Hallo ich habe derzeit einen 320agn in unseer Firma stehen.
Nun ist es "nur" mit WPA2 verschlüsselt.
Da ich gerne wissen würde wann ein ANgriff oder ähnliches auf dem AP geschieht würde ich gerne möglichst viel Logging per Mail bekommen.
Meine Adresse habe ich schon bei Wlan Ereignissen eingegeben aber bisher noch keine Mail bekommen =(
Kann man evtl. auch anders die Logs einsehen?
Wie bekomme ich das hin das der AP Mails versendet?
Danke im vorraus =)
Logging per Mail bekommen.
Moderator: Lancom-Systems Moderatoren
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Hey, Vielen Dank und ein gesundes, neues Jahr.
Ich habe es nun schon vor einiger Zeit hinbekommen das ich Wlan Ereignisse bekomme. Nun habe ich leider das Problem das ich zum teil mehr als 1000 Ereignisse pro Tag bekomme obwohl nur 4 Geräte im Netz sind. So wie ich das überblicken konnte sind Apple Geräte meist Schuld. Sie geben folgende Fehlermeldungen:
"client unreachable for one minute" und
"50 packets in a row did not reach client"
Habt ihr eine Idee wie ich das Problem evtl. lösen könnte?
Grüße =)
Ich habe es nun schon vor einiger Zeit hinbekommen das ich Wlan Ereignisse bekomme. Nun habe ich leider das Problem das ich zum teil mehr als 1000 Ereignisse pro Tag bekomme obwohl nur 4 Geräte im Netz sind. So wie ich das überblicken konnte sind Apple Geräte meist Schuld. Sie geben folgende Fehlermeldungen:
"client unreachable for one minute" und
"50 packets in a row did not reach client"
Habt ihr eine Idee wie ich das Problem evtl. lösen könnte?
Grüße =)
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Sehr schade das Lancom das noch nicht verbessert hat.
Bzw das man die Ereignisse nicht filtern kann.
Mitlerweile bekomme ich sogar von einem ganz normalen HP Notebook ab und zu jede Minute eine mail das er sich connected hat, am Client sieht man nichts.
Mit den Wlan Ereignissen möchte ich nur beaufsichtigen wer sich verbindet. Eigentlich hatte ich vor damit evtl. zu sehen wenn jemand mehrmals in der Minute Versucht zu sich mit falschem Passwort anzumelden, da ich so Hackerangriffe sehe. Hast du eine andere Idee wie ich das machen könnte?
Bzw. wie ich konfiguriere das der AP eine IP bzw. eine Mac für 5min. blockt wenn diese 3 mal das falsche Passwort angegeben hat?
Grüße aus dem Norden
Bzw das man die Ereignisse nicht filtern kann.
Mitlerweile bekomme ich sogar von einem ganz normalen HP Notebook ab und zu jede Minute eine mail das er sich connected hat, am Client sieht man nichts.
Mit den Wlan Ereignissen möchte ich nur beaufsichtigen wer sich verbindet. Eigentlich hatte ich vor damit evtl. zu sehen wenn jemand mehrmals in der Minute Versucht zu sich mit falschem Passwort anzumelden, da ich so Hackerangriffe sehe. Hast du eine andere Idee wie ich das machen könnte?
Bzw. wie ich konfiguriere das der AP eine IP bzw. eine Mac für 5min. blockt wenn diese 3 mal das falsche Passwort angegeben hat?
Grüße aus dem Norden
Moin,
kann das LANCOM nichts - da mußt Du Apple fragen, wieso
sie es für eine gute Idee halten, mitten in einem dicken
Download einen Netzwerk-Scan zu machen und vom AP
zu verlangen, daß der die während dieser halben Sekunde
auflaufenden Datenmengen irgendwie puffern soll... Das
Thema hatten wir hier schon bei anderen Nutzern im Forum,
ich sehe hier keinen Fehler seitens LANCOM und an Apple
ist nicht heranzukommen.
