Das InfoTip Kompendium

Ein kostenloser Service der InfoTip Service GmbH

Zum Anfang der
Seite scrollen

WLAN - Wireless LAN - Übertragungsmedien

Inhaltsverzeichnis

1. Technische Grundlagen

1.1. Allgemeines

Als Wireless LAN (WLAN) bezeichnet man ein lokales Funknetzwerk, das meistens nach dem Standard IEEE802.11 (von HiperLAN spricht heute niemand mehr) ausgelegt ist. Für ein Heimnetzwerk ist WLAN besonders interessant, da bei der Einrichtung des Netzwerkes keine Kabel verlegt werden müssen. Die erste Spezifikation für WLAN nach IEEE802.11 wurden 1997 veröffentlicht. Seitdem sind mehrere Erweiterungen erfolgt. Für die meisten Anwendungen haben sich Geräte des Standards IEEE 802.11g oder 802.11n durchgesetzt.

Abb. 1: Übersicht der wichtigsten WLAN-Standards
Abb. 1: Übersicht der wichtigsten WLAN-Standards

1.2. Frequenzen

Die für WLAN verwendeten Frequenzbänder dürfen lizenzfrei benutzt werden. Es sind zwei Frequenzbereiche freigegeben: 2,4GHz bis 2,4835 GHz (im sog. ISM-Band = Industry, Science and Medical Band) und 5,15 GHz bis 5,725 MHz. Beide Frequenzbereiche haben Vor- und Nachteile.

Der für WLAN zugelassene 2,4 GHz-Bereich ist mit 83 MHz relativ klein. Dieser Frequenzbereich ist in 14 Kanäle (in Europa nur 13, siehe Abb. 2) mit einem Trägerabstand von jeweils 5 MHz aufgeteilt. Mit konventioneller Funktechnik ist die in diesem Kanalraster zur Verfügung stehende Kanalbandbreite viel zu gering um höhere Datenraten zu erzielen. Bei Belegung von benachbarten Kanälen mit hohen Signalpegeln sind zudem gegenseitige Störungen sehr wahrscheinlich.

Um hohe Signalpegel zu vermeiden, aber trotzdem eine sichere Verbindung zwischen Sender und Empfänger aufzubauen, bietet sich die Bandbreiten- (oder auch Frequenz-) Spreizung an. Statt mit hohen Signalpegeln und geringer Bandbreite wird hierbei ein niedriger Pegel, aber eine große Bandbreite verwendet (Abb. 3). Beide Verfahren haben dabei die gleiche spektrale Energie (was an der identischen Fläche der Seitenbänder sichtbar wird), nur wird sie bei der Bandbreitenspreizung über einen größeren Frequenzbereich verteilt. Abbildung 3 zeigt auch auf, dass gespreizte Signale gegenüber Störstrahlung wesentlich unempfindlicher sind, weil ein wesentlich kleinerer Anteil des Übertragungsspektrum beeinflusst wird.

Der Einsatz von Bandbreitenspreizung beim WLAN im 2,4 GHz-Bereich führt zu einer Signalbandbreite von 22 MHz pro Kommunikationskanal. Das gesamte Band kann also nur drei sich nicht überlappende Kanäle (1, 6 und 11), mit jeweils 25 MHz Trägerabstand, belegt werden (Abb. 4).  In dicht besiedelten Gebieten, wo mehrere WLAN-Netze aktiv sein können, kann dieses zu Problemen führen. Durch die Zunahme von privaten  WLANs, DECT -Telefonen, Bluetooth ist das ISM-Band gelegentlich überlastet. Abhilfe kann dann ein 2-Band-WLAN-Router schaffen. Diese haben die Möglichkeit, wenn das 2,4 GHz-Band belegt ist, auf des 5 GHz-Band umzuschalten.

