Hinweis: Die Webseite hat einen Desktop-PC erkannt.
WLAN - Wireless Local Area Network
- Technische Grundlagen
1.1 Allgemeines Als Wireless LAN (WLAN) bezeichnet man ein lokales Funknetzwerk, das meistens nach dem Standard IEEE802.11 (von HiperLAN spricht heute niemand mehr) ausgelegt ist. Für ein Heimnetzwerk ist WLAN besonders interessant, da bei der Einrichtung des Netzwerkes keine Kabel verlegt werden müssen. Die erste Spezifikation für WLAN nach IEEE802.11 wurden 1997 veröffentlicht. Seitdem sind mehrere Erweiterungen erfolgt. Für die meisten Anwendungen haben sich Geräte des Standards IEEE 802.11g oder 802.11n durchgesetzt.
1.2. Frequenzen Die für WLAN verwendeten Frequenzbänder dürfen lizenzfrei benutzt werden. Es sind zwei Frequenzbereiche freigegeben: 2,4GHz bis 2,4835 GHz (im sog. ISM-Band = Industry, Science and Medical Band) und 5,15 GHz bis 5,725 MHz. Beide Frequenzbereiche haben Vor- und Nachteile.
1.3. Modulationsverfahren - 1.3.1. FHSS (Frequency Hopping Spread Spectrum) Das FHSS (Bandbreitenspreizung durch Frequenzsprung) ist ein Verfahren zur Funkübertragung bei dem die Trägerfrequenz des Senders mit hoher Geschwindigkeit zwischen vielen Kanälen hin und her springt. Die Umschaltreihenfolge wird durch eine Pseudozufallszahlen-Sequenz bestimmt, die Sender und Empfänger bekannt sein müssen.
- 1.3.2. DSSS (Direct Sequence Spread Spectrum) DSSS moduliert (überlagert) die Daten mit einem Spreizungscode (Chipping-Sequenz) und überträgt das Ergebnis auf nur einer Trägerfrequenz im ISM-Band.
- 1.3.3. OFDM (Orthogonal Frequency Division Multiplex) Beim WLAN eingesetzten Mehrträgerverfahren OFDM werden, wie der Name es sagt, statt einem einzelnen Träger, mehrere Dutzend Träger gleichzeitig moduliert. Hierzu werden zeitlich aufeinander folgende Daten in Streams mit niedriger Datenrate auf eine große Anzahl von Trägern verteilt. Das Verteilungsmuster soll dazu führen, die Auswirkungen auch von zeitlich länger anhaltenden Störungen einzelner oder auch einer Gruppe benachbarter Träger so auf den seriellen Datenstrom im Empfänger zu verteilen, dass eine Korrektur möglichst bereits durch einen bitweise arbeitenden internen Fehlerschutz erreicht werden kann. Für die Modulation der einzelnen Träger kann, abhängig von der Verbindungsqualität, CCK (Complementary Code Keying), QPSK (Quadrature Phase Shift Keying), 16-QAM (Quadrature Amplitude Modulation) oder 64-QAM verwendet werden.
- 1.4. Protokolle
- 1.4.1. Definition der IEEE80.11x-Standards Die IEEE802.11x-Standards definieren vor allem die Bitübertragungsschicht (Physical Layer) und die Verbindungs-/ Sicherungsschicht (Data Link Layer), also die untersten zwei Schichten des OSI-Referenzmodells. In der Funktionsweise wird die Verbindungsschicht in zwei unterschiedlich Bereiche aufgeteilt. Die Zugriffssteuerung wird durch das Media Access Control (MAC) realisiert. Funktionell unterteilt sich die Verbindungsschicht in zwei weitere Bereiche. Das Logical Link Control (LLC), welches bei allen IEEE802.11-Standards ähnlich ist, übernimmt die logische Steuerung. Hieraus ergeben sich die Protokolle der höheren Schichten, dem Zugriffsmechanismus (CSMA/CA) und des physikalischen Layers. Auf diese Weise können Protokolle der höheren Schichten unabhängig vom Zugriffsmechanismus und der physikalischen Definition auf die Kommunikationsdienste zugreifen.
