Die Standards des LAN/WAN Standards Committee (auch IEEE802) des US-amerikanischen Ingenieurverbands IEEE (sprich: I-triple-E) bilden die allgegenwärtige Basis für die Vernetzung von Rechnern.
Das wohl bekannteste Teilstück des IEEE-Regelwerks sind die Ethernet-Standards der Arbeitsgruppe 802.3 (IEEE 802.3 CSMA/CD). Sie umfassen Geschwindigkeitsklassen von 10 Mbit/s bis zu den im Herbst 2002 spezifizierten 10 Gbit/s.
Mit der Verabschiedung des ersten herstellerunabhängigen Standards für Wireless LANs (WLANs) nach 802.11 hat die Standards Association (SA) des IEEE 1997 eine zentrale Grundlage für den immensen Wachstumsmarkt der drahtlosen Übertragungsprotokolle geschaffen. Der IEEE802.11 entwickelte sich in den letzten Jahren zu einer Protokollfamilie. Die zugehörigen Teilstandards firmieren landläufig unter der Bezeichnung IEEE802.11 "abc".
Der vierte Teil unserer Grundlagenreihe beschäftigt sich ausführlich mit Erweiterungen des Standards, etwa um den Stromverbrauch bei mobilen Geräten zu senken, die Sicherheit zu erhöhen oder mit anderen Antennen Reichweite und Sendeleistung zu verbessern.
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 |
802.11-Zusatz-Features
Neben den für MAC- und PHY-Layer beschriebenen Eigenschaften kennt IEEE802.11 weitere Gerätemerkmale. Dazu zählen beispielsweise Synchronisation und ein Energiesparmodus.
Die Timing Synchronisation Function (TSF) dient zum Abgleichen der Systemzeit aller Stationen. Sie wird durch regelmäßiges Versenden des TSF-Zeitgebers zu den durch Target Beacon Transmission Times (TBTT) festgelegten Zeiten in einem so genannten Beacon gewährleistet. In Infrastrukturnetzen zeichnet der Access Point für dessen Aussendung verantwortlich, in Ad-hoc-Netzen teilen sich alle Stationen diese Aufgabe. Dazu strahlen die Stationen den Beacon mit verschiedenen, zufällig ausgewählten Verzögerungszeiten aus.
Da viele der drahtlosen Geräte mobil und somit batteriebetrieben arbeiten, sieht der Standard auch einen Energiesparmodus vor. Dessen Einsatz muss allerdings mit den anderen Stationen im Netz "abgesprochen" werden. Auch im so genannten Doze-Modus bleiben die Stationen weiter ansprechbar. Dafür sorgen spezielle Monitoring-Algorithmen, die sich im Infrastruktur- und Ad-hoc-Modus unterscheiden.
Sicherheit im Funknetz
Während der Zugriff auf drahtgebundene Netzwerke durch mechanische Sicherungen (abgeschlossene Switch-Schränke und Patch-Panels) verhindert werden kann, ist dies bei drahtlosen Netzwerken nicht möglich. Die Funkwellen breiten sich im Freiraum aus und können von allen Stationen im Empfangsbereich detektiert und ausgewertet werden. Damit werden auch so genannte "Parking Lot-Attacks" (also Angriffe von einem Parkplatz vor dem Gebäude) sowie das so genannte "War Driving" möglich. Neben dem passiven Abhören (Eavesdropping) ist natürlich auch ein aktives Eindringen in das Netz möglich. Hierfür stehen mittlerweile zahlreiche vorbereitete Werkzeuge und (Linux-)Distributionen zur Verfügung, so dass solche Angriffe mit geringem Aufwand und vergleichsweise geringen Kenntnissen durchgeführt werden können.
