claim.gif
Linux Magazin Linux User Easy Linux Ubuntu User International Linux Community
Erschienen in EasyLinux 07/2004   »   Ausgabe bestellen

Drahtlos vernetzen per Wireless LAN

Leinen los

von Holger Lubitz und Mirko Dölle


Glaubt man den Trends, hat die Kupferindustrie schwere Zeiten zu erwarten -- immer öfter werden Daten über Funk statt Kabel ausgetauscht. Doch damit steigt auch das Sicherheitsrisiko für Angriffe.

Daten per Funk zu übertragen, ist wahrlich keine neue Idee. Schon Ende des 18. Jahrhunderts wurden die ersten Morsezeichen zwischen zwei Stationen ausgetauscht, der Morsecode gilt allgemein als die älteste Datenkodierung der Welt. Heute sind Radiowellen allgegenwärtig, die Technik wird in immer mehr Geräten eingesetzt -- vom Spielzeug bis zur Netzwerktechnik.

Datenfunker

Drahtlose Netze, also Wireless LANs (WLAN), ersetzen immer öfter herkömmliche Ethernet-Verbindungen. Wie vom drahtgebundenen Netzwerk gewohnt, gibt es auch im WLAN verschiedene miteinander kompatible Standards, die den Datenaustausch zwischen Geräten unterschiedlicher Hersteller garantieren.

Die Nachteile der drahtlosen Netzwerke sind nicht ganz so offensichtlich: Während ein Kabel eine exklusive Kommunikation zwischen den Teilnehmern ermöglicht, muss die Funklösung mit anderen Nutzern der Frequenz rechnen. Dazu zählen sowohl ungewollte Störungen durch andere Benutzer desselben Frequenzbereichs, als auch die gezielte Mitnutzung des WLANs durch Außenstehende. Die existierenden Verschlüsselungen sind mit geringem Aufwand angreifbar: Wird die Verschlüsselung erst gar nicht aktiviert, ist das Netz direkt für jedermann im Sendebereich geöffnet.

Lizenzfrei gefunkt werden darf nur in den so genannten ISM-Bändern (Industrial, Scientific, Medical). Für die Datenübertragung sind insbesondere die ISM-Bänder bei 900 MHz, 2,4 GHz und 5 GHz von Bedeutung. Ersteres würde aufgrund der vergleichsweise niedrigen Frequenz die beste Reichweite bieten, ist jedoch hierzulande nicht frei nutzbar, da der Frequenzbereich in Europa für den Mobilfunk reserviert wurde. Entsprechende Produkte sind selten, da dieser Bereich in den USA bereits durch schnurlose Telefone stark belegt ist.

Je höher die Frequenz, desto schlechter sind die physikalischen Ausbreitungseigenschaften einer elektromagnetischen Welle. Zwar ist bei den WLAN-Frequenzen die freie Sichtverbindung noch nicht unbedingt erforderlich, doch werden GHz-Frequenzen bereits durch leichte Innenwände merklich gedämpft. Theoretisch erreichbare Reichweiten von mehreren Hundert Metern werden sich daher in der Praxis eher bei 20 bis 30 m einpegeln, sofern Wände oder andere Hindernisse im Spiel sind. Mit geeigneten (Richt-) Antennen und freier Sichtverbindung hingegen sind auch schon Distanzen von 50 km und mehr überwunden worden.

Beim Aufstellen der Access Points (im übertragenen Sinne so etwas wie WLAN-Verteilerkästen) sollte man diese physikalischen Gegebenheiten unbedingt berücksichtigen -- an einem Access Point im Keller, womöglich mit Stahlbetondecke, wird man ein oder zwei Stockwerke höher nur noch wenig Freude haben. Besser ist es, einen zentral gelegenen Standort in der Mitte des Hauses oder der Wohnung zu finden, auch wenn dieser erst mit einem Kabel erschlossen werden muss. Ist an eine Nutzung im Garten gedacht, sollte der Access Point für optimale Reichweiten auf dem Dach oder am Fenster untergebracht werden. Normalerweise strahlen Access Points in alle Richtungen. Mit speziellen Antennen kann man jedoch auch eine Richtcharakteristik erreichen. Die Installation sollte am besten durch einen Fachbetrieb erfolgen, der über die nötigen Messgeräte zur optimalen Ausrichtung verfügt. Wer lieber selbst Hand anlegt, sollte zumindest das Kabel zur Antenne möglichst kurz halten -- hier zählt jeder Zentimeter.

