Wireless LANs – Funknetzwerke:

 

WLAN – Übertragungsraten:

Wireless Lan, auch WLan genannt, ist ein funkgesteuertes, drahtloses Netzwerk, welches zwischen verschiedenen Computern, Notebooks oder auch Handhelds aufgebaut werden kann. Mit Wireless Lan ist somit der Aufbau eines mobilen Netzwerkes möglich. Der typische Kabelsalat entfällt.
Wireless LANs gibt es schon einige Jahre. Größere Verbreitung erfahren sie aber erst seit 1999, als die IEEE den Standard 802.11 b verabschiedete, mit dem WLANs mit Übertragungsraten von bis zu 11 Mbit/s aufgebaut werden können. Mit der wachsenden Verbreitung sinken naturgemäß auch die Preise, so dass mittlerweile in bestimmten Umgebungen ein WLAN sogar als Alternative zu einem stationären Netzwerk in Betracht kommen kann.

Vorteile von Wireless-Lan:

• mobiler Einsatz. Computer oder Notebooks können schneller an ein Netzwerk mit entsprechender Hardware (WLan-Karte) integriert werden.

• keine Verkabelung

Nachteile von Wireless-Lan:

• langsamer als kabelgebundene Netzwerke

• störanfälliger

• Sicherheitsrisiken

• geringe Entfernung zwischen Sender und Empfänger. Je nach Umgebung beträgt die Sendeleistung nur wenige Meter

• teurer als kabelgebundene Netzwerke (je nach Installationsaufwand)

• höherer Sicherheitsaufwand

Grundschutzmaßnahmen:

Kommt ein WLan-Router zum Einsatz, sollten einige Sicherheitsmaßnahmen unbedingt beachtet werden:

Für "private" Netzwerke:

• Passwort bei WLan-Router: Änderung des Passwortes für den Router. Auf die meisten WLan-Router kann zugegriffen werden mit dem Benutzernamen "admin" und den Kennwörtern "1234" oder "password". Dieses Kennwort sollte geändert werden.

   

• Verschlüsselung: WLan-Router verfügen über Techniken, um die Verbindung zwischen Sender und Empfänger zu verschlüsseln. Diese Verschlüsselung sollte aktiviert werden, auch wenn der Konfigurationsaufwand dadurch höher wird. Handelt es sich um einen älteren WLan-Router, der "nur" WEP (Wired Equivalent Privacy) kann, sollte hier eine 128-Bit-Verschlüsselung gewählt werden. Das Kennwort beträgt 26 Zeichen. Das Kennwort sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen. Allerdings ist WEP keine sichere Methode mehr und kann durch bestimmte Software entschlüsselt werden.
  Modernere WLan-Router verfügen bereits über "WPA" (Wi-Fi Protected Access), dem Nachfolger von WEP. Zusammen mit der PSK-Authentifizierung (Pre-Shared Keys) und TKIP (Temporal Key Integrity Protocol) als Verschlüsselung ist ein Kennwort bis zu 63 Zeichen möglich. Das Kennwort sollte hier mindestens 32 Zeichen betragen. WPA-PSK mit TKIP kann dann extern (von Unbefugten) nicht entschlüsselt werden. (Siehe auch weiter unten: Verschlüsselungen)

   

• Firewall: Aktivierung der Hardware-Firewall. Die meisten WLan-Router verfügen über eine Hardware-Firewall. Diese ist standardmäßig bereits aktiviert

   

• zusätzlich sollte auf jedem Empfänger (Computer oder Notebook) zusätzlich eine Software-Firewall installiert werden (siehe: Downloads Firewalls).

   

• WLan deaktivieren: Sofern Wireless-Lan über einen längeren Zeitraum nicht benötigt wird, kann WLan auch für diesen Zeitraum im Router deaktiviert werden. Alternativ kann natürlich auch die Antenne am WLan-Router abgeschraubt werden. So wird die Reichweite stark eingeschränkt.

