Fachbeitrag «WLAN - Wireless Local Area Network»

Das drahtlose Netzwerk

1. Was ist WLAN?

WLAN gibt es in den folgenden Betriebsarten:

WDS (Wireless Distribution Repeater)

Ein als WDS konfigurierter Access Point ist eine WLAN-Basisstation, die schwache Funksignale empfängt, neu aufbereitet und verstärkt wieder abstrahlt. WLAN-Repeater vergrössern im Prinzip die Reichweite einer einzelnen Basisstation, die sie über ihre Hardware-Adresse (MAC) identifizieren. Bei der Repeater-Funktion handelt es sich praktisch um eine Funkverlängerung. Der WLAN-Repeater verteilt dabei die Datenpakete per Broadcast an alle WLAN-Teilnehmer und erzeugen damit eine Datenflut im WLAN.

AP und Repeater haben dieselbe SSID, denselben WPA/WEP-Schlüssel und denselben Funkkanal.

Da der AccessPoint und Repeater die gleiche SSID haben, können sich die WLAN-Clients wahlweise mit dem Repeater oder dem Access Point verbinden. Je nachdem, welches Funksignal stärker ist. WDS gibt es als Single-Radio-WDS (Ein Kanal für Weiterleitung an benachbarte AP’s und Clients) und Dual-Radio-WDS (Zwei Kanäle, davon einer für Weiterleitung an AP’s und ein weiterer für die Clients. Dieses Verfahren ist daher effizienter)

2. WLAN-Sicherheit

  • Die Sicherheit von WLANs basiert auf einer Kombination aus Authentifizierung und Verschlüsselung.
  • Ein offenes WLAN stellt sich wie ein offenes Scheunentor dar. Beim Surfen über das offene WLAN hinterlässt die IP-Adresse des WLAN-Betreibers eine Spur im Netz. Diese IP-Adresse kann im nachhinein dem Anschlussinhaber zugeordnet werden. Der Anschlussinhaber wird daher im Rahmen einer Rechtsverletzung als erster Verdächtiger ermittelt.
  • Wenn immer möglich mit
 WPA2 (WIFI Protected Access 2 – AES/CCMP/IEEE802.11i) verschlüsselt verbinden – WPA2 gilt als hinreichend sicher, wenn das WLAN-Passwort möglichst lang und komplex ist – Befindet sich das Passwort in einem Wörterbuch, dann bestehen gute Chancen, dass ein Angreifer das Passwort herauszufinden kann.
    WEP ist geknackt und sollte nicht mehr verwendet werden.
  • Im kommerziellen oder großräumigen Einsatz sollte ein WLAN immer im Enterprise Mode mit IEEE 802.1x gesichert werden.
  • WPS ausschalten.
  • Die WLAN-Reichweite bzw. Antenne und Sendeleistung den Bedürfnissen anpassen um ein «Mithören» nicht zu fördern.
  • Default-Admin-Passwort ändern.
  • Aktuelle Patches einspielen.
  • SSID wählen, die keine Rückschlüsse auf die Firma oder Namen zulässt.
  • MAC-Adressfilter einsetzen ist fraglich – Ein Hacker wird sich einfach seinen WLAN-Adapter mit der MAC-Adresse eines berechtigten WLAN-Adapters überschreiben und schon ist der MAC-Filter umgangen.
  • SSID-Broadcast verstecken ist fraglich und wird auch nicht offiziell unterstützt bzw. ist für Hacker kein wirkliches Hindernis, denn sobald sich ein Client an einem WLAN mit versteckter SSID anmeldet, wird dabei die SSID übertragen)
    (Es entsteht sogar eine Sicherheitslücke: Normalerweise würde der WLAN-Access-Point regelmässig über sein WLAN informieren. Wenn er das nicht tut, dann muss der WLAN-Client, der einmal damit verbunden war, aktiv nach diesem WLAN suchen. Deshalb broadcastet dieser Client regelmäßig die SSID von sich aus heraus. Er ruft praktisch ständig nach dem versteckten WLAN. Auch wenn das gar nicht in der Nähe ist.)
  • WLANs von anderen Netzwerk-Segmenten logisch trennen.
  • Firewall zwischen WLAN und LAN.
  • VPN einsetzen.
  • IDS (Intrusion Detection System) im WLAN aufstellen, um Angriffe zu erkennen.
  • Regelmässige Audits mit aktuellen Hacker-Tools.
  • Netzzugang regeln mit z.B. Radius-Server.
  • Wie man ein WLAN «hacken» kann, wird z.B. ausführlich auf www.elektronik-kompendium.de beschrieben. Stichwort: «WLAN-Hacking» oder hier der Direktlink.

