Was ist AP-Isolierung?

In Computernetzwerken ist AP eine Abkürzung für Access Point. Ein Zugangspunkt oder drahtloser Zugangspunkt ist ein Gerät, das es mobilen Geräten wie Laptops und Personal Digital Assistants ermöglicht, sich drahtlos mit einem kabelgebundenen Computernetzwerk zu verbinden. Die AP-Isolation ist eine Technik, um zu verhindern, dass mit einem AP verbundene Mobilgeräte direkt miteinander kommunizieren.

Die AP-Isolation erzeugt effektiv ein "virtuelles" Netzwerk zwischen drahtlosen Geräten, in dem jedes Gerät eine eigene Einheit ist. Die AP-Isolation ermöglicht es Netzwerkadministratoren, potenziell bösartigen Netzwerkverkehr von einem öffentlich zugänglichen Teil eines drahtlosen Netzwerks vom Hauptkontrollnetzwerk zu trennen. Dadurch wird verhindert, dass das Hauptkontrollnetzwerk mit unerwünschtem Netzwerkverkehr überflutet wird, zu dem Viren, Würmer und Trojaner gehören können.

Eine typische Anwendung der AP-Isolation ist ein drahtloser Hotspot, wie er in Flughäfen, Cafés und Bahnhöfen zu finden ist. Ein drahtloser Hotspot ermöglicht normalerweise zahlreichen Gastbenutzern, sich mit einem AP zu verbinden und ein einziges, großes drahtloses Netzwerk zu erstellen. Ohne AP-Isolierung könnten sich skrupellose Benutzer mit anderen Netzwerkgeräten als dem AP selbst verbinden, um Hackerangriffe durchzuführen, oder das gesamte Netzwerk mit Datenverkehr überfluten, wodurch es unbrauchbar wird.

Die AP-Isolation kann eine nützliche Waffe im Kampf gegen böswillige Angriffe auf drahtlose Netzwerke sein, aber Bestimmte Angriffsarten, bekannt als ARP-Poisoning oder ARP-Spoofing-Angriffe, können möglicherweise den AP umgehen insgesamt. ARP steht für Address Resolution Protocol und beschreibt eine Methode, um die physische Ethernet-Adresse eines Netzwerkgeräts anhand seiner Internet Protocol-Adresse zu ermitteln. Ein Angreifer kann eine Dateneinheit, ein sogenanntes Paket, mit einer gefälschten Ethernet-Adresse direkt an ein Netzwerkgerät übertragen, so dass es den Anschein hat, als käme das Paket vom AP. Zum Schutz vor dieser Art von Angriff müssen Netzwerkadministratoren kabelgebundene Ethernet-Geräte in einem anderen Teil des Netzwerks oder Subnetzes platzieren als drahtlose Geräte.

Fast alle Anbieter von Netzwerkgeräten implementieren die AP-Isolation in der einen oder anderen Form. Einer der weltweit führenden Netzwerkanbieter, Cisco, implementiert die AP-Isolation in Form einer Technologie, die als Publicly Secure Packet Forwarding bekannt ist. PSPF hindert einen Angreifer jedoch, wie auch andere AP-Isolationstechniken, nicht daran, ein "vergiftetes" ARP zu senden Paket an einen anderen Client, daher muss es weiterhin in Verbindung mit Subnetting verwendet werden, um eine wirksame Verteidigung zu bieten Mechanismus.