WLAN: Single SSID + Multiple VLANs = Multicast-Problem

Ähnliche Dokumente
Erfahrungen mit Hartz IV- Empfängern

Anleitung über den Umgang mit Schildern

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Informationen zum neuen Studmail häufige Fragen

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

WLAN Konfiguration. Michael Bukreus Seite 1

Lehrer: Einschreibemethoden

Anbindung des eibport an das Internet

Arbeit zur Lebens-Geschichte mit Menschen mit Behinderung Ein Papier des Bundesverbands evangelische Behindertenhilfe e.v.

Speicher in der Cloud

Wir machen neue Politik für Baden-Württemberg

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Sehbehindertentag 6. Juni. Kontraste. helfen schwachen Augen

Drucken von Webseiten Eine Anleitung, Version 1.0

Beschreibung und Konfiguration von Eduroam unter Android. hotline.hslu.ch Andere

Wireless LAN PCMCIA Adapter Installationsanleitung

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Hilfedatei der Oden$-Börse Stand Juni 2014

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

WinVetpro im Betriebsmodus Laptop

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

C.M.I. Control and Monitoring Interface. Zusatzanleitung: Datentransfer mit CAN over Ethernet (COE) Version 1.08

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Was ist das Budget für Arbeit?

Statuten in leichter Sprache

Geld Verdienen im Internet leicht gemacht

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Integrierte Dienstleistungen regionaler Netzwerke für Lebenslanges Lernen zur Vertiefung des Programms. Lernende Regionen Förderung von Netzwerken

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Lernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation

Simulation LIF5000. Abbildung 1

Einführungskurs MOODLE Themen:

Dokumentenverwaltung im Internet

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

CTI SYSTEMS S.A. CTI SYSTEMS S.A. 12, op der Sang. Fax: +352/ L Lentzweiler. G.D.

Installation Microsoft Lync 2010 auf Linux

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

VibonoCoaching Brief -No. 18

2.1 Präsentieren wozu eigentlich?

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Zugang mit sonstigen Betriebssystemen (wie: Android, ios (ipad, iphone, ipad),...)

Also heißt es einmal mehr, immer eine eigene Meinungen bilden, nicht beeinflussen lassen, niemals von anderen irgend eine Meinung aufdrängen lassen.

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Multimedia und Datenkommunikation

teamsync Kurzanleitung

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

4. Das neue Recht der GmbH ein Überblick

Abwesenheitsnotiz im Exchange Server 2010

Windows Server 2012 RC2 konfigurieren

Anleitung auf SEITE 2

STRATO Mail Einrichtung Mozilla Thunderbird

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Psychologie im Arbeitsschutz

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

I Serverkalender in Thunderbird einrichten

FAQs für beglaubigte Übersetzungen Francesca Tinnirello

Ein Vorwort, das Sie lesen müssen!

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

EÜR contra Bilanzierung

1. EINLEITUNG 2. GLOBALE GRUPPEN Globale Gruppen anlegen

FAMILIENSTAND ALLEINERZIEHENDE MÜTTER

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Versetzungsgefahr als ultimative Chance. ein vortrag für versetzungsgefährdete

Lichtbrechung an Linsen

Installationsanleitung zum Access Point Wizard

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Tutorial about how to use USBView.exe and Connection Optimization for VNWA.

Aktivierung von Makros in den Erfassungshilfen

Situa?onsbeschreibung aus Sicht einer Gemeinde

Professionelle Seminare im Bereich MS-Office

Anleitung zur Nutzung des SharePort Utility

Kulturelle Evolution 12

Wireless Installationshandbuch

AutoCAD Dienstprogramm zur Lizenzübertragung

Evangelisieren warum eigentlich?

Enigmail Konfiguration

Fax einrichten auf Windows XP-PC

Tipps & Tricks - Neuerungen Nr. 6/ 2015

Informationsblatt Induktionsbeweis

Whitepaper. Produkt: combit Relationship Manager 7. combit Relationship Manager -rückläufer Script. combit GmbH Untere Laube Konstanz

Wenn wir also versuchen auf einen anderen PC zuzugreifen, dann können wir sowohl per Name als auch mit der Adresse suchen.