Die Standards

Die Verbindungs- und Datenprotokolle der 802.11-Familie, die bei WLAN eingesetzt werden, hat das Institute of Electrical and Electronics Engineers (IEEE) standardisiert. Der 802.11-Standard, verabschiedet 1997, kann als Urvater der heutigen WLANs angesehen werden. Im 2,4-GHz-Frequenzband (2412 bis 2472 MHz) stehen für die Datenübertragung 13 Kanäle im 5-MHz-Kanalraster zur Verfügung, die Datenübertragung lag anfangs bei nur 1 MBit/s und wurde später auf 2 MBit/s aufgebohrt.

Da kabelgebundene Netze jedoch um einiges schneller waren, verlangte der Markt nach höheren Geschwindigkeiten und bekam sie -- proprietär und inkompatibel -- auch geboten. Um Wildwuchs zu vermeiden, verabschiedete das IEEE im September 1999 die neuen Standards 802.11a und 802.11b.

Geräte nach 802.11b arbeiten im selben Frequenzbereich wie 802.11, erzielen mit einer anderen Modulation jedoch deutlich höhere Datenraten von 5,5 und 11 MBit/s. Während in den USA eine maximale Sendeleistung von 1 Watt zulässig ist, sind in Europa nur maximal 100 mW erlaubt -- genug für die Versorgung einzelner Gebäude, für größere Entfernungen aber deutlich zu wenig.

Ein weiteres Problem ist die zunehmende Verbreitung der drahtlosen Netze -- senden zwei Access Points oder andere Geräte gleichzeitig auf dem gleichen Kanal, kommt es zu Störungen bis hin zum Verbindungsabbruch. Bei nur 13 Kanälen findet man in Innenstädten immer seltener einen Kanal, der noch nicht belegt ist. Die Folge sind noch geringere Reichweiten, bei denen man den eigenen Access Point aus dem Mischmasch überhaupt noch heraushören kann, und niedrigere Datenraten.

Auch die Verbreitung von Bluetooth-Geräten verschärft die Situation -- sie senden auf 78 Kanälen zwischen 2402 und 2480 MHz (1-MHz-Raster) und benutzen damit den gesamten WLAN-Frequenzbereich. Dennoch kommt es nur zu geringen Interferenzen zwischen Bluetooth und WLAN: Bluetooth-Geräte wechseln bis zu 1600 mal pro Sekunde den Kanal, während WLAN-Geräte entweder fest auf einen Kanal konfiguriert sind oder vergleichsweise langsam zwischen den 13 verfügbaren Kanälen wechseln.

Profi-WLAN

Vor dem Hintergrund der bereits absehbaren Überlastung des 2,4-GHz-Bereichs wurde der Standard 802.11a verabschiedet und auf Frequenzen um 5 GHz ausgewichen (5,15-5,35 und 5,725-5,825 GHz). Die Nutzung dieser Bänder war jedoch wiederum nur in den USA erlaubt, für Europa hatte das hier zuständige European Telecommunications Standards Institute (ETSI) HiperLan und HiperLan II (High Performance LAN) vorgesehen. In vielen nationalen Frequenznutzungsplänen war der 5-GHz-Bereich jedoch für andere Dienste reserviert und musste erst freigeräumt werden, was die Einführung erst 2002 möglich machte.

Zielgruppe des Standards 802.11a sind eindeutig Firmen und professionelle Betreiber -- einmal, weil hier Datenraten von 54 MBit/s möglich sind, zum anderen aber auch, weil die Technik noch sehr teuer ist: Eine Notebook-WLAN-Karte kostet zwischen 150 bis 250 Euro, etwa drei bis fünf mal so viel wie Consumer-Geräte. Dafür ist es im 5-GHz-Bereich noch sehr ruhig, und es gibt sehr viel mehr Kanäle als im 2,4-GHz-Bereich, man muss also nur wenige Störungen erwarten -- nicht zuletzt, weil die Reichweite deutlich geringer ist als etwa bei 802.11b.

