57992
Goto Top

O2 Zyxel Router stört WLAN Netzwerk (deauthentication Flooding)

Hallo,

ich administriere eine Controller basierte WLAN Umgebung. Ich habe jetzt festgestellt, dass es im Empfangsbereich mehrere DSL Router von o2 gibt. Diese Router stammen von Zyxel und lösen ein deauthentication flooding aus. Dadurch werden meine WLAN Clients im 2,4 GHz Band abgemeldet. Auf Nachfrage bei o2 habe ich keine brauchbare Lösung bekommen. Ich konnte mein Problem nicht mal richtig schildern, da war der Hotline offensichtlich schon klar warum ich anrufe. Mir wurde sofort jegliche weitere Auskunft verweigert und mir wurde nahe gelegt, das ich Anzeige gegen o2 bei der Polizei einreichen kann oder das ich mir einen Rechtsanwalt nehmen kann und Klage einreiche kann. Aus Kunden Sicht eine ernüchternde Aussage. Auf Nachfrage konnte ich nur in Erfahrung bringen, dass ich bisher nicht der einzige war, der wegen diesem Problem angerufen hat.
Ich hatte sogar Gelegenheit mir die Konfiguration eines solchen Routers anzusehen. Leider gibt es keine Möglichkeit diese Funktion zu deaktivieren. Evtl. handelt es sich um ein Softwareproblem auf das o2 nicht gut zu sprechen ist. Auf eine schriftliche Anfrage bei Zyxel wurde ich wieder an o2 verwiesen. Das schlimme ist, diese Geräte beeinträchtigen alle im Umkreis befindlichen WLAN Clients und melden diese ab. Wer ein solches Gerät in seiner Nachbarschaft hat, bekommt Probleme im WLAN und der normale Benutzer wird wohl kaum das Wissen und die Möglichkeit haben solche Fehler zu identifizieren.
Die BNetzA ist bereits eingeschaltet. Leider wussten der Zuständige WLAN Spezialist noch nicht genau, wie einem solchen Fall die Rolle der BNetzA aussieht, da die Sendeleistung und die gesetzlichen Frequenzen eingehalten werden (Wurde geprüft). Jedenfalls wird das noch genauer geprüft und mich muss mich in diesem Fall noch etwas gedulden.

Hat jemand von euch bereits ähnliche Erfahrungen mit diesen Geräten oder mit einem ähnlichen Fall das euer WLAN Netzwerk aktiv gestört wird gesammelt?

Content-Key: 185796

Url: https://administrator.de/contentid/185796

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: psannz
psannz 01.06.2012 um 20:29:39 Uhr
Goto Top
Sers,

kann dich da nicht beneiden. Ein kompletter Umstieg ins 5 GHz Band wird wohl auch kaum möglich sein.

Hast du denn schon mal Heise, Chip und Konsorten deswegen angeschrieben? Ein erhöhter öffentlicher Druck auf O2 kann dir ja nur entgegenkommen.

Ansonsten... ließe es sich einrichten dass deine Clients nur mit den MAC-Adressen deiner APs kommunizieren?

Grüße,
Philip
Mitglied: aqui
aqui 02.06.2012 aktualisiert um 13:52:35 Uhr
Goto Top
Ein interessantes Verhalten. Generell schalten Netzwerk Admins die Controller basierte WLANs in einem Firmenumfeld verwalten immer die sog. "Rogue AP Detection" ein.
Das ist auch sinnvoll, denn das verhindert das Mitarbeiter sich mit einem "Blödmarkt" AP sich ihr eigenes WLAN innerhalb des Firmennetzes bauen und so die Sicherheits Policy des Unternehmens unterwandern.
Dort also ein durchaus normales Szenario und auch gewollt. Schlecht für den der in direkter Nachbarschaft mit seinem WLAN agiert.
Neu ist allerdings das was du siehst, das nämlich billige Consumer und standalone APs oder WLAN Router diese Funktion haben bzw. still und heimlich dort implementiert ist um O2 gewissermassen einen Vorteil im Konsumermarkt zu verschaffen und vermutlich die WLAN Support Calls der Hotline so auf Null drücken sollen.
Wenn dem tatsächlich so ist, was man nochmal wasserdicht mit einem Sniffer Trace genau verifizieren müsste, wäre das doch durchaus mal einen Hinweis ans Heise Forum (ct) wert um das mal publik zu machen, denn das hätte schon eine gewisse Brisanz !
Nicht das hier ein anderes Controller basiertes WLAN operiert wo jemand Fake O2 SSIDs verwendet um deins mit Rogue AP Detection zu stören ?! Bevor man also in die Offensive geht gilt es da absolute Gewissheit zu schaffen. Anhand der BSSID kannst du übrigens den Hardware Hersteller dieser APs ermitteln !
Der sicher gut gemeinte Rat von psannz oben ist natürlich technischer Unsinn, denn die WLAN Kommunikation basiert ja auf Baiss der Mac Adressen bzw. BSSID. Abgesehen davon hat das mit einem WLAN Verbindungsaufbau rein gar nix zu tun und zeugt eher von Unkenntniss der WLAN Materie...aber egal.
Da du auch einen Controller einsetzt im WLAN was hindert dich daran Rogue AP Detection zu aktivieren und von dir aus diese APs die dich stören auch zu bekämpfen.
Löst zwar nicht das kurzfristig Problem, bewirkt aber das diese Router bzw. APs auch deren WLAN nicht mehr bedienen können... face-wink
Mitglied: 57992
57992 03.06.2012 um 17:58:57 Uhr
Goto Top
Hallo aqui,