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Was meinen die Leute eigentlich mit: Grexit?

Anmeldung zu Seminaren und Lehrgängen

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

QTrade GmbH Landshuter Allee München Seite 1

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

Info-Veranstaltung zur Erstellung von Zertifikaten

Installation OMNIKEY 3121 USB

Transkript:

WLAN: Single SSID + Multiple VLANs = Multicast-Problem Forum Mobile IT, 62. DFN Betriebstagung, 4.3.2015 Rechenzentrum

Agenda Motivation Wie funktioniert Single SSID + Multiple VLANs? Wie funktioniert Multicast im WLAN? Was ist nun eigentlich das Problem? :) Lösungsansätze und ihre Bewertung Fazit 2

Motivation Einrichtungen, die im WLAN eduroam betreiben, haben sehr wahrscheinlich Single SSID + Multiple VLANs : Eine SSID eduroam, über RADIUS-Attribut wird einem Nutzer ein VLAN zugeordnet, WLAN-AP oder -Controller macht das Forwarding für den Nutzer in diesem entsprechenden VLAN. Das Ganze funktioniert in der Regel sehr gut, aber: Es kann erhebliche Probleme mit Multicast / Broadcast geben! User A VLAN A AP Controller User B VLAN B 3

Motivation Während Evaluationsarbeiten an WLAN-Lösungen stellten wir (RZ der TU Clausthal) fest, dass wir auf WLAN-Clients Broadcasts und Multicasts aus VLANs sahen, denen der Client gar nicht angehörte. Wir stellten fest, dass mehr als die Hälfte der getesteten WLAN-Lösungen verschiedener Hersteller diese VLAN-Leaks aufwiesen. Dinge wie IPv6-Router-Advertisements, IPv4-mDNS, Bonjour und generell fast alle Multicast- & Broadcast-Pakete wurden geleakt. Also haben wir uns mit den Ursachen für das Problem beschäftigt. 4

Wie funktioniert Single SSID + Multiple VLANs? Im klassischen eduroam-szenario wird 802.1x verwendet. Mit der Authentisierung erhält die WLAN- Infrastruktur per RADIUS-Server Informationen zum Client: RADIUS- Server Controller AP User-Name, andere RADIUS-Attribute (z. B. RFC 2868- Attribute für die VLAN-Zuordnung), die MAC ist sowieso bekannt. WLAN-Infrastruktur pflegt diese Informationen in einer Tabelle. Alle Pakete von und zu einer MAC in der Tabelle werden dem dort vermerkten VLAN zugeordnet. 5

Wie funktioniert Single SSID + Multiple VLANs? Im klassischen eduroam-szenario wird 802.1x verwendet. Mit der Authentisierung erhält die WLAN- Infrastruktur per RADIUS-Server Informationen zum Client: RADIUS- Server Controller AP User-Name, andere RADIUS-Attribute (z. B. RFC 2868- Attribute für die VLAN-Zuordnung), die MAC ist sowieso bekannt. WLAN-Infrastruktur pflegt diese Informationen in einer Tabelle. User MAC VLAN mustermann@tuclausthal.de 00:11:22:33:44:55 123 Alle Pakete von und zu einer MAC in der Tabelle werden dem dort vermerkten VLAN zugeordnet. 5

Wie funktioniert Multicast im WLAN? Bei WPA2-Enterprise (802.1x) hat jeder Client einen individuellen Schlüssel für die WPA2-Verschlüsselung. Multicast: AP soll ein einziges Paket an alle assoziierten Clients gleichzeitig senden können. Dafür gibt es Gruppenschlüssel, damit alle Clients das Paket lesen können. Es kann maximal vier Gruppenschlüssel geben. Gruppenschlüssel werden bei jeder Disassoziierung eines Clients erneuert. Broadcast wird wie Multicast behandelt. 6