Die heute handelsüblichen Geräte arbeiten nach dem Standard 802.11g -- einem Zwitter. Solche Access Points beherrschen den älteren Standard 802.11b mit 11 MBit/s, so dass sich ältere WLAN-Karten weiterbenutzen lassen. Zusätzlich wurde mit 802.11g die OFDM-Modulation im 2,4-GHz-Band eingeführt, womit sich Datenraten von bis zu 54 MBit/s erreichen lassen. In dieser Betriebsart stehen jedoch nur noch drei unabhängige Kanäle zur Verfügung, in Großstädten lässt sich 802.11g also nur sehr eingeschränkt benutzen.

Offene Türen

Die Beliebtheit von Notebooks mit WLAN-Karte oder gar integriertem WLAN-Modul haben auch die Kommunikationskonzerne erkannt -- sie stellen an belebten Plätzen so genannte Hotspots auf. Dabei handelt es sich meist um miteinander verbundene WLAN-Access-Points, über die man gegen Bares im Internet surfen kann. Vielerorts ist tatsächlich nicht mehr möglich als HTTP, man kann also im schlimmsten Fall nicht einmal seine E-Mails lesen (außer über ein Web-Frontend). Auch Universitäten statten ihre Gebäude und Gelände mit Access Points aus, über die dann Studenten für wenig Geld drahtlosen Zugang zum Internet bekommen.

Bis vor kurzem waren die Hotspots nur für Geschäftskunden gedacht, dementsprechend sind bis jetzt vor allem Hotels, Bahnhöfe und Flughäfen ausgestattet worden. T-Mobile möchte hingegen bis Ende des Jahres 6500 Hotspots über ganz Deutschland verteilen, bis Ende September dürfen DSL-Kunden der Telekom für knapp 10 Euro monatlich unbegrenzt über diese Hotspots arbeiten. Danach soll die Stunde drahtloses Internet 3,33 Euro kosten.

Es wäre unsinnig, wenn nur Kunden des Betreibers an dessen Hotspots surfen könnten, weil jeder Betreiber an jedem Standort eigene Technik vorhalten müsste. Für fremde Benutzer gibt es daher in den meisten Fällen zwei Optionen: die Abrechnung über Kreditkarte und den Kauf eines so genannten Vouchers. Vouchers funktionieren ähnlich wie die Rubbelkarten für Prepaid-Handys, sie enthalten Benutzerkennung und Passwort, mit denen man sich beim Hotspot anmeldet und dann freigeschaltet wird.

Künstliche Schranken

Sowohl Kreditkarte als auch Voucher sind aber eigentlich eher Krücken als gangbare, einfache Lösungen. Daher wird auch für WLAN intensiv über Roaming diskutiert. Im Idealfall soll es irgendwann so sein, wie es für den Mobilfunk jetzt schon selbstverständlich ist: Wo das Netz des eigenen Providers nicht verfügbar ist, springt ein anderer ein. Die beiden rechnen dann untereinander ab, der Kunde erhält wie gewohnt nur eine Rechnung, nicht mehrere.

Vor allem zwei Konsortien machen sich derzeit für den Bereich Roaming stark: der Verband der deutschen Internetwirtschaft Eco Forum e.V. mit seinem Projekt Greenspot und das Konsortium aus Toshiba, Acoreus und Ecotel, die mit der gemeinsamen Marke Yellex antreten.

Greenspot ist ein Großprojekt mit hehren Zielen: Eine bundesweit einheitliche Clearing-Stelle soll für die Abrechnung der Beteiligten untereinander sorgen. Getragen wir sie von einer Non-Profit-Organisation. Theoretisch können sich vom Mobilfunkanbieter bis zum Café um die Ecke alle Betreiber eines Hotspots mit in das Projekt einklinken. Für Kunden würde das bedeuten, dass sie an jedem Hotspot Deutschlands, der das Greenspot-Zeichen trägt, zu einem verlässlichen Tarif surfen können. Die Pilotphase des Projektes ist erfolgreich abgeschlossen worden, endgültige Verträge sind bis jetzt allerdings noch nicht unterschrieben. In wie weit diese Idee wirklich einmal praxistauglich wird, ist unklar.

