Systeme und ihr Umfeld

Drahtlose Netzwerke

Funk-LANs in der Praxis

Von Uwe Pörschke, Konstanz

Seit etwa einem Jahr erzielen Funkverfahren für lokale Netzwerke Datenraten von bis zu 11 Mbit/s. Solche Wireless LANs entsprechen damit weitestgehend einem "konventionellen" Ethernet, kommen aber ohne Verkabelung aus, was für verschiedene Anwendungsszenarien deutliche Vorteile bringt. Für die Sicherheit dieser Funknetze gilt es allerdings einige Grundregeln zu beachten.

Funk statt Draht fürs LAN ist immens verlockend – selbst im alltäglichen Arbeitsumfeld: Nie wieder zu kurze Kabel, keine fehlende Netzwerkdose für den neuen Kollegen, keine unübersichtlichen Patch-Felder, zu Besprechungen einfach das Notebook mitnehmen und dennoch am Netz bleiben, ... Sofern noch keine Leitungen vorhanden sind, liegen sogar die Investitionskosten mit rund 500 DM je Station im Allgemeinen deutlich unter den notwendigen Verkabelungskosten für ein klassisches LAN.

Bei folgenden Randbedingungen empfiehlt sich der Einsatz von Wireless LANs (WLANs) besonders:

keine Verkabelung vorhanden oder schlechter als Kategorie 5 (heutige Standard-Verkabelung gemäß EIA/TIA-586 für Datenraten bis 100 MBit/s),
problematische Kabelführung, z. B. wegen hoher Decken oder Denkmalschutz,
schwierige Verlegung von Anschlussdosen, z. B. in besonders großen Räumen,
Netzwerkanschluss für bewegliche Objekte, etwa Fahrzeuge,
Netzwerkanschluss für Geräte mit häufig wechselndem Aufstellungsort.

Natürlich haben aber auch WLANs ihre Grenzen: Die Verbindungen zwischen Stationen und Access Points verhalten sich datentechnisch ähnlich wie in einem shared-10Mbit-Ethernet – wer es schneller braucht, muss derzeit noch auf Kabel bauen. Auch die Übertragungswege sind begrenzt: Im Allgemeinen überbrückt WLAN in Gebäuden bis zu 100 Meter, im Freifeld (bei Sichtverbindung) bis zu 5 km. Innerhalb von Gebäuden beeinträchtigen Einbauten (Schränke, Wände, Decken usw.) die Funk-Ausbreitung und damit die Reichweite in verschiedenstem Maße. Im Zweifelsfall sollte man deshalb vor der Anschaffung zur Absicherung des Funk-LAN-Konzeptes Messungen/Prüfungen vor Ort durchführen.

Jede Technik – Funk oder Kabel – hat ihre bevorzugten Einsatzgebiete. Ein Gesamtkonzept sollte stets beide Techniken berücksichtigen und das jeweils Passendste davon auswählen. Funk-LANs werden im Allgemeinen nicht isoliert betrieben, sondern in (Kabel)-LANs eingebunden. In einer typischen Netzwerk/Verkabelungs-Struktur mit

Primär-Verkabelung für Verbindungen im Core- und Distribution-Layer,
Sekundär-Verkabelung für Verbindungen im Distribution/Access-Layer und
Tertiär-Verkabelung für Verbindungen der Endstellen zum Access-Layer

eignen sich Funk-LANs wegen der vergleichsweise geringen Übertragungsrate normalerweise nur als Alternative für die letzte Ebene. WLANs arbeiten als "shared medium" mit 11 Mbit/s, was effektiv circa 4–5 Mbit/s ermöglicht. Sekundär- und erst recht Primär-Stränge erfordern meist die wesentlich höheren Datenraten von Fast- oder Gigabit-Ethernet (100 oder 1000 Mbit/s).