Wie funktioniert Multicast im WLAN? Schlüssel 5 Bei WPA2-Enterprise (802.1x) hat jeder Client einen individuellen Schlüssel für die WPA2-Verschlüsselung. Multicast: AP soll ein einziges Paket an alle assoziierten Clients gleichzeitig senden können. Dafür gibt es Gruppenschlüssel, damit alle Clients das Paket lesen können. Schlüssel 1 Schlüssel 3 Es kann maximal vier Gruppenschlüssel geben. Gruppenschlüssel werden bei jeder Disassoziierung eines Clients erneuert. Broadcast wird wie Multicast behandelt. Schlüssel 2 Schlüssel 4 6

Wie funktioniert Multicast im WLAN? Gruppenschlüssel Bei WPA2-Enterprise (802.1x) hat jeder Client einen individuellen Schlüssel für die WPA2-Verschlüsselung. Multicast: AP soll ein einziges Paket an alle assoziierten Clients gleichzeitig senden können. Dafür gibt es Gruppenschlüssel, damit alle Clients das Paket lesen können. Es kann maximal vier Gruppenschlüssel geben. Gruppenschlüssel werden bei jeder Disassoziierung eines Clients erneuert. Broadcast wird wie Multicast behandelt. Gruppenschlüssel Gruppenschlüssel Gruppenschlüssel Gruppenschlüssel 6

Was ist nun eigentlich das Problem? :) VLAN = Abgeschlossene Broadcast-Domain; es gibt keine Layer-2-Verbindungen zwischen verschiedenen VLANs, wenn diese nicht explizit geschaltet werden. Im WLAN: Clients sind auf Grund individueller Schlüssel voneinander separiert, Forwarding zu anderen Clients im WLAN wird vom AP/Controller kontrolliert. 7

Was ist nun eigentlich das Problem? :) VLAN = Abgeschlossene Broadcast-Domain; es gibt keine Layer-2-Verbindungen zwischen verschiedenen VLANs, wenn diese nicht explizit geschaltet werden. Im WLAN: Clients sind auf Grund individueller Schlüssel voneinander separiert, Forwarding zu anderen Clients im WLAN wird vom AP/Controller kontrolliert. Aber: Bei Multicast besitzen alle Clients den gleichen Gruppenschlüssel. Was passiert, wenn Client A per RADIUS VLAN A zugeordnet wird und Client B dem VLAN B? Antwort: Client A sieht Multicasts aus VLAN B (und umgekehrt), wenn dies nicht vom Controller verhindert wird! 7

Was ist nun eigentlich das Problem? :) VLAN = Abgeschlossene Broadcast-Domain; es gibt keine Layer-2-Verbindungen zwischen verschiedenen VLANs, wenn diese nicht explizit geschaltet werden. Im WLAN: Clients sind auf Grund individueller Schlüssel voneinander separiert, Forwarding zu anderen Clients im WLAN wird vom AP/Controller kontrolliert. Aber: Bei Multicast besitzen alle Clients den gleichen Gruppenschlüssel. Was passiert, wenn Client A per RADIUS VLAN A zugeordnet wird und Client B dem VLAN B? Antwort: Client A sieht Multicasts aus VLAN B (und umgekehrt), wenn dies nicht vom Controller verhindert wird! Selbst wenn ein Controller verhindert, dass Clients aus verschiedenen VLANs gleiche Gruppenschlüssel haben: Es gibt nur vier Gruppenschlüssel was tun bei mehr als vier VLANs auf einer SSID? 7