Etwas besser sieht es bei Toshiba und den Partnern aus, das Konsortium stattet derzeit Saturn-Märkte mit WLAN aus. Zumindest im Innenstadtbereich sollte das Surfen auch in den nahen Cafés problemlos funktionieren.

Zudem soll in Zukunft jeder Zigarettenautomat zum Hotspot werden: Es werden künftig großflächige Displays in die Automaten eingebaut, zusätzlich bekommt jeder Automat einen DSL-Anschluss und einen Access Point -- die Werbung kommt dann direkt aus dem Internet, und als Abfallprodukt können WLAN-Kunden im Internet surfen.

Eine relativ umfassende Übersicht über die derzeit in Deutschland betriebenen Hotspots finden Sie unter http://neu.mobileaccess.de/wlan/.

Erst anmelden, dann surfen

Die Anmeldung beim Hotspot erfolgt praktisch überall mit dem Web-Browser. Entweder muss man eine spezielle Seite aufrufen, die auf dem Voucher angegeben ist, oder der Hotspot leitet die erste Internet-Anfrage automatisch auf die Login-Seite um.

Vorher sind jedoch Änderungen an der WLAN-Konfiguration des eigenen Rechners erforderlich. So muss zum Beispiel die WEP-Verschlüsselung abgeschaltet werden, damit die eigene Karte Kontakt zum Hotspot aufnehmen kann -- damit ist der eigene Computer jedoch auch für jeden anderen in Funkreichweite ein offenes Scheunentor, mehr dazu im Kasten "Sind Sie sicher?". Die Netzwerkkennung (ESSID) kann in der Regel unverändert bleiben, Hotspots akzeptieren meist alle Benutzer. Wenn es Probleme gibt, können Sie es mit der ESSID "any" versuchen.

Stör' ich?

Wie eingangs bereits erwähnt, sind die verwendeten Frequenzbereiche für jedermann frei nutzbar, zudem muss man im 2,4-GHz-Band mit Störungen durch Mikrowellenherde rechnen. Um dennoch fehlerfrei Daten übertragen zu können, setzen die WLAN-Karten zahlreiche Verfahren zur Fehlervermeidung und -korrektur ein.

So sendet eine WLAN-Karte nicht auf einer festen Frequenz, sondern in mehreren Bändern oder auf stetig wechselnden Frequenzen innerhalb eines Kanals. Diese "Spread Spectrum" genannte Technik erlaubt es, gestörten Frequenzbereichen auszuweichen oder ihren Einfluss zu verringern. Hier gibt es zwei Varianten: "Direct Sequence" moduliert die Daten mit einem Code hoher Frequenz, wodurch die benötigte Bandbreite sich zwar erhöht, doch bei der Demodulation mit demselben Code lassen sich Störungen in einzelnen Bereichen besser ausfiltern. Beim "Frequency Hopping" wird ein Band in viele schmale Kanäle zerteilt und ständig zwischen diesen gewechselt. Sollte es in einzelnen Kanälen Störungen geben, ist die Wahrscheinlichkeit hoch, beim nächsten Wechsel wieder einen ungestörten Kanal zu erwischen.

Um den Rest der Fehler kümmert sich die Fehlererkennung. Obwohl fehlerkorrigierende Kodierungen existieren, sind sie jedoch für die bei Funkübertragungen auftretenden Störungen ineffizient. Stattdessen wird auf Fehlererkennung gesetzt und ein fehlerhaftes Paket einfach neu übertragen. Bei zahlreichen Störungen drückt das naheliegenderweise die nutzbare Bandbreite, Bandbreitenangaben auf WLAN-Produkten verstehen sich daher immer als brutto und bei besten Bedingungen -- in der Praxis sind sie eher als die auf keinen Fall erreichbare Obergrenze zu sehen.

Einrichtung

WLAN-Karten unter Linux in Betrieb zu nehmen, ist leider etwas umständlich: Für aktuelle Geräte gibt es in der Regel keine Linux-Treiber. Als Linux-Anwender haben Sie die Wahl, auf eine veraltete WLAN-Karte auszuweichen (die Sie zum Beispiel gebraucht bei E-Bay finden können) oder eine aktuelle Karte mit Hilfe des Windows-Treibers unter Linux zu nutzen.

