Rogue AP Detection mit Lücken?

JLacky · Beitrag von **JLacky** » 28 Okt 2006, 10:22

Hi,

die Rogue AP Detection funktioniert recht gut, aber leider lückenhaft.

Im Umfeld meines 1821 werden verschieden APs gefunden, sodas ich mal davon ausgehe, das die Rogue AP Detection auch funktioniert.

Im meinem Büro, rund 2m vom 1821 entfernt, steht noch ein uralter AP der Firma 'WaveLine'. Und ich kann machen was ich will, exakt der AP wird nicht gefunden. Das ist ein ganz normaler AP, 2,4GZ, steht auf Kanal 7, hat keinerlei Sicherheitseinstellungen, SSID ist sichtbar, und wird von jedem PC oder Notebook problemlos hier im Büro gefunden.

Nur der 1821 endeckt ihn nicht. Auch über die WEB-Oberfläche unter 'Andere-Netzwerke' taucht dieser AP nie auf. Irgendwie schaft es dieses urallte Gerät die 'Rogue AP Detection' zu unterlaufen, und unsichtbar zu bleiben.

Das ist jetzt kein großes Problem, zeigt mir jedoch das man sich nicht auf die 'Rogue AP Detection' verlassen sollte. Es scheint APs zu geben, die irgendwie nicht gefunden werden können.

mfg
JLacky

alf29 · Beitrag von **alf29** » 28 Okt 2006, 16:34

Moin,

wie alt ist dieser AP? Ist er eventuell überhaupt nicht 802.11-kompatibel, oder verwendet
er etwas anderes als DSSS als Modulation? Früher, zu seligen 2MBit-Zeiten, gab es ja
auch noch Frequency-Hopper...

Ist auf dem 1821 das Land korrekt eingestellt? Defaultmäßig steht es auf 'unbekannt'
und das LANCOM beschränkt sich auf Kanal 10 und 11.

Gruß Alfred

JLacky · Beitrag von **JLacky** » 28 Okt 2006, 18:51

alf29 hat geschrieben:wie alt ist dieser AP? Ist er eventuell überhaupt nicht 802.11-kompatibel,

Hi,

also der ist bestimmte über 5 Jahre alt, oder älter. Kompatibel ist er bestimmt. Bis jetzt gabe es keine Probleme das sich da irgend ein Gerät nicht verbunden hätte.

Der AP heisst exakt: 'WAVEline Micro Access Point'

Ist auf dem 1821 das Land korrekt eingestellt?

Ja, steht auf Deutschland.

mfg
JLacky

alf29 · Beitrag von **alf29** » 29 Okt 2006, 00:00

Moin,

also der ist bestimmte über 5 Jahre alt, oder älter. Kompatibel ist er bestimmt. Bis jetzt gabe es keine Probleme das sich da irgend ein Gerät nicht verbunden hätte.

Sowohl 11b- als auch 11g-Geräte?

Findet ein Client diesen AP bei einem Site Survey, auch wenn dessen SSID dem Client
vorher noch nicht bekannt ist?

Ist das so einer wie in EBay-Auktion 140046391986?

Im Zweifelsfalle mal bitte alle sonstigen WLAN-Geräte außer 1821 und diesem AP im Büro
abschalten (reduziert die Trace-Größe...) und einen WLAN-Trace machen. Das 1821
sollte bei aktiviertem Background Scan Pobe Requests verschicken.

Mal ganz dumm gefragt: Das 1821 wird nicht etwa auf 5 GHz betrieben?

Gruß Alfred

JLacky · Beitrag von **JLacky** » 29 Okt 2006, 01:29

alf29 hat geschrieben:Sowohl 11b- als auch 11g-Geräte?

