Stand: 12.09.2005 Version: 5.0 www.lancom.de LANCOM Systems GmbH Stand: 12.09.2005 Version: 5.0 www.lancom.de

Kapitel 16 - Routing

Routing Routing-Verfahren Routing-Verfahren lassen sich grob klassifizieren in: Bei den statischen Verfahren wird die optimale Wegwahl einmalig berechnet, und es wird immer der gleiche Weg über die Gateways benutzt. Das wirkt sich bei Änderung der Randbedingungen nachteilig aus, da alle Änderungen manuell eingepflegt werden müssen. Dagegen stehen die dynamischen Verfahren, die die Wegwahl aufgrund aktueller Zustandsparameter des Netzwerkes treffen. Dies stellt bei großen Netzwerken ein Problem dar, da sich der Netzwerkzustand ständig ändert. Das Datenaufkommen dieser Informations-Mitteilungen nimmt mit der Größe des Netzes überproportional zu und ist bei größeren Netzen inakzeptabel. LANCOM Systems - 3

Routing Kopplung von zwei Netzen Um Netze sinnvoll miteinander über Router zu koppeln, müssen beide Netze logisch voneinander getrennt werden. Eine Alternative stellt das N:N Mapping dar. In jedem der Router werden jeweils eine Route für das entfernte Netz in die Routing-Tabelle eingetragen. LANCOM Systems - 4

Routing Kopplung von zwei Netzen LANCOM LANCOM WAN LAN A 192.168.100.0 255.255.255.0 LAN B 192.168.120.0 255.255.255.0 Sauber getrennte Netze. Routing ist ohne Probleme möglich. LAN A 192.168.100.0 255.255.255.0 Logisch die gleichen Netze. Routing ist nicht mit vertretbarem Aufwand möglich. LAN B 192.168.100.0 255.255.255.0 LANCOM Systems - 5

Routing Anbindung eines einzelnen Rechnern (RAS) Wenn ein Rechner über einen IP-Router an ein Netzwerk angebunden werden soll, ist der Rechner logisches Bestandteil des lokalen Netzes. Dafür wird dem Rechner bei der Einwahl vom Router eine IP-Adresse zugewiesen. Dieser Vorgang ist der gleiche, der bei der Einwahl zu einem ISP stattfindet. LANCOM Systems - 6

Routing Anbindung eines einzelnen Rechnern (RAS) LANCOM WAN LAN A 192.168.100.0 255.255.255.0 Zuweisung einer IP aus dem lokalen Netz. z.B.: 192.168.100.15 / 255.255.255.255 LANCOM Systems - 7

Routing Definition der Netzwerkklassen (entfiel mit RFC 1519) Klasse A Klasse B Klasse C Netzmaske: 255.0.0.0 255.255.0.0 255.255.255.0 Netzwerk Host 1 Netzwerk Host 1 Netzwerk Host Netzklassen max. Anzahl von Netzen max. Anzahl von Hosts A 126 16.777.214 B 16.382 65.534 C 2.097.150 254 D reserviert LANCOM Systems - 8

Routing IP-Bereiche der Netzwerkklassen Klasse A: 1.x.x.x - 127.x.x.x Klasse B: 128.x.x.x - 191.x.x.x Klasse C: 192.x.x.x - 223.x.x.x reservierte Bereiche: 224.x.x.x - 255.x.x.x LANCOM Systems - 9

Routing Warum Subnetting? Bei der Nutzung reiner Netzklassen gibt es zu wenig logisch getrennte Netze, um den heutigen Routing-Anforderungen zu genügen. Das kleinste nutzbare Netz (Klasse-C) wäre für 254 Rechner ausgelegt. Es besteht Bedarf, kleinere Netze einzurichten, um diese logisch trennen zu können. Subnetting bedeutet weiterhin eine Reduzierung der Netzlast. Daher gibt es neben den Netzklassen die Möglichkeit, Netze durch Subnetz-Masken weiter aufzuteilen. LANCOM Systems - 10