ich kann dir nur recht geben. Übrigens habe ich mich schon an heise gewendet, chip wäre natürlich auch noch eine gute Idee. Den AP hatte ich aufgespürt, es handelt sich tatsächlich um ein Consumer Gerät. Wie ich oben beschrieben hatte, konnte ich mir sogar die Konfiguration anschauen. Die Oberfläche ist sehr rudimentär gehalten, ich konnte nicht einmal die Sendeleistung regulieren geschweige denn eine Rogue AP Detection konfigurieren. Mal sehen ob ich es schaffe die restlichen auch noch zu finden. Die Rogue AP Detection ist mir ein Begriff. Ich möchte diese aber nicht im öffentlichen Umfeld einsetzen und würde die Funktion auch nur im Firmengebäude einsetzten.
Ein Ausweichen ins 5 GHz Band strebe ich derzeit an, wird aber noch einige Zeit in Anspruch nehmen bis das komplett umgesetzt ist. Meine Umgebung ist keine klassische Benutzer Umgebung und deshalb nimmt ein solcher Umstieg viel Zeit in Anspruch, ich möchte aber an dieser Stelle nicht zu viel verraten. face-wink

psannz, dein Lösungsvorschlag wird da leider nicht helfen. Das liegt leider am derzeitigen WiFi Standard.
Mitglied: psannz
psannz 03.06.2012 um 18:29:28 Uhr
Goto Top
Danke, habe ich mittlerweile auch gemerkt. Mit RougeAP Detection hatte ich mich bisher nicht auseinander gesetzt, das vermeiden wir (so gut es geht) auf anderem Wege. Werde mich wohl demnächst näher damit beschäftigen müssen....

Könntest du denn, theoretisch, komplett auf 5 GHz umstellen? Gibt nen Haufen Endgeräte die nur im 2,4er funken können, gerade auch im Bereich von rs232&etc->wlan-Konvertern. Bei IP Kameras auf der anderen Seite siehts schon besser aus.


Nochmal zur Netzagentur: Ist zwar schon richtig dass die O2 Geräte wohl im genehmigten Band funken, und wahrscheinlich auch innerhalb der Leistungstoleranzen, ich sehe aber die aktive RougeAP Detection in ihrer Funktion als "Störsender". Speziell nachdem es Consumerendgeräte sind die sicherlich auch in dichter besiedeltem Raum eingesetzt werden.
Und nachdem Störsender per se für Privatleute (mit einer Reichweite die den eigenen Haushalt/Bereich übersteigt) wohl kaum legal sind würde ich vermuten das die gute B'Netzagentur durchaus etwas gegen das "Feature" der O2 Geräte einzuwenden hat.

[OT] Passt ja schon irgendwie zu O2... Erinnert sich noch wer an "Wir sind Einzelfall" etc.? [/OT]

Grüße,
Philip
Mitglied: 57992
57992 18.06.2012 um 07:43:19 Uhr
Goto Top
Ich konnte die Sache nun endlich aufklären. Die O2 Geräte stören keine benachbarten WLAN Netze!

Allerdings haben die Geräte trotzdem ein Problem das mit einem Bug in unserem IDS im WLAN Controller zu falschen Meldungen geführt hat.

Das IDS meldet einen vermeintlichen Angriff, dieser ist aber gar keiner. Es registriert das über 500 deauth Frames über die "Luft" gehen und meldet dann einen Angriff obwohl dieser gar nicht an meine AP's gerichtet ist. Ich konnte mit einem Dump zum richtigen Zeitpunkt am richtigen Ort den Verkehr aufzeichnen. Und Dabei habe ich gesehen, das Clients, die am O2 Router angemeldet sind, nicht richtig abgemeldet werden. Der Client versucht sich mit einem deauth Frame abzumelden, aber der Router versendet danach deauth Frames an das Gerät zurück. In diesem Frame ist das Retry Flag gesetzt. Wenn das Abmelden nicht richtig ausgeführt wird, werden über 500 deauth Frames mit Retry Flag versendet. Manchmal kommt es sogar vor, dass die Clients sich gar nicht mehr richtig am WLAN anmelden können, da von diesen dann eine "Authentication Flood" ausgeht.

Gruß