Hi,

gute Frage. Also neben einer Reihe von WIN CE und PocketPC-Geräten, die wohl alle nur 11b können, verbindet sich auch ein Siemens-Notebook, ein NOKIA E60 und ein n560 Pocket-PC mit dem Gerät. Und die ltzten drei Geräte können auch 11g. Ich habe aber jetzt noch nicht expliziet auf den Verbindungsmodus geachtet. Der AP kann sowieso kein 11g

Findet ein Client diesen AP bei einem Site Survey, auch wenn dessen SSID dem Client
vorher noch nicht bekannt ist?

Ja, gerade nochmal mit einem NOKIA E60 getestet, bei dem definitiv kein WLAN-Profil für diesen AP angelegt ist. Er wird gefunden.

Ist das so einer wie in EBay-Auktion 140046391986?

Nicht ganz, das bei ebay ist vermutlich das Nachfolgemodel. Der AP, denn ich hier stehen habe müsste dieser sein:

http://www.dealtime.co.uk/xPF-COMPU_SHACK_Electronic

Im Zweifelsfalle mal bitte alle sonstigen WLAN-Geräte außer 1821 und diesem AP im Büro
abschalten (reduziert die Trace-Größe...) und einen WLAN-Trace machen. Das 1821
sollte bei aktiviertem Background Scan Pobe Requests verschicken.

OK, werde ich nächste Woche mal machen.

Mal ganz dumm gefragt: Das 1821 wird nicht etwa auf 5 GHz betrieben?

Nein, keine Angst, das ist keine dumme Frage. Bei solchen Problemen muss man alle Möglichkeiten 'abklopfen'. Ich kenne das, weil ich mal einie Zeit mit Endkundensupport zu tun hatte. Da erlebt man Sachen, die man sich garnich vorstellen kann.
Aber zurück zur Frage, nein, der 1821 läuft auf 2,4GHz

Wie gesagt, Montag oder Dienstag werde ich das nochmal testen.
Gibt es sonst noch was, was ich beachten müsste?

Aktuelle Firmware und LANTOOLs ist drauf.

Irgendwelche Änderungen bei der Kanalvergabe? Der 1821 läuft auf 11, der WaveLine-AP auf 7. Soll ich mal beide AP auf die gleiche Kanäle legen? Oder weiter auseinander?

Könnten noch irgendwelche Sicherheitseinstellungen eine Rolle spielen? Wie z.B. Datenverkehr zwischen Stationen oder Staions-Filter?

mfg
JLacky

alf29 · Beitrag von **alf29** » 29 Okt 2006, 09:48

Moin,

gute Frage. Also neben einer Reihe von WIN CE und PocketPC-Geräten, die wohl alle nur 11b können, verbindet sich auch ein Siemens-Notebook, ein NOKIA E60 und ein n560 Pocket-PC mit dem Gerät. Und die ltzten drei Geräte können auch 11g. Ich habe aber jetzt noch nicht expliziet auf den Verbindungsmodus geachtet. Der AP kann sowieso kein 11g

Die Frage wäre gewesen, ob sich eventuell der AP an den 11g-Raten im Probe Request
stört. Das sollte er eigentlich nicht tun, aber ich habe da schon so einiges erlebt...

Nicht ganz, das bei ebay ist vermutlich das Nachfolgemodel. Der AP, denn ich hier stehen habe müsste dieser sein:

Hm, schade, dann wird es schwierig, ein Gerät zum Nachstellen zu organisieren...also
warten auf die Traces...

Irgendwelche Änderungen bei der Kanalvergabe? Der 1821 läuft auf 11, der WaveLine-AP auf 7. Soll ich mal beide AP auf die gleiche Kanäle legen? Oder weiter auseinander?

Nein, sollte nicht erforderlich sein, das LANCOM scannt das komplette 2.4GHz-Band ab,
solange man ihm das über die Kanalliste nicht eingeschränkt hat. Unter Status->WLAN->
Kanal-Scan-Resultate sollten alle 13 Kanäle aufgeführt sein.

