Fachbereich Mathematik & Informatik Seminar IT-Administration. Thema:WLAN,Netzwerk Monitoring & Filtering

Transkript

1 1 Fachbereich Mathematik & Informatik Seminar IT-Administration Thema:WLAN,Netzwerk Monitoring & Filtering Von: Mabou Bopda Constant Matr.-Nr Betreuer:Dr. Oliver Dippel Abstract Die Integration von Festnetz und Mobilfunk in eine gemeinsame Architektur ist eine Priorität für die Betreiber und Dienstleister, um unter anderem Sicherheit und operationelle Reaktionsfähigkeit zu erhöhen. Zur Analyse aller Facetten des Problems der Planung eines drahtlosen Netzwerkes, stellt diese Seminararbeit eine Beschreibung einiger Variablen, sowie die Ziele, die einen solchen Prozess umfasst, dar. Dies hilft die nötige Charakterisierung von funktionalen und nichtfunktionalen Tools zu verstehen. I. INTRODUCTION Mit der schnellen Entwicklung von Wireless- Netzwerken sind die Anforderungen in Sachen Sicherheit nicht mehr wegzudenken. Dies erfordert die Einführung fortgeschrittener Methoden zur Authentifizierung und Verwaltung den verschiedenen Einrichtungen auf dem Netzwerk. In diesem Zusammenhang müssen Sicherheitsmaßnahmen Einrichtungen und Sitzungen überwacht werden (Monitoring), für jede Art von Anwendung und zwar mit wenig Einfluss auf die Gesamtleistung des Netzwerks. Übertragungsmedien werden durch mobile und drahtlose Netze freigegeben mit folgenden Wirkungen: Daten die vom Träger gesendet werden, abzufangen, ändern und wiedergeben. Der Angreifer kann auch Kanäle sättigen oder die Ausrüstungen des Netzes beschädigen. Ein anderes Problem ergibt sich aus der Tatsache, dass durch diese Netze erbrachte Mobilität eine neue Bedrohungen für den Schutz von Informationen im Zusammenhang mit Wireless-Architekturen entsteht. Um Sicherheitsmechanismen für mobile Netzwerke und die Mobilität von Wireless-Clients zu berücksichtigen, zeige ich in diesem Seminar wie Netzwerk Monitoring und Filtering eingesetzt werden sollen und inwiefern eine erneute Authentifizierung geführt werden soll (Abschnitt V), je nach dem wo der Wireless-Clients sich befindet, Re-authentifizierungen müssen dann effizient und effektiv sein (Abschnitt IV.a). Es sollte weder zu einer Erhöhung der Fluktuation der Ressourcen im Netzwerk führen, noch Auswirkungen auf die Rate von Übertragung und Empfang von mehreren Arten von Anwendungen wie Medien oder Videokonferenzen haben. Diese Anforderungen an einen Access Point werden in dieser Seminararbeit untersucht und in einem Client- Manager für einen vorhandenen Acces Point beispielhaft implementiert. A. GRUNDLAGEN II. VERMITTLUNGSSICHT [1] Die Vermittlungsschicht steuert die zeitliche und logisch getrennte Kommunikation zwischen den Endgeräten, unabhängig vom Übertragungsmedium und -topologie. Auf dieser Schicht erfolgt erstmals die logische Adressierung der Endgeräte. Die Adressierung ist eng mit dem Routing (Wegfindung vom Sender zum Empfänger) verbunden. Das OSI-7-Schichtenmodell oder OSI-Referenzmodell beschreibt das Durchlaufen von 7 Schichten in denen Funktionen und Protokolle definiert sind und einer bestimmten Aufgabe bei der Kommunikation zwischen zwei Systemen zugeordnet sind. Die Protokolle einer Schicht sind zu den Protokollen der über- und untergeordneten Schichten weitestgehend transparent, so