Was ist nun eigentlich das Problem? :) VLAN = Abgeschlossene Broadcast-Domain; es gibt keine Layer-2-Verbindungen zwischen verschiedenen VLANs, wenn diese nicht explizit geschaltet werden. Im WLAN: Clients sind auf Grund individueller Schlüssel voneinander separiert, Forwarding zu anderen Clients im WLAN wird vom AP/Controller kontrolliert. Aber: Bei Multicast besitzen alle Clients den gleichen Gruppenschlüssel. Was passiert, wenn Client A per RADIUS VLAN A zugeordnet wird und Client B dem VLAN B? Antwort: Client A sieht Multicasts aus VLAN B (und umgekehrt), wenn dies nicht vom Controller verhindert wird! Selbst wenn ein Controller verhindert, dass Clients aus verschiedenen VLANs gleiche Gruppenschlüssel haben: Es gibt nur vier Gruppenschlüssel was tun bei mehr als vier VLANs auf einer SSID? Das Problem liegt im 802.11-Standard: Dort war es nicht vorgesehen, Clients verschiedenen VLANs zuzuordnen (kein 802.1q). 7

Was ist nun eigentlich das Problem? :) Schlüssel 1 Schlüssel 2 User A: Gehört zu VLAN A User B: Gehört zu VLAN B User A AP Controller User B Gruppenschlüssel Multicast/Broadcast VLAN A VLAN B 8

Was ist nun eigentlich das Problem? :) Schlüssel 1 Schlüssel 2 User A: Gehört zu VLAN A User B: Gehört zu VLAN B User A AP Controller User B Gruppenschlüssel Multicast/Broadcast VLAN A VLAN B 8

Was ist nun eigentlich das Problem? :) Schlüssel 1 Schlüssel 2 User A: Gehört zu VLAN A User B: Gehört zu VLAN B User A AP Controller User B Gruppenschlüssel Multicast/Broadcast VLAN A VLAN B 8

Was ist nun eigentlich das Problem? :) Ungewollte Weitergabe von Strukturinformationen: DHCP-Anfragen und ggf. auch Antworten werden u. U. gesehen. Ungewollte Weitergabe von Informationen möglich, die per Multicast übertragen werden (Multicast-Streams, mdns, Bonjour, IPv6-Router- Advertisements etc.). Wer geschickt Multicast-Traffic generiert, kann aus eigentlich abgeschlossenen Netzen möglicherweise Informationen an Komplizen im WLAN übertragen. Vermutlich DoS und Man-in-the-middle möglich. 9

Mögliche Angriffsszenarios: DoS für IPv6 (gefälschte RAs) Internet IPv6-Router fe80::1:1:1:1 Angreifer VLAN A VLAN B 10

Mögliche Angriffsszenarios: DoS für IPv6 (gefälschte RAs) Default-Router: fe80::1:1:1:1 Tatsächlicher Router schickt Router-Advertisements an ff02::1 (IPv6-Multicast) in VLAN A. Wireless Client in VLAN A erhält RA und stellt korrekten Default-Router ein. Internet IPv6-Router fe80::1:1:1:1 Angreifer VLAN A VLAN B 10

Mögliche Angriffsszenarios: DoS für IPv6 (gefälschte RAs) Internet Default-Router: fe80::2:2:2:2 Tatsächlicher Router schickt Router-Advertisements an ff02::1 (IPv6-Multicast) in VLAN A. Wireless Client in VLAN A erhält RA und stellt korrekten Default-Router ein. Angreifer sendet gefälschten RA (IPv6-Multicast) in VLAN B. Client in VLAN A erhält auf Grund des Leaks RA aus VLAN B und stellt falschen Default-Router ein. Client erreicht für IPv6 keinen Default-Router mehr. IPv6-Router fe80::1:1:1:1 Angreifer VLAN A VLAN B 10

Lösungsansätze und ihre Bewertung 11

Lösungsansätze und ihre Bewertung Keine Lösung: Eigener Gruppenschlüssel für jedes VLAN. - Es kann nur vier Gruppenschlüssel geben (was passiert bei mehr VLANs?). - Man braucht schon in einem einzigen VLAN mehr als einen Gruppenschlüssel, damit bei einer Schlüsselerneuerung keine Pakete verloren gehen. 11