- 1.4.2. Zugriffssteuerung mit CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) WLAN-Geräte sind, weil sie nicht gleichzeitig auf einer Frequenz senden und empfangen können, nicht vollduplexfähig. Das bedeutet, dass das Medium nicht während des Sendens überwacht werden kann. Eine Collision-Detection (mit CSMA/CD) wie beim Ethernet ist deswegen nicht möglich. Der Standard IEEE802.11 setzt als Übertragungsverfahren das Protokoll CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) ein. CSMA/CA soll Collisions von Datenpaketen unterschiedlicher Quellen vermeiden. Eine solche Situation tritt beispielsweise ein, wenn zwei mobile Geräte einen gemeinsamen Access-Point zwar erreichen, sich aber gegenseitig nicht empfangen können. Das Grundprinzip dieses Protokolls ist, dass ein Sender zuerst ins Medium hineinhorcht und überprüft ob es frei ist. Ist dies der Fall, schickt er eine Anfrage an die gewünschte Station ob er senden darf (RTS = Request To Send). Das RTS-Paket ist gleichzeitig eine Aufforderung an alle weiteren WLAN-Stationen im Netz, für die Zeit der Übertragung nicht zu senden. Ist die gewünschte Station frei, schickt diese eine Bestätigung (CTS = Clear To Send) zurück. Nach dem Erhalt des CTS kann der Sender das Datenpaket losschicken. Trifft innerhalb einer von einem Zufallsgenerator gewählten Zeit kein CTS beim Sender ein, horcht dieser wieder ins Medium und schickt ein weiteren RTS. Dieses wiederholt sich bis die gewünschte Station frei ist und ein CTS sendet.
- 1.5. Die wichtigen IEEE802.11-Standards
- 1.5.1. IEEE802.11a/h IEEE802.11a wurde im September 1999 ratifiziert. Erste Produkte kamen jedoch erst 2001 auf den Markt. Mit der Erweiterung IEEE802.11h wurde der Standard im Jahr 2003 für den Betrieb in Europa harmonisiert. Der Standard sieht Bitraten bis zu 54 MBit/s im 5 GHz-Band vor. Die maximale Sendeleistung ist frequenzabhängig auf 30-1000mW begrenzt. Die Erweiterung 11h setzt die Fähigkeiten DFS (Dynamic Frequency Selection = Dynamisches Frequenzwahlverfahren) und TPC (Transmission Power Control= Übertragungssendeleistungs-Steuerung) voraus, um andere Dienste im 5-GHz-Band wie medizinische Geräte, Radarsysteme und Satelliten- und Ortungsfunk nicht zu
- 1.5.2. IEEE802.11g Der im Juli 2003 verabschiedete Standard IEEE802.11g ist zur Zeit wohl am weitesten verbreitete Standard. Durch die Verwendung von OFDM (Orthogonal Frequency Division Multiplexing, wie bei 802.11a/h) kann die Brutto-Datenrate auf bis zu 54Mb/s, bei einigen proprietären Verfahren sogar auf das doppelte, steigen. Damit sind Multimedia-Anwendungen, die hohe Dauerdatenraten erfordern, wie z.B. Videostreaming, unter günstigen Bedingungen möglich. Bei schlechten Übertragungsbedingungen oder bei der Kommunikation mit IEEE802.11b-Geräten wird statt OFDM als Modulation das langsamere, aber robustere (HR)DSSS (High Rate Direct Sequence Spread Spectrum) verwendet. Somit sind IEEE802.11g-Geräte auch abwärtskompatibel zur IEEE802.11b.
- 1.5.3. IEEE802.11n IEEE802.11n vereinigt die Standards IEEE802.11a, h, und g. Endgültig wurde die 11n im September 2009 ratifiziert. Neben der Verwendung beider Frequenzbänder ist auch eine Kanalbündelung vorgesehen. Die dadurch erreichte Erhöhung der Übertragungsbandbreite von 20 auf 40 MHz erlaubt die Verwendung von bis zu vier parallelen Datenstreams. Auf mehrere Antennen mit Richtwirkung verteilt, verhilft dies zu einem besserem Durchsatz und erlaubt selbst das ruckelfreie Streaming von Videodaten (auch Video-DVDs und HDTV) durch mehrere Wände. Dank dieser " Multiple Input, Multiple Output"-Technik (MIMO) lassen sich die Bitraten auf bis zu (theoretisch) 600 MBit/s brutto steigern. Dadurch sollen von bestehenden WLAN-Techniken erreichte Datenraten über größere Distanzen erreicht oder aber auf gleicher Distanz eine höhere Datenrate als bisher ermöglicht werden.
- 1.5.4. Wichtige Ergänzungen zur IEEE802.11 Zwei wichtige Ergänzungen zur IEEE802.11 konnten die Funktion und Sicherheit von WLAN entscheidend verbessern.