Könnten noch irgendwelche Sicherheitseinstellungen eine Rolle spielen? Wie z.B. Datenverkehr zwischen Stationen oder Staions-Filter?

Nein, für das Scanning geht es einzig und allein um Probe Requests und Responses. Und
in einem Probe Request steht außer der SSID und den vom Client unterstützten Datenraten
(deswegen meine Frage mit 11b/g) nichts drin.

Gruß & Dank

Alfred

JLacky · Beitrag von **JLacky** » 30 Okt 2006, 13:12

Hi,

so ich habe heute in der Mitagspause mal eine Stunde lang das WLAN Trace mitaufen lassen. Da sieht man aber wirklich wenig Informationen.

Hier ein Ausschnitt aus dem Tracke

Code: Alles auswählen

[WLAN] 2006/10/30 11:59:41,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 11:59:41,980
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 11:59:41,980
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      2
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:00:01,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:00:01,960
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:00:01,960
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      2
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:00:21,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:00:22,030
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:00:22,030
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      1
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:00:41,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:00:42,000
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:00:42,000
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      2
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:01:01,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:01:01,970
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:01:01,970
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      1
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:01:21,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:01:21,940
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:01:21,940
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      2
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:01:41,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:01:42,020
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:01:42,020
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      2
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]



[WLAN] 2006/10/30 12:02:01,920
[WLAN-1] Performing Background Scan

[WLAN] 2006/10/30 12:02:01,990
[WLAN-1] Sent frame to address ff:ff:ff:ff:ff:ff

[WLAN] 2006/10/30 12:02:01,990
WLAN frame dumped length = 42 bytes
-->Full Length:  42 Bytes
-->Rate(s):      1M
-->11b Preamble: Long
-->Antenna:      2
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeReq
Duration            : 0000
Address1 [DA ]      : ff:ff:ff:ff:ff:ff
Address2 [SA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address3 [BSS]      : ff:ff:ff:ff:ff:ff
Sequence Number     : 0
Fragment Number     : 0
-->802.11 Management Frame:
SSID                : 
Supported Rates     : [1.0M] [2.0M] [5.5M] [11.0M]
Ext. Supp. Rates    : [6.0M] [9.0M] [12.0M] [18.0M] [24.0M] [36.0M] [48.0M] [54.0M]

Zwischendrin habe ich nochmal den WaveLine-AP neu gestartet. hat auch nichts geändert.

Kann man an dem Trace eigentlich nicht erkennen, welchen Kanal er gerade scannt?

Dann habe ich am 1821 den Modus auf nur 11b, dann auf 11b/g und auch mal auf 11b/g(2MBit) gestellt,hat auch nichts geändert.

Die AP-Erkennung am 1821 funktioniert aber ansonsten. Erst Heute Morgen hatt er wieder kurzeitig einen AP gefunden.

Nettes Problem, so langsam gefällt mir die Suche nach der Ursache. Das ist besser wie ein Advanture-Game. Ich kenne noch jemanden der hat so ein WiSpy-USB-Dongel, das werde ich mal ausleihen. Vielleicht kann man da etwas erkennen.

mfg
JLacky

alf29 · Beitrag von **alf29** » 30 Okt 2006, 14:18

Moin,

offensichtlich reagiert der Waveline-AP nicht auf die
Probe-Requests. Sicher, daß Hidden SSID nicht an ist?
Dazu einfach mal das LANCOM und den Waveline auf
den gleichen Kanal setzen und schauen, wie der
andere AP auf dem LANCOM in der Tabelle 'Status->
WLAN->Andere-Netzwerke' auftaucht. Diese wird aus
den im Betrieb empfangenen Beacons aufgebaut, und
die muß der andere AP verschicken, sonst wird es langsam
grenzwertig - das hieße, daß es eine grundlegende
Unverträglichkeit zwischen den beiden auf dem
Physical Layer gäbe

Wenn die SSID des anderen APs in der Tabelle steht,
schalten wir mal als nächstes einen Client an, von dem
bekannt ist, daß er die SSID des Waveline nicht kennt, und
lassen wieder den WLAN-Trace laufen - das LANCOM
schnappt dann die Probe Requests des Clients mit auf,
so daß man sehen können müßte, was an denen anders
ist.