Lösungsansätze und ihre Bewertung Keine Lösung: Eigener Gruppenschlüssel für jedes VLAN. - Es kann nur vier Gruppenschlüssel geben (was passiert bei mehr VLANs?). - Man braucht schon in einem einzigen VLAN mehr als einen Gruppenschlüssel, damit bei einer Schlüsselerneuerung keine Pakete verloren gehen. Idee 1: Konvertiere Multicasts / Broadcasts auf Layer 2 zu Unicast. - Alle Broadcasts bzw. Multicasts haben als Ziel spezielle MAC-Adressen. Konvertiere diese einfach zur Unicast-Adresse jedes assoziierten Clients und schicke jedem Client das Paket mit seinem individuellen Schlüssel. - Vorteil: Lösung funktioniert für alle Protokolle, da Layer 3 und höher keine Rolle spielen. - Nachteil: Skaliert nicht gut in Hotspots, in denen viele Clients auf einem AP assoziiert sind; es kommt zu einer unnötigen Multiplikation von Traffic. 11

Lösungsansätze und ihre Bewertung 12

Lösungsansätze und ihre Bewertung Idee 2: Schalte Multicast (weitestgehend) ab. - Vorteil: Skaliert gut in Hotspots mit vielen Clients pro AP. - Nachteile: Protokolle wie IPv6, Bonjour etc. erfordern zwingend Multicast und funktionieren nicht. Zwingend benötigte Protokolle wie DHCP bedürfen einer Sonderlösung in der AP-/Controller-Software. 12

Lösungsansätze und ihre Bewertung Idee 2: Schalte Multicast (weitestgehend) ab. - Vorteil: Skaliert gut in Hotspots mit vielen Clients pro AP. - Nachteile: Protokolle wie IPv6, Bonjour etc. erfordern zwingend Multicast und funktionieren nicht. Zwingend benötigte Protokolle wie DHCP bedürfen einer Sonderlösung in der AP-/Controller-Software. Idee 3: Konvertiere well-known Multicast-Protokolle zu Unicast und vernachlässige alles andere. - Vorteil: Guter Kompromiss zwischen Idee 1 und 2, da gezielt MC-Protokolle unterstützt werden (IPv6) und trotzdem eine einigermaßen gute Skalierung sichergestellt ist. - Nachteile: Unbekannte Protokolle funktionieren nicht. Fehleranfällig: Wird ein Protokoll nicht sauber erkannt oder unterstützt, kommt es zu ungewollten Effekten im Netz. 12

Lösungsansätze und ihre Bewertung 13

Lösungsansätze und ihre Bewertung Idee 4: Änderungen am 802.11-Standard, um VLANs zu berücksichtigen. - Sicherlich die sauberste Lösung. - Leider die unrealistischste Lösung. 13

Fazit Stand heute gibt es offensichtlich diverse Hersteller, die das Thema nicht sauber im Griff haben. Ein IPv6-Rollout ist nur mit Herstellern möglich, die das Thema korrekt implementieren, da IPv6 zwingend Multicast erfordert. Das Gleiche gilt für Bonjour oder ähnliche Protokolle. Wichtig: Prüfen Sie Ihre vorhandene WLAN-Lösung auf Sicherheit! Werden Pakete geleakt? Falls ja, bewerten Sie sorgfältig, ob Sie mit den Leaks leben können. Beim Prüfen sollten Sie auf folgende Fallstricke achten: - Werden die Einstellungen, die Sie auf Ihrer WLAN-Infrastruktur machen, auch wirklich korrekt implementiert? Wir haben erlebt, dass dies nicht der Fall war! - Glauben Sie den Optionen im Management oder den Handbüchern nicht! Prüfen Sie wirklich selbst! Jeder Betreiber einer WLAN-Infrastruktur sollte den Hersteller in die Pflicht nehmen, das Thema zu adressieren, falls er betroffen ist. 14

Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Math. Christian Strauf Leiter Netzwerkabteilung Rechenzentrum Erzstraße 51 D-38678 Clausthal-Zellerfeld Telefon: (05323) 72-20 86 Telefax: (05323) 72-99 20 86 E-Mail: strauf@rz.tu-clausthal.de URL: http://www.rz.tu-clausthal.de 15

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback