claim.gif
Linux Magazin Linux User Easy Linux Ubuntu User International Linux Community
Erschienen in EasyLinux 08/2006   »   Ausgabe bestellen

Drahtlose Netze aufbauen und sicher betreiben

Kabel Los

Mirko Dölle


WLAN kann heute ein komplettes Ethernet ersetzen, mit WPA und WPA-2 stehen inzwischen auch sichere Verschlüsselungsverfahren zur Verfügung, denen man die Daten anvertrauen kann. Dieser Artikel beschreibt, worauf sie beim Aufbau eines WLAN achten müssen.

Drahtlose Netze mit hoher Datenübertragung und quasi unknackbarer Verschlüsselung sind längst kein Wunschtraum der Industrie mehr. 54 MBit/s nominale Datentransferrate sind heute Standard, viele Geräte können sogar schon 108 MBit/s übertragen. Doch gerade in dicht besiedelten Bereichen ist die Reichweite zu kurz, weil zu viele WLANs auf engstem Raum betrieben werden.

Überfüllter Luftraum

Ein großes Problem aller WLAN-Installationen ist, dass im beliebten 2,4-GHz-Frequenzband lediglich 13 Kanäle zur Verfügung stehen (2,412 GHz bis 2,472 GHz). Die vorgesehene Bandbreite von 5 MHz pro Kanal überschreitet der heute am weitesten verbreitete WLAN-Standard IEEE-802.11g mit 54 MBit/s Transferrate und 22 MHz breiten Signalen jedoch deutlich. Einige Hersteller gehen sogar noch weiter und bieten Geräte mit 108 MBit/s nominaler Transferrate an -- hierbei hat das Signal gleich 40 MHz Bandbreite, aufgrund der auftretenden Störungen an den Signalrändern ist jedoch schon mit einem Gerät der komplette WLAN-Frequenzbereich belegt.

In Städten ist es inzwischen kaum mehr möglich, überhaupt einen unbelegten Kanal zu finden -- die WLANs stören sich aufgrund des geringen Abstands zueinander gegenseitig, was die Datentransferrate und die effektive Reichweite stark einschränkt. In der Praxis kann es durchaus vorkommen, dass die drahtlose Verbindung zwischen einem Notebook und dem WLAN-Router kaum bis ins nächste Zimmer reicht und externe Antennen nötig sind. Die Auswahl an Zusatzantennen ist im Zubehörhandel groß, für die Versorgung einer Wohnung genügt jedoch meist ein günstiges Modell für rund 30 Euros wie, das die normalerweise kugelförmige Abstrahlung herkömmlicher WLAN-Antennen auf ein Stockwerk bündelt. Generell sollten Sie beim Kauf von WLAN-Routern oder Access Points darauf achten, dass sie einen Antennenanschluss besitzen, um bei Bedarf eine externe Antenne nachrüsten zu können.

WLAN ohne Gedränge

Neben dem völlig überlaufenen Consumer-WLAN im 2,4-GHz-Bereich hat sich gerade bei Firmen das 5-GHz-Frequenzband von 5,17 GHz bis 5,320 GHz und 5,745 GHz bis 5,805 GHz nach IEEE 802.11a etabliert. Hier stehen gleich 19 Kanäle mit einer Bandbreite von je 10 MHz zur Verfügung, dürfen allerdings ausschließlich innerhalb geschlossener Gebäude und auch nur mit sehr geringen Sendeleistungen benutzt werden. Da Mauern im 5-GHz-Bereich deutlich stärker dämpfen als bei 2,4 GHz, kommt es nur selten vor, dass sich zwei WLANs im gleichen Gebäude stören. Allerdings sind entsprechende WLAN-Adapter und -Router deutlich teurer als ähnliche Modelle mit IEEE 802.11g. Da Geräte nach den Standards IEEE 802.11b/g und IEEE 802.11a in völlig unterschiedlichen Frequenzbereichen arbeiten, lassen sie sich auch nicht mischen.