Besonders problematisch erscheint dabei, dass
bei der Entwicklung des originären IEEE802.11-Standards wesentliche Sicherheitslücken in Kauf genommen wurden, die den guten Ruf der WLANs auf absehbare Zeit beschädigt haben. Unter anderem wurde ein bekanntermaßen unsicherer Verschlüsselungsalgorithmus ausgewählt.
nunmehr zahlreiche Erweiterungen zur Verfügung stehen, um WLANs auf einem adäquaten Sicherheitsniveau zu betreiben. Allerdings ist die Vielzahl der Lösungen auf Grund eines immer noch ausstehenden Standards durchaus verwirrend.
auch aus diesem Grund viele WLAN-Installationen ohne Sicherungen betrieben werden und damit ein wesentliches Risiko für die Netzwerk- und Computersicherheit darstellen.
Die Thematik der Sicherheit in WLANs behandeln wir in einem getrennten Beitrag detailliert. Deshalb werden in dieser Übersicht nur die Sicherheitsmerkmale auf den verschiedenen Stufen dargestellt.
Auf der niedrigsten Ebene erfolgt die Zulassung der Teilnehmer über einen als Electronic System ID (SSID, ESSID) bezeichneten Schlüssel. Die für alle Systeme im Netz identische SSID legt der Administrator bei der Konfiguration der Clients und Access Points fest. Die SSID zeigt zwar das allgemeine Zugangsrecht des Teilnehmers an, eine eindeutige Identifikation erlaubt sie jedoch nicht. Zudem ist es häufig kein Problem, die SSID eines WLANs herauszufinden. Dazu trägt nicht zuletzt dazu bei, dass die meisten Hersteller erlauben, in den Konfigurationsdateien für die SSID die Option "any" anzugeben: Dies authentisiert den Einsatz in allen Funknetzwerken.
Authentifizierung auf Link- und Benutzerebene
In Infrastrukturnetzen lässt sich der Zugang zum Netz auf zugelassene Stationen beschränken. Die Identität der Endgeräte wird bei der im Rahmen des 802.11 möglichen Link Level Authentification zwischen den beteiligten Stationen ausgetauscht. Dazu muss der Administrator die MAC-Adressen der Geräte in die Zugangslisten der Access Points eintragen.
Hier bleibt jedoch ebenfalls ein gewisses Sicherheitsrisiko bestehen. Bei den meisten auf dem Markt verfügbaren Produkten lässt sich die MAC-Adresse des Rechners verändern, so dass auch hier ein missbräuchlicher Einsatz möglich erscheint. Zudem ergibt sich - zumindest in größeren Netzen - ein Problem praktischer Natur: Bislang bieten nur wenige Hersteller komfortable Werkzeuge zum Verwalten ausgedehnter WLANs an. Daher kommt in Netzen mit vielen Teilnehmern und Access Points ein erheblicher Administrationsaufwand auf den Systemverwalter zu, wenn er den Benutzern ein komfortables Roaming ermöglichen will.
Die Authentifizierung der Geräte kann zusätzlich auch durch Verschlüsselungsverfahren (Shared Key Authentication) gewährleistet werden. Hierbei kommt der gleiche symmetrische Schlüssel wie beim WEP-Verfahren zum Einsatz.
Um die Authentifizierung nicht nur auf Geräteebene, sondern auch benutzerbezogen zu unterstützen, implementieren daher fast alle Hersteller inzwischen den Remote Authentification Dial-In User Service (RADIUS). Er ermöglicht die zentrale Verwaltung von Benutzeridentifikationen und Passwörtern.
Verschlüsselung mit WEP
Der Inhalt von Funknachrichten kann im Rahmen der Wired Equivalent Privacy (WEP) nach dem RC4-Algorithmus verschlüsselt werden. Hierbei sind aber folgende Einschränkungen zu verzeichnen:
Im originären Standard ist WEP nur ein optionaler Bestandteil, der nicht in jeder Implementierung vorhanden sein muss.
Die Schlüssellänge erscheint mit 40 Bit bzw. 104 Bit kaum ausreichend.
Es handelt sich um ein symmetrisches Verschlüsselungsverfahren, bei dem alle Stationen in einem Netz den gleichen Schlüssel verwenden.
Beim RC4 handelt es sich um ein relativ gut angreifbares Stromchiffrier-Verfahren, das Schwächen durch das Auftreten von schwachen Schlüsseln aufweist.
Zusätzlich ist die Auswahl an so genannten Initialisierungsvektoren zu gering.