2 2 dass die Verhaltensweise eines Protokolls sich wie bei einer direkten Kommunikation mit dem Gegenstück auf der Gegenseite darstellt. Die Übergänge zwischen den Schichten sind Schnittstellen, die von den Protokollen verstanden werden müssen. B. ROUTING [2] Es gibt verschiedenen Routing Algorithmen ( zum Beispiel Distance Vektor Routing ), weil Netze manchmal so groß sind, werden öfter hierarchische Routings eingestellt, D.h der Router kennt nicht das Ziel, aber den Weg zum Ziel, also die Richtung, in die ein Packet weitergeleitet werden muss. Dabei helfen IP- Adressen, die an einzelnen Geräte oder Gruppen von Geräten ( Broadcast, Multicast ) ins Netz zugewiesen sind. C. PROTOCOLS [3] Die wichtigsten Protokolle in der Vermittlungssicht sind: IP: Internet Protocol Erzeugt IP-Pakete mit geeigneten Adressen, und leitet die zum Router weiter. Ver. Head len. Abbildung1: IP datagram format Type of Ser. lenght 16-bit identifier flgs Fragment offset Time To live Upper layer Internet checksum 32 bit source IP adresse 32 bit destination IP adresse Option (if any) Data RIP: Routing Information Protocol ist ein Routing-Protokoll auf Basis des Distanzvektoralgorithmus, das innerhalb eines autonomen Systems (z.b. LAN) eingesetzt wird, um die Routingtabellen von Routern per Advertisement automatisch zu erstellen. Wenn nach 180 Sekunde von einem Link kein Advertisement ankommt, wird er als tot betrachtet. ICMP: Internet Control Message Protocol Wird von Host und Router angewendet um Informationen über Netzwerk-Stufen mitzuteilen. (Error reporting: unreacheable host/network/port, Echo request:ping). ICMP Nachrichten werden in IP-Pakete getragen. D. PERFORMANCES & EFFICIENCY Die 32 Bits für den Adressen Bereich in IPv4 werden bald verbraucht. Ein neuer header format würde dann besser für processing/forwarding passen. Deshalb kommt IPv6 in frage mit 40 bits Header und ohne Fragmentierung. IPv6 kann außerdem die Priorität zwischen Datagrams setzen, und die Datagrams von einem selben Flux erkennen. Dabei ist der Checksum entfernt worden um die Bearbeitungszeit zu verringern. Aber nicht jede Router kann gleichzeitig IPv4 und IPv6, also werden meisten IPV6 Datagram in IPv4 Datagram getragen als Payload. Abbildung2: Ipv6 Header Ver. Pri. Flow label Payload len. Next Hop limit hdr 128 bits source adresse 128 bits destination adresse Data III. THE NORME Grundsätzlich können Netzwerke als eine Erweiterung des Ethernet-Netzes angesehen werden. Diese Netze umfassen eine Reihe von Technologien, die ermöglichen lokales Netzwerk zu bilden ohne den Einsatz von Kabelverbindungen zwischen Computern herstellen zu müssen. In der Tat ist die Verdrahtung von Funkverbindungen ersetzt. Die wichtigsten Technologien zu entwickeln WLAN sind die Zugehörigkeit zu IEEE Standards, einschließlich Bluetooth und Hiperlan. Der Standard der