Routing Berechnung der Netz-Adresse Die Netz-Adresse wird aus der IP-Adresse eines Hosts und der dazugehörigen Netzmaske errechnet. Dazu wird die IP-Adresse und die Netzmaske binär aufgeschrieben und logisch Und-Verknüpft. In der Logik ist das Symbol für „Und“ gleich "Λ“ IP-Adresse: 10.1.2.3 00001010.00000001.00000010.00000011 Netzmaske: 255.255.0.0 11111111.11111111.00000000.00000000 Netzadresse: 10.1.0.0 00001010.00000001.00000000.00000000 Logische Und-Verknüpfung (0 Λ 0 = 0) (0 Λ 1 = 0) (1 Λ 1 = 1) LANCOM Systems - 11

Routing Berechnung der Broadcast-Adresse Die Broadcast-Adresse wird aus der IP-Adresse eines Hosts und der dazugehörigen Netzmaske errechnet. Dazu wird die IP-Adresse und die invertierte Netzmaske binär aufgeschrieben und logisch Oder-Verknüpft. In der Logik ist das Symbol für „Oder“ gleich “V“ IP-Adresse: 10.1.2.3 00001010.00000001.00000010.00000011 Netzmaske: 255.255.0.0 00000000.00000000.11111111.11111111 Broadcast: 10.1.255.255 00001010.00000001.11111111.11111111 Logische Oder-Verknüpfung (0 V 0 = 0) (0 V 1 = 1) (1 V 1 = 1) LANCOM Systems - 12

Routing Subnetz-Masken Es sind nur folgende Subnetz-Masken empfehlenswert: Subnetzmaske Binär Anzahl der Anzahl Subnetze der Hosts .0 00000000 1 254 .128 10000000 2 126 .192 11000000 3 62 .224 11100000 6 30 .240 11110000 14 14 .248 11111000 30 6 .252 11111100 62 2 LANCOM Systems - 13

Routing Reservierte Adreßbereiche Um zu verhindern, daß die knappen IP-Adressen für den privaten Bereich verwendet werden, sind jeweils ein A-, ein B- und ein C-Klasse-Netz Bereich für die private Nutzung reserviert. Diese IP-Adressen dürfen nicht im Internet verwendet werden und werden von jedem Internet-Router verworfen. Diese IP-Adressen werden vom LANCOM Router per default gefiltert. LANCOM Systems - 14

Kapitel 16 - Wireless Security

Wireless Security Übersicht ACL (MAC-Adress-Filter (auch zentral über RADIUS)) Closed Network WEP-Verschlüsselung 802.1x / EAP IPsec over WLAN WPA/TKIP 802.11i LANCOM Systems - 16

Wireless Security ACL ACL steht für Access Control List Zugriff auf das WLAN nur für „bekannte“ WLAN-Clients. Pflegen einer MAC-Adress-Liste im Access Point. Pflegen einer MAC-Adress-Liste per RADIUS. LANCOM Systems - 17

Wireless Security Closed Network Kein aktives Kommunizieren der SSID (WLAN Netzwerkname) durch den Access Point. WLAN kann nicht „gefunden“ werden, z.B. durch „Windows Zero Konfig“. Kein Zugriff mit SSID „ANY“ möglich. LANCOM Systems - 18

Wireless Security Schwächen von ACL und Closed Network Weder ACL noch Closed Network sind Patentlösung zur Zugangskontrolle. Die 802.11-Protokoll-Definition sieht vor, dass sowohl die MAC-Adressen als auch die ESS-ID in Daten- oder Management-Frames über die Luft unverschlüsselt übertragen werden. Mit speziellen Wireless-LAN-Sniffer-Programmen können die Informationen ausgespäht werden und möglicherweise an den Client-Stationen gefälscht werden. LANCOM Systems - 19

