Wake-on-LAN

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Wake-on-LAN (WOL, soms WoL of Remote Wake Up) is een netwerkstandaard voor ethernet waarmee het (soms) mogelijk is een computer van op afstand aan te zetten of uit de slaapstand te halen met behulp van een magic packet. Dit gebeurt door het zenden van een netwerkboodschap met behulp van een eenvoudig programma op een andere computer op het netwerk. Deze technologie werd in april 1997 door Intel en IBM geïntroduceerd.

Principe[bewerken]

Wake-on-LAN gebruikt een speciaal netwerkpakket met de term "magic packet". Het "magic packet" bevat onder andere het MAC-adres van de PC die opgestart dient te worden. Het "magic packet" wordt in broadcast verzonden. Elke PC waar het "magic packet" aankomt, verifieert of dit voor zijn netwerkkaart is bedoeld. Indien wel, start de computer automatisch op.

Het "magic packet" wordt verzonden in de tweede laag van het OSI-model. Dit wil zeggen dat het packet het IP-adres niet gebruikt, daar dit in de derde laag van het OSI-model zit.

Een misvatting over Wake-on-LAN is dat het beperkt zou zijn tot het subnet waarin zowel de verzender als ontvanger zich bevinden. Hoewel dit meestal zo is, kan het "magic packet" verstuurd worden naar PC's buiten het subnet van de verstuurder.

Wake-on-LAN vereist dat de netwerkkaart van de ontvanger gedeeltelijk geactiveerd is. Dit wil zeggen dat dergelijke netwerkkaarten steeds stroom zullen verbruiken. Indien de optie niet nodig is, is het beter om Wake-on-LAN in de BIOS van de computer uit te schakelen.

Magic packet[bewerken]

Het "magic packet" bestaat uit 102 bytes. Het start met 6 bytes van het hexadecimale getal 255 (FF FF FF FF FF FF) gevolgd door zestien keer het 48-bit MAC addres van de computer die opgestart dient te worden.

Het "magic packet" heeft volgende beperkingen:

  • het moet het MAC-adres van de doelcomputer bevatten, met eventueel een SecureOn-wachtwoord
  • het maakt geen gebruik van een confirmatiepakket
  • werkt mogelijk niet buiten het lokale netwerk
  • De doelcomputer moet Wake-On-LAN ondersteunen
  • De netwerkkaart van de doelcomputer moet onder stroom staan
  • Het "magic packet" kan niet worden verstuurd naar draadloze netwerkkaarten

Subnet directed broadcasts[bewerken]

Een grote beperking van Wake-On-LAN is dat het pakket niet wordt gerouted. Daardoor is de techniek niet mogelijk in grotere netwerken of over het internet. Subnet Directed Broadcasts (SDB) kunnen eventueel gebruikt worden om deze beperking te omzeilen, maar hiervoor is het mogelijk dat de routerconfiguratie aangepast dient te worden. Subnet directed broadcasts worden behandeld als normale netwerkpakketten tot aan de laatste router. Die laatste router converteert het pakket naar een broadcast. Een vereiste is dat alle routers zo staan ingesteld dat ze de SDB's ook doorsturen. Dit dient met de nodige voorzichtigheid te worden ingesteld: als ale SDB-pakketten worden toegelaten door de routers, is het netwerk kwetsbaarder voor DDoS-aanvallen, zoals smurf attacks.

Problemen met Magic Packets[bewerken]

Hoewel Wake-on-LAN eenvoudig lijkt, is het een moeilijke technologie om te implementeren. De technologie vereist een geschikte BIOS, netwerkkaart, correct ingestelde routers en het werkt niet op elk besturingssysteem. Andere problemen die opduiken, is dat PC's soms enkel opstarten wanneer ze effectief afstaan. PC's die in standby of hibernation staan, worden niet altijd opgestart. Net omdat er geen confirmatiepakket is, weet de verzender niet of het toestel effectief is opgestart. Dit dient hij te controleren met een PING-commando, maar de doelPC kan zo ingesteld staan dat deze ook niet antwoord op dergelijke PING.

Sinds Windows Vista is er een extra tool om na te gaan hoe het systeem van een remote computer de laatste keer werd opgestart: powercfg /lastwake. Ook het Wake-on-LAN-event zou vermeld moeten staan in de System event log.

Veiligheidsricico's[bewerken]

Onbevoegde toegang[bewerken]

  • "Magic packets" worden verzonden over de tweede laag van het OSI-model. Hierdoor kan dit misbruikt worden door eenieder die zich in hetzelfde LAN bevindt. Het netwerk dient dus goed beveiligd te worden.
  • Firewalls en routers kunnen zo ingesteld worden dat SDB's al dan niet worden doorgestuurd. Indien een SDB wordt tegengehouden, zal het pakket niet aankomen op de doelcomputer wanneer deze zich buiten het netwerksegment bevindt van de broncomputer.
  • Sommige netwerkkaarten ondersteunen "SecureOn". Dit laat toe om een hexadecimaal wachtwoord te sturen dat uit 6 bytes bestaat. De broncomputer dient het wachtwoord te verzenden tezamen met het "magic packet". Echter wordt het wachtwoord verstuurd in platte tekst en niet versleuteld, waardoor hackers alsnog het wachtwoord uit het "magic packet" zouden kunnen filteren.