Zusätzlicher Schutz für Firmennetzwerke oder Netzwerken mit sensiblen Daten (Anwälte, Ärzte):

• Im Bereich von WLANs Verschlüsselungen nach den Standards WEP und WPA populär. Leider bieten diese keinen absoluten Schutz und sind daher für Unternehmen nicht ausreichend. Da WEP und WPA für Firmen keinen ausreichenden Schutz bieten empfiehlt sich oft der Einsatz von VPN-Servern. VPN (Virtual private Network) und wird für sichere Verbindungen über das Internet eingesetzt. In Kombination mit einem Sicherheitszertifikate und zusammen mit der Standardverschlüsselung lässt sich somit ein Maximum an Sicherheit bei einem WLAN erzielen.

• Viele Accesspoints und Router verfügen über eine zeitgesteuerte Zugriffskontrolle. Außerhalb der Geschäftszeiten kann so der WLan-Transfer unterbunden werden.

• Fungiert ein WLan-Router auch als DHCP-Server, sollte der freigegebene IP-Adresspool möglichst klein gehalten werden.

Da die Hauptanwendung für WLan's im Bereich mobiler Endgeräte liegt, sind die meisten Funknetzwerkkarten als PCmCIA-Karten für Notebooks zu bekommen. Es gibt aber auch PCI-Steckkarten für Computer. Als dritte Variante gibt es WLan-USB-Sticks.
Kurz vor der Ratifizierung steht der Standard 802.1 la, der die Übertragungsrate auf 54 MBit/s anhebt. Dazu wird die Trägerfrequenz auf 5 GHz geändert und neue Verfahren zum Medienzugriff eingeführt (DFS, Dynamic Frequency Selection und TPC, Transmit Power Control). Letzteres ist notwendig, da der neue Frequenzbereich bereits von anderen Funkdiensten genutzt wird und mit entsprechenden Störungen zu rechnen ist. Da der neue Standard kaum noch etwas mit dem alten gemein hat, wird ein Upgrade mit dem Austausch der gesamten Hardware einhergehen. Ob es Komponenten geben wird, die beide Standards beherrschen, wird sich zeigen.

Einsatz:

Heutige Wireless-Lan Router vereinigen mehrere Techniken in einem Gerät. Sie dienen als Switch für ein kleines Netzwerk. An den Ports können Computer mit einem normalen RJ-45 - Kabel verbunden werden. Dann stellt der WLan Router die Funkverbindung mit PC's oder Notebooks zur Verfügung. Diese Verbindungen können natürlich auch verschlüsselt werden, um ein Eindringen Dritter zu verhindern. Aber auch als DHCP - Router fungieren die WLan Router. Sie weisen den am Netzwerk angeschlossenen Rechner eine eindeutige IP - Adresse zu.
Darüber hinaus beinhalten gute WLan Router eine eingebaute Hardware-Firewall. Diese bietet einen Basisschutz vor Angriffen von Außen. Natürlich können die Hardware-Firewalls keinen Virenscanner ersetzen.

Verschlüsselungen:

Teil des WLAN-Standards IEEE 802.11 ist Wired Equivalent Privacy (WEP), ein Sicherheitsstandard, der den RC4-Algorithmus enthält. Die enthaltene Verschlüsselung mit einem nur 40 Bit bzw. 104 Bit, bei einigen Herstellern auch 128 Bit oder 232 Bit langen statischen Schlüssel, reicht jedoch selbst bei 232 Bit (256 Bit genannt) längst nicht aus. Durch das Sammeln von Schlüsselpaaren sind Known-Plaintext-Attacken möglich. Es gibt frei erhältliche Programme, die sogar ohne vollständigen Paketdurchlauf in der Lage sind, einen schnellen Rechner vorausgesetzt, das Passwort zu entschlüsseln, wobei das bei einem 232-Bit-Schlüssel etwas dauern kann, aber eben nicht unmöglich ist. Jeder Nutzer des Netzes kann den gesamten Verkehr zudem mitlesen. Die Kombination von RC4 und CRC wird als mathematisch unsicher betrachtet.

Aus diesen Gründen haben sich technische Ergänzungen entwickelt, etwa WEPplus, Wi-Fi Protected Access (WPA) als Vorgriff und Teilmenge zu 802.11i, Fast Packet Keying, Extensible Authentication Protocol (EAP), Kerberos oder High Security Solution, die alle mehr oder weniger gut das Sicherheitsproblem von WLAN verkleinern.

Der Nachfolger des WEP ist der neue Sicherheitsstandard 802.11i. Er bietet eine erhöhte Sicherheit durch die Verwendung von TKIP bei WPA bzw. Advanced Encryption Standard (AES) bei WPA2 und gilt zur Zeit als nicht zu entschlüsseln, solange man bei der Einrichtung keine trivialen Passwörter verwendet, die über eine Wörterbuch-Attacke geknackt werden können. Als Empfehlung kann gelten, mit einem Passwortgenerator Passwörter zu erzeugen, die Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten und nicht kürzer als 32 Zeichen sind.

WPA2 ist das Äquivalent der WiFi zu 802.11i, das mit dem Verschlüsselungsalgorithmus AES (Advanced Encryption Standard mit Schlüssellängen von 256 Bit) arbeitet und in neueren Geräten meist unterstützt wird. Ein genaues Betrachten der technischen Daten, um herauszufinden, ob WPA2 auch tatsächlich unterstützt wird, empfiehlt sich allerdings vor dem Kauf. Einige Geräte lassen sich durch Austausch der Firmware mit WPA2-Unterstützung nachrüsten. Jedoch erfolgt hier meist die Verschlüsselung ohne Hardwarebeschleunigung, so dass diese Zugewinne an Sicherheit durch starke Einbußen bei der Geschwindigkeit erkauft werden.

Eine alternative Herangehensweise besteht darin, die Verschlüsselung komplett auf IP-Ebene zu verlagern. Hierbei wird der Datenverkehr beispielsweise durch die Verwendung von IPsec oder auch durch einen VPN-Tunnel geschützt. Besonders in freien Funknetzen werden so die Inkompatibilitäten verschiedener Hardware umgangen, eine zentrale Benutzerverwaltung vermieden und der offene Charakter des Netzes gewahrt.

Beim so genannten WarWalking werden mit einem WLAN-fähigen Notebook oder PDA offene WLAN-Netze gesucht. Diese können dann mit Kreide markiert werden (WarChalking). Das Ziel ist hierbei Sicherheitslücken aufzudecken und dem Betreiber zu melden und die Verbreitung von WLAN zu untersuchen. Fährt man bei der Suche eines WLAN-Netzes mit einem Auto, so spricht man von WarDriving.

Authentifizierung:

Extensible Authentication Protocol ist ein Protokoll zur Authentifizierung von Clients. Es kann zur Nutzerverwaltung auf RADIUS-Server zurückgreifen. EAP wird hauptsächlich innerhalb von WPA für größere WLAN-Installationen eingesetzt. Für den "privaten" Einsatz verfügen bereits viele WLan-Router über TKIP (Temporal Key Integrity Protocol) zur Authentifizierung.

Standards:

Drahtlose Netze, die nach dem 802.11b-Standard arbeiten, haben laut Hersteller eine Geschwindigkeit von 11 MBit. Davon bleiben bei idealen Übertragungswegen tatsächlich etwa zwei MBit übrig. Um die 768 kBit (etwa 0,7 MBit) von DSL zu übertragen reicht die Geschwindigkeit also aus. Leider verwenden die meisten 802.11b-Geräte WEP zum Schutz des Netzwerks. WEP ist aber nicht "einbruchssicher".

Die Geräte mit 802.11g-Zertifizierung bieten dagegen meist WPA, um Ihr Netz abzusichern. WPA ist der Nachfolger von WEP und wurde so gestaltet, dass ein "Einbruch" nicht mehr möglich ist. Dazu kommt eine höhere Datenrate, nämlich 54 MBit, aus denen in der Praxis etwa 20 MBit werden. Das reicht gerade aus, um Videos mit MPEG-2-Komprimierung über das Netzwerk in Echtzeit zu übertragen. Geräte nach dem 802.11b-Standard können auch an 802.11g-Routern betrieben werden und umgekehrt.

Zunehmend kommen immer mehr Geräte auf den Markt, die höhere Geschwindigkeiten erreichen als 802.11g.

Der G-Standard ist abwärtskompatibel und arbeitet problemlos mit bestehenden 802.11 b - Wireless-Netwerken zusammen.

Für die Kompatibilität zu aktuellen WLans gibt es eine simple technische Erklärung: 802.11b und 802.11g funken auf derselben Frequenz, nämlich 2,4 GHz. Eine Kommunikation mit 802.11a-Geräten ist nicht möglich, da diese auf 5 GHz arbeiten.

802.11a ist ebenfalls 54 MBit schnell, jedoch nicht kompatibel zu 802.11b oder g. Die a-Variante des Standards wird vor allem in Firmen eingesetzt, da sie sehr gut mit vielen Teilnehmern an einem Router zu Recht kommt.

Der kommende WLan-Standard wird 802.11n heißen. Er soll Übertragungsleistungen bis 320 MBit ermöglichen. Wahrscheinlich wird er erst Ende 2005 verabschiedet.

802.11	1 Mbit/s	FHSS / DSSS
802.11	2 Mbit/s	FHSS / DSSS
802.11 b	5,3 Mbit/s	DSSS
802.11 b	11 Mbit/s	DSSS	im 2,4-GHz-Band
802.11 a	54 Mbit	DSSS	5-GHz-Band
802.11 g	maximal 54 Mbit	DSSS	2,4-GHz-Band
802.11 h	maximal 54 MBit	DSSS	5-GHz-Band (Ende 2005)

FHSS: Frequency Hopping Sprend Spectrum (Frequenz Sprungverfahren). Hier wird die Trägerfrequenz 2,5 mal pro Sekunde gesendet.

DSSS: Direct Sequenz Sprend Spectrum (Direkt Sequenz – Spreizbandtechnik). Jedes Bit wird mit einer Folge von 11 Bit exklusiv oder verknüpft, der Empfänger muss die gleiche Bitsequenz benutzen.

WLan Ãœbertragungsverfahren:

Es sind verschiedene Übertragungsgeschwindigkeiten möglich. Die Endgeräte sind in der Lage, diese abhängig von der Übertragungsqualität (Störungen, Signalpegel) selbstständig anzupassen, sprich während der Datenübertragung zu erhöhen oder zu senken.

WLan's nutzen zur Datenübertragung das so genannte ISM‑Band (Industrial, Scientific, Medical), den Frequenzbereich von 2,4000 ‑ 2,4835 GHz, der weltweit für unlizensierte Funkanwendungen mit begrenzter Sendeleistung (in Europa 1 00mvv) reserviert ist. Damit sind in Gebäuden Reichweiten von 100 ‑ 300m erreichbar, bei einer gerichteten Übertragung wären bis zu 15 km möglich. Das ISM‑Band darf jedoch nur innerbetrieblich genutzt werden, man darf damit nicht als Service Provider tätig werden und selbst eine Grundstückübergreifende Nutzung ist anmeldepflichtig.

Würden die Daten in einem WLan einfach auf einen Träger aufmoduliert, entstünde ein sehr schmalbandiges Ausgangssignal. Dieses wäre erstens relativ leicht abzuhören und zweitens sehr störanfällig. Deswegen wird das Signal bei der Modulation auf den Träger auf eine wesentlich höhere Bandbreite "gespreizt". Entgegen der Beteuerungen der Hersteller sind WLan's jedoch nicht absolut störsicher – insbesondere die gemeinsame Nutzung mit Bluetooth, das ein wesentlich aggressiveres Medienzugriffsverfahren hat, führt in der Praxis zu sehr deutlichen Performanceeinbrüchen im WLan.

Die Hardware für WLan: (siehe auch: Netzwerk-Hardware)

Access Point, Router:
Als erstes brauchen Sie unbedingt ein Gerät, das als Basisstation dient und den Zugriff auf das Netzwerk verwaltet. Diese Gerät heißen bei drahtlosen Netzwerken Access Point. Wenn zusätzlich noch der DSL-Internet-Zugang mit verteilt werden soll, wird der Access Point als Router bezeichnet. Je nach dem, was Sie für Anforderungen haben, benötigen Sie also entweder einen Access Point oder einen Router. Dabei werden reine Access Points eher seltener eingesetzt, da Router fast genau so viel kosten. Es ist kein Nachteil für Sie, wenn Sie sich einen Router kaufen, obwohl Sie keine Internet-Verbindung verteilen wollen. Kommt ein DSL - Router zum Einsatz, sollte auf jeden Fall ein neues Kennwort vergeben werden. Da die Router meistens mit einem Standard - Kennwort ausgestattet sind (zum Beispiel 1 2 3 4), könnten Sicherheitsmechanismen sehr leicht umgehen werden.

 

USB-Sticks, PCI-Karte, PCMCIA-Karte:
Eine Methode, einen Rechner in ein drahtloses Netzwerk zu bringen, ist der USB - Adapter. Er kann an jeden PC angeschlossen werden, der eine USB - Schnittstelle besitzt. Der USB - Adapter hält per Funk den Kontakt zum Router. Ein weiterer Vorteil des USB - Adapters: Sie können den Adapter an mehreren Geräten betreiben, ohne ihn umständlich ausbauen zu müssen.
Eine PCI - Karte (Bild ganz oben rechts) kommt in Frage, wenn ein Desktop - PC fest mit einer WLan Verbindung ausrüstet werden soll. Die PCI - Karte besitzt eine Antenne, die Kontakt zum Router (Access Point) aufnimmt. Der Vorteil ist, dass kein Netzwerkkabel verlegt werden muss. Für Notebooks gibt es so genannte PCMCIA - Karten (Bild rechts). Diese Karten werden in das Notebook gesteckt und nehmen so Kontakt mit dem Router auf. PCMCIA - Karten haben keine externe Antenne

Begriffe rund um Wireless - Lan:

IEEE 802.11x:
Das Institut of Electrical and Electronics Engineers (IEEE), zuständig für die weltweite Standardisierung von elektronischen Übertragungen, hat auch die Standards für drahtlose Netzwerke erarbeitet. Dabei wurden folgende Normen veröffentlicht:
802.11 b (im 2,4-GHz-Band, maximal 11 Mbit)
802.11 a (im 5-GHz-Band, maximal 54 Mbit)
802.11 g (im 2,4-GHz-Band, kompatibel zu b, maximal 54 Mbit)
802.11 h (im 5-GHz-Band, maximal 54 MBit, noch nicht verabschiedet)

Hotspot:
Als Hotspot wird ein Bereich bezeichnet, in dem Sie über WLan Zugriff auf ein Netzwerk haben, für gewöhnlich auch auf das Internet.

WiFi:
Kurzform von Wireless Fidelity. Mehrere Hersteller haben sich zur Wi-Fi Alliance zusammengeschlossen, um sicher zu stellen, dass ihre Geräte kompatibel sind. Zur WiFi-Alliance gehören unter anderem 3COM, Acer, Apple, AMD, Intel, Sony und Siemens.