3. WLAN-Frequenzen und Kanäle

Für WLAN sind die Frequenzbänder 2.4GHz (über 10 Kanäle) und
5GHz (über 20 Kanäle) reserviert. Die Kanalanzahl ist regional unterschiedlich.

Beispiel 2.4GHz:

Sowohl der 2.4GHz- wie auch im 5GHz Bereich ist in verschiedene Kanäle unterteilt. Ein Kanal hat eine Bandbreite von 20MHz, 22MHz oder 40MHz. Der AP sendet auf genau einem dieser Kanäle. Dies kann man am AP entsprechend konfigurieren. Benachbarte AP’s sollten aber nicht denselben Kanal benutzen, sonst kommt es zu einer Kanalüberlappung.

  • Bei 13 Kanälen (Europa) sind nur jeweils 3 Kanäle ohne Überlappung nutzbar.
  • Falls mehrerer Access Points geplant sind ist darauf zu achten, dass die genutzten Kanäle nicht zu dicht beieinander liegen.
  • Eine Kanalüberlappung ist unbedingt zu vermeiden, weil dies sonst zu einer geringeren Übertragungsrate führen würde.
  • Eine Kanalüberlappung ist nur bei AP’s zulässig, die mindestens 30 Meter auseinander liegen.
  • Ausserdem muss jeder PC die Übertragungsleistung auf dem selben Kanal mit anderen PC’s teilen (Shared Medium/Kollisionsdomäne)

4. WLAN-Funkantennen

  • Stabantenne oder Rundumstrahlantenne strahlt die elektromagnetischen Wellen gleichmässig in alle Richtungen ab. Dabei sollte die Antenne vertikal stehen. Stabantennen sind in Stabrichtung am wenigsten Effizient.
  • Richtantenne bündelt die Energie und strahlt die elektromagnetischen Wellen in eine bestimmte Richtung ab.
    Vorteil: Grössere Reichweite.
    Nachteil: Man muss die Antenne genau auf die Gegenstelle ausrichten
  • Sektorantenne zählt zur Gruppe «Richtantenne», weist aber einen etwas grösseren Öffnungswickel auf. Um verschieden Richtungen «auszuleuchten», setzt man mehrere Sektorantennen an einem Standort ein.

5. Dämpfung von WLAN-Funkwellen

  • Geringe Dämpfung:
    Holz, Gips, Glas (Möbel, Decken, Zwischenwände ohne Metallgitter, Fensterscheiben)
  • Mittlere Dämpfung:
    Wasser, Mauersteine (Mensch, feuchte Materialien, Aquarium, Wände Decken)
  • Hohe Dämpfung:
    Beton, Gips (Massive Wände, stahlarmierte Betonwände, Zwischenwände mit Metallgitter)
  • Sehr hohe Dämpfung:
    Metall (Liftschacht, Brandschutztüren, Stahlbetonkonstruktionen)