Da der Schlüssel nicht nur für den Schutz der Vertraulichkeit, sondern auch für die Authentifizierung verwendet wird, gehen beim Bekanntwerden des Schlüssels auch beide Schutzparameter verloren.
Erweiterungen
Mittlerweile stehen jedoch umfangreiche Erweiterungen zur Verfügung. Dabei ist es besonders bedauerlich, dass die Standardisierungsbemühungen, die in der Arbeitsgruppe "i" diskutiert werden, erst im Sommer 2004 zu einer verabschiedeten Version geführt wurden. Zu den heute verfügbaren Schutzmaßnahmen zählen insbesondere:
Das Temporal Key Integrity Protocol (TKIP), das früher auch als WEP2 bezeichnet wurde, verändert die Schlüsselverwaltung. Dabei wird die Adresse des Senders in den tatsächlich verwendeten Schlüssel mit einbezogen. Auf diese Weise verwendet jede Station im WLAN einen eigenen Schlüssel. Darüber hinaus bezieht TKIP auch die Integritätsüberprüfung von Nachrichten durch die Integration eines Message Integrity Codes (MIC, oft "Michael" ausgesprochen) ein. Und schließlich verbessert TKIP die Auswahl der Initialisierungsvektoren, indem ein 48 Bit langer TKIP Sequence Counter (TSC) verwendet wird.
Es wird mit dem Advanced Encryption Standard (AES) ein sehr viel sicherer, symmetrischer, blockorientierter Verschlüsselungsalgorithmus eingesetzt, über den aus heutiger Sicht noch keine wirksamen Schwächen bekannt sind. AES wird mit einer Schlüssellänge von 128 Bit als AES-CBC-MAC-Protokoll (AES-CCMP) verwendet.
Das im RFC2284 beschriebene Extensible Authentication Protocol (EAP) stellt eine wichtige Grundlage für eine umfassende und zentralisierte Sicherheitskonzeption dar. Dabei ist EAP kein Authentifizierungsprotokoll, sondern ein Transportprotokoll für Authentifizierungsverfahren. Als Authentifizierungsverfahren können dann z.B. MD5 Challenge oder TLS Handshake zum Einsatz kommen.
TKIP und EAP wurden von der Wi-Fi Alliance als temporäres Subset des lange Zeit diskutierten 802.11i unter der Bezeichnung Wi-Fi Protected Access (WPA) beschrieben.
Mit dem portbasierten Ansatz des IEEE802.1x kann die Authentifizierung auch auf weitere Ressourcen zurückgreifen. Insbesondere der benutzerbezogenen Authentifizierung über einen Remote Authentification Dial-In User Service (RADIUS) kommt hier eine große Bedeutung zu, da er die zentrale Verwaltung von Benutzeridentifikationen und Passwörtern ermöglicht.
Allerdings sind in vielen Produkten diese Vorkehrungen noch nicht umfassend umgesetzt. Grundsätzlich gilt: Alle vorhandenen Schutzmechanismen aktivieren. Auch diejenigen Maßnahmen, die man kompromittieren kann, erhöhen den Aufwand bei einem potenziellen Angreifer.
Daher sollte man beim Einsatz von WLANs auch zusätzliche Schutzmechanismen in Erwägung ziehen. So lassen sich auf Grund der Einbettung in die IEEE802-Standards auch bei WLANs alle Sicherheitsmechanismen der höheren Protokollebenen, wie etwa IPsec, problemlos einsetzen.
Antennentechnik
Die Übertragung mit Hilfe elektromagnetischer Wellen setzt den Einsatz von Sende- und Empfangsantennen voraus. Hier existieren verschiedene Bauformen, die zwar nicht im Standard beschrieben werden, jedoch die Leistungsfähigkeit stark beeinflussen können. Dabei bestimmt die Richtcharakteristik der Antenne wesentlich die Reichweite und die Qualität der Funkübertragung und damit die erzielbare Geschwindigkeit.