Access Point (AP):
Ein Access Point ist die zentrale Empfangs- und Sendestation eines drahtlosen Netzwerks. Am AP können sich mehrere Wireless-Geräte anmelden. Dabei steuert der AP zumeist auch die Zugriffsrechte der drahtlosen Geräte auf ein an ihn angeschlossenes Kabelnetz. Häufig sind Internet-Router auch gleichzeitig APs.

WEP:
Wired Equivalent Privacy: Verschlüsselungstechnik für den Funkverkehr in drahtlosen Netzen, ist im Gegensatz zur WPA unsicher. WEP sollte aber trotzdem aktiviert werden, da es hoher krimineller Energie bedarf, um ein WEP - verschlüsseltes Funknetz zu hacken.

WPA:
Wi-Fi Protected Access. Verschlüsselungstechnik, die im Gegensatz zu WEP bisher noch nicht geknackt wurde. Steht erst mit Geräten der Spezifikation 802.11g zur Verfügung.

Wireless Bridge:
Bezeichnung für ein Gerät, das verschiedene Netzwerk-Typen verbindet, beispielsweise Kabelnetze und WLans. Eine andere Art von Bridge bezeichnet man auch als "Extender" oder "Repeater". Diese werden verwendet, um die Reichweite von WLans zu erhöhen.

MAC-Adresse:
Vergleichbar mit einer Seriennummer für Netzwerk-Hardware. Jede Adresse gibt es nur einmal, sie lässt sich damit eindeutig einer Karte zuweisen. Die MAC-Adresse kann zur Absicherung von WLan-Netzwerken verwendet werden, indem nur bestimmte Adressen zugelassen werden.

Roaming:
Wechsel von einem Access Point zum nächsten ohne Unterbrechung der Verbindung. Wird nicht von allen Access Points unterstützt.

Firewall:
Schützt das interne Netzwerk gegen Angriffe aus dem Internet. Bei so genannten Stateful Inspection Firewalls wird nicht nur der Zugriff auf Ports blockiert, sondern permanent der gesamte Netzwerkverkehr auf unerlaubte Aktivitäten überwacht.

SSID:
Service Set Identifier, Netzwerkname eines WLans. Zu Erhöhung der Sicherheit kann bei neueren Access Points das Ausstrahlen der SSID unterbunden werden. Ein potenzieller Angreifer muss dann erst die SSID ermitteln, bevor er in das Wireless Lan eindringen kann.

DHCP-Server:
Zuständig für die automatische Vergabe von IP-Adressen und anderen wichtigen Netzwerkdaten an angeschlossene Geräte. Damit ändert sich zwar die Adresse der Geräte bei jeder Anmeldung, jedoch vergibt der DHCP-Server immer nur gültige IP-Adressen, so dass es zu keiner Fehlkonfiguration kommen kann. Der DHCP-Server kann so konfiguriert werden, dass er Servern immer die gleiche "feste" IP-Adresse zuteilt.

Ad-Hoc:
In einem Ad-Hoc Netzwerk werden zwei oder mehrere WLan-Karten direkt miteinander verbunden, ohne dass dabei ein Access Point als Knotenpunkt dient. Ein Ad-Hoc-Netzwerk ist ein Peer-to-Peer-Netz, in dem jeder Rechner direkt mit dem anderen Rechner verbunden ist. Die Reichweite eines solchen Netzwerkes ist geringer als die eines Infrastruktur - Netzwerkes. Als einzige Funktion zur Absicherung kann nur die Verschlüsselung (WEP) eingeschaltet werden. Am wenigsten Probleme bekommt man, wenn man den Rechnern feste IP-Adressen zuweist.

Infrastruktur:
Ein im Infrastruktur - Modus betriebenes Wireless LAN nutzt einen Access Point als zentrale Verbindungsstation. Die Reichweite ist wesentlich höher als in einem Ad-Hoc-Netz. Sicherheit gegen Eindringlinge bieten Verschlüsselung und MAC-Adressen-Filterung.

Siehe auch: â–º Hardware im Netzwerk - WLan
â–º Netzwerk-Grundlagen: WLan-Technik