Genügt eine einfache WLAN-Richtantenne nicht zur Versorgung über mehrere Stockwerke hinweg, ist eine aufwändigere Vernetzung mit mehreren WLAN-Geräten nötig. Der einfachste und effizienteste Weg ist, einen zusätzlichen Access Point über ein Netzwerkkabel mit dem WLAN-Router zu verbinden. Ein solches Szenario zeigt Abbildung 1. Während der WLAN-Router die Endgeräte im Erdgeschoss ans Internet anbindet, dient der Access Point den Geräten im ersten Stock als Gegenstation -- ihre Daten leitet er über ein Netzwerkkabel zum WLAN-Router weiter, der die Internetverbindung herstellt.

Abb. 1: Der WLAN-Router und der Access Point versorgen jeweils ihr Stockwerk mit dem drahtlosen Netz. Der Access Point leitet die Daten der Rechner im ersten Stock einfach über ein Netzwerkkabel an den WLAN-Router weiter.

Da der WLAN-Router eigentlich nur ein Access Point mit fest eingebautem Internet-Router ist, gibt es in diesem Fall de facto zwei Access Points in einem Gebäude. Die Beeinflussungen hängen stark von der Konfiguration der jeweiligen Geräte ab.

Grundsätzlich kann es in einem verwalteten drahtlosen Netz (Managed Infrastructure) lediglich einen einzelnen Access Point geben. Er dient allen WLAN-Geräten als Gegenstelle, selbst Daten von einem Computer zum nächsten laufen stets über den Access Point -- das Netzwerk ist also sternförmig verknüpft. Sucht etwa ein Notebook mit WLAN-Adapter nach einer Gegenstelle, so meldet sich der Access Point in jedem Fall, vorausgesetzt, das Notebook benutzt den gleichen Netzwerknamen (SSID), den gleichen Kanal und den gleichen Schlüssel wie der Access Point.

In dem Netzwerk aus Abbildung 1 gibt es gleich zwei Access Points, deren Reichweite sich unter Umständen überschneidet. Damit sie sich nicht ins Gehege kommen, sollten Sie beide Geräte auf verschiedenen Kanälen und mit unterschiedlichen Netzwerknamen arbeiten lassen. Diese Daten geben Sie über die entsprechenden Konfigurationsseiten im Web-Frontend des Routers ein, in Abbildung 2 lautet der Netzwerkname default, und das Gerät arbeitet auf Kanal 6.

Abb. 2: Die Einstellung von Netzwerkname (SSID) und WLAN-Kanal erfolgt über das Web-Frontend des jeweiligen Routers oder Adapters. Mehrere Access Points sollten mit unterschiedlichen Kanälen und SSIDs arbeiten, um sich nicht zu behindern.
Verschlüsselung mit WEP und WPA

Die Abkürzungen WEP und WPA stehen für Wired-Equivalent Privacy und WiFi-Protected Access, zwei Verschlüsselungsverfahren für drahtlose Verbindungen. Beide Begriffe entwarf das WiFi-Forum (Wireless Fidelity, angelehnt an HiFi), ein Zusammenschluss verschiedener Gerätehersteller.

Mit WEP versprach das WiFi-Forum, dass über WLAN übertragene Daten mindestens genauso sicher seien, als würden sie über ein herkömmliches Netzwerkkabel übertragen -- ein Versprechen, das nie eingelöst wurde. Schon kurz nach der Einführung der ersten Geräte, die lediglich mit WEP-64 ausgestattet waren und 40 Bit lange Schlüssel verarbeiten konnten, zeigten sich massive Sicherheitsprobleme im WEP-Algorithmus -- die Verschlüsselung war so schwach, dass sie auf einem herkömmlichen Laptop binnen zwei oder drei Minuten zu knacken war. Die Hersteller erhöhten daraufhin die Schlüssellängen auf 104 Bit (WEP-128) oder gar 232 Bit (WEP-256), wodurch aber nur die Berechnungszeit für den Angriff auf einige Stunden verlängert wurde. Heute sind Hacker in der Lage, den Schlüssel durch rein passives Belauschen eines WLAN-Netzes innerhalb weniger Tage herauszubekommen -- mit einem aktiven Angriff, den der Benutzer jedoch kaum bemerken kann, dauert es nur etwa zwei Stunden. Ist der Schlüssel erst einmal gefunden, kann sich der Angreifer am WLAN anmelden und von dort aus die Rechner angreifen.