So lässt sich beispielsweise mit Richtantennen, die auf Grund ihrer Ausbreitungscharakteristik auch anisotrope Antennen genannt werden, die verfügbare Sendeleistung auf einen geringen Raumwinkel bündeln. Auf diesem Weg können fest installierte Systeme bei Sichtverbindung Reichweiten von bis zu 2 km und mehr erzielen. Damit eignen sich 802.11b-Systeme auch für die Kopplung räumlich entfernter LANs. Allerdings ist zu beachten, dass eigentlich nicht die absolute Sendeleistung, sondern die Leistungsdichte durch den Regulierer beschränkt ist. Die in Europa geltenden 100 mW beziehen sich auf eine isotrope Kugelantenne und werden als EIRP (Effective Isotropic Radiated Power) bezeichnet. Entsprechend muss bei der Verwendung einer Richtantenne die absolute Sendeleistung unter Umständen reduziert werden.
Beim mobilen Einsatz dagegen stört eine Richtcharakteristik eher. Hier ist eine möglichst gleichmäßige - isotrope - Abstrahlung in alle Richtungen anzustreben. Zwar erreichen die mit den meisten Systemen ausgelieferten Antennen diese Richtungsunabhängigkeit näherungsweise. Jedoch kann die Abstrahlung durch unmittelbar in der Nähe der Antenne befindliche Gegenstände abgeschattet werden. Deshalb ist der Standort der Antennen von zentraler Bedeutung.
Bauformen von Antennen
Die Baugröße von WLAN-Antennen hält sich auf Grund der verwendeten Wellenlänge in komfortablen, handhabbaren Grenzen. So misst eine Antenne mit der Länge einer Wellenlänge im 2,4-GHz-Band etwa 12,5 cm. Entsprechend lässt sich eine Lambda/4-Antenne auf etwas mehr als 3 cm unterbringen. Wegen der geringen Antennenmaße existiert eine Vielzahl von Bauarten. Integrierte Antennen passen problemlos an die WLAN-PC-Card oder in den Deckel von Notebooks.
Für stationäre Geräte eignen sich dagegen eher externe Antennen. Zwar fügt diese Anschlussform dem Kabelgewirr unter dem Schreibtisch eine weitere lästige Leitung hinzu. Andererseits können im stationären Einsatz bereits wenige Dutzend Zentimeter Standortdifferenz über Wohl oder Wehe der drahtlosen Verbindung entscheiden. Eine Verschiebung der Antenne lässt sich im Zweifelsfall wesentlich leichter vornehmen als ein Standortwechsel des Rechners.
Zusätzlich ist noch zu beachten, dass recht viele WLAN-Stationen über zwei räumlich getrennte Antennen verfügen. Falls sich eine Antenne in einem Wellental befindet, kann auf die andere Antenne umgeschaltet werden. Diese Vorkehrung bezeichnet man als Diversität (diversity).
Herstellerspezifische Merkmale
Die Hersteller von 802.11-Geräten haben nur wenige Möglichkeiten, sich von den Mitbewerbern zu differenzieren. Bei Systemen, die nach einem festen Standard arbeiten, lässt sich das über die eigentliche Funktionalität des Geräts kaum erreichen. Die Differenzierung kann lediglich über Zusatzdienste erfolgen, die über die im Standard beschriebenen Funktionen hinausgehen.
Dabei ergeben sich einige typische Ansatzpunkte. Dazu zählt nicht zuletzt die Sicherheit: Die Implementierung des optionalen WEP und die Verschlüsselung mit 128 Bit wurden bereits angesprochen. Auch bei der Administration gehen die Hersteller eigene Wege. Bieten sie eine zentrale Geräte- oder Benutzerverwaltung, bezieht diese meist nur die eigenen Systeme in die Erkennung ein und kann Geräte anderer Hersteller nicht oder nur eingeschränkt administrieren.
In diesem Zusammenhang kommt den Cisco Compatible Extensions (CCX) leider eine besondere Bedeutung zu, die zwar einen erheblichen Mehrwert liefern, aber die Interoperabilität erheblich in Frage stellen können.
Die genannten und verschiedene weitere "klein gedruckte" Aspekte beeinträchtigen in der Praxis die Interoperabilität der Systeme wesentlich. Deshalb empfehlen praktisch alle verfügbaren Testergebnisse, trotz des zu Grunde liegenden einheitlichen Standards, beim Aufbau von WLANs möglichst nur Systeme eines Herstellers zu verwenden.