3 3 bekanntesten und beliebt WLAN b (WiFi34). Dieser Standard wird ein weites Panorama von Anwendungen dank der vorteilhaften Eigenschaften auf Ethernet-Technologie bieten. A. TOPOLOGIE Der Standard definiert zwei Arten von Topologie: die Infrastruktur-Modus und Ad-hoc-Modus. A.1 Infrastuktur-Modus Ein Netzwerk ist eine Reihe von BSS (Base Station Subsystem). Jede BSS hat ein Access-Point mit einer Sende / Empfangs Funktionalität. Die Zellen (BSS) werden durch eine feste Kommunikationsinfrastruktur angeschlossen und verbunden durch ein Verteilungssystem zu einer ESS (Extended Service Set). Diese Infrastruktur ist eine Schnittstelle mit einem LAN, und Innerhalb eines ESS kann das BSS automatisch gewechselt werden, ohne dass es zusätzlicher Administration bedarf. Dieser Vorgang wird als Roaming bezeichnet. Abbildung3: Infrastruktur-Modus jede Station, die eine Verbindung mit einem Netz herstellen will, den Wert der SSID kennen. B. AUTHENTIFICATION vor jeder Verbindung mit dem AP (Access-Point), muss eine Station sich authentifizieren um auf diesen AP zugreifen zu können. Authentifizierung Techniken zwischen Stationen und Access Point sind von zweierlei Arten: Open System Authentication: Mit dieser Technik ist keine explizite Authentifizierung zwischen zwei Entitäten erforderlich. Als Ergebnis die mobile Station kann sich mit dem Access Point verbinden und gleich beginnen mit der Sendung und Empfang von Daten. Shared Key Authentification: Diese Technik etabliert eine Authentifizierung, die auf einen gemeinsamen Key Basiert ist. Tatsächlich sendet die Station, die sich will mit dem AP verbinden will, eine Anforderung zur Authentifizierung. Der Access Point antwortet mit einem zufälligen Wert von 128 Bit. Die Station verschlüsselt diesen Wert mit dem geheimen Schlüssel dank einem symmetrischen Verschlüsselungsalgorithmus. Nach Eingang entschlüsselt der Access Point mit dem gleichen Schlüssel, die verschlüsselte Nachricht und bestätigt die Authentifizierung der Station, wenn die Prüfung korrekt ist, sonst reagiert er mit einer negativen Nachricht. B.1 Das WEP-Protokoll A.2 Ad-hoc- Modus Dieser Modus bezeichnet eine Menge von Stationen, die miteinander kommunizieren, ohne Access Point oder Verbindung zu einem verkabelten Netzwerk. Jede Station kann die Kommunikation mit beliebigen anderen Stationen in der Zelle etablieren, dies wird IBSS (Independent BSS) genannt. In beiden Infrastruktur und Ad-hoc-Modi, jede Netzwerk-Services wird durch ein Netzwerk-Kennung identifiziert SSID(Service Set Identifier). Deshalb muss [6] Das Wired Equivalent Privacy-Protokoll (WEP- Protokoll) wurde innerhalb des IEEE Standards mit dem Ziel entwickelt, drei wichtige Sicherheitsanforderungen zu erfüllen: Vertraulichkeit (privacy): Unbefugte sollen die übermittelten Daten nicht mitlesen können. Integrität (integrity): Verschickte Pakete sollen nicht unbemerkt verändert werden können. Zugriffskontrolle (access control): Die drahtlose Infrastruktur soll vor unberechtigtem Zugriff geschützt werden. WEP basiert auf der Stromchiffre RC4, der eine Pseudo- Random-bytes Keystream (KS=RC4(IV, k)) erzeugt.