- WLAN in der praktischen Anwendung
- 2.1.Topologien von WLAN-Netzen Ein WLAN kann in zwei Modi betrieben werden: Dem Ad-Hoc-Modus und dem Infrastruktur- Modus. Die Reichweiten der Funkzellen können mit Repeatern oder Wireless Bridge erhöht werden.
- 2.1.1. Ad-Hoc-Modus
- 2.1.2. Infrastruktur- Modus
- 2.1.3. Roaming
- 2.1.4. Wireless Repeater
- 2.1.5.Wireless Bridge Um zwei Netzwerkteile, z.B. in zwei Gebäuden über eine öffentliche Straße hinweg, über eine Funkstrecke miteinander koppeln zu können, werden zwei Bridge-Mode unterstützende Access-Points benötigt. Zwischen diesen beiden WLAN-Zentralen wird eine dedizierte Verbindung hergestellt. Dies bedeutet, dass alle Anmeldeversuche anderer WLAN-Geräte verweigert werden, so dass die gesamte Bandbreite nur für die Bridge-Funktion zur Verfügung steht. Zur Reichweitenerhöhung können zusätzlich Richtantennen verwendet werden.
- Sicherheit von Funknetzen
- 3.1. WEP Die WEP-Verschlüsselung (Wired Equivalent Privacy = Verdrahteten (Systemen) entsprechende Privatsphäre) soll die Kommunikation innerhalb eines WLANs vor Lauschangriffen schützen. Damit Access-Point und Notebook miteinander Daten ver- und entschlüsseln können, benutzen sie einen identischen Code. Das Verschlüsselungssystem kodiert Datenpakete mit 128 Bit. Die Kodierung dient als Zugangskontrolle: Einem Notebook wird der Zugriff auf einen AP verweigert, wenn die Schlüssel der beiden Komponenten nicht übereinstimmen. Inzwischen ist allein durch das Erlauschen des Datenverkehrs ein passiver Angriff auf WEP mit handelsübliche Hardware und frei erhältlicher Software gelungen. Er beruht auf der Tatsache, dass WEP einen berechneten und nicht einen zufälligen Initialisierungsvektor im Klartext überträgt. So kann aus den erlauschten Daten der bei WEP verwendeten Schlüssel rekonstruiert werden. Nachgewiesenermaßen dauert das Berechnen eines WEP-Schlüssels mit einem normalen PC oder Laptop nur wenige Minuten.
- 3.2. WiFi Protected Access" (WPA) Nachdem sich WEP als unsicher erwiesen hatte, wurde eine Teilmenge des Sicherheitsstandards IEEE 802.11i, der noch in Arbeit war, vorweggenommen und als WPA eingeführt. WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Teilnehmern Pre-Shared Keys (PSK) oder Extensible Authentication Protocol (EAP) an. Der PSK muss allen Teilnehmern des LAN bekannt sein, da mit seiner Hilfe der Sitzungsschlüssel generiert wird. PSK eignet sich besonders für kleine Firmen oder daheim.
- 3.4. GRUNDLEGENE SICHERHEITSMASSNAHMEN IM WLAN Weitere Hinweise für ein sicheres WLAN finden Sie in der folgenden, zusammenfassenden Textbox.
| Standard | Frequenz - Bereich | Anzahl Kanäle | Max. Kanäle | Bandbreite/ Kanal | Modulation | theor. Datenrate | prakt. Datenrate | Reichweite | Bemerkung |
|---|---|---|---|---|---|---|---|---|---|
| 802.11 | 2,4 GHz | 13 | 3 | 20 MHz | DSSS | 2 Mb/s | 1 Mb/s | 20-100m | |
| 802.11a | 5 GHz | 19 | 19 | 20 MHz | OFDM | 54 Mb/s | 22 Mb/s | 35-120m | nur Indoor, reduzierte Sendeleistung |
| 802.11b | 2,4 GHz | 13 | 3 | 20 MHz | DSSS | 11 Mb/s | 2,5-5 Mb/s | 35-150m | auch Outdoor, Richtantennen möglich |
| 802.11g | 2,4 GHz | 13 | 3 | 20 MHz | OFDM/DSSS | 54 Mb/s | 2,5-22 Mb/s | 35-150m | kompatibel zu 802.11b |
| 802.11h | 5 GHz | 19 | 19 | 20 MHz | OFDM | 54 Mb/s | 22 Mb/s | 20-100m | Ergänzung zu 802.11a für EU |