802.11a/h: Standards mit Schwierigkeiten
Während der 802.11-Standard im 2,4-GHz-ISM-Band operiert, nutzt die Variante 802.11a eine Übertragung im 5-GHz-Bereich. IEEE hat hier Datenraten von 6 bis 54 Mbit/s festgelegt. Die ersten 802.11a-konformen Geräte sind bereits Ende 2001 vorgestellt worden, aber auf dem europäischen Markt immer noch kaum sichtbar. Neben der erhöhten Bandbreite ist die vergrößerte Zahl der parallel einzusetzenden Kanäle zu begrüßen. In Europa stehen zwölf unabhängige Kanäle zur Verfügung.
IEEE802.11a greift auf ein Orthogonal Frequency Division Multiplexing (OFDM) zurück. Dieses Verfahren soll insbesondere den mit der Varianz der Signallaufzeiten (Delay Spread) über unterschiedliche Ausbreitungspfade (Multipath) verbundenen Schwierigkeiten begegnen. Der hier gewählte Ansatz besteht darin, die Symboldauer recht lang zu wählen und eine Modulationsart mit einem großen Verhältnis von Bits zu Symbolen zu wählen. Dabei teilt OFDM die 20 MHz breiten Kanäle in 52 jeweils 300 KHz breite Unterträger (Subcarrier Frequencies) auf, die zueinander orthogonal sind. Von diesen stehen 48 für die Datenübertragung zur Verfügung. Die restlichen vier benötigt OFDM für Pilot-Töne. Jede Unterfrequenz lässt sich getrennt auf die Besonderheiten des Übertragungskanals anpassen.
Für Europa ist mit dem Teilstandard h eine Erweiterung des a erstellt worden. In Europa hat ETSI Teile dieses Frequenzbands bereits für konkurrierende drahtlose Übertragungssysteme wie HiperLAN und HiperLAN2 reserviert. Einer Öffnung für das IEEE802.11a, das die gleichen OFDM-basierenden Modulationsverfahren wie HiperLAN verwendet, stehen aber koexistenzermöglichende Vorkehrungen wie dynamische Kanalauswahl (Dynamic Channel Selection - DCS) und Regelung der Sendeleistung (Transmission Power Control - TPC) entgegen. Diese sind zusätzliche Bestandteile des IEEE802.11h. Er wird von den Herstellern vorwiegend für den Büro- und Netzwerkbereich in den Markt eingeführt.
Zu beachten ist, dass die Verwendung des 5-GHz-Bands eine deutlich erhöhte Stromaufnahme zur Folge hat, was sich bei mobilen Geräten in einer verkürzten Batteriestandzeit auswirkt. Die ursprünglichen Befürchtungen, dass die Funkausbreitung im 5-GHz-Bereich durch Rauschen, Abschattungen und andere parasitäre Effekte deutliche Probleme mit sich bringt, konnten in Tests nicht nachgewiesen werden. Die Funkausbreitung in Innenräumen ist in etwa identisch mit den Eigenschaften des im 2,4-GHz-Bereich arbeitenden IEEE802.11b. Zu berücksichtigen ist jedoch, dass der Wechsel der Trägerfrequenzen die Entwicklung von Multi-Band-Modulen zur Folge haben wird, wie sie auch bei Mobiltelefonen eingesetzt werden.
802.11b: Die schnelle Variante
Die genannten Nachteile von 802.11a haben dazu geführt, dass stattdessen die Variante 802.11b sehr beliebt geworden ist. Der im September 1999 ratifizierte Standard, der in älteren Quellen auch weiterhin als 802.11HR bezeichnet wird, spezifiziert Systeme mit einer Bandbreite von 5,5 oder 11 Mbps im 2,4-GHz-Band. Als Bandspreizverfahren kommt einheitlich DSSS in einer zu 802.11/1997-DSSS kompatiblen Form zum Einsatz. Der gemeinsame PHY-Standard soll die Interoperabilität aller standardisierten 802.11b-Geräte gewährleisten.