4 4 Diese Serie von Bytes wird verwendet, um eine Nachricht M mit einem Standard-Protokoll zu verschlüsseln, dann folgt ein C = M XOR Ks, wobei C (Chipertext) ist die verschlüsselte Nachricht, die gesendet wird. Der Initialisierungsvektor (IV) hat eine Länge von 24 Bit und wird stets unverschlüsselt übertragen. Die Schlüssellänge selbst beträgt im Standard 40 Bit. Von vielen Herstellern wurde eine Erweiterung mit 104 Bit implementiert. Der Initialisierungsvektor sollte für jedes Paket vom Absender neu gewählt werden. Abbildung4: Das WEP Protokoll B.2 Die Schwachstellen des WEP WEP hat viele Schwachstellen, eineige von denen sind: Die Schlüsselverwaltung (alle Benutzer die gleichen Schlüssel). Tatsächlich definiert WEP keine Möglichkeit, Schlüssel zu verwalten. Es ist der Administrator der Schlüssel zum WLAN zu erstellen, zu verteilen, zu archivieren / Speicherung auf eine geschützte Art und Weise. Da die WEP-Schlüssel geteilt werden, ist die Vertraulichkeit der Kommunikation nicht gewährleistet.. Die Zahl der Keystream ist bis 2 ^ 24 beschränkt. Ein Angreifer kann leicht die Frame erzeugen, ihre verschlüsselte Form registrieren, und dann die Keystream abziehen die durch ihre IV identifiziert werden. Mit WEP kann die Mobilstation sein AP nicht authentifizieren. sie kann daher nicht überprüfen ob sie mit der realen Access Point im WLAN verbunden ist. IV. THE NORME 802.1X IEEE 802.1x-Standard wurde als Basis für Zugriffskontrolle, Authentifizierung und Schlüsselverwaltung geboten x wurde ursprünglich für den sicheren Zugriff Management für LAN entworfen. Sein Zweck ist, den Datenstrom von einem nicht authentifizierten Benutzer zu blockieren. Das heißt, Authentifizierung beim Zugriff auf das Netzwerk um Zugriff auf Ressourcen zu ermöglichen. Und zwar wie folgt: Die Mobile Station (Supplicant): Arbeitsplatz (Computer-Terminal) macht ein Antrag auf Zugang zum Netz. Der Authentificator: Kontrolliert und stellt die Netzwerkverbindung zur Verfügung. Ein Port, der von diesem Gerät gesteuert wird, kann zwei Zustände haben nicht autorisiert oder autorisiert. Wenn der Client nicht authentifiziert ist, ist der Port in nicht autorisierten Zustand und nur der Datenverkehr zwischen dem Endgerät und der Authenticator ist erlaubt. Die Authentifizierungsanforderung wird an den Authentifizierungsserver mit dem Protokoll EAP47 weitergeleitet. Die Andere Pakete werden blockiert, solange der Port sich in nicht autorisierten Zustand befindet. Am Ende, analysiert bzw. filtert der Authentificator die Benachrichtigung bzw. Rahmen der Mobilstation auf Basis der Erfolg oder Misserfolg dieses Verfahrens. Der Authentifizierungsserver: Es führt die Anmelde-Prozedur mit dem Authentificator durch und validiert die Zugangsanforderung. Danach wird der Port in den Autorisierten Zustand geschaltet und der Kunde ist berechtigt, vollen Zugriff auf das Netzwerk zu haben. Während dieser Phase wird den Dialog zwischen dem Server und dem Terminal nicht interpretieren. A. WPA, i Standard und WPA2 WPA (Wi-Fi Protected Access) wurde als Antwort der WLAN-Industrie auf die Schwächen des WEP s gedacht. Es gibt dabei zwei Modi:

5 5 Enterprise-Modus: Benutzt Authentifisierung, Schlüsselmanagement und ein RADIUS(Remote Authentication dial-in User Service) -Servern als Authentifizierungsserver. PSK-Modus: Ein an alle Anwender verteilter geheimer Passwort-Satz dient zur Authentisierung (eher für Privatanwender gedacht). Abbildung5: Buffalo WHRG54S Encryption setup Die Arbeitsgruppe IEEE i studierte eine Architektur, um die Lücken des WEP s zu beseitigen. Obwohl diese Norm nicht abgeschlossen ist, wurde WPA veröffentlicht und als zwischen Lösung empfohlen. Dieser Standard basiert auf Netzwerke, verwendet 802.1X für die Authentifizierung und die Berechnung eines Master-Schlüssel namens PMK60(Pairwise Master Key). Doch im Fall