| 802.11n | 2,4 GHz | 13 | 3 | 20 MHz | OFDM mit MIMO | 72,2 Mb/s p. Stream | 100-130 Mb/s | 70-250m | max. 4 MIMO-streams = max. 600 Mb/s |
| 5 GHz | 19 | 19 | 40 MHz | 150 Mb/s p. Stream |
| Kanal | Frequenz (GHz) | Länder | ||
|---|---|---|---|---|
| Europa | USA | Japan | ||
| 1 | 2,412 | • | • | • |
| 2 | 2,417 | • | • | • |
| 3 | 2,422 | • | • | • |
| 4 | 2,427 | • | • | • |
| 5 | 2,432 | • | • | • |
| 6 | 2,437 | • | • | • |
| 7 | 2,442 | • | • | • |
| 8 | 2,447 | • | • | • |
| 9 | 2,452 | • | • | • |
| 10 | 2,457 | • | • | • |
| 11 | 2,462 | • | • | • |
| 12 | 2,467 | • | • | |
| 13 | 2,472 | • | • | |
| 14 | 2,484 | • | ||
| 36 | 5,18 | • | • | • |
| 40 | 5,2 | • | • | • |
| 44 | 5,22 | • | • | |
| 48 | 5,24 | • | • | |
| 52 | 5,26 | • | • | |
| 56 | 5,28 | • | • | |
| 60 | 5,3 | • | • | |
| 64 | 5,32 | • | • | |
| 100 | 5,5 | • | ||
| 104 | 5,52 | • | ||
| 108 | 5,54 | • | ||
| 112 | 5,56 | • | ||
| 116 | 5,58 | • | ||
| 120 | 5,6 | • | ||
| 124 | 5,62 | • | ||
| 128 | 5,64 | • | ||
| 132 | 5,66 | • | ||
| 136 | 5,68 | • | ||
| 140 | 5,7 | • | ||
| 147 | 5,735 | • | ||
| 151 | 5,755 | • | ||
| 155 | 5,775 | • | ||
| 167 | 5,835 | • | ||
2,4 GHz + 5 GHz WLAN-Bereich
Der für WLAN zugelassene 2,4 GHz-Bereich ist mit 83 MHz relativ klein. Dieser Frequenzbereich ist in 14 Kanäle (in Europa nur 13, siehe Abb. 2) mit einem Trägerabstand von jeweils 5 MHz aufgeteilt. Mit konventioneller Funktechnik ist die in diesem Kanalraster zur Verfügung stehende Kanalbandbreite viel zu gering um höhere Datenraten zu erzielen. Bei Belegung von benachbarten Kanälen mit hohen Signalpegeln sind zudem gegenseitige Störungen sehr wahrscheinlich.
Um hohe Signalpegel zu vermeiden, aber trotzdem eine sichere Verbindung zwischen Sender und Empfänger aufzubauen, bietet sich die Bandbreiten- (oder auch Frequenz-) Spreizung an. Statt mit hohen Signalpegeln und geringer Bandbreite wird hierbei ein niedriger Pegel, aber eine große Bandbreite verwendet (Abb. 3). Beide Verfahren haben dabei die gleiche spektrale Energie (was an der identischen Fläche der Seitenbänder sichtbar wird), nur wird sie bei der Bandbreitenspreizung über einen größeren Frequenzbereich verteilt. Abbildung 3 zeigt auch auf, dass gespreizte Signale gegenüber Störstrahlung wesentlich unempfindlicher sind, weil ein wesentlich kleinerer Anteil des Übertragungsspektrum beeinflusst wird.
Der Einsatz von Bandbreitenspreizung beim WLAN im 2,4 GHz-Bereich führt zu einer Signalbandbreite von 22 MHz pro Kommunikationskanal. Das gesamte Band kann also nur drei sich nicht überlappende Kanäle (1, 6 und 11), mit jeweils 25 MHz Trägerabstand, belegt werden (Abb. 4). In dicht besiedelten Gebieten, wo mehrere WLAN-Netze aktiv sein können, kann dieses zu Problemen führen. Durch die Zunahme von privaten WLANs, DECT -Telefonen, Bluetooth ist das ISM-Band gelegentlich überlastet. Abhilfe kann dann ein 2-Band-WLAN-Router schaffen. Diese haben die Möglichkeit, wenn das 2,4 GHz-Band belegt ist, auf des 5 GHz-Band umzuschalten.
Im 5 GHz-Bereich stehen in Europa 19 überlappungsfreie Kanäle mit jeweils 20 MHz Bandbreite zur Verfügung. Die gegenüber dem ISM-Band höhere Anzahl von Kanälen erlaubt den parallelen Betrieb von wesentlich mehr WLAN-Netzen, was in dicht besiedelten Gebieten von Vorteil ist.