Gruß Alfred

alf29 · Beitrag von **alf29** » 30 Okt 2006, 17:33

Moin,

Kann man an dem Trace eigentlich nicht erkennen, welchen Kanal er gerade scannt?

Ab der nächsten Firmware ja.

Gruß Alfred

Gerhard · Beitrag von **Gerhard** » 30 Okt 2006, 20:15

Hi Alfred,

ich habe mich mit dem Thema bisher noch nicht befasst, aber auch ich hab hier einen 1811 (2,4 GHz, Kanal 11) stehen, in dessen Umfeld zwei Fritzboxen (7170, Kanal 4 und 7) sowie ein Siemens SE505 (Kanal 1) stehen. Alle haben die gleiche SSID, SSID-Broadcast ist überall aus.

Sollten diese im 1811 oder im WLAN-Monitor irgendwo auftauchen oder nicht ?
Ich kann nichts finden.

Gruß
Gerhard

alf29 · Beitrag von **alf29** » 30 Okt 2006, 21:57

Sollten diese im 1811 oder im WLAN-Monitor irgendwo auftauchen oder nicht ?
Ich kann nichts finden.

Hast Du das Background-Scanning überhaupt eingeschaltet?

Gruß Alfred

Gerhard · Beitrag von **Gerhard** » 30 Okt 2006, 22:20

Hi Alfred,

alf29 hat geschrieben:Hast Du das Background-Scanning überhaupt eingeschaltet?

Ich glaub schon, Background-Scan-Intervall steht auf 3.600s. Das ist doch alles, oder ? Muss sonst noch was eingeschaltet werden ?
Im WLAN-Monitor finde ich die Clients unter "Client Detection", aber nichts unterhalb von "AP Detection"

Gruß
Gerhard

JLacky · Beitrag von **JLacky** » 31 Okt 2006, 14:39

alf29 hat geschrieben: offensichtlich reagiert der Waveline-AP nicht auf die
Probe-Requests.

Ja, und ich weiss jetzt auch warum!

Es ist der MAC-Adressenfilter am WaveLine-AP. Der war nämlich eingeschaltet.

Wenn ich den MAC-Filter ausschalte, taucht der WaveLine-AP kurze Zeit später im WLAN-Monitor als neuer AP auf. Und dann wird alle 4 Minuten und 20 Sekunden das 'Zuletzt gesehen' Datum aktualisiert. Schalte ich den MAC-Filter wieder ein, wird der WaveLine-AP danach nicht mehr gefunden.

Zu meiner Schande muss ich gestehen, das ich eigentlich im Unterbewustsein wusste das der MAC-Filter am WaveLine-AP aktiviert war.
Aber die MAC-Adressen von z.B. meinem NOKIA E60-Handy oder meinem LOOX n560 PocketPC sind dem WAVELine-AP nicht bekannt, und die Geräte haben auch kein Profil eingegeben für den WAVELine-AP, aber dennoch finden diese Geräte beim Scannen den WAVELine-AP.
Daher ging ich davon aus, das beim Scannen nach einem Netzwerk, der MAC-Filter noch keine Rolle spielt, und hatte den MAC-Filter als Fehlerquelle erstmal ignoriert.

Offenbar scheint es aber so zu sein, das der 1821 beim Rogue-Scann vom WAVELine-AP ignoriert wird, und kein Request sendet, wenn der MAC-Filter am WAVELin-AP aktiviert ist.

