reached BLockAckLimit event ??

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

reached BLockAckLimit event ??

Beitrag von otellodb »

Hallo WLAN Spezialisten,

im Access Point im Laden meiner Frau haben wir seit ein paar Wochen immer wieder folgende Einträge:

IDS: WLAN-1 reached BLockAckLimit event with 397 messages per measurement interval
IDS: WLAN-1 reached BLockAckLimit event with 362 messages per measurement interval
IDS: WLAN-1 reached BLockAckLimit event with 217 messages per measurement interval

Das tritt immer stossweise auf, d.h. an einem Tag 3 Einträge direkt hintereinander im Abstand von ein paar Sekunden, dann eine Woche Ruhe und wieder ein paar Einträge. Das Netz bedient eine Überwachungskamera, einen Drucker und 2 Lautsprecher, die problemlos funktionieren.

HW: ist ein 883 VoIP mit Software 10.12

Was passiert hier? Müssen wir uns da Gedanken machen. Das WLAN lässt nur bekannte Clients (MAC hinerlegt) rein.
Kann ich irgendwie weitere Infos sammeln um zu erkennen was da passiert.

Danke für eure Hilfe.

otellodb
KD.Gundermann
Beiträge: 22
Registriert: 29 Mai 2012, 14:36

Re: reached BLockAckLimit event ??

Beitrag von KD.Gundermann »

Ich habe auf unserem AP auch mal das IDS eingeschaltet und bekomme auch diese Meldungen (Heute 33x).

Wer könnte etwas dazu sagen, was uns diese Nachrichten sagen sollen?

Vielen Dank
Benutzeravatar
rotwang
Beiträge: 140
Registriert: 04 Jun 2021, 22:01

Re: reached BLockAckLimit event ??

Beitrag von rotwang »

Moin,

ganz ehrlich: daß IDS-Systeme in dieser Form Schlangenöl sind. Dieses IDS zählt einfach bestimmte "Ereignisse" auf dem Funkmedium, in diesem Fall daß der AP Datenpakete vom einem Client empfangen hat, die er schon einmal bekommen hat oder veraltet sind. Wieso der Entwickler des IDS das mit der Bermerkung "BlockAckLimit" loggt, weiß ich nicht.

So ein IDS zählt halt Ereignisse, die jemand anders mal als "verdächtig" definiert hat. Die könnten Hinweis auf einen Angreifer sein, der ein WLAN stört, das müssen sie aber auch nicht sein. Paketwiederholungen sind bei einer nicht optimalen WLAN-Verbindung völlig normal. Und selbst wenn es ein Angreifer wäre: was soll man dagegen tun, wenn man ihn nicht ausfindig machen kann?

WLAN ist nun einmal ein geteiltes Medium und man kann sich prinzipiell nicht dagegen schützen, daß jemand den Kanal auf die eine oder andere Weise stört. Gegen eine "Intrusion", also das *Eindringen* in das eigene Netz kann man sich auch ohne IDS ganz einfach schützen: indem man eine vernünftige Verschlüsselung/Authentisierung von den Clients verlangt - Prüfen von MAC-Adressen ist z.B. dafür weder notwendig noch hinreichend.
Antworten