Allerdings ist aufgrund der hohen Frequenz die Reichweite und die Durchdringungsfähigkeit der elektromagnetischen Wellen wesentlich geringer.
Mineralhaltige Wände (Ziegel, Stahlbeton) oder feuchtigkeitshaltige Materialien (Holz) können auch auf kurzer Entfernung die Funkwellen so stark dämpfen, dass eine vernünftige Datenübertragung nicht zustande kommt. Eine Erhöhung der Sendeleistung und der Einsatz im Freien ist nicht gestattet, da im 5 GHz-Frequenzbereich auch Radaranlagen und medizinische Geräte arbeiten. So müssen Geräte nach IEEE803.11h nach dem Aufbau der Verbindung die erhöhte Sendeleistung wieder auf ein Minimum reduzieren.
Da im WLAN frequenzselektive Störungen, z.B. durch Einstrahlungen benachbarter Sender oder Reflektionen auftreten können, eignen sich Multiträgerverfahren zur Modulation besonders gut um die Folgen solcher Störungen zu minimieren.
Senderseitig werden die Nutzdaten zuerst schmalbandig auf einen einzigen Träger aufmoduliert und dann mit einem Frequenzsynthesizer auf die Sendefrequenzen konvertiert. Die Gesamtbandbreite, die ein FHSS-Signals zur Übertragung verwendet, ist viel höher als bei der Übertragung auf einem einzelnen Träger. Der Vorteil dieses Verfahrens liegt darin, dass aufgrund der Verteilung der Information auf die große Bandbreite schmalbandige Störungen weniger wirksam werden können. Beim Slow Hopping werden vor jedem Frequenzsprung mehrere Bits übertragen, beim Fast Hopping werden für jedes Bit mehrere Frequenzwechsel durchgeführt. FHSS wurde schon früh vom Militär verwendet, um nicht abhörbare und störsichere Funkverbindungen herzustellen.
FHSS wurde nur bei der ersten Spezifizierung der IEEE802.11 vorgesehen. Die im ISM- (2,4 GHz-) Band zur Verfügung stehenden 83,5 MHz Bandbreite wurden in jeweils 1 MHz breite Kanäle aufgeteilt. Von diesen 83 Kanälen mussten mindestens 79 innerhalb einer halben Sekunde verwendet werden. Es mussten alle Kanäle benutzt worden sein, ehe ein Kanal wiederverwendet werden durfte. Das Sprungmuster wurde über das WLAN-Bakensignal (WLAN Beacon) spezifiziert.
Abb. 7: Kodierung der Nutzdaten bei IEEE802.11b Bei Geräten nach dem Standard IEEE802.11b wird bei den niedrigen Datenübertragungsraten (1 und 2 MBit/s) ein 11-Bit Spreizungscode verwendet, der als " Barker-Code" bezeichnet wird. Der Nutzdatenstrom wird über XOR mit dem Spreizungscode verknüpft. Das resultierende Signal ist eine Folge von Datenobjekten, die als "Chips" (Späne) bezeichnet werden. Jedes Bit ist so mit dem 11 Bit Barker-Code kodiert. Gruppen von 11 Chips bilden ein Bit.
Bei den höheren Datenraten von 5,5 und 11 MBit/s werden statt dem feststehenden Barker-Code Sequenzen von 64 8-Bit-Codeworten verwendet (Complementary Code Keying (CCK)). Dieser erzeugt einen kompakteren Code, der eine noch höhere Störfestigkeit hat.
In Europa ist der ISM-Frequenzbereich für ein IEEE802.11b-WLAN, wie in Abb. 3 dargestellt, in 13 DS-Kanäle ( Direct Sequence Channels) aufgeteilt. Jeder Kanal ist 22 MHz breit. Der Abstand der Träger ist jedoch nur 5 MHz. Dieses führt zu einer Überlappung benachbarter Kanäle. Überlappungsfrei sind nur die Kanäle 1, 6 und 11, was bei der Einrichtung des WLANs zu berücksichtigen ist.Bei allen WLAN-Verfahren sind die zur Modulation verwendeten Datenströme codiert. Jeder einzelne Träger ist phasen- und (ab 4 Bit pro Symbol zusätzlich) amplitudenmoduliert und trägt von daher die Information von mehreren Bits (typischerweise 2 bis 6 bit) pro Symbol. Dies hat den Vorteil, dass die Symbolverweildauer gegenüber dem Einträgerverfahren sehr viel länger ist, da die Daten parallel statt seriell übertragen werden. Das resultierende Hochfrequenzsignal liegt also um ein vielfaches länger stabil an.