Wireless Security WEP (Wired Equivalent Privacy) IEEE 802.11b beschreibt WEP64 (40 Bit). Die meisten WLAN-Karten unterstützen jedoch auch WEP128 (104 Bit), einige WEP152 (128 Bit). Symmetrisches Verschlüsselungsverfahren mit statischem PSK (Preshared Key). Verschlüsselung durch RC4-Algorythmus. Verwendung eines 24 Bit langen Initial Vector (IV) LANCOM Systems - 20

Wireless Security Schema einer WEP-Verschlüsselung Nachricht IVC XOR Schlüsselstrom = RC4 (IV/WEP-Schlüssel) zu übertragendes Datenpaket Klartext-Daten IV Verschlüsselte Daten LANCOM Systems - 21

Wireless Security Welchen Schutz bietet WEP? Die Aufgabe von WEP ist es, eine Sicherheit zu gewährleisten, die mit der Sicherheit von fest verkabelten Netzen vergleichbar ist. Um eine verschlüsselte Datenkommunikation zu ermöglichen, müssen alle Client-Stationen und Basis-Stationen WEP einsetzen. Alle Stationen arbeiten mit einem Schlüssel. Bei aktivierter Verschlüsselung wird das Mithören von Funkübertragungen ohne Kenntnis des Schlüssel unmöglich. LANCOM Systems - 22

Wireless Security Schwächen von WEP - IV Zu kurze Länge des IV (Initial Vector). Wiederverwendung eines Schlüssels bei WEP mit RC4 alle 16 Millionen Pakete. Theoretischer Ansatz: In einem 11 Mbit/s-WLAN, bei einer Nettodatenrate von 5 Mbit/s und einer maximalen Paketlänge von 1500 Bytes kommt es zu einer Wiederholung des Schlüssels nach 11 Stunden.  WEP Key errechenbar. Verwendung von „schwachen IVs“. LANCOM Systems - 23

Wireless Security Schwächen von WEP - RC4 Im Laufe des Jahres 2001 sind verschieden Schwächen von aktuellen WEP-Implementationen aufgedeckt worden. Im Januar stellte man an der University of California (Berkley) fest, dass WEP anfällig ist für bestimmte passive Attacken basierend auf „known Plaintext“ (Klartext) und „Dictionaries“ (Wörterbuch). LANCOM Systems - 24

Wireless Security Schwächen von WEP - RC4 Zur Verschlüsselung verwendet WEP einen Strom von Pseudozufallszahlen, der mit den zu übertragenen Daten mittels XOR verknüpft wird. Die Zufallszahlen werden durch den Algorithmus RC4 aus einem geheimen Schlüssel k berechnet. Aus einem Klartext P wird der verschlüsselte Text C = P XOR RC4(k) berechnet. Für feste k gilt jedoch C1 XOR C 2 = P 1 XOR P 2 , d.h., man kann mit einem bekannten Paar (P 1 , C 1 ) auch P 2 = (C 1 XOR C 2 ) XOR P 1 berechnen und somit sämtliche Kommunikation entschlüsseln, ohne k zu kennen. LANCOM Systems - 25

Wireless Security Schwächen von WEP - RC4 Um diesen Effekt zu verhindern, sieht WEP zusätzlich den Initialisierungsvektor (IV) vor, der sich bei jedem Datenpaket ändern muss: C = P XOR RC4 (IV, k). Damit die Gegenseite das Paket wieder entschlüsseln kann, wird der IV dem übertragenen Datenpaket als Klartext hinzugefügt. LANCOM Systems - 26

Wireless Security Schwächen von WEP - RC4 Der IV ist aber nur 24 Bit groß. Wiederverwendung eines Schlüssels bei WEP mit RC4 alle 16 Millionen Pakete. Theoretischer Ansatz: In einem 11 Mbit/s-WLAN, bei einer Nettodatenrate von 5 Mbit/s und einer maximalen Paketlänge von 1500 Bytes kommt es zu einer Wiederholung des Schlüssels nach 11 Stunden.  WEP Key errechenbar. LANCOM Systems - 27