Als weitere Hürde führten die Hersteller so genannte Access Control Lists (ACL) ein, in der man die Netzwerk-Adressen (MAC-Adressen) der zugriffsberechtigten WLAN-Geräte eintragen kann -- Verbindungsanfragen von anderen Geräten ignoriert der Access Point oder WLAN-Router dann völlig. Früher waren die MAC-Adressen unveränderlich in den Prozessoren der WLAN-Karten und -Geräte gespeichert -- heute jedoch stecken sie oft in einem programmierbaren Speicherbereich oder werden komplett vom Treiber verwaltet. Damit braucht sich ein Hacker lediglich eine WLAN-Karte zu kaufen, bei der er die MAC-Adresse im Treiber austauschen kann, um ein per ACL gesichertes WLAN-Netz anzugreifen. Eine zulässige MAC-Adresse bekommt er frei Haus, indem er den Datenverkehr einfach abhört -- dazu braucht er nicht einmal den Schlüssel zu kennen: Dieser Teil des Datenpakets wird unverschlüsselt übertragen.

Die Verschlüsselungsverfahren WPA und WPA-2 hingegen bedienen sich mit TKIP und AES zwei offengelegten starken Verschlüsselungsalgorithmen, die bislang als nicht geknackt gelten. Der Schlüssel (Pre-Shared Key, PSK) sollte jedoch mindestens 32 Bytes lang sein und aus einer Folge von Buchstaben, Zahlen und Sonderzeichen bestehen, um es den Angreifern nicht unnötig leicht zu machen. Nach heutigem Stand können Sie Ihre Daten, sofern Sie WPA oder WPA-2 mit einem ausreichend langen Schlüssel einsetzen, bedenkenlos einem WLAN anvertrauen.

Bei der Verschlüsselung haben Sie in Abbildung 2 die Wahl zwischen WEP mit zwei oder drei verschiedenen Schlüssellängen sowie WPA und bei manchen anderen Geräten auch WPA-2. WEP sollten Sie heute nur noch dann einsetzen, wenn die einzige Alternative eine gänzlich unverschlüsselte Verbindung wäre -- immerhin verhindert es, dass sich jemand versehentlich in Ihrem WLAN anmeldet; eine Hürde für Angreifer oder auch nur interessierte Nachbarn stellt WEP nicht dar.

Getrennte und verteilte Netze

Da, wie oben angesprochen, WLAN-Geräte nach IEEE 802.11g mit Bandbreiten bis zu 22 MHz arbeiten, verwenden Sie am besten weit auseinanderliegende Kanäle, etwa 6, 10 und 13. Dadurch arbeiten die WLAN-Netze in den beiden Stockwerken völlig unabhängig voneinander und können jeweils die volle Transferrate ausnutzen.

Die Trennung der Stockwerke in einzelne WLAN-Netze hat jedoch für mobile Geräte wie Notebooks oder Tablet-PCs auch Nachteile: So müssen Sie ein Notebook, das kurzzeitig im ersten Stock zum Einsatz kommt, zuerst auf den anderen Netzwerknamen und Kanal umkonfigurieren. Dies ist nicht mehr nötig, falls der WLAN-Router im Erdgeschoss und der Access Point im ersten Stock denselben Kanal und dieselbe SSID verwenden. Es hängt dann vom Standort des Notebooks und dem Zufall ab, mit welchem der beiden WLAN-Geräte es sich verbindet.

Der gravierende Nachteil dieses Lösungsansatzes ist, dass sich der WLAN-Router und der Access Point massiv stören. Zwar verbindet sich ein WLAN-Gerät immer nur mit einem Access Points, je nach Umgebung kann es aber sein, dass der Rechner eine Etage höher die Verbindung des Notebooks stört, was die Datentransferrate dezimiert. Auch gibt es in dieser Konstellation kein Roaming, so dass sich das Notebook nicht automatisch mit der stärksten Gegenstelle verbindet, wenn Sie es vom ersten Stock ins Erdgeschoss zurück tragen. Dafür benötigen Sie einen Wireless Repeater.

