera regeln.

Wireless Intrusion Detection mit Time Slicing
Funkwellen sind nur schwer zu kontrollieren. WLAN-Laptops auf Basis des WLAN-freundlichen Windows suchen in der Default-Einstellung automatisch nach Access Points, um mit diesen eine Verbindung aufzubauen. F�r diesen Verbindungsaufbau bevorzugen die WLAN-Komponenten immer den AP mit dem st�rksten Signal. Dabei wird nicht zwischen einem neuen AP oder einem Laptop-AP eines Hackers unterschieden. Als "Rogue WLAN" wurden in der Vergangenheit physikalische APs bezeichnet, die nicht von einem Administrator freigegeben wurden. Heute fallen unter den Begriff auch Laptops, Handhelds, Barcode Scanner und Drucker. Diese Ger�te verf�gen nur �ber eine geringe Sicherheit und machen es dem Angreifer leicht, in das Netzwerk einzudringen. Solche Rogue APs k�nnen nicht nur von einem Angreifer, sondern auch unabsichtlich von einem Mitarbeiter des Unternehmens aktiviert werden.

Hardware-APs standen bisher im Mittelpunkt der Sicherheits�berlegungen. Dabei lassen sich WLAN-Laptops mit Hilfe von Freeware wie HostAP problemlos in einen "Soft AP" umwandeln. Solche Soft APs sind wesentlich schwieriger zu finden als Rogue APs, denn diese Ger�te verhalten sich bei Netzwerkscans wie normale Endger�te. Falsche Netzzug�nge entstehen, wenn ein AP eines benachbarten Unternehmens seine Funksignale unbeabsichtigt in den Bereich des eigenen Firmengeb�udes �bermittelt. Dadurch erh�lt der Nachbar unter Umst�nden unbeabsichtigt Zugang zu den Unternehmensdaten.

Can two wireless access points have the same SSID?

Why does my WIFI have 2 SSID?

What happens if two access points are on the same channel?