Abb. 8: Orthogonal Frequency Division Multiplex Die Bildung des OFDM-Signals erfolgt durch Inverse Diskrete Fourier-Transformation (IDFT) im Baseband und wird zur Ausstrahlung auf die Sendefrequenzen hochkonvertiert. Bei IEEE802.11a ist die vom Signal belegte Bandbreite 16,6 MHz, bei IEEE802.11g 22 MHz. Pro Kanal werden 52 Unterträger (Subcarriers) verwendet, wovon aber nur 48 für die Übertragung von Daten genutzt werden. Vier Unterträger sind Pilotfrequenzen, die als Phasenreferenz zur Demodulation dienen.
Beim DFS wird vor dem Senden festgestellt ob die Frequenz eines Subcarrier frei ist. Wird eine Belegung der Frequenz festgestellt, wird automatische eine andere, freie Frequenz gewählt.
TPC wird eingesetzt um die Sendepegel im WLAN so niedrig wie möglich zu halten. Nach dem erfolgreichen Aufbau einer Verbindung wird der Signalpegel soweit reduziert, dass die Verbindung gerade noch sicher aufrecht erhalten kann. Bei sich schnell ändernden Empfangsbedingungen kann es daher durchaus vorkommen, dass eine WLAN-Verbindung wegen Unterschreitens des Mindestsignalpegels unterbrochen wird.
IEEE802.11e erweitert IEEE802.11a/g/h um den QoS (Quality of Service). QoS ist die Dienstgüte in Kommunikationsnetzen. In IP-Netzwerken bezeichnet QOS die Priorisierung von IP-Datenpaketen anhand bestimmter Merkmale und Eigenschaften. Mit diesen Mechanismen ist es möglich, z.B. Voice-over-IP oder Videostreams, die einen verzögerungsfreien und kontinuierlichen Datenstrom benötigen, stärker zu bevorzugen als das Herunterladen von einem Dateiserver oder den Aufruf von Webseiten.
IEEE802.11i ist ein im Juni 2004 ratifiziertes Sicherheitsprotokoll für WLANs. Dieser Standard soll das unsichere Verschlüsselungsverfahren WEP (Wired Equivalent Privacy) entscheidend verbessern. Zwischenzeitlich wurde ein Teil des Protokolls unter der Bezeichnung WPA vorweggenommen.WPA erlaubt eine festere Verschlüsselung durch das Temporal Key Integrity Protocol (TKIP).). Durch die Nutzung von "Pre-Shared-Keys" ist die Einbindung in bestehende Systeme einfacher geworden.
Beim Ad-Hoc-Modus sind mehrere Arbeitsrechner in einem begrenzten Sendebereich unmittelbar miteinander verbunden (Peer-to Peer-Netzwerk). Zentrale Übermittlungs- bzw. Kontrollsysteme, sogenannte "Access-Points" sind bei diesem Anwendungsfall nicht vorgesehen. Solche Independent Basic Service Sets (IBSS) erlauben den schnellen, einfachen und kostengünstigen Aufbau von Netzwerken über kurze Entfernungen und mit begrenzter Teilnehmerzahl (max. 8). Ein derartiges "Ad-Hoc" Netzwerk könnte zum Beispiel zwischen den tragbaren Computersystemen während einer Besprechung in einem Konferenzraum aufgebaut werden. Abb. 10: Ad-Hoc-Modus
Einrichten eines Ad-Hoc-Netzes unter Windows XP Einrichten eines Ad-Hoc-Netzes unter Windows 7 Systemsteuerung ? Netzwerkverbindungen ? Drahtlose Netzwerkverbindung ? Reihenfolge der Netzwerke ändern ? Hinzufügen ? Fenster "Drahtlose Netzwerkeigenschaften" (Abb. 11) öffnet sich:
1. Netzwerknamen eingeben2. Netzwerkauthentifizierung "Offen" einstellen
3. Datenverschlüsselung "WEP" einstellen (WPA ist nicht möglich)
4. Netzwerkschlüssel eingeben oder "Schlüssel wird automatisch
bereitgestellt" Häkchen setzen
5. "Dies ist ein Computer-zu-Computer-Netzwerk..." Häkchen setzen
Die anderen Teilnehmer im Netz müssen ihr WLAN aktivieren und nach dem Ad-Hoc-Netz suchen (scannen). Systemsteuerung ? Alle Systemsteuerungselemente ? Netzwerk- und Freigabecenter ? "Neue Verbindung oder neues Netzwerk einrichten"
?"Ein drahtloses Ad-hoc-Netzwerk (Computer-zu-Computer) einrichten"?"Weiter" ?"Weiter"