Abbildung 3 zeigt die Vernetzung eines Mehrfamilienhauses mit einem WLAN-Router und zwei Wireless Repeatern in einem Wireless Distribution System (WDS). Repeater arbeiten nach außen hin ähnlich wie ein Access Point, sie sind die Gegenstelle für alle in der Nähe befindlichen WLAN-Geräte. Die empfangenen Daten leiten sie jedoch per WLAN direkt zum Access Point weiter (daher "Distribution System", Verteilungssystem), so dass Sie keine Kabel verlegen müssen. Dafür halbiert sich jedoch die mögliche Datentransferrate, da die Datenpakete ja zunächst empfangen und anschließend auf dem gleichen Kanal wieder ausgesendet werden. Ein wesentlicher Vorteil der Repeater gegenüber weiteren Access Points ist, dass Clients wie etwa ein Notebook ohne Verbindungsunterbrechung zwischen den Repeatern und dem Router hin und her wechseln können. So können Sie etwa einen Download im Arbeitszimmer beginnen und dann das Notebook mit in den Garten nehmen, ohne dass die Verbindung zusammenbricht.

Abb. 3: Wireless Repeater erweitern den Aktionsradius des WLAN-Routers und dienen quasi als Verstärker. Bestehende Verbindungen werden zwischen den Geräten sogar hin- und hergereicht, so dass es trotz Standortwechsels keinen Verbindungsabbruch gibt.

Ein großes Problem von WLAN-Netzen mit Wireless Distribution System ist die Verschlüsselung. Manche Geräte wie etwa das SMC EZ Connect WTK-G, das es für stolze 100 Euro beim Media Markt gibt, können im Repeater-Modus lediglich mit der unsicheren WEP-Verschlüsselung arbeiten. WPA ist technisch nicht möglich, da die Repeater die Pakete nicht entschlüsseln und neu verschlüsseln können, weshalb die Hersteller inzwischen auf WPA-2 mit verteilten Schlüsseln umstellen. Der Wireless Range Extender DWL-G710 von D-Link zum Beispiel kostet nur rund 70 Euro, beherrscht aber bereits WPA-2, genauso wie alle aktuellen Router und Access Points des Herstellers.

WPA und WEP unter Linux

Haben Sie die Verschlüsselung im WLAN-Netz aktiviert, müssen Sie auch Ihre mit WLAN ausgestatteten Rechner und Notebooks entsprechend konfigurieren. Die Vorgehensweise hängt von der jeweils eingesetzten Distribution ab, wobei WPA-2 derzeit noch nirgends zur Verfügung steht.

Unter Suse Linux 10.0 und 10.1 verwenden Sie, wie für alle anderen Netzwerkeinstellungen auch, den Yast zur WLAN-Einrichtung:

  1. Starten Sie Yast über das KDE-Menü und geben Sie das Root-Passwort ein.
  1. Wählen Sie aus der Kategorie Netzwerkgeräte das Modul Netzwerkkarte und starten Sie es mit einem einfachen Klick.
  1. Yast zeigt Ihnen eine Liste der verfügbaren Netzwerkgeräte an. Dort klicken Sie auf den WLAN-Adapter und dann auf Bearbeiten.
  1. Die Adresskonfiguration sollten Sie DHCP überlassen, sofern Ihr WLAN-Router einen DHCP-Server besitzt. Andernfalls müssen Sie die IP-Adresse, Subnetzmaske, Hostnamen und Nameserver von Hand eingeben. Klicken Sie auf Weiter.
  1. Als Nächstes fragt Yast die Konfiguration der drahtlosen Netzwerkkarte ab. Als Betriebsmodus geben Sie Verwaltet an, da Sie mit einem Access Point oder WLAN-Router arbeiten. Der Netzwerkname muss dem entsprechen, den Sie bereits beim Router oder Access Point eingetragen haben -- üblicherweise Ihr Nachname ohne Umlaute. Standardmäßig fragt Yast im Feld Verschlüsselungs-Key nach Ihrem Pre-Shared Key für WPA, einen WEP-Schlüssel sollten Sie nur im äußersten Notfall verwenden.
  1. Mit einem Klick auf Weiter ist die Einrichtung abgeschlossen, und Sie können Yast beenden.