Wireless Security Schwächen von WEP - Schwache Schlüssel Bei WEP gibt es eine grossen Menge von schwachen Schlüsseln (weak keys). Die Ursache dafür liegt vor allem in der unzureichenden Länge des Initialisierungsvektors (IV) und einer Eigenschaft des RC4-Verfahrens, bestimmte Muster in den Codes zu erzeugen. Bei einer Kryptoanalyse reduzieren solche Muster die Anzahl der zu untersuchenden Schlüssel deutlich. Verschiedene Cracking-Tools wie z.B. Airsnort und WEPcrack nutzen diese Ergebnisse von Fluhrer, Mantin, Shamir und behaupten von sich, WEPSchlüssel innerhalb weniger Stunden herauszufinden. LANCOM Systems - 28

Wireless Security WEPplus Proprietäre Erweiterung (Agere). Keine Verwendung von „schwachen IVs“. Voll kompatibel zum bisherigen WEP. LANCOM Systems - 29

Wireless Security Schwächen von WEP - Key-Management Das vermutlich schwerwiegendste Problem in vielen, insbesondere grossen WLAN-Installationen ist die Schlüsselverteilung oder das Key-Management. WEP beinhaltet bisher kein Key-Management, die Schlüsselvergabe erfolgt manuell und alle Stationen verwenden denselben Schlüssel. Die ad-hoc-Lösung dafür bietet das 802.1x-Verfahren. LANCOM Systems - 30

Wireless Security 802.1x / EAP Auf dem Client ist kein fester Schlüssel hinterlegt. Der Client muss sich an einem RADIUS Server authentifizieren (TLS oder TTLS). Dynamische Aushandlung der Schlüssel über EAP (Extensible Authentication Protocol) Regelmäßiger Wechsel des Schlüssels über den EAP Tunnel.  Keine IV-Kollision (Schlüsselwiederholung) LANCOM Systems - 31

Wireless Security IEEE 802.1x/EAP (Extensible Authentication Protocol) 802.1x ist ein Standard des IEEE für lokale Netze, der insbesondere bei Wireless LANs Furore macht. 802.1x erweitert WLANs um eine Authentifizierungs-Möglichkeit für Benutzer und Stationen. Damit können zwischen Client und Access Point WEP-Schlüssel regelmäßig neu generiert (Re-Keying) und den Stationen automatisch übermittelt werden. Bei einer Neugenerierung von WEP-Schlüsseln im 20- bis 60-Minuten-Takt ist es zur Zeit unmöglich, selbst RC4-basierte WEP-Verfahren zu knacken. LANCOM Systems - 32

Wireless Security Die IEEE 802.1x/EAP Komponenten Supplicant Der „Supplicant“ ist im allgemeinen ein Client-PC, Notebook oder PDA ausgestattet mit einem Netzwerkadapter. Der PC-Treiber für die Karte muss den 802.1x-Standard unterstützen und eine Client-Software zur Konfiguration muss vorhanden sein. Windows XP enthält bereits alles Notwendige für 802.1x, wenn die Funknetzwerkkarte vom Betriebssystem erkannt wird. Authenticator Der „Authenticator“ ist das Gegenstück zum Supplicant, in einem WLAN also der Access Point. LANCOM Systems - 33

Wireless Security Ablauf einer IEEE 802.1x/EAP Überprüfung Authenticator und Supplicant tauschen per EAP (genauer: EAP-over-LAN) die Authentifizierungs-Daten aus. Die tatsächliche Überprüfung der Benutzerdaten vom Supplicant geschieht allerdings durch den „Authentication Server“. Die Kommunikation zwischen Authenticator und Authentication Server findet per RADIUS-Protokoll statt. Auch der RADIUS-Server muss die EAP Erweiterungen unterstützen. LANCOM Systems - 34

Wireless Security IEEE 802.1x/EAP Methoden EAP und IEEE 802.1x stellen das Rahmenwerk zur Authentifizierung dar. Wie die Identität von Benutzern und Stationen tatsächlich überprüft wird, bestimmt die EAP-Methode. Die wichtigsten Methoden nutzen dazu entweder digitale Zertifikate oder Passwörter. EAP-Methode Supplicant Authenticator Authentication-Server EAP-TLS Zertifikat Schnittstelle zu Certification Authority EAP-TTLS Passwort Schnittstelle zu Certification Authority, Benutzerdatenbank EAP-MD5 - Benutzerdatenbank LANCOM Systems - 35