Menge an Meldungen, die das WLAN 'werfen' kann, ist
prinzipiell zwar endlich und man könnte da eine Riesentabelle
mit Schaltern machen, aber jede Meldung hat wieder
eine MAC-Adresse oder einen genaueren Grund als
Argument. Dann kommt der nächste und will darauf filtern...
auch gemacht...daß der Client nichts meldet, heißt nichts,
die roamen zwischen den APs üblicherweise vor sich hin,
ohne etwas zu melden. Leider haben insbesondere
Centrino-Clients die Eigenschaft, schon mal wild zwischen
ungefähr gleich starken Clients hin- und herzuspringen, auch
wenn der Notebook still an einem Ort steht. Zumindest
frühe rgab's in dem PROset dafür einen Schieberegler...
indirekt, nämlich dadurch, daß der Client im Rahmen des
WPA-Handshakes Antworten mit falschem Hash sendet,
die der AP stillschweigend verwerfen muß (ist in 802.11 so
vorgegeben). Im Endeffekt sieht man im WLAN-Log einen
Timeout im Key-Handshake, der kann aber auch andere
Gründe haben.
so etwas auch nicht für sonderlich sinnvoll. Entweder ein
Anwender hat sich bei der Passphrase nur vertippt, dann
passiert so etwas nur sporadisch und belastet das Gerät
auch nicht sonderlich.
Andererseits, wenn ein Angreifer die Passphrase per
Brute-Force raten will, dann hat er auch kein Problem, nach
ein paar Versuchen seiner WLAN-Karte eine andere MAC-
Adresse zu geben und damit so eine Sperre auszuhebeln.
Mal ganz abgesehen davon, daß Angriffe auf die WPA-
Passphrase üblicherweise rein passiv geführt werden - man
schneidet einen erfolgreichen Handshake mit und rechnet
den dann offline mittels eines Wörterbuches durch, bis die
Hashes passen. Irgendwelche Einbuch-Orgien sind dafür
gar nicht erforderlich.
Ganz in Gegenteil sind solche Sperren eher schädlich, weil
ein Angreifer die MAC-Adresse eines 'legalen' Benutzers
spoofen und dann ein paar Anmeldeversuche mit bewußt
falsacher Passphrase fahren kann, so daß der 'echte
Benutzer' auch nicht mehr hereinkommt - also effektiv eine
Denial-of-Service-Attacke.
Gruß Alfred
Also für diese Meldungen von wegen 'client unreachable...'Sehr schade das Lancom das noch nicht verbessert hat.
kann das LANCOM nichts - da mußt Du Apple fragen, wieso
sie es für eine gute Idee halten, mitten in einem dicken
Download einen Netzwerk-Scan zu machen und vom AP
zu verlangen, daß der die während dieser halben Sekunde
auflaufenden Datenmengen irgendwie puffern soll... Das
Thema hatten wir hier schon bei anderen Nutzern im Forum,
ich sehe hier keinen Fehler seitens LANCOM und an Apple
ist nicht heranzukommen.
Wie würdest Du Dir denn so einen Filter vorstellen? DieBzw das man die Ereignisse nicht filtern kann.
Menge an Meldungen, die das WLAN 'werfen' kann, ist
prinzipiell zwar endlich und man könnte da eine Riesentabelle
mit Schaltern machen, aber jede Meldung hat wieder
eine MAC-Adresse oder einen genaueren Grund als
Argument. Dann kommt der nächste und will darauf filtern...
Wenn das LANCOM das meldet, dann hat der Client dasMitlerweile bekomme ich sogar von einem ganz normalen HP Notebook ab und zu jede Minute eine mail das er sich connected hat, am Client sieht man nichts.
auch gemacht...daß der Client nichts meldet, heißt nichts,
die roamen zwischen den APs üblicherweise vor sich hin,
ohne etwas zu melden. Leider haben insbesondere
Centrino-Clients die Eigenschaft, schon mal wild zwischen
ungefähr gleich starken Clients hin- und herzuspringen, auch
wenn der Notebook still an einem Ort steht. Zumindest
frühe rgab's in dem PROset dafür einen Schieberegler...