----------Anfang Textkasten----------

WLAN-Technik

Grundlage für die heutige moderne WLAN-Technik (Wireless LAN) sind internationale Normen und Standards, vor allem IEEE 802.11-1999, 802.11a-1999 und 802.11b-1999. Komponenten für solche Standard-WLANs gibt es seit etwa Anfang 2000. Ein WLAN besteht grundsätzlich aus drei Arten von Komponenten:

Access Points: Koppelstationen zwischen Funk- und Kabel-LAN,
Stationen: Systeme mit Funk-LAN-Karte, als PC-Card oder PCI-Karte,
Antennen: integriert oder extern, zudem unterschieden nach Einsatzgebiet (indoor/outdoor) und Abstrahlcharakteristik (Richt-/Rundstrahler).

Beispiel für die Einbindung eines WLAN mit Access Points und Stationen in ein klassisch verkabeltes Netzwerk

Ein Access Point versorgt meist problemlos etwa zehn WLAN-Teilnehmer, in Einzelfällen auch über 30 Stationen. Konkrete Projektbeispiele von ATM ComputerNetzwerke reichen im Indoor- und Outdoor-Bereich von kleinen Lösungen mit circa 20 Stationen in einem einzelnen Gebäude bis hin zu Lösungen mit mehr als tausend über ein Firmengelände verteilte Endgeräten.

Ausblick

Die Hersteller-Organisation [externer Link] Wireless Ethernet Compatibility Alliance (WECA) hat mit Wi-Fi (Wireless Fidelity) einen über IEEE 802.11b hinausgehenden Kompatibilitäts-Standard entwickelt. Neue WLAN-Komponenten werden sich wohl an diesen erweiterten Kriterien orientieren müssen.

Auch an einer Erhöhung der Datenrate wird geforscht: In absehbarer Zeit soll ein Standard mit 24 Mbit/s im 5-GHz-Bereich entstehen (HIPERLAN Alliance). Für deutlich schnellere WLAN-Übertragungsraten, eventuell sogar hin zu Fast-Ethernet (100 Mbit/s), ist die Zukunft momentan jedoch noch völlig offen.

----------Ende Textkasten----------

Sicherheitsaspekte

WLAN-Datenverkehr kann prinzipiell jederzeit von entsprechenden im Funkversorgungsbereich befindlichen Geräte mitgelesen werden. Im einfachsten Fall reicht dafür ein PC mit einer Standard-WLAN-Adapterkarte. Um ein Abhören und ggf. auch das Beeinflussen von Daten zu vermeiden, erfordern WLANs unbedingt besondere Sicherheitsmaßnahmen. Wichtig sind vor allem Security-Aspekte die sich aus dem allgemeinen WLAN-Anmeldevorgang ergeben. Das "Einbuchen" neuer Geräte läuft grundsätzlich folgendermaßen ab:

Scanning: Ein Client durchsucht mittels Broadcasts auf allen Frequenzen/Kanälen das Funk-Netz nach verfügbaren Kommunikationspartnern. Er wählt anhand des Netzwerknames (SSID, s. u.), sowie weiterer gerätespezifischer Parameter, etwa anhand der Signalstärke, einen Ziel-Partner aus.
Authentify: Der Client identifiziert sich gegenüber dem gewählten Partner (im Allgemeinen einem Access Point) beispielsweise mittels eingestelltem WEP-Schlüssel (Wired Equivalent Privacy).
Associate: Zwischen Client und Partner wird eine logische Verbindung verhandelt und aufgebaut. Erst nach erfolgreicher Assoziierung können die Geräte Nutzdaten austauschen.
Beacon: Die Geräte senden periodisch Broadcasts (Beacons), unter anderem zur Überprüfung der aktuellen Verbindungen. Die Prüfergebnisse sind auch Grundlage für automatische Umschaltungen auf neue Partner (z. B. beim Roaming), die wieder mit Phase 1 (Scanning) beginnen.