Wireless Security Sicherheit von IEEE 802.1x/EAP Der wesentliche Gewinn für die Sicherheit in Wireless LANs durch 802.1x entsteht durch die Kombination des Authentifizierungs-Verfahrens mit der WEP-Verschlüsselung. Nachdem Client und Netzwerk gegenseitig ihre Echtheit überprüft haben, ist es möglich, den WEP-Schlüssel automatisch zu generieren oder vom Authentication Server zuweisen zu lassen. LANCOM Systems - 36

Wireless Security Sicherheit von IEEE 802.1x/EAP Auch ein regelmäßiger Schlüsselwechsel (Key-Roll-Over, Re-Keying) und eine Re-Authentifizierung nach einer festgelegten Zeit sind möglich. Passive Attacken auf WEP werden damit erschwert bzw. unmöglich gemacht. Der Zeitraum zwischen zwei Überprüfungen und Schlüsselwechseln muss dafür hinreichend klein gewählt werden. LANCOM Systems - 37

Wireless Security IEEE 802.1x/EAP mit WEP Authenticator Encryption mit WEP128 / WEP152 Authentifizierung mit RADIUS, 802.1x / EAP EAP-over-LAN (EAPOL) Supplicant LANCOM Systems - 38

Wireless Security Schema einer IEEE 802.1x/EAP Überprüfung LANCOM Systems - 39

Wireless Security Ablauf einer IEEE 802.1x/EAP Überprüfung LANCOM Systems - 40

Wireless Security Windows 2000 Client mit installiertem Odyssey Client LANCOM Systems - 41

Wireless Security Windows 2000 Server als RADIUS mit Windows XP Client LANCOM Systems - 42

Wireless Security IPsec over WLAN Verschlüsselung der WLAN Kommunikation mit VPN IPsec Technologie. Einsatz von sicheren Verschlüsselungsalgorithmen wie AES, Blowfish oder 3DES. IPsec ist eine „bewährte“ und sichere Technologie. Höherer Konfigurationsaufwand. Hohe Performance der Geräte erforderlich. LANCOM Systems - 43

Wireless Security WPA (WiFi Protected Access) Definition von WPA durch die WiFi-Alliance. Verschlüsselungsverfahren TKIP und MIC („Michael“) als Ersatz für WEP. Standardisiertes Handshake-Verfahren zwischen Client und Access Point zur Ermittlung/Übertragung der Sitzungsschlüssel (ohne RADIUS-Server). LANCOM Systems - 44

Wireless Security TKIP (Temporal Key Integrity Protocol) TKIP ist eine „Übergangslösung“ auf existierender WEP/RC4-Hardware. Verschlüsselungsalgorithmus mit RC4 ohne die Nachteile von WEP. Wesentlich größerer Adressraum des IV (jetzt 48 Bit). Integritätsprüfung der Datenpakete („Michael“). Individueller Schlüssel zwischen Client und AP. LANCOM Systems - 45

Wireless Security IEEE 802.11i Der neue WLAN Sicherheitsstandard WPA ein „Vorläufer“ von 802.11i. Verschlüsselungsverfahren AES-CCM. Verschlüsselung und Integritätsprüfung mit AES. Nach IEEE 802.11i muss AES unterstützt werden, TKIP ist optional. LANCOM Systems - 46

Wireless Security IEEE 802.11i AES-CCM sollte in Hardware implementiert sein, eine Software-Implementation ist jedoch möglich (mit Performanceeinbußen). Authentifizierung des Clients am Access Point. Individueller Schlüssel zwischen Client und AP. AES genügt dem Federal Information Standard 140-2 LANCOM Systems - 47