Abb. 2: Frequenzen und Kanäle im 2,4 GHz WLAN-Bereich
Abb. 2: Frequenzen und Kanäle im 2,4 GHz WLAN-Bereich
Abb. 3: Prinzip der Frequenzspreizung
Abb. 3: Prinzip der Frequenzspreizung
Abb. 4: Übertragungskanäle im 2,4 GHz-Band
Abb. 4: Übertragungskanäle im 2,4 GHz-Band

Im 5 GHz-Bereich stehen in Europa 19 überlappungsfreie Kanäle mit jeweils 20 MHz Bandbreite zur Verfügung.  Die gegenüber  dem ISM-Band höhere Anzahl von Kanälen erlaubt den parallelen Betrieb von wesentlich mehr WLAN-Netzen, was in dicht besiedelten Gebieten von Vorteil ist. Allerdings ist aufgrund der hohen Frequenz die Reichweite und die Durchdringungsfähigkeit der elektromagnetischen Wellen wesentlich geringer. Mineralhaltige Wände (Ziegel, Stahlbeton) oder feuchtigkeitshaltige Materialien (Holz) können auch auf kurzer Entfernung die Funkwellen so stark dämpfen, dass eine vernünftige Datenübertragung nicht zustande kommt. Eine Erhöhung der Sendeleistung und der Einsatz im Freien ist nicht gestattet, da im 5 GHz-Frequenzbereich auch Radaranlagen und medizinische Geräte arbeiten. So müssen Geräte nach IEEE803.11h nach dem Aufbau der Verbindung die erhöhte Sendeleistung wieder auf ein Minimum reduzieren.

Abb. 5: Frequenzen und Kanäle im 5 GHz WLAN-Bereich
Abb. 5: Frequenzen und Kanäle im 5 GHz WLAN-Bereich

1.3. Modulationsverfahren

Da im WLAN frequenzselektive Störungen, z.B.  durch Einstrahlungen benachbarter Sender oder Reflektionen auftreten können, eignen sich Multiträgerverfahren zur Modulation besonders gut um die Folgen solcher Störungen zu minimieren.

1.3.1. FHSS (Frequency Hopping Spread Spectrum)

Das FHSS (Bandbreitenspreizung durch Frequenzsprung) ist ein Verfahren zur Funkübertragung bei dem die Trägerfrequenz des Senders mit hoher Geschwindigkeit zwischen vielen Kanälen hin und her springt. Die Umschaltreihenfolge wird durch eine Pseudozufallszahlen-Sequenz bestimmt, die Sender und Empfänger bekannt sein müssen.
Senderseitig werden die Nutzdaten zuerst schmalbandig auf einen einzigen Träger aufmoduliert und dann mit einem Frequenzsynthesizer auf die Sendefrequenzen konvertiert. Die Gesamtbandbreite, die ein FHSS-Signals  zur Übertragung verwendet, ist viel höher als bei der Übertragung auf einem einzelnen Träger. Der Vorteil dieses Verfahrens liegt darin, dass aufgrund  der Verteilung der Information auf die große Bandbreite schmalbandige Störungen weniger wirksam werden können. Beim Slow Hopping werden vor jedem Frequenzsprung mehrere Bits übertragen, beim Fast Hopping werden für jedes Bit mehrere Frequenzwechsel durchgeführt.
FHSS wurde schon früh vom Militär verwendet, um nicht abhörbare und störsichere Funkverbindungen herzustellen.

Abb. 6: Sender eines "Systems zur geheimen Kommunikation" auf der Basis von Frequency Hopping (Hedy Lamarr, 1941)
Abb. 6: Sender eines "Systems zur geheimen Kommunikation" auf der Basis von Frequency Hopping (Hedy Lamarr, 1941) [1]

FHSS wurde nur bei der ersten Spezifizierung der IEEE802.11 vorgesehen. Die im ISM- (2,4 GHz-) Band zur Verfügung stehenden 83,5 MHz Bandbreite wurden in jeweils 1 MHz breite Kanäle aufgeteilt. Von diesen 83 Kanälen mussten mindestens 79 innerhalb einer halben Sekunde verwendet werden. Es mussten alle Kanäle benutzt worden sein, ehe ein Kanal wiederverwendet werden durfte. Das Sprungmuster wurde über das WLAN-Bakensignal (WLAN Beacon) spezifiziert.

1.3.2. DSSS (Direct Sequence Spread Spectrum)

DSSS moduliert (überlagert) die Daten mit einem Spreizungscode (Chipping-Sequenz) und überträgt das Ergebnis auf nur einer Trägerfrequenz im ISM-Band.