Aus diesem Verfahren ergeben sich für den Betrieb jedes Funk-LANs folgende dringend zu empfehlende Einstellungen/Konfigurationen von Clients und Access Points:

Service Set Identifier (SSID) netzwerk-spezifisch einstellen (Domain Name vergeben), damit nur Clients mit demselben SSID Zugriff erlangen. Defaultmäßig, und insbesondere im so genannten Ad-hoc Modus, kann jedes WLAN-Gerät auf einen Access Point des gleichen Herstellers zugreifen.
WEP-Verschlüsselung (Wired Equivalent Privacy) einstellen, damit Lauscher die Nutzdaten nicht einfach so im Klartext abfangen können. Die Schlüssellänge sollte mindestens 40 oder 64-Bit, besser 128-Bit betragen. Im Auslieferungszustand ist die WEP-Verschlüsselung meistens ausgeschaltet. Leider bietet WEP aufgrund einer Protokollschwäche derzeit keine wirkliche Sicherheit (siehe Kasten).
Passwörter für die Administration von Access Points vergeben.
Um unberechtigte Zugriffe abzublocken, das Netz grundsätzlich über Access Control Listen sichern – im Allgemeinen mittels MAC-Filterlisten (Hardwareadressen der OSI-"Media Access Control"-Schicht).
Aktualität der Access Control Listen wahren: Neue Clients müssen jeweils umgehend eingetragen, ausgeschiedene sofort gelöscht werden.

Nicht jedes WLAN-Gerät unterstützt alle diese Sicherheitsfunktionen. Im professionellen Umfeld sollten sie jedoch als K.o.-Kriterien gelten. In der Regel haben zwar alle Komponenten im Auslieferungszustand noch Sicherheitsrisiken, da die Schutzfunktionen nicht standardmäßig aktiviert sind. Bei sachgerechter Einrichtung mit entsprechender Security-Policy sind WLANs aber praktisch genauso sicher wie klassische Kabelnetze.

----------Anfang Textkasten----------

WLAN-Verschlüsselung gebrochen

Drei US-amerikanische Forscher haben Ende Januar drastische Fehler in dem Wireless Equivalent Privacy (WEP) Algorithmus gefunden, der WLAN-Verbindungen gegen Abhören schützen soll. Nikita Borisov, Ian Goldberg und David Wagner von der "Internet Security, Applications, Authentication and Cryptography"-Gruppe (ISAAC) der Universität Berkeley fanden heraus, dass WEP gegen bekannte kryptanalytische Angriffe untauglich geschützt ist. Nach ihren Erkenntnissen ist es möglich:

durch ausreichend langes Mithören verschlüsselter Pakete aufgrund statistischer Analysen bestimmte Übertragungen zu kompromittieren,
durch ausreichend langes Abhören und anschließende Analyse eine 15 Gigabyte große Dechiffrier-Tabelle zu erzeugen, mit der sich anschließend jeglicher Funk-LAN-Verkehr automatisch in Echtzeit entschlüsseln lässt,
durch aktive Angriffe gültige Pakete in ein verschlüsseltes Funknetz einzuspielen und
durch aktive Angriffe die WLAN-Basisstation (Access Point) zu veranlassen, Pakete nach Wahl des Angreifers entschlüsselt an eine beliebige IP-Adresse weiterzuleiten.

Die für aktive Angriffe notwendigen Manipulationen an WLAN-Firmware halten die Forscher durch Reverse Engineering für möglich. Das bloße Abfangen verschlüsselter Pakete gelang den Amerikanern bereits nach ein paar Treiber-Modifikationen mit handelsüblichen WLAN-Komponenten.

Fehler im System

Um sich gegen die Rekonstruktion der verwendeten Kryptoschlüssel aus abgefangenen Chiffretexten und das Einbringen manipulierter Pakete zu schützen, sieht WEP einen Initialisierungsvektor zur Modifikation des geheimen RC4-Schlüssels sowie einen Integritätscheck vor.

