HP ProCurve MSM422 / MAP-625

En kund använde sig av HP ProCurve MSM422 / MAP-625 MultiService Access Point (wifi). De var monterade i en hårt belastad 2,4 GHz-miljö med många andra trådlösa nätverk i närheten. Problemet var att de anslutna klienterna återanslöt och begärde ny adress av DHCP-servern så ofta att denna överbelastades, ibland med bara sekunder som intervall. De hade försökt lösa problemet i flera månader utan att lyckas och fokus hade varit på att felsöka DHCP-förfrågningarna.

Det visade sig att problemet inte låg i DHCP-förfrågningarna överhuvudtaget, utan orsakades av att de trådlösa klienterna tappade kontakten med accesspunkten och varje gång de återanslöt skickades en ny DHCP-förfrågan.

Kunden hade blivit felinformerad om att 5-GHz-bandet inte var tillåtet att använda i aktuellt land (vilket det är). Så både radio 1 och radio 2 var inställt för 2,4 GHz-bandet där radio 1 var inställd för 802.11n/b/g och radio 2 för 802.11b/g.

Vidare så hade man för radio 2 ställt värdet för Antenna gain till det maximala 29 dBi i ett försök att maximera uteffekten från systemet. Dock är det så att detta fält fungerar omvänt. För att systemet ska uppfylla lagkraven och inte utstråla mer än tillåten utstrålad effekt, så informerar detta värde systemet om att det är anslutet till en antenn som har en antennförstärkning på 29 dBi. Så för att systemet inte ska utstråla otillåten effekt (vilket är effekt från radion + antennförstärkning) så kommer systemet att reducera radions effekt motsvarande antennens förstärkning, d v s 29 dBi. Men i detta fall användes systemets inbyggda antenner som jag gissar, inte har någon antennförstärkning. Det betyder att inställningen gjorde att systemets utstrålade effekt var -29 dBi med de interna antennerna, d v s en svag wifi-signal.

Den låga effekten gjorde det svårt för de anslutna klienterna att "höra" accesspunktens signal i den i övrigt hårt belastade wif-miljön. Det ledde i sin tur att de tappade kontakten ofta och när de återanslöt skickade de en DHCP-förfrågan som överbelastade DHCP-servern.

Lösning:

  • Radio 1 ställdes om till 5 GHz-bandet. Detta band är mycket mindre belastat än 2,4 GHz och bandbredden är bättre, så när en ansluten klient har möjlighet är det att föredra om 5 GHz-bandet används.
  • Radio 2 ställdes in att använda Internal Antenna med 0 dBi antennförstärkning. 

Inställningarna som användes som löste problemet var enligt bilden ovan.

 

Säkerhet i trådlösa nätverk

Av Stefan Helander

De senaste årens explosionsartade försäljning av produkter för trådlösa nätverksanslutningar har medfört en ny
problematik kring nätverkssäkerhet. Vi ska belysa problemen och ge förslag på hur dessa skall hanteras. Som
med alla säkerhetsfrågor skall hot och åtgärder ställas i relation till den aktuell hotbilden. För din organisation så
kan t ex användning av kryptering vara tillräckligt medan det inte är det i en annan.
En försäljningschef vid ett företag för ett av de större märkena uttalade sig för några år sedan i annonser för
företagets produkter och sade att säkerheten i trådlösa nätverk är lika stor som i trådbundna. Även om kryptering
används och då detta sker med hjälp av protokoll som kan anses säkra, ej knäckta (dit f ö WEP1 inte hör), så
räcker det faktum att nätverket är trådlöst för att ge nätverket en lägre säkerhet än ett trådbundet. Anledningen är
att en eventuell inkräktare inte behöver befinna sig i fysisk anslutning till nätverket utan kan arbeta från t ex en
intilliggande lokal eller en bil.
Undersökningar som gjorts, bl a av IDG med s k War-flying över Stockholm, visar att stora andelar av de
installerade nätverken lämnas helt öppna. Orsaken är många gånger oförstånd eller okunskap hos användaren.
Utrustningen levereras utan kryptering aktiverat och man kopplar in den och konstaterar att ”det fungerar”.