6. WLAN-Fehlersuche und Verbesserungspotenzial

  • Überprüfen sie die Funksignalstärke am Empfangsort.
  • Überprüfen sie eine allfällige Überlappung aktiver Funkkanäle.
  • Überprüfen sie die Anzahl verbundener Geräte und beachten sie, dass der Funkkanal eine einzige Kollisionsdomäne bildet und somit jeder weitere Teilnehmer die am AP zur Verfügung stehende Netzwerkbandbreite proportional reduziert (so ähnlich wie beim Hub)
  • Nutzen sie, sofern ihr AP das zulässt, die zurzeit noch weniger genutzten Kanäle im 5GHz-Bereich.
  • Für mehr Verbindungsqualität und Reichweite Client und Access Point in Sichtlinie aufstellen.
  • Access Point leicht erhöht aufstellen oder wenn möglich an Wand oder Decke anbringen.
  • Empfangsverbesserung bei WLAN über mehrere Etagen durch Schrägstellen der Antenne.
  • Mit der Antennenausrichtung experimentieren. Das Umsetzen oder Drehen der Basisstation kann die Verbindung deutlich verbessern.
  • Wände in Leichtbauweise stellen kein Problem dar. Wände und Decken aus Stahl oder Beton, sowie Brandschutztüren schränken die Reichweite des WLAN ein.
  • Fenster lassen zwar Licht durch, dämpfen aber das WLAN-Signal, insbesondere bei Wärmeschutzverglasung.
  • Ecken und Nischen meiden. Dort bilden sich häufig Funklöcher.
  • Zur Reichweitenerhöhung im Aussenbereich Aussenantennen verwenden.
  • Mehrere Access Points mit ausreichendem Abstand zueinander aufstellen.

7. Die WLAN-Norm IEEE 802.11

  • 802.11: Bruttodatenrate: 2MBit/s / Nettodatenrate: max. 1MBit/s
    Frequenzband: 2.4-2.4835 GHz
    Reichweite innen: typisch 20m / Reichweite aussen: bis 100m
    Max. Sendeleistung: 100m
  • 802.11a: Bruttodatenrate: 54MBit/s / Nettodatenrate: max. 22MBit/s
    Frequenzband Europa: 5.47-5.735GHz / Bandbreite: 20MHz
    Kanäle: 19 (alle überlappungsfrei)
    Reichweite innen: typisch 20m / Reichweite aussen: bis 2km
    Max. Sendeleistung Europa: 1W
  • 802.11c: Wireless Bridging zwischen Access Points
  • 802.11d: Länderspezifische Anpassungen: Funkkanäle, Frequenzbereich etc.
  • 802.11e: Erweitert WLAN um Quality of Service (QoS)
  • 802.11f: Regelt die Interoperabilität zwischen Basisstationen – Roaming
  • 802.11g: Bruttodatenrate: 54MBit/s / Nettodatenrate: max. 22MBit/s
    Frequenzband: 2.4-2.4835 GHz / Bandbreite: 20MHz
    Kanäle: 13 (davon 4 überlappungsfrei)
    Reichweite innen: typisch 20m / Reichweite aussen: bis 100m
    Max. Sendeleistung: 100mW
  • 802.11i: Sicherheit/Verschlüsselung WPA2
  • 802.11n: Bruttodatenrate: 65-600MBit/s / Nettodatenrate: 30-240MBit/s
    Frequenzband: 2.4-2.4835 GHz (3 Kanäle) oder 5.47-5.735GHz (19 Kanäle)
    Reichweite aussen: bis 100m
  • 802.11p: Drahtloser Funkzugriff von Fahrzeugen aus
  • 802.11r: Fast Roaming beim Wechsel zwischen AP’s (VoIP)
  • 802.11s: Regelt den Aufbau von Wireless Mesh Networks
  • 802.11t: Wireless Performance Prediction (WPP), legt unter anderem Testverfahren fest
  • 802.11u: Behandelt das Zusammenspiel mit anderen nicht 802-konformen Netzen (z.B. den zellularen Handy-Netzen)
  • 802.11v: Wireless-Network-Management
  • 802.11w: Protected Management Frames
  • 802.11ac: Bruttodatenrate: bis zu 6.9GBit/s / Nettodatenrate: bis zu 3.5GBit/s
    Frequenzband: 5.47-5.735GHz / Bandbreite: 80/160MHz
  • 802.11ad: Bruttodatenrate: bis zu 6.7GBit/s / Nettodatenrate: bis zu 3.5GBit/s
    Frequenzband: 60GHz / Bandbreite: 2GHz
    Reichweite: wenige Meter