von Adhoc-Modus wird dieser Schlüssel PSK genannt und manuell verteilt. Die Hierarchie von kryptographischen Schlüsseln ist in [802.11i] definiert. V. FILTERUNG & MONITORING [7] Wie geht WPA die Schwächen von WEP an? Der IV wird auf 48 Bit verlängert. Dazu festgelegte Regeln, wie neue IVs ausgewählt werden. Ein Nachrichten-Integritätscode (MIC), wird statt des CRC-Verfahrens eingeführt. Es wird ein Verfahren zur Schlüssel-Erzeugung und zur automatischenverteilung im Netz verwendet. Das TKIP (Temporal Key Integrity Protocol) generiert aus dem Master Key neue Schlüssel für jedes Packet. Das verhindert einschließlich die Wiedergabe Pakete Außerhalb der richtigen Reihenfolge (Limit Angriffe via Replay), es ermöglicht auch der Standby und die dynamische Schlüssel-Änderungen nach Erfindung verdächtigen Paketen. Dann wurde WPA2 eine zertifizierte Produkte von IEEE i Standard eingesetzt und auf Interoperabilität überprüft. WPA2 ist abwärtskompatibel zu WPA, ersetzt TKIP (mit RC4) durch den Verschlüsselungsalgorithmus AES (Advanced Encryption Standard), AES benötigt aber neue Hardware für APs, da er rechenintensiver als TKIP ist. A. Filterung In diesem Abschnitt werde ich zeigen, wie man sein AP zu Hause oder im Büro korrekt konfigurieren kann, um Netwerksfilterung zu ermöglichen. Die Anweisungen zu erweiterten Einrichtung und Konfiguration gelten für die AirStation WHR-G54S von Buffalo, sind aber relative ähnlich zu allen anderen AP mit SmartRouter Funktion. A.1 IP-Filterung Die SmartRouter Technologie wird die Art der Internetverbindung automatisch identifizeiren, und bittet Sie um alle benötigten Informationen. Wenn Ihr ISP(Internet Service Provider) automatisch IPs (wie die meisten Kabel-Anbieter) zuweist, wird Der (Dynamic Host Configuration Protocol) DHCP-Server Ihrem Router eine IP-Adresse geben. Wenn zusätzliche Login- Daten erforderlich sind, um sich mit dem Internet verbinden zu können, wird der Assistent danach fragen. Nach erfolgreicher Einstellung landet man auf die die Startseite Ihres AirStation-Konfiguration-Tools, indem Firewall, Verschlüsselung, Wireless-Kanäle, Internet- Anschluss zu konfigurieren sind. In Erweiterte Einstellungen kann jedes Element der AirStation konfiguriert werden.

6 6 Abbildung6: Buffalo WHRG54S WAN setup Abbildung8: Buffalo WHRG54S IP Address Filter In Network Config->IP filter können: Basic Rules definiert werden, eine Regel beschränkt die Art der Pakete, die zwischen WAN und LAN übermittelt werden können. Wenn Pakete die AirStation erreichen, werden Sie von den IP-Filtern und grundlegenden Filtern bewertet und nicht übereinstimmende Pakete an ihr Ziel übertragen. Log output : Durch Aktivieren dieses Kontrollkästchens werden in einem Protokoll Abbildung7: Buffalo WHRG54S Packet Filter setup Operation: Wählen Sie den Vorgang, der für die Pakete ausgeführt werden soll. -Ignoriert (Paket anhalten und nicht weiterleiten). -Abgelehnt (Das abgelehnte Paket zum Ausgangspunkt zurückleiten). -Akzeptiert (Das Paket übermitteln). Die Standardeinstellung lautet Ignoriert. Richtung: Bestimmen Sie die Richtung des Paketstroms. LAN WAN LAN-seitige Pakete werden gefiltert. WAN LAN WAN-seitige Pakete werden gefiltert. Die Standardeinstellung lautet WAN LAN. IP Filter Rules: Dieser Bereich dient dem Hinzufügen und Bearbeiten von: Die folgenden Bedingungen können mit der jeweiligen Richtung festgelegt werden. In diesem Fall werden Pakete, die alle Bedingungen erfüllen, gefiltert. IP-Adresse: Zum Filtern können individuelle Quellund Ziel-IP-Adressen festgelegt werden. Standardmäßig ist das Feld leer. Lassen Sie dieses Feld leer, um alle IP-Adressen zu filtern. Anstelle der IP-Adresse kann auch die Netzwerkadresse angegeben werden. In diesem Fall bestimmt der Maskenwert hinter / gefolgt von der Netzwerkadresse die Subnetzmaske. Der Maskenwert ist 1 bis 32.

7 7 Zusammenfassung: IP-Filter arbeiten auf Vermittlungsund Transportschicht und untersuchen die Pakete nach Typ des Pakets, wie TCP oder UDP, nach IP-Adressen des Senders und Empfängers, sowie nach den Portnummern des Senders und Empfängers. Dazu trägt der Systemadministrator im einfachsten Fall statische Regeln in der Konfiguration des IP-Filters ein, die nacheinander geprüft werden. [9] Einfache IP-Filter (stateless filter) haben einige Probleme, so können sie nicht auf dynamisch ausgehandelte Datenkanäle regieren und können die Daten nicht auf sicherheitsproblematische Inhalte untersuchen. Außerdem ist die Konfiguration recht aufwendig, da es Regeln für jede Verbindung in Hinund Rückrichtung geben muss. Sollten die Rechner im internen Netz keine öffentlichen IP-Adressen verwenden, dann muss ein Filter außerdem zusammen mit NAT (Network Adresse Translation) betrieben werden. Der Vorteil dieser Filter ist aber, dass sie sehr schnell sind. Die Probleme der einfachen IP-Filter können zum Großteil von dynamischen Filtern (stateful filter) behoben werden. Diese Filter merken sich den Zustand von Verbindungen und können so z.b. Antwortpakete ohne zusätzliche Regel durchlassen. Wenn man noch einen Schritt weiter geht, lässt man den Filter die Daten auch auf Anwendungsebene untersuchen. A.1 MAC-Filterung Drahtlose Verbindungen zur AirStation können zur Erhöhung der Sicherheit gegenüber unerwünschten Netzwerkbesuchern auf die MAC-Adressen bestimmter Clienten beschränkt werden. Wenn aktiviert, können nur Wireless Client-Adapter mit registrierten MAC- Adressen eine Verbindung zur AirStation herstellen. Wählen Sie MAC-Filter [Aktivieren] oder [Deaktivieren]. Aktivieren Sie die Option Aktivieren, um MAC-Filter zu verwenden. Dann können nur drahtlose Clienten mit registrierten MAC-Adressen eine Verbindung zu dieser AirStation herstellen. Doch selbst wenn [Aktivieren] ausgewählt ist, bleibt der MAC-Filter deaktiviert, wenn keine MAC- Adressen konfiguriert sind. Die Standardeinstellung lautet [Deaktiviert]. Die Registrierungsliste enthält die Liste der MAC-Adressen, die eine Verbindung zu dieser AirStation herstellen können. B. Monitoring Auf der AirStation können Loginformationen aufgezeichnet und angezeigt werden. Die ältesten Informationen werden durch neue Einträge überschrieben. Wählen Sie Diagnostic-> log info um die Ereignisse, zu protokollieren. Die Standardeinstellung lautet Alle aber folgenden Elemente stehen zur Auswahl: -Address Übersetzung (NAT) -Paketfilter (Einschließlich verworfene IP Masquerade-Pakete) -Firewall -Drahtloser Client(Start/Stopp und Verbindung des Klienten) -Konfigurationsänderungen(Einschließlich Anmeldung/Abmeldung) -Intrusion Detector B.1 Intrusin Detector Ein Intrusion Detection System (IDS) ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Computernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen. Dieser intelligente Firewall-Dienst verhindert unberechtigte Zugriffe von WAN-seitigen Geräten. Er zeichnet beim Buffalo WHRG54S zudem Informationen über unberechtigte Zugriffsversuche in der Logdatei auf. Abbildung9: Buffalo WHRG54S IDS