Wireless Security Sicherheit im Wireless LAN Zitat Heise Ticker: „Der nun ratifizierte Standard IEEE 802.11i umfasst alle Fähigkeiten von WPA und ergänzt diese durch die Vorschriften für die Verwendung des Advanced Encryption Standard (AES) zur Verschlüsselung von Daten. Der AES bietet genügend Sicherheit, um die notwendigen Spezifikationen des Federal Information Standards (FIPS) 140-2 einzuhalten, die von vielen staatlichen Stellen gefordert werden.“ LANCOM Systems - 48

Wireless Security IEEE 802.11i Betriebsarten PSK – Preshared Key PKI – IEEE 802.1x AP – Client (P-MP) Eine Passphrase für alle Clients Einfachste Betriebsart für kleinere Installationen Eigene Anmeldung jedes Clients über Benutzer / Passwort bei Radius Server Für grosse Installationen, sehr aufwändig zu betreiben. AP - Client (P – MP) Getrennte Passphrase je Client (nur bei LANCOM Systems !) Optimal für mittlere und grössere Installationen AP – AP (Client) Wird auch von LANCOM APs im Client Mode unterstützt AP – AP (P – P) Einsatz auch auf Punkt-zu-Punkt Verbindungen LANCOM Systems - 49

Wireless Security IEEE 802.11i - Client to AP Das Authentifizierungs-verfahren: verschlüsselter Austausch des PSK Aufbau einer verschlüsselten Verbindung Verschlüsselung mit Hardware AES (128bit) Jede Verbindung erhält einen Session Key und ist somit individuell abgesichert Pre-Shared-Key: ******* Pre-Shared-Key: ******* Pre-Shared-Key: ******* ID? LAN / Internet Pre-Shared-Key: ******* LANCOM Systems - 50

Wireless Security IEEE 802.11i - Client to AP Das Authentifizierungs-verfahren: verschlüsselter Austausch des PSK Aufbau einer verschlüsselten Verbindung Verschlüsselung mit Hardware AES (128bit) Jede Verbindung erhält einen Session Key und ist somit individuell abgesichert AES / Session Key 1 AES / Session Key 2 ID OK! LAN / Internet AES / Session Key 3 LANCOM Systems - 51

Wireless Security IEEE 802.11i - Point to Point Gebäudekopplung (Errichtung einer Point-to-Point Strecke) mit 2x AirLancer Extender O-18a im 5 GHz Band: 54 Mbit/s  600 m 6 Mbit/s  8 km Gebäudekopplung mit 2x AirLancer Extender O-30 im 2,4 GHz Band: 54 Mbit/s  180 m 6 Mbit/s  2 km Relaisfunktion zur Weiterverbindung von Funknetzen mit LANCOM Access Points Ausleuchtung von Flächen (Campus, Point-to-Multipoint) mit AirLancer Extender O-70 im 2,4GHz Band: 54 Mbit/s  70 m 6 Mbit/s  840 m LANCOM Systems - 52

Wireless Security LEPS - LANCOM Enhanced Passphrase Security Vorteil der Passphrase: Einfach einzurichten Nur ein globaler String Für kleine Netze (z.B. privat) prädestiniert LANCOM Systems - 53

Wireless Security LEPS - LANCOM Enhanced Passphrase Security Nachteil der Passphrase: nur eine Passphrase in der Firma menschlicher Faktor: die Passphrase verbreitet sich auch an Unbefugte Sicherheitslücke: Unbefugte nutzen die Passphrase, um in das Netzwerk zu kommen, da die Passphrase nicht mit WLAN-Karte verknüpft ist: Jeder kann sie nutzen! Passphrase LANCOM Systems - 54

Wireless Security LEPS - LANCOM Enhanced Passphrase Security LEPS gibt jedem Nutzer eine individuelle Passphrase Keine Verbreitung über große Nutzergruppen LEPS verknüpft die Passphrase mit der MAC-Adresse der WLAN-Karte nur noch von dem Nutzer der WLAN-Karte zu benutzen Nebeneffekt: MAC-Adress-Spoofing wird verhindert, da jetzt 2 Unbekannte gleichzeitig zu knacken sind: Passphrase und MAC-Adresse LEPS ist genial einfach: LANCOM Systems - 55