Bei näherer Betrachtung erwies sich die Implementierung dieser Maßnahmen jedoch als untauglich: Als Prüfsumme dient ein CRC-32-Verfahren. Da dieses linear arbeitet und WEP eine Stromchiffre nutzt, die Bitänderungen im Klartext bei der Verschlüsselung einfach "durchreicht", kann ein Angreifer verschlüsselte Pakete modifizieren und dennoch für eine gültige Prüfsumme sorgen.

Der Initialisierungsvektor (IV) ist zudem mit 24 Bit deutlich zu knapp bemessen. Die Berkeley-Forscher rechnen vor, dass sich in einem ausgelasteten Access Point nach spätestens fünf Stunden derselbe Krypto-Schlüssel wiederholt, wodurch Angreifer mittels statistischer Verfahren zunächst den Klartext einzelner Nachrichten rekonstruieren können. Durch die Analyse der Übertragungen eines kompletten Tages dürften sogar sämtliche Schlüsselströme (indiziert durch den IV) bekannt werden und in einer Tabelle zusammengefasst das unmittelbare Dechiffrieren von Paketen erlauben.

Die Analytiker empfehlen dringend, sich bis auf weiteres nicht auf die Sicherheit durch WEP zu verlassen. Von den Problemen seien alle ihnen bekannten WLAN-Komponenten betroffen. Eine ausführliche Beschreibung der Angriffe ist auf den [externer Link] Internet-Seiten der ISAAC zu finden.

----------Ende Textkasten----------

Anwendungsbeispiele

Die bereits erwähnten günstigen Randbedingungen für WLANs findet man besonders häufig in Produktionsbereichen und im Umfeld Logistik oder Handel. Dort sind beispielsweise häufig Endgeräte für die Datenerfassung im mobilen Einsatz, teilweise auch auf Fahrzeugen montiert. Verkabelungen sind außerdem in großen und hohen Hallen meist sehr aufwändig. Darüber hinaus werden selbst quasi-stationäre IT-Komponenten häufig umgestellt.

Gerade in großen Produktions-, Lager- oder Verkaufshallen lässt sich durch den Einsatz von Funk-LANs mit Access Points, je nach Örtlichkeiten alle 30 bis 60 Meter montiert, problemlos eine flächendeckende, störsichere LAN-Versorgung aufgebauen. Endgeräte können sich im funkversorgten Raum völlig frei bewegen und bleiben mittels Roaming ohne Kabel oder Anschlussdose jederzeit in das Firmen-LAN integriert. Netzwerk-Dienste und -Applikationen, beispielsweise für die Materialwirtschaft, sind von den Endgeräten über das Funk-LAN transparent nutzbar. Außerdem kann der Administrator die Endgerätekonfiguration und -anzahl jederzeit problemlos ohne Infrastrukturänderung an wechselnde Bedürfnisse anpassen.

Ähnliche Anforderungen an die Mobilität sind vielfach in Universitäten, Tagungszentren, Krankenhäusern und Hotels anzutreffen. Die kostengünstigste LAN-Lösung sind Funk-LAN häufig in Gebäuden, in denen architektonische oder Denkmalschutzgründe die Kabelführung erschweren. Ähnliches gilt für kleine Büros ohne strukturierte oder vorbereitete Verkabelung, etwa Arztpraxen oder Anwaltskanzleien.

Funk-LANs ermöglichen innerhalb von Gebäuden die Vernetzung mobiler Komponenten und den einfachen und flexiblen Einsatz stationärer oder quasi-stationärer Geräte.

Aber auch außerhalb von Gebäuden findet man Anwendungen für WLANs. Besonders interessant ist ihr Einsatz im Außenbereich bei:

mehreren Gebäuden auf einem Firmengelände,
mehreren Zweigstellen über öffentliche Straßen hinweg oder sogar innnerhalb eines gesamten Stadtgebietes,
Public-Access-Anforderungen, beispielsweise auf Flughäfen, Messen oder Bahnhöfen,
Netzzugang im Freigelände für bewegliche Komponenten (Fahrzeuge, portable Datenerfassung usw.).