? Fenster "Ad-hoc-Netzwerk einrichten " (Abb. 12) öffnet sich:
1. Netzwerknamen eingeben
2. Sicherheitstyp eingeben (WPA2)
3. Sicherheitsschlüssel eingeben
Abb.11: Einrichten eines Ad-Hoc Netzwerks
unter Windows XP
Abb.12: Einrichten eines Ad-Hoc Netzwerks unter Windows 7 Home Premium
Abb. 13: Infrastruktur-Modus
Im zweiten Anwendungsfall, dem Infrastruktur-Modus, kommen "Access-Points" (AP, Zugangspunkte) zum Einsatz. Bei diesen Geräten handelt es sich um Netzwerkkomponenten, welche die Kommunikation innerhalb eines Funk-LANs, zwischen einzelnen Funk-LAN-Zellen und die Verbindung zwischen Funk-LANs und herkömmlichen LANs (kabelbasierend) ermöglichen und kontrollieren. Access-Points regeln die "gerechte" Verteilung der zur Verfügung stehenden Übertragungszeit im Funk-Netzwerk. Des Weiteren ermöglichen diese Komponenten mobilen Arbeitsstationen das unterbrechungsfreie Wechseln (Roaming) von einer Funk-LAN-Zelle in die nächste.
In der einfachsten Version besteht ein Infrastruktur-Funknetz aus einem Access-Point und einer Gruppe von drahtlosen Stationen. Ein solches Netzwerk wird als Basic Service Set (BSS) bezeichnet. Koppelt man mehrere BSS über ein LAN, so spricht man von einem Extended Service Set (ESS).
Der Datenaustausch der über WLAN angebundenen Stationen untereinander läuft in einer Infrastruktur-Netzwerk immer über den zentralen Access-Point der Funkzelle und nicht mehr direkt von Station zu Station. Die Einrichtung des Infrastruktur-Netzes wird auf dem Access-Point vorgenommen. Da ein Infrastruktur-WLAN-Netz eine Erweiterung des bestehenden LANs ist, sind besondere sicherheitsrelevanten Maßnahmen zu ergreifen. So muss z.B. der Zugang zum Netz explizit (z.B. über MAC-Filter im Access-Point) erlaubt
Die über Infrastruktur-Modus in das Netzwerk eingebundenen mobilen oder stationären Computer unterliegen den gleichen Regeln wie über LAN angebundene Rechner. Der Zugriff auf Netzwerk-Ressourcen muss über Berechtigungen freigegeben werden.
Ein wichtiger Teil des WLAN-Konzeptes ist, dass ein Client nicht unbedingt stationär sein muss. Beispielsweise soll ein Laptop in mehreren Sitzungsräumen in verschiedenen Bereichen eines größeren Firmengebäudes ohne Änderungen der Einstellungen Zugriff auf das LAN haben. Hierzu wird ein flächendeckendes WLAN eingerichtet. Da ein einzelner Access-Point meist nicht ausreicht, werden an geeigneten Orten zusätzliche APs aufgestellt und über Kabel mit dem LAN verbunden. Wenn sich die Funkbereiche der einzelnen APs überlappen, kann ein mobiler Client, der seine physische Position ändert, übergangslos von einem Access-Point zu einem anderen wechseln. Dieser Vorgang wird als Roaming bezeichnet. Abb. 14: Roaming
Um Roaming in einem WLAN-Netz zu ermöglichen, hat dieses einige Bedingungen zu erfüllen:
1. Die Access-Points müssen IP-Adressen innerhalb des gleichen Subnet-Bereichs haben.
2. Die Access-Points müssen die gleiche SSID (Service Set Identifier = Name des Netzwerks) tragen.
3. Alle Access-Points müssen die erweiterte Form der SSID, die ESSID (Extended Service Set Identifier), unterstützen
4. Alternativ zum ESSID kann das Inter Access-Point Protocol (IAPP) eingesetzt werden. Dabei teilen sich die Access-Points gegenseitig Daten über die Clients im WLAN-Netz mit. So können sie die Verbindung ohne Unterbrechung übernehmen.
5. Die Access-Points müssen den gleiche Authentifizierungs- und Verschlüsselungsregeln folgen
6. Die Funkbereiche zweier Access-Points dürfen sich nicht überlappen. Überlappen sich die Funkbereiche zweier Access-Points, müssen beide auf unterschiedlichen Frequenzen arbeiten.