Abb. 7: Kodierung der Nutzdaten bei IEEE802.11b
Abb. 7: Kodierung der Nutzdaten bei IEEE802.11b

Bei Geräten nach dem Standard IEEE802.11b wird bei den niedrigen Datenübertragungsraten (1 und 2 MBit/s) ein 11-Bit  Spreizungscode verwendet, der als " Barker-Code" bezeichnet wird. Der Nutzdatenstrom wird über XOR mit dem Spreizungscode verknüpft. Das resultierende Signal ist eine Folge von Datenobjekten, die als "Chips" (Späne) bezeichnet werden. Jedes Bit ist so mit dem 11 Bit Barker-Code kodiert. Gruppen von 11 Chips bilden ein Bit.
Bei den höheren Datenraten von 5,5 und 11 MBit/s werden statt dem feststehenden Barker-Code Sequenzen von 64 8-Bit-Codeworten  verwendet (Complementary Code Keying (CCK)). Dieser erzeugt einen kompakteren Code, der eine noch höhere Störfestigkeit hat.

In Europa ist der ISM-Frequenzbereich für ein IEEE802.11b-WLAN, wie in Abb. 3 dargestellt, in 13 DS-Kanäle ( Direct Sequence Channels) aufgeteilt. Jeder Kanal ist 22 MHz breit. Der Abstand der Träger ist jedoch nur 5 MHz. Dieses führt zu einer Überlappung benachbarter Kanäle. Überlappungsfrei sind nur die Kanäle 1, 6 und 11, was bei der Einrichtung des WLANs zu berücksichtigen ist.

1.3.3. OFDM (Orthogonal Frequency Division Multiplex)

Beim WLAN eingesetzten Mehrträgerverfahren OFDM  werden, wie der Name es sagt, statt einem einzelnen Träger, mehrere Dutzend Träger gleichzeitig moduliert. Hierzu werden zeitlich aufeinander folgende Daten in Streams mit niedriger Datenrate auf eine große Anzahl von Trägern verteilt. Das Verteilungsmuster soll dazu führen, die Auswirkungen auch von zeitlich länger anhaltenden Störungen einzelner oder auch einer Gruppe benachbarter Träger so auf den seriellen Datenstrom im Empfänger zu verteilen, dass eine Korrektur möglichst bereits durch einen bitweise arbeitenden internen Fehlerschutz erreicht werden kann. Für die Modulation der einzelnen Träger kann, abhängig von der Verbindungsqualität, CCK (Complementary Code Keying), QPSK (Quadrature Phase Shift Keying), 16-QAM (Quadrature Amplitude Modulation) oder 64-QAM verwendet werden.

Abb. 8: Orthogonal Frequency Division Multiplex
Abb. 8: Orthogonal Frequency Division Multiplex

Bei allen WLAN-Verfahren sind die zur Modulation verwendeten Datenströme codiert. Jeder einzelne Träger ist phasen- und (ab 4 Bit pro Symbol zusätzlich) amplitudenmoduliert und trägt von daher die Information von mehreren Bits (typischerweise 2 bis 6 bit) pro Symbol. Dies hat den Vorteil, dass die Symbolverweildauer gegenüber dem Einträgerverfahren sehr viel länger ist, da die Daten parallel statt seriell übertragen werden. Das resultierende Hochfrequenzsignal liegt also um ein vielfaches länger stabil an.
Die Bildung des OFDM-Signals erfolgt durch Inverse Diskrete Fourier-Transformation (IDFT) im Baseband und wird zur Ausstrahlung auf die Sendefrequenzen hochkonvertiert. Bei IEEE802.11a ist die vom Signal belegte Bandbreite 16,6 MHz, bei IEEE802.11g 22 MHz. Pro Kanal werden 52 Unterträger (Subcarriers) verwendet, wovon aber nur 48 für die Übertragung von Daten genutzt werden. Vier Unterträger sind Pilotfrequenzen, die als Phasenreferenz zur Demodulation dienen.

1.4. Protokolle

1.4.1. Definition der IEEE80.11x-Standards

Die IEEE802.11x-Standards definieren vor allem die Bitübertragungsschicht (Physical Layer) und die Verbindungs-/ Sicherungsschicht (Data Link Layer), also die untersten zwei Schichten des OSI-Referenzmodells.
In der Funktionsweise wird die Verbindungsschicht in zwei unterschiedlich Bereiche aufgeteilt. Die Zugriffssteuerung wird durch das Media Access Control (MAC) realisiert.
Funktionell unterteilt sich die Verbindungsschicht in zwei weitere Bereiche. Das Logical Link Control (LLC), welches bei allen IEEE802.11-Standards ähnlich ist, übernimmt die logische Steuerung. Hieraus ergeben sich die Protokolle der höheren Schichten, dem Zugriffsmechanismus (CSMA/CA) und des physikalischen Layers. Auf diese Weise können Protokolle der höheren Schichten unabhängig vom Zugriffsmechanismus und der physikalischen Definition auf die Kommunikationsdienste zugreifen.

1.4.2. Zugriffssteuerung mit CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)

WLAN-Geräte sind, weil sie nicht gleichzeitig auf einer Frequenz senden und empfangen können, nicht vollduplexfähig. Das bedeutet, dass das Medium nicht während des Sendens überwacht werden kann. Eine Collision-Detection (mit CSMA/CD) wie beim Ethernet ist deswegen nicht möglich.
Der Standard IEEE802.11 setzt als Übertragungsverfahren das Protokoll CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) ein. CSMA/CA soll Collisions von Datenpaketen unterschiedlicher Quellen vermeiden.  Eine solche Situation tritt beispielsweise ein, wenn zwei mobile Geräte einen gemeinsamen Access-Point zwar erreichen, sich aber gegenseitig nicht empfangen können.
Das Grundprinzip dieses Protokolls ist, dass ein Sender zuerst ins Medium hineinhorcht und überprüft ob es frei ist. Ist dies der Fall, schickt er eine Anfrage an die gewünschte Station ob er senden darf (RTS = Request To Send). Das RTS-Paket ist gleichzeitig eine Aufforderung an alle weiteren WLAN-Stationen im Netz, für die Zeit der Übertragung nicht zu senden.
Ist die gewünschte Station frei, schickt diese eine Bestätigung (CTS = Clear To Send) zurück. Nach dem Erhalt des CTS kann der Sender das Datenpaket losschicken. Trifft innerhalb einer von einem Zufallsgenerator gewählten Zeit kein CTS beim Sender ein, horcht dieser wieder ins Medium und schickt ein weiteren RTS. Dieses wiederholt sich bis die gewünschte Station frei ist und ein CTS sendet.

1.5. Die wichtigen IEEE802.11-Standards

1.5.1. IEEE802.11a/h

IEEE802.11a wurde im September 1999 ratifiziert. Erste Produkte kamen jedoch erst 2001 auf den Markt. Mit der Erweiterung IEEE802.11h wurde der Standard im Jahr 2003 für den Betrieb in Europa harmonisiert.  Der Standard sieht Bitraten bis zu 54 MBit/s im 5 GHz-Band vor. Die maximale Sendeleistung ist frequenzabhängig auf 30-1000mW begrenzt. Die Erweiterung 11h setzt die Fähigkeiten DFS (Dynamic Frequency Selection = Dynamisches Frequenzwahlverfahren) und TPC (Transmission Power Control= Übertragungssendeleistungs-Steuerung) voraus, um andere Dienste im 5-GHz-Band wie medizinische Geräte, Radarsysteme und Satelliten- und Ortungsfunk nicht zu stören.
Beim DFS wird vor dem Senden festgestellt ob die Frequenz eines Subcarrier frei ist. Wird eine Belegung der Frequenz festgestellt, wird automatische eine andere, freie Frequenz gewählt.
TPC wird eingesetzt um die Sendepegel im WLAN so niedrig wie möglich zu halten. Nach dem erfolgreichen Aufbau einer Verbindung wird der Signalpegel soweit reduziert, dass die Verbindung gerade noch sicher aufrecht erhalten kann. Bei sich schnell ändernden Empfangsbedingungen kann es daher durchaus vorkommen, dass eine WLAN-Verbindung wegen Unterschreitens des Mindestsignalpegels unterbrochen wird. 

1.5.2. IEEE802.11g

Der im Juli 2003 verabschiedete Standard IEEE802.11g ist zur Zeit wohl am weitesten verbreitete Standard. Durch die Verwendung von OFDM (Orthogonal Frequency Division Multiplexing, wie bei 802.11a/h) kann die Brutto-Datenrate auf bis zu 54Mb/s, bei einigen proprietären Verfahren sogar auf das doppelte, steigen. Damit sind Multimedia-Anwendungen, die hohe Dauerdatenraten  erfordern, wie z.B. Videostreaming, unter günstigen Bedingungen möglich. Bei schlechten Übertragungsbedingungen oder bei der Kommunikation mit IEEE802.11b-Geräten wird statt OFDM als Modulation das langsamere, aber robustere (HR)DSSS (High Rate Direct Sequence Spread Spectrum) verwendet. Somit sind IEEE802.11g-Geräte auch abwärtskompatibel zur IEEE802.11b.

1.5.3. IEEE802.11n

Abb. 9: WLAN-Router nach IEEE802.11n mit vier Antennen (Foto: InfoTip)
Abb. 9: WLAN-Router nach IEEE802.11n mit vier Antennen (Foto: InfoTip)

IEEE802.11n vereinigt die Standards IEEE802.11a, h, und g. Endgültig wurde die 11n im September 2009 ratifiziert.
Neben der Verwendung beider Frequenzbänder ist auch eine Kanalbündelung vorgesehen. Die dadurch erreichte Erhöhung der Übertragungsbandbreite von 20 auf 40 MHz erlaubt die Verwendung von bis zu vier parallelen Datenstreams. Auf mehrere Antennen mit Richtwirkung verteilt, verhilft dies zu einem besserem Durchsatz und erlaubt selbst das ruckelfreie Streaming von Videodaten (auch Video-DVDs und HDTV) durch mehrere Wände. Dank dieser " Multiple Input, Multiple Output"-Technik (MIMO) lassen sich die Bitraten auf bis zu (theoretisch) 600 MBit/s brutto steigern. Dadurch sollen von bestehenden WLAN-Techniken erreichte Datenraten über größere Distanzen erreicht oder aber auf gleicher Distanz eine höhere Datenrate als bisher ermöglicht werden.

1.5.4. Wichtige Ergänzungen zur IEEE802.11

Zwei wichtige Ergänzungen zur IEEE802.11 konnten die Funktion und Sicherheit von WLAN entscheidend verbessern.
IEEE802.11e erweitert IEEE802.11a/g/h um den QoS (Quality of Service). QoS ist die Dienstgüte in Kommunikationsnetzen. In IP-Netzwerken bezeichnet QOS die Priorisierung von IP-Datenpaketen anhand bestimmter Merkmale und Eigenschaften. Mit diesen Mechanismen ist es möglich, z.B. Voice-over-IP oder Videostreams, die einen verzögerungsfreien und kontinuierlichen Datenstrom benötigen, stärker zu bevorzugen als das Herunterladen von einem Dateiserver oder den Aufruf von Webseiten.
IEEE802.11i ist ein im Juni 2004 ratifiziertes Sicherheitsprotokoll für WLANs. Dieser Standard soll das unsichere Verschlüsselungsverfahren WEP (Wired Equivalent Privacy) entscheidend verbessern. Zwischenzeitlich wurde ein Teil des Protokolls unter der Bezeichnung WPA vorweggenommen.
WPA erlaubt eine festere Verschlüsselung durch das Temporal Key Integrity Protocol (TKIP).). Durch die Nutzung von "Pre-Shared-Keys" ist die Einbindung in bestehende Systeme einfacher geworden.

2. WLAN in der praktischen Anwendung

2.1. Topologien von WLAN-Netzen

Ein WLAN kann in zwei Modi betrieben werden: Dem Ad-Hoc-Modus und dem Infrastruktur- Modus. Die Reichweiten der Funkzellen können mit Repeatern oder Wireless Bridge erhöht werden.

2.1.1. Ad-Hoc-Modus

Abb. 10: Ad-Hoc-Modus
Abb. 10: Ad-Hoc-Modus

Beim Ad-Hoc-Modus sind mehrere Arbeitsrechner in einem begrenzten Sendebereich unmittelbar miteinander verbunden (Peer-to Peer-Netzwerk). Zentrale Übermittlungs- bzw. Kontrollsysteme, sogenannte "Access-Points" sind bei diesem Anwendungsfall nicht vorgesehen. Solche Independent Basic Service Sets (IBSS) erlauben den schnellen, einfachen und kostengünstigen Aufbau von Netzwerken über kurze Entfernungen und mit begrenzter Teilnehmerzahl (max. 8). Ein derartiges "Ad-Hoc" Netzwerk könnte zum Beispiel zwischen den tragbaren Computersystemen während einer Besprechung in einem Konferenzraum aufgebaut werden.

Einrichten eines Ad-Hoc-Netzes unter Windows XP

Systemsteuerung Netzwerkverbindungen Drahtlose Netzwerkverbindung Reihenfolge der Netzwerke ändern Hinzufügen Fenster "Drahtlose Netzwerkeigenschaften" (Abb. 11) öffnet sich:
1. Netzwerknamen eingeben
2. Netzwerkauthentifizierung "Offen" einstellen
3. Datenverschlüsselung "WEP" einstellen (WPA ist nicht möglich)
4. Netzwerkschlüssel eingeben oder "Schlüssel wird automatisch
    bereitgestellt" Häkchen setzen
5. "Dies ist ein Computer-zu-Computer-Netzwerk..." Häkchen setzen

Die anderen Teilnehmer im Netz müssen ihr WLAN aktivieren und nach dem Ad-Hoc-Netz suchen (scannen).

Abb. 11: Einrichten eines Ad-Hoc Netzwerks unter Windows XP
Abb. 11: Einrichten eines Ad-Hoc Netzwerks unter Windows XP
Einrichten eines Ad-Hoc-Netzes unter Windows 7

Systemsteuerung Alle Systemsteuerungselemente Netzwerk- und Freigabecenter „Neue Verbindung oder neues Netzwerk einrichten“
“Ein drahtloses Ad-hoc-Netzwerk (Computer-zu-Computer) einrichten““Weiter“ “Weiter“
Fenster "Ad-hoc-Netzwerk einrichten " (Abb. 12) öffnet sich:
1. Netzwerknamen eingeben
2. Sicherheitstyp eingeben (WPA2)
3. Sicherheitsschlüssel eingeben

Die anderen Teilnehmer im Netz müssen ihr WLAN aktivieren und nach dem Ad-Hoc-Netz suchen (scannen).

Abb. 12: Einrichten eines Ad-Hoc Netzwerks unter Windows 7 Home Premium
Abb. 12: Einrichten eines Ad-Hoc Netzwerks unter Windows 7 Home Premium

2.1.2. Infrastruktur-Modus

Abb. 13: Infrastruktur-Modus
Abb. 13: Infrastruktur-Modus

Im zweiten Anwendungsfall, dem Infrastruktur-Modus, kommen "Access-Points" (AP, Zugangspunkte) zum Einsatz. Bei diesen Geräten handelt es sich um Netzwerkkomponenten, welche die Kommunikation innerhalb eines Funk-LANs, zwischen einzelnen Funk-LAN-Zellen und die Verbindung zwischen Funk-LANs und herkömmlichen LANs (kabelbasierend) ermöglichen und kontrollieren. Access-Points regeln die "gerechte" Verteilung der zur Verfügung stehenden Übertragungszeit im Funk-Netzwerk. Des Weiteren ermöglichen diese Komponenten mobilen Arbeitsstationen das unterbrechungsfreie Wechseln (Roaming) von einer Funk-LAN-Zelle in die nächste.
In der einfachsten Version besteht ein Infrastruktur-Funknetz aus einem Access-Point und einer Gruppe von drahtlosen Stationen. Ein solches Netzwerk wird als Basic Service Set (BSS) bezeichnet. Koppelt man mehrere BSS über ein LAN, so spricht man von einem Extended Service Set (ESS).

Der Datenaustausch der über WLAN angebundenen Stationen untereinander läuft in einer Infrastruktur-Netzwerk immer über den zentralen Access-Point der Funkzelle und nicht mehr direkt von Station zu Station. Die Einrichtung des Infrastruktur-Netzes wird auf dem Access-Point vorgenommen. Da ein Infrastruktur-WLAN-Netz eine Erweiterung des bestehenden LANs ist, sind besondere sicherheitsrelevanten Maßnahmen zu ergreifen. So muss z.B. der Zugang zum Netz explizit (z.B. über MAC-Filter im Access-Point) erlaubt werden.
Die über Infrastruktur-Modus in das Netzwerk eingebundenen mobilen oder stationären Computer unterliegen den gleichen Regeln wie über LAN angebundene Rechner. Der Zugriff auf Netzwerk-Ressourcen muss über Berechtigungen freigegeben werden.