Im Beitrag auf Seite XX erfahren Sie, wie Sie WLAN bei Notebooks mit Centrino und eine aktuelle WLAN-PCI-Karte für Desktop-PCs einrichten und in Betrieb nehmen. Dort stellen wir auch die Einrichtungsprogramme der Distributionen vor. (mdö)

Sind Sie sicher?

Der kritischste Punkt bei drahtlosen Netzen ist die Sicherheit. Grundsätzlich sind die heute verkauften WLAN-Lösungen nicht vertrauenswürdig und lassen sich trotz Verschlüsselung sehr leicht knacken.

WEP

Schuld daran ist der bis heute eingesetzte Verschlüsselungsstandard WEP (Wired Equivalent Privacy, Draht-ähnliche Vertraulichkeit), der seit über zwei Jahren geknackt ist. Ein versierter Angreifer kann selbst die 128-Bit-Verschlüsselung (mehr bietet praktisch kein Gerät) binnen Minuten knacken und dann den gesamten Datenverkehr abhören. Mehr noch, er kann Verbindungen karpern, umverlegen, zusammenbrechen lassen oder sich dazwischen schalten.

Dabei braucht der Angreifer nicht einmal Zutritt zu den Räumen oder Gebäuden, WLAN macht eben nicht an der Grundstückgrenze halt. Mit entsprechenden Richtantennen und WLAN-Karten lässt sich ein Funknetzwerk auf mehrere hundert Meter abhören und angreifen. Obwohl die WEP-Verschlüsselung alles andere als sicher ist, sollte man sie in jedem Fall aktivieren -- sie schützt zumindest davor, dass der Nachbar versehentlich seine Diplomarbeit auf Ihrem Drucker mit WLAN-Adapter ausdruckt.

Gebräuchlich sind derzeit WEP-Schlüssel mit 64 und 128 Bit Länge -- wobei der Schlüssel tatsächlich nur 40 respektive 104 Bit lang ist, die restlichen 24 Bit werden für eine Verbindungsnummer genutzt, die sich leicht vorhersagen lässt. Für die heutigen Notebook-Prozessoren ist ein 40-Bit-Schlüssel keine Herausforderung mehr, bei 104 Bit braucht man etwas länger und muss gezielt angreifen, um die Verschlüsselung zu knacken -- das ist aber dann in zwei Minuten passiert.

Deshalb muss jeder einzelne Computer mit WLAN-Anbindung, egal ob durch eine WLAN-Karte oder durch einen Access Point am zentralen Switch, wie ein Computer im Internet behandelt und entsprechend geschützt werden. So kann sich (unter Windows) zum Beispiel der Windows-Wurm Sasser problemlos über Hotspots ausbreiten, wenn auf den Notebooks keine Firewall aktiviert ist.

Keine Panik

Auch Linux ist nicht per se sicher. Grund zur Panik besteht jedoch nicht, denn alle aktuellen Versionen von SuSE, Red Hat und Mandrake Linux installieren standardmäßig eine rudimentäre Firewall und vertrauen nur dem Netzwerkgerät eth0 -- das ist praktisch überall die normale Netzwerkkarte. Auf allen anderen Netzwerkgeräten sind keine eingehenden Verbindungen erlaubt.

Zusätzlich starten alle Distributionen so gut wie keine Netzwerkdienstprogramme -- was nicht läuft, kann auch nicht angegriffen werden. Bei SuSE Linux ist es zum Beispiel standardmäßig nur der SSH-Daemon, um sich über Netzwerk anzumelden, alle weiteren Dienste muss der Benutzer erst explizit einrichten.

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.

Druckerfreundliche Version | Feedback zu dieser Seite | Datenschutz | © 2017 COMPUTEC MEDIA GmbH | Last modified: 2007-01-25 17:15

Nutzungsbasierte Onlinewerbung

[Linux-Magazin] [LinuxUser] [Linux-Community] [Admin-Magazin] [Ubuntu User] [Smart Developer] [Linux Events] [Linux Magazine] [Ubuntu User] [Admin Magazine] [Smart Developer] [Linux Magazine Poland] [Linux Community Poland] [Linux Magazine Brasil] [Linux Magazine Spain] [Linux Technical Review]