Ist der MAC-Filter aus, wird auch ein Request gesendet:

Code: Alles auswählen

[WLAN] 2006/10/31 11:48:34,290
[WLAN-1] Received frame from address 00:00:cb:11:00:20 (Compu-Shack 11:00:20)

[WLAN] 2006/10/31 11:48:34,290
WLAN frame dumped length = 57 bytes
-->Full Length:  57 Bytes
-->Rate(s):      2M
-->11b Preamble: Long
-->Antenna:      1
-->Signal:       -40dBm
-->Noise:        -101dBm
-->IEEE 802.11 Header
Protocol Version    : 0
Flags               :
Type                : Mgmt
Subtype             : ProbeResp
Duration            : 0102
Address1 [DA ]      : 00:0b:6b:35:14:81 (Wistron 35:14:81)
Address2 [SA ]      : 00:00:cb:11:20:10 (Compu-Shack 11:20:10)
Address3 [BSS]      : 00:00:cb:11:20:10 (Compu-Shack 11:20:10)
Sequence Number     : 586
Fragment Number     : 0
-->802.11 Management Frame:
Timestamp           : 0000000003afbdc6
Beacon Period [TU]  : 100
Capabilities        : ESS Privacy ShortPreamble
SSID                : LACKY-WAVE
Supported Rates     : 1.0M 2.0M [5.5M] [11.0M]
DS Param Set        : 3

Die generelle Frage die sich mir jetzt stellt ist: Kann man den Rogue-Scann aushebeln, wenn der entfernte AP den MAC-Filter aktiviert hat, oder ist das eine besondere Eigenart dieses WAVELine-AP.

Im Moment fehlt mir die Zeit für weitere Tests, aber am Wochenende hole ich mal einen alten D-Link-AP aus der Bastelkiste und werde den mal mit und mal ohne MAC-Filter konfigurieren, um zu sehen die der LANCOM-AP beim Rogue-Scann reagiert.

mfg
JLacky

alf29 · Beitrag von **alf29** » 31 Okt 2006, 17:04

Moin,

Die generelle Frage die sich mir jetzt stellt ist: Kann man den Rogue-Scann aushebeln, wenn der entfernte AP den MAC-Filter aktiviert hat, oder ist das eine besondere Eigenart dieses WAVELine-AP.

MAC-Filter sind im 802.11-Standard nicht definiert, deshalb
kann sie jeder ansetzen, wo er will. Bei LANCOMs setzen
sie erst nach der Assoziation an, weil dort MAC-Listen
auch über RADIUS realisiert sein können und der RADIUS-
Request vom AP erst zu diesem Zeitpunkt geschickt wird.

Aushebeln könnte man das ganze nur, indem man den
Request mit einer gefälschten Quell-MAC schickt, von
der man der Meinung ist, daß sie mit diesem AP
'verbandelt' ist. Aber dann hat man das andere Netz ja
schon...

Ab der nächtsen Firmware nimmt der Background Scan
auch in der Scan-Phase empfangene Beacons auf. Die
Erkennungssicherheit ist nur nicht so hoch, weil die
Scan-Phase kürzer als eine Beacon-Periode ist. Ich
vermute, Deine anderen Geräte haben den AP auch
durch die Beacons gefunden. Das ist für die Station
aber auch um einiges einfacher, weil sie ohne Verbindung
ohnehin nichts anderes zu tun hat

Gruß Alfred

JLacky · Beitrag von **JLacky** » 05 Nov 2006, 19:51

Hi,

heute habe ich nochmal einen alten D-LINK DI-624 WLAN-Router aus der Bastelkiste gezogen. Damit habe ich nochmal die Rogue-Erkennung mit und ohne MAC-Filter getestet.

Der LANCOM 1821 erkennt den D-LinkRouter immer, und zwar unabhängig davon ob der D-Link-Router den MAC-Filter aktiviert hat oder nicht. Hier scheint der MAC-Filter also keine Rolle zu spielen.

Bin mal gespannt auf die neue Firmware, ob die dann den WaveLine-AP erkennt.

mfg
JLacky