2.1.3. Roaming

Ein wichtiger Teil des WLAN-Konzeptes ist, dass ein Client nicht unbedingt stationär sein muss. Beispielsweise soll ein Laptop in mehreren Sitzungsräumen in verschiedenen Bereichen eines größeren Firmengebäudes ohne Änderungen der Einstellungen Zugriff auf das LAN haben. Hierzu wird ein flächendeckendes WLAN eingerichtet. Da ein einzelner Access-Point meist nicht ausreicht, werden an geeigneten Orten zusätzliche APs aufgestellt und über Kabel mit dem LAN verbunden. Wenn sich die Funkbereiche der einzelnen APs überlappen, kann ein mobiler Client, der seine physische Position ändert, übergangslos von einem Access-Point zu einem anderen wechseln. Dieser Vorgang wird als Roaming bezeichnet. Um Roaming in einem WLAN-Netz zu ermöglichen, hat dieses einige Bedingungen zu erfüllen:

  • Die Access-Points müssen IP-Adressen innerhalb des gleichen Subnet-Bereichs haben.
  • Die Access-Points müssen die gleiche SSID (Service Set Identifier = Name des Netzwerks) tragen.
  • Alle Access-Points müssen die erweiterte Form der SSID, die ESSID (Extended Service Set Identifier), unterstützen
  • Alternativ zum ESSID kann das Inter Access-Point Protocol (IAPP) eingesetzt werden. Dabei teilen sich die Access-Points gegenseitig Daten über die Clients im WLAN-Netz mit. So können sie die Verbindung ohne Unterbrechung übernehmen.
  • Die Access-Points müssen den gleiche Authentifizierungs- und Verschlüsselungsregeln folgen
  • Die Funkbereiche zweier Access-Points dürfen sich nicht überlappen. Überlappen sich die Funkbereiche zweier Access-Points, müssen beide auf unterschiedlichen Frequenzen arbeiten.
Abb. 14: Roaming
Abb. 14: Roaming

2.1.4. Wireless Repeater

Abb. 15: WLAN mit Repeater
Abb. 15: WLAN mit Repeater

Die Wireless Repeater-Funktion (auch WDS = Wireless Distribution System) dient, wie das Roaming, zur Vergrößerung der Funk-Reichweite der WLAN-Zelle. Allerdings wird hier kein kabelgebundenes Netzwerk benötigt, sondern nur eine Steckdose bzw. Stromversorgung für einen als Repeater fungierenden weiteren Access-Point. Alle vom Repeater empfangenen Daten müssen nun noch einmal per Funk zum Access-Point weiter gesendet werden. Dies hat automatisch eine Halbierung der zur Verfügung stehenden Bandbreite zur Folge. Zur Nutzung dieser Funktionalität müssen sowohl der kabelgebundene, als auch der Repeater (= kabelloser Access-Point) WDS unterstützen.

Abb. 16: Einrichten eines Repeaters (hier FRITZ!Box 7270): WDS mit WPS (Wi-Fi Protected Setup)
Abb. 16: Einrichten eines Repeaters (hier FRITZ!Box 7270): WDS mit WPS (Wi-Fi Protected Setup)

2.1.5.Wireless Bridge

Um zwei Netzwerkteile, z.B. in zwei Gebäuden über eine öffentliche Straße hinweg, über eine Funkstrecke miteinander koppeln zu können, werden zwei Bridge-Mode unterstützende Access-Points benötigt. Zwischen diesen beiden WLAN-Zentralen wird eine dedizierte Verbindung hergestellt. Dies bedeutet, dass alle Anmeldeversuche anderer WLAN-Geräte verweigert werden, so dass die gesamte Bandbreite nur für die Bridge-Funktion zur Verfügung steht. Zur Reichweitenerhöhung können zusätzlich Richtantennen verwendet werden.