Die Wireless Repeater-Funktion (auch WDS = Wireless Distribution System) dient, wie das Roaming, zur Vergrößerung der Funk-Reichweite der WLAN-Zelle. Allerdings wird hier kein kabelgebundenes Netzwerk benötigt, sondern nur eine Steckdose bzw. Stromversorgung für einen als Repeater fungierenden weiteren Access-Point. Alle vom Repeater empfangenen Daten müssen nun noch einmal per Funk zum Access-Point weiter gesendet werden. Dies hat automatisch eine Halbierung der zur Verfügung stehenden Bandbreite zur Folge. Zur Nutzung dieser Funktionalität müssen sowohl der kabelgebundene, als auch der Repeater (= kabelloser Access-Point) WDS unterstützen.
Abb. 15: WLAN mit Repeater
Abb. 17: Verbinden zweier LAN-Teilnetze über eine Wireless Bridge
-
Der größte Vorteil des Mediums Funk ist auch gleichzeitig sein größter Nachteil: Die Funkwellen gehen überall hin, auch dorthin, wo sie nicht hin sollen. Drahtlose Netze bestehen in der Regel aus einem Access-Point und einer Anzahl Clients mit drahtlosen Netzwerkkarten. Bei vielen handelsüblichen Geräten ist der Access-Point in einen DSL-Router integriert. Ein großes Sicherheitsrisiko, das Nutzer von kabellosen Netzwerken haben, ist der Vertraulichkeitsverlust durch einen "Lauschangriff". Mittels Notebook und einer WLAN-Karte ist es für Dritte nicht allzu schwer, von außen in ein solches Netzwerk zu gelangen. Ohne Probleme gelangt er so an persönliche Daten oder kann auf Kosten des Besitzers im Internet surfen, was ohne Flatrate schmerzen dürfte. Auch rechtlich ist die Situation nicht eindeutig. Es gibt Gerichtsurteile, in denen Betreiber von ungeschützten WLANs als Störer verurteilt wurden, obwohl sie vom Missbrauch ihres WLANs nichts wussten.
EAP ist ein Enterprise-Modus, bei dem ein spezieller Authentifizierungsserver die Identität eines Anwenders überprüft.
2004 wurde IEEE802.11i eingeführt und als WPA2 vollständig umgesetzt. Ein neues, besseres Verschlüsselungsverfahren (AES = Advanced Encryption Standard) erhöht zusätzlich die Sicherheit.
- WLAN-Geräte (z. B. der Access-Point) sollten ausschließlich über eine kabelgebundene Verbindung (und nicht über das WLAN) konfiguriert werden.
- Im Access-Point sollte die Fernkonfiguration abgeschaltet werden.
- Das vom Hersteller vergebene Standard-Passwort des Access-Points sollte geändert werden.
- Die Zugriffskontrollliste (ACL = Access Control List = MAC-Filter) sollte aktiviert werden, um Netzzugang vom Access-Point nur für Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist jedoch kein absoluter Schutz, denn MAC-Adressen sind für "Profis" leicht manipulierbar.
- Die SSID des Access-Point sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen, denn jede Firmware (im WLAN-Router) hat Fehler, die ausgenutzt werden können. Niemals die MAC-Adresse des Routers als SSID verwenden, denn diese enthält als Code den Hersteller und weitere Angaben über das Gerät, die einem "Hacker" Ansatzpunkte für ein Eindringen liefern können.
- Nach der Einrichtung von WEP/WPA und MAC-Filtern sollte das SSID-Bakensignal (Beacon) abgeschaltet werden, da die Clients fest eingerichtet sind und eine zyklische Bekanntgabe des Netzwerknamen (SSID-Broadcasting) nur noch ein Sicherheitsrisiko darstellt. Dadurch wird das WLAN mehr oder weniger unsichtbar. Das verhindert ein unabsichtliches Einloggen in das WLAN. Die SSID kann aber auch bei deaktiviertem Broadcasting mit spezialisierter Software (WLAN-Sniffer) aus einer laufenden Ãœbertragung ausgelesen werden.
- WLAN-Geräte sollten ausgeschaltet werden, solange sie nicht genutzt werden.
- Die Reichweite des WLANs sollte minimiert werden. Dies kann durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes durchgeführt werden. So werden auch benachbarte WLAN-Zellen weniger beeinträchtigt.
- Regelmäßige Firmware-Aktualisierungen des Access-Points durchführen, um sicherheitsrelevante Verbesserungen zu erhalten.
Quellen: Eine Zusammenfassung aus Wikipedia, InfoTip, Microsoft, AVM u.a. Herstellerinformationen