8. WLAN-Begriffe und Abkürzungen

  • WLAN: Wireless LAN (Drahtloses lokales Netzwerk nach IEEE 802.11)
  • WIFI: Wireless Fidelity (Firmenkennzeichnung für IEEE 802.11-Kompatibilität)
  • AP: Access Point (OSI-Layer 1-2; Bridge. AP im Client-Mode ist nur ein einfacher WLAN-Adapter)
    • Access-Point-Betriebsart
    • Client-Betriebsart PC-WLAN
    • Repeater-Funktion (Reichweitenerhöhung / Netzwerkkopplung)
  • WLAN-Router: WLAN-Router mit AP und meistens auch xDSL (OSI-Layer 1-3)
  • BSS: Basic Service Set (WLAN-Zelle mit Access Point oder ohne=IBSS)
  • IBSS: Independend BSS (Ad hoc WLAN ohne AP’s, Tipp: Besser via Bluetooth!)
  • ESS: Extended Service Set (Verknüpfung von mehreren BSS-Zellen)
  • DS: Distribution System (für drahtgebundene WLAN-Reichweitenerweiterung; LAN verbindet AP’s, BSS wird zu ESS)
  • WDS: Wireless Distribution System (für drahtlose WLAN Reichweitenerweiterung; Funkstrecke verbindet AP’s; weniger
    nutzbare Bandbreite)
    Single-Radio-WDS: Ein Kanal für Weiterleitung an benachbarte AP’s und
    Clients
    Dual-Radio-WDS: Ein Kanal für Weiterleitung an AP’s, ein weiterer für die
    Clients
    WDS-Bridging: Direktverbindung zwischen zwei AP’s (Weitere Clients können
    sich nicht verbinden)
    WDS-Repeating: Mehrere AP’s und Clients über WDS verbunden
    WDS Alternative: Universal-Repeating-Mode (Proprietärer Standard)
    Für «Repeating» notwendig:
    ◊ Den AP’s müssen die BSSID’s der anderen AP’s bekannt sein
    ◊ Dieselbe SSID
    ◊ Denselben WPA-Schlüssel
    ◊ Denselben Funkkanal
  • WPS: Wi-Fi Protected Setup (Ist ein von der Wi-Fi Alliance entwickelter Standard zum einfachen Aufbau eines drahtlosen lokalen Netzwerkes mit Verschlüsselung)
  • SSID: Service Set Identifikation (Name des Service-Set’s)
  • BSSID: Basic SSID (MAC-Adresse des AP’s. CSMA/CA Carrier Sense Multiple Access/Collision Avoidance. Kollisionsvermeidung bei WLAN’s, bei Ethernet ist es CSMA/CD!)
  • MIMO: Multiple Input Multiple Output (Nutzung mehrerer Sende- und Empfangsantennen zur Verbesserung der Übertragungsleistung; höherstufiges Modulationsverfahren. Vgl. Antenna Diversity)
  • QoS: Quality of Service (Dienstgüte / Dienstqualität)
  • WEP: Wired Equivalent Privacy (unsicheres WLAN-Verschlüsselungsprotokoll)
  • WPA: WIFI Protected Access (ältere WLAN Verschlüsselung mit RC4, TKIP und MIC)
  • WPA2: WIFI Protected Access 2 (aktuelle WLAN Verschlüsselung mit AES und CCMP, 802.11i)
  • PSK: Pre Shared Key (Symmetrisches Verschlüsselungsverfahren zur Teilnehmer- authentifizierung, vgl. PKI)
  • RC4: Ron’s Code 4 (Stromchiffre)
  • TKIP: Temporal Key Integration Protocol (Sicherheitsprotokoll)
  • MIC: Message Integrity Check (Verfahren zur Überprüfung der Vertrauenswürdigkeit)
  • AES: Advanced Encryption Standard (Blockchiffre)
  • CCMP: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (Sicherheitsstandard)
  • IKE: Internet Key Exchange (Schlüsseltausch bei IPsec)
  • PKI: Public Key Infrastuktur (System, das digitale Zertifikate ausstellt, für asymmetrische Verschlüsselungsverfahren)
  • ISM: Industrial, Scientific and Medical Band (Gebührenfreie und freigegebene Frequenzbereiche, die in Industrie, Wissenschaft, Medizin, in häuslichen und ähnlichen Bereichen genutzt werden, wie z.B. das 2.4GHz-WLAN)
  • IDS: Intrusion Detection System (Angrifferkennungssystem zur Dedektierung von Angriffen gegen ein Computersystem oder Rechnernetz)