Eine falsche Passphrase äußert sich bei WPA/PSK nurEigentlich hatte ich vor damit evtl. zu sehen wenn jemand mehrmals in der Minute Versucht zu sich mit falschem Passwort anzumelden, da ich so Hackerangriffe sehe. Hast du eine andere Idee wie ich das machen könnte?
indirekt, nämlich dadurch, daß der Client im Rahmen des
WPA-Handshakes Antworten mit falschem Hash sendet,
die der AP stillschweigend verwerfen muß (ist in 802.11 so
vorgegeben). Im Endeffekt sieht man im WLAN-Log einen
Timeout im Key-Handshake, der kann aber auch andere
Gründe haben.
So eine Sperre kann man nicht konfigurieren, und ich halteBzw. wie ich konfiguriere das der AP eine IP bzw. eine Mac für 5min. blockt wenn diese 3 mal das falsche Passwort angegeben hat?
so etwas auch nicht für sonderlich sinnvoll. Entweder ein
Anwender hat sich bei der Passphrase nur vertippt, dann
passiert so etwas nur sporadisch und belastet das Gerät
auch nicht sonderlich.
Andererseits, wenn ein Angreifer die Passphrase per
Brute-Force raten will, dann hat er auch kein Problem, nach
ein paar Versuchen seiner WLAN-Karte eine andere MAC-
Adresse zu geben und damit so eine Sperre auszuhebeln.
Mal ganz abgesehen davon, daß Angriffe auf die WPA-
Passphrase üblicherweise rein passiv geführt werden - man
schneidet einen erfolgreichen Handshake mit und rechnet
den dann offline mittels eines Wörterbuches durch, bis die
Hashes passen. Irgendwelche Einbuch-Orgien sind dafür
gar nicht erforderlich.
Ganz in Gegenteil sind solche Sperren eher schädlich, weil
ein Angreifer die MAC-Adresse eines 'legalen' Benutzers
spoofen und dann ein paar Anmeldeversuche mit bewußt
falsacher Passphrase fahren kann, so daß der 'echte
Benutzer' auch nicht mehr hereinkommt - also effektiv eine
Denial-of-Service-Attacke.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Danke für deine sehr ausführlich ANtwort Alfred.
Kannst du mir die Themen in denen das Apple Problem schonmal erläutert wurde posten? ich würde mich diesbezüglich gerne genauer belesen damit ich argumentieren kann warum so viele Ereignisse auftreten.
Des weiteren besteht das Problem mit den HP Notebooks auch bei nicht Roaming, denn ich habe bisher nur einen AP im einsatz.
Außerdem war die Beschreibung des Hackversuches ganz gut. Jetzt habe ich ne Vorstellung wie das funktioniert?!
Er schneidet also Pakete mit, nimmt sich die dann mit nach hause und Versucht mit seinem Powerrechner und Bruteforce das Passwort zu knacken? Muss er eine richtige MAC bei der Bruteforceattacke haben?
Kannst du mir die Themen in denen das Apple Problem schonmal erläutert wurde posten? ich würde mich diesbezüglich gerne genauer belesen damit ich argumentieren kann warum so viele Ereignisse auftreten.
Des weiteren besteht das Problem mit den HP Notebooks auch bei nicht Roaming, denn ich habe bisher nur einen AP im einsatz.
Außerdem war die Beschreibung des Hackversuches ganz gut. Jetzt habe ich ne Vorstellung wie das funktioniert?!
Er schneidet also Pakete mit, nimmt sich die dann mit nach hause und Versucht mit seinem Powerrechner und Bruteforce das Passwort zu knacken? Muss er eine richtige MAC bei der Bruteforceattacke haben?