Gebäude können mittels WLAN anmeldefrei über mehrere Kilometer hinweg verbunden werden. Für Entfernungen über 200 m bis max. 10 km gibt es dafür spezielle Außenantennen. Man kann sowohl point-to-point-Netze (Brücken) als auch multipoint-to-point- (Stern) oder Mischstrukturen aufbauen. Eine sternförmige Architektur bietet sich beispielsweise für Geldinstitute, Behörden, Universitäten/Fachhochschulen oder Geschäfte mit lokalen Außenstellen, aber betont zentraler EDV an.

Outdoor-Funk-LANs können auch (innerstädtische) Standleitungen, Außen- oder Erdkabel ersetzen und bei gleichzeitig höherer Flexibilität deutlich Kosten sparen. Für erhöhte Anforderungen an Verfügbarkeit oder Datendurchsatz lassen sich durch Parallelschaltung von bis zu drei Sendern/Empfängern redundante Links oder Übertragungsraten bis zu 33 Mbit/s realisieren.

Bestimmte Anforderungen im (quasi-öffentlichen) Public-Access-Sektor beispielsweise zur Interneteinwahl auf Flughäfen oder in Kongresszentren mit einer Vielzahl mobiler, sich ständig ändernder Endgeräte sind praktisch nur mittels Funk-LAN realisierbar.

Outdoor-WLAN-Antennen vernetzen ohne Erdarbeiten mehrere Gebäude in bis zu zehn Kilometern Entfernung – auch über öffentlichen Grund und ohne förmliche Anmeldung.

----------Anfang Textkasten----------

Ausschlusskriterien für WLANs

Bei folgenden Anforderungen müssen WLANs passen:

Datenraten über 10 Mbit/s
WAN-Anbindungen (aber: einige Kilometer Luftlinie können überbrückt werden)
Entfernungen in Gebäuden über 100 Meter (mit Repeatern möglich)
Starke Störstrahlung im 2 GHz-Bereich
metallische Abschirmungen

----------Ende Textkasten----------

Preisfragen

Einen (Nischen)-Markt für Funk-LANs, besonders bis zu 2 Mbit/s Datenrate und häufig als proprietäre Lösung, gab es bereits in den vergangenen Jahren. WLANs mit 11 Mbit/s Datenrate auf Basis IEEE 802.11b sind jedoch noch relativ neu. Dementsprechend befindet sich dieser potenziell sehr große Markt momentan in einer stürmischen Entwicklung.

Neben zahlreichen kleineren Anbietern verkaufen in Deutschland etliche etablierte Hersteller von Netzwerkhardware 802.11b-WLAN-Produkte: etwa 3Com, Apple, Cisco, Compaq, Lucent oder Siemens. Für Access Points muss man bei den großen Anbietern mit 2000–3000 DM rechnen. PC-Karten für Endgeräte kosten unter 500 DM.

In einem Ende Oktober veröffentlichten Vergleichstest der c't [1] waren alle getesteten IEEE802.11b-Produkte miteinander kompatibel. Die Produkte der meisten Anbieter differierten, abgesehen von Details, sowohl im Preis, als auch in der Technik um maximal 20 %. In speziellen Anwendungsfällen können allerdings gerade die Details oder ein paar Meter fehlende Recihweite ausschlaggebendend sein, sodass sich nach Möglichkeit ein Vor-Ort-Test empfiehlt.

Uwe Pörschke ist Projektleiter und Consultant bei ATM ComputerNetzwerke GmbH, Konstanz.

Literatur

[1]: Ernst Ahlers, Dusan Zivadinovic, Datenkuriere, 12 WLAN-Systeme für schnelle Funknetzwerke, c't 22/00, Seite 260
[2]: Jean Tourrilhes, Wireless LAN resources for Linux
[3]: Garry Gledown, Drahtlose lokale Netze im Test, iX 1/2001, S. 48
[4]: Performantes Luftnetzwerk, Network Computing, 1/11/2000, S. 20