Wegen der höheren Datenrate benötigt 802.11b einen verbesserten Signal-Rausch-Abstand (Signal-to-Noise-Ratio - SNR). Das macht sich sowohl in einer höheren Störempfindlichkeit als auch in geringeren Reichweiten bemerkbar. Als Adaptionsmaßnahme passt 802.11b die Datenrate dynamisch und für die höheren Protokollschichten transparent an die Gegebenheiten des Übertragungskanals an. Das kann dazu führen, dass auch Systeme nach 802.11b nur mit 1 oder 2 Mbit/s übertragen.
Es ist abzusehen, dass sich IEEE802.11b auf Grund der recht einfachen, kostengünstigen und vor allem stromsparenden Realisierung sowie der bereits erreichten großen Verbreitung noch eine recht lange Zeit halten wird. Dies gilt vor allem hinsichtlich kleiner Module für PDAs oder Industrieelektronik, die keinen immensen Bandbreitenbedarf haben.
Verbesserte Modulationsverfahren
Die Erhöhung der Datenrate basiert im Wesentlichen auf einem Modulationsverfahren mit verbesserter Nutzung des Frequenzspektrums. Das hier zum Zuge kommende Quadrature Phase Shift Keying (QPSK) überträgt mehr Bits pro Symbol als das bei 802.11 eingesetzte Binary Phase Shift Keying (BPSK). Darüber hinaus werden andere PN-Folgen eingesetzt, die man als Complimentary Code Keying (CCK) bezeichnet (siehe Abbildungen).
Datenrate | Codelänge | Modulation | Symbolrate | Bits/Symbol |
|---|---|---|---|---|
MS/s = Megasymbole pro Sekunde | ||||
1 Mbit/s | 11 (Barker) | BPSK | 1 MS/s | 1 |
2 Mbit/s | 11 (Barker) | QPSK | 1 MS/s | 2 |
5,5 Mbit/s | 8 (CCK) | QPSK | 1,375 MS/s | 4 |
11 Mbit/s | 8 (CCK) | QPSK | 1,375 MS/s | 8 |
54 Mbit/s im 2.4-GHz-Band
Seit Mitte 2003 steht mit dem IEEE802.11g ein weiterer Teilstandard zur Verfügung, der die Erhöhung der Datenrate im 2.4-GHz-Band vorsieht. Hierzu wird das OFDM-Verfahren aus dem IEEE802.11a auf eine andere Trägerfrequenz übernommen. Leider war das Standardisierungsverfahren auch in dieser Arbeitsgruppe sehr langwierig, zumal eine heftige Wettbewerbersituation entstanden war. Schließlich konnte man sich auf eine Kompromisslösung einigen. Neben dem OFDM-Verfahren wurde auch das von Texas Instruments favorisierte Packet Binary Convolution Coding (PBCC) in den Standard aufgenommen.
Alle am Markt erhältlichen 802.11g-Geräte schließen die Geschwindigkeitsstufen von 802.11b mit ein, so dass eine schrittweise Migration möglich ist. Dennoch erreicht man die beste Leistungsfähigkeit, wenn man eine reine 802.11g-Infrastruktur nutzt. Die Begründung hierfür liegt in den verkürzten Interframe Spaces sowie in den verkürzten Header-Formaten.
Literatur
Vom Autor dieses Artikels liegen zwei Bücher zum Thema vor:
Sikora, A., "Technische Grundlagen der Rechnerkommunikation: Internet-Protokolle und Anwendungen", Fachbuchverlag Leipzig im Carl Hanser Verlag, 2003, ISBN 3-446-22455-6.
Sikora, A., "Wireless LAN - Protokolle und Anwendungen", Addison-Wesley, 2001, ISBN 3-8273-1917-X.
Literatur zum Thema Netzwerke | Bestell-Link |
|---|---|
| |
Titelübersicht von (W)LAN-Büchern | |
Titelübersicht von (W)LAN-eBooks (PDF, 50 Prozent billiger als das Buch) | |
Titelübersicht von Webtechnik-Büchern |