Die WLAN-Einrichtung bei Mandriva Linux 2006 verläuft ähnlich wie bei Suse Linux.

  1. Öffnen Sie das Mandriva-Linux-Kontrollzentrum über System / Einstellungen / Den Computer konfigurieren im KDE-Menü.
  1. Starten Sie in der Rubrik Netzwerk & Internet den Assistenten Eine Netzwerkschnittstelle erstellen.
  1. Wählen Sie als neuen Verbindungstyp Wireless Verbindung und klicken Sie auf Weiter.
  1. Der Konfigurationsdialog listet Ihnen nun die verfügbaren WLAN-Schnittstellen auf. Wählen Sie die gewünschte Schnittstelle aus und klicken Sie auf Weiter.
  1. Nun fragt der Assistent nach den Daten des WLAN-Netzes. Geführt ist eine verunglückte Übersetzung für ein verwaltetes WLAN, als Verschlüsselungsmodus verwenden Sie WPA mit verteilten Schlüsseln. Haben Sie alle Informationen eingegeben, klicken Sie auf Weiter.
  1. Der Assistent installiert nun automatisch das Paket wpa_supplicant nach, Sie benötigen dafür die Installations-DVD.
  1. Die Netzwerkeinstellungen sollten Sie im nächsten Dialog per DHCP beziehen und nur dann manuell die IP-Adresse eingeben, wenn Sie keinen Router mit DHCP-Server besitzen.
  1. Die nachfolgenden Dialoge bestätigen Sie mit Weiter und schließen die Einrichtung mit Assistent beenden ab.

Kubuntu 5.10 besitzt ebenfalls eine komfortable Konfigurationsoberfläche für drahtlose Netze, beherrscht allerdings nur die unsichere WEP-Verschlüsselung.

  1. Klicken Sie in der KDE-Leiste das Symbol System an und wählen Sie Einstellungen.
  1. Im Konqueror-Fenster, das sich öffnet, klicken Sie mit der linken Maustaste einmal auf Drahtloses Netzwerk.
  1. Zunächst sind die Einstellungen gegen Veränderung gesperrt, klicken Sie auf Systemverwaltungsmodus und geben Sie Ihr Passwort ein.
  1. Im Reiter Konfig. 1 tragen Sie den Netzwerknamen ein und aktivieren die Option Verschlüsselung einschalten.
  1. Klicken Sie auf Einrichten, um den WEP-Schlüssel in einem neuen Fenster einzugeben, und dann auf OK.
  1. Speichern Sie die Einstellungen mit OK, das Fenster schließt sich automatisch.

Den Äußerungen der Kubuntu-Entwickler zufolge werden zukünftige Versionen des Linux-Systems auch WPA direkt unterstützen, es ist also nur eine Frage der Zeit, bis das Problem der unsicheren Verschlüsselung im WLAN der Vergangenheit angehört -- vorausgesetzt, findige Köpfe entdecken nicht eine neue, effiziente Angriffsmethode auf die bei WPA eingesetzten Algorithmen, die den Schlüssel wie bei WEP binnen Minuten knackt. (mdö)

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.

Druckerfreundliche Version | Feedback zu dieser Seite | Datenschutz | © 2017 COMPUTEC MEDIA GmbH | Last modified: 2008-11-05 17:01

Nutzungsbasierte Onlinewerbung

[Linux-Magazin] [LinuxUser] [Linux-Community] [Admin-Magazin] [Ubuntu User] [Smart Developer] [Linux Events] [Linux Magazine] [Ubuntu User] [Admin Magazine] [Smart Developer] [Linux Magazine Poland] [Linux Community Poland] [Linux Magazine Brasil] [Linux Magazine Spain] [Linux Technical Review]