8 8 zunächst werden Paketfilterregeln auf die Pakete angewandt. Grundlegende Regeln werden zudem zu den Intrusion Detector-Regeln hinzugefügt. Bei IP-Spoofing Z.B. wird eine IP-Adresse (häufig eine interne IP-Adresse), die nicht die richtige IP-Adresse ist, verwendet bzw. geklont. So kann der PC eines Hackers den Anschein eines legitimen PCs haben, da die IP- Adresse eines anderen PCs verwendet wird. Die folgenden Adressen werden für IP-Spoofing verwendet. Abbildung11: Buffalo WHRG54S Log information Private Adressen der Klasse A: ~ Private Adressen der Klasse B: ~ Private Adressen der Klasse C: ~ Loopback: ~ Klasse D: ~ Klasse E: ~ Eindringende Pakete werden abgelehnt. [10] Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können. Der komplette Prozess unterteilt sich dabei in drei Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten oder Daten des Netzwerkverkehrs sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein Intrusion Alert (Einbruchs-Alarm) ausgelöst. Es kann sich dabei lediglich um eine oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgt. Abbildung10: Intrusion Detection System Die Anzahl der von der AirStation insgesamt gesendeten und empfangenen Pakete sowie die dabei aufgetretenen Fehler können auch angezeigt werden. Diagnostic- >Packets info. Abbildung12: Buffalo WHRG54S Client Monitor Letztendlich wird mit hilfe eines Client Monitor s Diagnostic-> Client Monitor".die LAN-seitigen Clients (PCs), die auf die AirStation zugreifen, angezeigt und zwar folgenden Informationen:

9 9 MAC-Adresse: Zeigt die MAC-Adresse des Client an. IP-Adresse: Zeigt die IP-Adresse an, die dem Client vom DHCP-Server zugewiesen wurde. Kommunikationsmethode: Anzeige der Verbindungsmethode der LAN-seitigen Netzwerkgeräte, drahtlos oder verdrahtet. Drahtlos-Autorisierung: Anzeige des drahtlosen Verschlüsselungstypen. Autorised wird angezeigt, wenn die PSK-Autorisierung bei Verwendung von WPA (TKIP/AES) abgeschlossen ist. UnAutorised wird angezeigt, wenn die PSK-Autorisierung fehlschlägt. Datenübertragung. Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an. Beispiel: wir setzen ein Ping auf den Host ab. Dazu geben Sie in der Windows Shell Ping ein. Abbildung14: Ping C. Weiteres Werkzeug [8] ein weiteres, freies Programm zur Analyse von Netzwerk-Kommunikationsverbindungen heißt Wireshark. Dieses Werkzeug funktionniert wie ein Sniffer und stellt entweder während oder nach der Aufzeichnung, von Datenverkehr einer Netzwerk- Schnittstelle, die Daten in Form einzelner Pakete dar. Dabei werden die Daten übersichtlich und für den Menschen nachvollziehbar analysiert. So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach Inhalten gefiltert werden. Wireshark kann auch Statistiken zum Datenfluss erstellen. Für die Installation unter Windows steht ein Installer zur Verfügung. Dieser installiert Wireshark und den Capture-Treiber WinPcap. Die aktuelle Version finden Sie auf Wireshark befindet sich in der Datei "wireshark-setupnn.exe". Die Dialoge während der Installation sind selbsterklärend. Nach einem Reboot sollte sich Wireshark über das neu angelegte Icon starten lassen. Über die Menüasuwahl Capture -> Interfaces kommen Sie zum gleichnamigen Dialog. Abbildung13: Wireshark Capture Interfaces Dieser Dialog zeigt alle von Wireshark erkannten Netzwerkschnittstellen mit ihren IP-Adressen an. Zusätzlich werden die übertragenen Pakete und die Pakete pro Sekunde angezeigt. Mit der Schaltfläche Capture starten