Wireless Security LEPS - LANCOM Enhanced Passphrase Security LEPS ist auch mit RADIUS nutzbar. LEPS ist auch für Point-to-Point Strecken nutzbar LEPS funktioniert für WPA und AES (802.11i) LEPS ist kompatibel zu jedem WLAN Client! LANCOM Systems - 56

Wireless Security LEPS - LANCOM Enhanced Passphrase Security MAC-Adresse 1  Passphrase 1: *******1 Behebt die Schwäche von Passphrases ohne 802.1x aufsetzen zu müssen: eine individuelle Passphrase pro Client in Verbindung mit MAC-Adresse unverwechselbar ‚menschliche Schwächen‘ werden vermieden Einfache Administration per RADIUS MAC Passphrase 1 ********1 2 ******2** 3 ***3***** MAC-Adresse 2  Passphrase 2: *****2** Key Berechnung MAC-Adresse 3  Passphrase 3: ***3**** Internet Client Authenticated! LANCOM Systems - 57

Wireless Security LEPS - LANCOM Enhanced Passphrase Security Behebt die Schwäche von Passphrases ohne 802.1x aufsetzen zu müssen: eine individuelle Passphrase pro Client in Verbindung mit MAC-Adresse unverwechselbar ‚menschliche Schwächen‘ werden vermieden Einfache Administration per RADIUS AES/ Session Key 1 AES/ Session Key 2 Internet AES/ Session Key 3 LANCOM Systems - 58

Wireless Security Default WEP für alle Access Points Verschlüsselung ab Werk WEP128 Schlüssel WEP-Key = „L00A057xxxxxx“ Aufbau: „L“ + „MAC-Adresse“ Aktiv im Auslieferungszustand oder nach Geräte-Reset Verhindert Missbrauch durch Wardriver versehentlich offenes Netz wird verhindert WEP128 Default Encryption WLAN-Verschlüsselung bereits im Auslieferungszustand! LANCOM Systems - 59

Wireless Security Sicherheit im Wireless LAN WEP WPA 802.11i Verschlüsselung Benutzt ‚weiche‘ Keys. Kann mit Tools in kurzer Zeit geknackt werden. Mit TKIP und MIC bessere Ver-schlüsselung. Theoretische Zeit bis zur Schlüsselwieder- holung sehr lang. Mit AES gleichwertige Sicherheit wie VPN. 40bit/104bit/128bit RC4 128bit RC4 128bit AES Key-Verteilung per Hand, Man-in-the-middle Attacke möglich Durch Passphrase automatische Keyberechnung Automatische Keyberechnung, AES in Hardware Authentifizierung Key geht zunächst im Klartext über die Strecke Verschlüsselter Keyaustausch LANCOM Systems - 60

Wireless Security Migration von WEP nach IEEE 802.11i Umstellung einer laufenden WLAN Infrastruktur auf den neuen Sicherheitsstandard 802.11i. Aber was ist mit Client Adaptern nach 802.11b PDAs ohne WPA Unterstützung MDE-Geräten (z.B. Barcode-Scanner) … ? Die Lösung: WLAN mit Multi-SSID LANCOM Systems - 61

Wireless Security Migration von WEP nach IEEE 802.11i Bis zu 8 SSIDs pro WLAN-Interface sind möglich. Unterstützt werden kann dieser Aufbau noch durch ein VLAN-Tagging, um die Nutzergruppen der passenden Sicherheitsstufe zuordnen zu können. Höchste Sicherheit durch 802.11i / AES WEP128 Sicherheit, um möglichst viele Clients anzubinden. WPA / TKIP akzeptable Sicherheit bei hoher Performance für Clients ohne AES-Unterstützung. Offenes Netz ohne Verschlüsselung. LANCOM Systems - 62

LANCOM Systems - 63