Kryptering

I utrustningen finns stöd för kryptering enligt WEP med 40/64 eller 128 bitars nyckellängd. Denna bör användas
för att nätverket inte skall vara helt oskyddat och öppet. För den som verkligen vill komma åt nätverket är dock
WEP inte något större hinder. Det finns allmänt tillgängliga programvaror på Internet för att knäcka WEPnycklar.
WEP 40/64-nycklar knäcks normalt inom 5-10 minuter medan WEP med 128 bitars nyckellängd kan ta
upp till något dygn. I realiteten är det dock troligare att WEP-128 är knäckt inom 5-6 timmar. Tiden det tar beror
på mängden trafik en inkräktare kan snappa upp. Svagheten ligger i att WEP bygger på RC4 strömchiffer. RC4
är beroende av att de använda nycklarna byts mycket ofta (minuter) eftersom det statistika underlaget snabbt gör
att de annars kan knäckas. Problemet är att de flesta trådlösa produkter idag arbetar med delade nycklar (shared
keys) och byte av dessa måste ske helt manuellt i både accesspunkter och klienter. I praktiken konfigureras detta
vid ett tillfälle och ändras mycket sällan. WEP med 256 och 384 bitars nycklar kommer och bör användas.

Filtrering på MAC-adress

Accesspunkter kan ofta konfigureras så att de endast kommunicerar med utvalda klienter. Detta görs genom att
man i en lista i accesspunkten anger vilka MAC-adresser2 som får kommunicera med den. Andra klienter
ignoreras. Man bör alltså se till att detta är aktiverat och att aktuella klienter är inlagda. Det är ett lite omständigt
förfarande eftersom det innebär manuell konfigurering för varje klient i nätverket. Man bör notera att det finns
möjligheter att förfalska MAC-adressen vilket innebär att en ev inkräktare som lyckas få kännedom om en
godkänd adress kan få åtkomst till nätverket.

Säkerhet i övrig IT-infrastruktur

Eftersom trådlös nätverksutrustning är relativt sett billig och lätt att installera finns ett annat säkerhetsproblem.
Även om IT-avdelningen med säkerhetsansvarige administrerar företagets trådlösa nätverk i enlighet med
uppställd säkerhetspolicy (eller helt förbjudit förekomsten av sådana) finns risken att anställda eller chefer, utan
IT-avdelningens vetskap, själva anskaffar trådlös utrustning och ansluter till företagets nätverk och därmed
exponerar detta. Ett annat scenario är en företagsspion som besöker företaget och ansluter en egen accesspunkt
till ett nätverksuttag, t ex i ett konferensrum eller liknande, och därmed skapar sig en väg in i nätverket. För att
komma till rätta med denna typ av problem måste en generell säkerhet i företagets infrastruktur upprätthållas.
Nätverkets switchar konfigureras så att endast de portar som skall vara inkopplade är aktiverade. Vidare kan man
även här tänka sig att switcharna konfigureras så att endast godkända MAC-adresser tillåts.

Ett trådlöst nätverk bör ges samma säkerhetsnivå som Internet, d v s anses osäkert och inte anslutas på insidan av
det egna nätverket utan istället anslutas på en egen zon i brandväggen. Accesspunkter konfigureras med WEP
och accesslistor över godkända MAC-adresser. Trådlösa klienter ansluter mot brandväggen via VPN med t ex
IPSec baserad på sådana kryptoprotokoll som ännu ej är knäckta eller kommer knäckas inom rimlig framtid.
Slutligen kan man konstatera att problematiken kring säkerheten i trådlösa nätverk inte bara handlar om intrång i
det egna nätverket. Ett oskyddat nätverk, t ex hos en hemanvändare, kan ge anonym internetaccess till personer
som, utan att riskera att spåras, vill ha tillång till en internetanslutning för oetiska eller olagliga syften (intrång,
sabotage, bedrägerier eller spridning av virus).


Länkar:
Security of the WEP algorithm
IDGs artikel om War-flying över Stockholm
Netstumbler

1 Wired Equivalent Privacy
2 MAC-adress är ett unikt nummer för nätverskortet. Detta tilldelas normalt hårdvarumässigt av tillverkaren. Ej att förväxla
med IP-adress.

Denna text får ej kopieras utan tillstånd från HelTech Communication, Stefan Helander (Copyright).

Säkerhetspaket

Support på Joomla!

Support på Joomla!

Har du behov av hjälp med din Joomla?

Vi kan hjälpa dig med tekniken!

Klicka här för att läsa mer!

HelTech is not affiliated with or endorsed by The Joomla! Project™ or Open Source Matters. The Joomla!® name and logo is used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.