Sie die Aufzeichnung der Das wichtigste Instrument zum Auswerten von Traces sind Filter. Mit Filtern wird die Anzeige auf die interessanten Frames eingeschränkt. Um nur noch Traffic von und zu unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Wireshark folgenden Ausdruck ein: ip.addr == && icmp In der Anzeige sollten jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen sein. Das Hauptfenster von Wireshark teilt sich in drei Bereiche: die Paketliste zeigt die Nummer des Frames an. Durch den aktiven Filter müssen die Nummern jetzt nicht fortlaufend sein. Die Spalte Source zeigt den Absender eine Frames an. In der Spalte Destination steht der Empfänger des Frames. Die Spalte Protocol gibt das Protokoll in diesem Frame an. Die Spalte Info enthält zusätzliche Angaben zum Frame. die Paketdetails zeigt die Details zum ausgewählten Frame an. In den Paketdetails werden auch die Layer (Schichten) des Datenframes angezeigt. Durch Anklicken des Plus-Symbols kann der gewählte Layer erweitert werden. die Hexadezimale Paketanzeige, Die in der Paketliste angezeigten Spalten können über die

10 10 Menüauswahl Edit / Preferences ausgewählt werden. Abbildung15: Hauptfenster von Wireshark uns eine Kombination aus festen und drahtlosen Zugriff auf Web-Servern zu sichern sowie die Realisierung von neuen Arten von sicheren Transaktionen (elektronischer Handel, Reservierung, etc.). REFERENCES [1] Kommunikationstechnik-Fibel, Verlag: Books on Demand GmbH; Auflage: 1 (Mai 2003) Sprache: Deutsch ISBN-13: pp [2] Computernetzwerke [Gebundene Ausgabe]Andrew S. Tanenbaum (Autor) (15. November 2000) Sprache: Deutsch ISBN-13: [3] Computer Networking: A Top down Approach Featuring the Internet, 3rdedition. Jim Kurose, Keith RossAddison-Wesley, July [4] SPEC-WAPArch pdf. [5] Copyright Wireless Application Protocol Forum, Ltd, [6] Christian Viergutz Kryptographische Verfahren AG Kombinatorische Algorithmen Universität Osnabrück. [7] [8] [9] W. Cheswick & S. Bellovin, Firewalls and Internet Security,Addison Wesley, 1994 [10] S. Strobel, Firewalls für das Netz der Netze,dpunkt Verlag, 1997 VI. CONCLUSION. Die Lösungen die in dieser Arbeit vorgestellt geworden sind, haben als Ziel, die Verbesserung von Nutzung allen Anwendungen auf der Vermittlungsebene, ein Anwendungsbeispiel wäre die Kontrolle des Zugriffs auf bestimmte Anwendungen wie . Bei den Anforderungen (Kapitel 5) zeigt es sich, dass man diese in mehrere Teile untergliedern kann. So sind da zum einen die unbedingt erforderlichen Bedingungen, die nötig sind, um filtering überhaupt durch eine AP betreiben zu können. Dazu gehört das Verstehen von SETUP Nachrichten und deren Transport-Parameter, sowie das Reagieren auf WarnungsNachrichten, um bei Angriffe dynamisch Ports für die Datenkanäle zu öffnen und wieder zu schließen. Beide Alternativen (Monitoring & Filtering) sollen helfen, sichere Sitzungen zu etablieren, unabhängig von Benutzer-Anwendung. Die sind auch von Nutzen bezüglich WAP2.0 in Bezug auf Rechenlast und kryptographische Protokoll-Nachrichten. Es ist klar, dass die Security-Lösungen, die in dieser Arbeit vorgestellten worden sind, wesentlich zum Schutz der Netzwerk-Zugriff auf das Telefon Betreiber und Service Provider (Authentifizierung, Zugriffskontrolle, etc.) relevant sind. Sie ermöglichen