Abb. 17: Verbinden zweier LAN-Teilnetze über eine Wireless Bridge
Abb. 17: Verbinden zweier LAN-Teilnetze über eine Wireless Bridge

3. Sicherheit von Funknetzen

Der größte Vorteil des Mediums Funk ist auch gleichzeitig sein größter Nachteil: Die Funkwellen gehen überall hin, auch dorthin, wo sie nicht hin sollen. Drahtlose Netze bestehen in der Regel aus einem Access-Point und einer Anzahl Clients mit drahtlosen Netzwerkkarten. Bei vielen handelsüblichen Geräten ist der Access-Point in einen DSL-Router integriert. Ein großes Sicherheitsrisiko, das Nutzer von kabellosen Netzwerken haben, ist der Vertraulichkeitsverlust durch einen "Lauschangriff". Mittels Notebook und einer WLAN-Karte ist es für Dritte nicht allzu schwer, von außen in ein solches Netzwerk zu gelangen. Ohne Probleme gelangt er so an persönliche Daten oder kann auf Kosten des Besitzers im Internet surfen, was ohne Flatrate schmerzen dürfte.  Auch rechtlich ist die Situation nicht eindeutig. Es gibt Gerichtsurteile, in denen Betreiber von ungeschützten WLANs als Störer verurteilt wurden, obwohl sie vom Missbrauch ihres WLANs nichts wussten. 

WEP

Die WEP-Verschlüsselung (Wired Equivalent Privacy = Verdrahteten (Systemen) entsprechende Privatsphäre) soll die Kommunikation innerhalb eines WLANs vor Lauschangriffen schützen. Damit Access-Point und Notebook miteinander Daten ver- und entschlüsseln können, benutzen sie einen identischen Code. Das Verschlüsselungssystem kodiert Datenpakete mit 128 Bit. Die Kodierung dient als Zugangskontrolle: Einem Notebook wird der Zugriff auf einen AP verweigert, wenn die Schlüssel der beiden Komponenten nicht übereinstimmen. Inzwischen ist allein durch das Erlauschen des Datenverkehrs ein passiver Angriff auf WEP mit handelsübliche Hardware und frei erhältlicher Software gelungen. Er beruht auf der Tatsache, dass WEP einen berechneten und nicht einen zufälligen Initialisierungsvektor im Klartext überträgt. So kann aus den erlauschten Daten der bei WEP verwendeten Schlüssel rekonstruiert werden. Nachgewiesenermaßen dauert das Berechnen eines WEP-Schlüssels mit einem normalen PC oder Laptop nur wenige Minuten.

WiFi Protected Access" (WPA)

Nachdem sich WEP als unsicher erwiesen hatte, wurde eine Teilmenge des Sicherheitsstandards IEEE 802.11i, der noch in Arbeit war, vorweggenommen und als WPA eingeführt. WPA enthält die Architektur von WEP, bringt jedoch zusätzlichen Schutz durch dynamische Schlüssel, die auf dem Temporal Key Integrity Protocol (TKIP) basieren, und bietet zur Authentifizierung von Teilnehmern Pre-Shared Keys (PSK) oder Extensible Authentication Protocol (EAP) an. Der PSK muss allen Teilnehmern des LAN bekannt sein, da mit seiner Hilfe der Sitzungsschlüssel generiert wird. PSK eignet sich besonders für kleine Firmen oder daheim.
EAP ist ein Enterprise-Modus, bei dem ein spezieller Authentifizierungsserver die Identität eines Anwenders überprüft. 
2004 wurde IEEE802.11i eingeführt und als WPA2 vollständig umgesetzt. Ein neues, besseres Verschlüsselungsverfahren (AES = Advanced Encryption Standard) erhöht zusätzlich die Sicherheit.

3.1. Sicherheitsmaßnahmen

Um ein WLAN sicher zu betreiben sollten beim Einrichten und beim Betreiben einige Sicherheitsregeln beachtet werden. Grundsätzlich gilt es sein WLAN für Fremde möglichst unsichtbar zu machen, nur explizit erlaubte Endgeräte ins Netz zu lassen,  die Datenübertragung durch Verschlüsselung abhörsicher zu machen und den Zugang zum selbst Router abzuschotten.
Im Lieferzustand sind die Geräte nach dem Auspacken meist vorkonfiguriert und betriebsbereit, nach dem Einschalten können sich drahtlose Geräte bereits mit dem Access-Point verbinden. So besteht aber keinerlei Schutz des Netzwerks gegenüber der unerwünschten Mitbenutzung durch andere Teilnehmer, es ist auf jeden Fall eine individuelle Konfiguration seitens des Netzwerkbetreibers erforderlich. Allererste Maßnahme bei der Einrichtung eines WLANs ist natürlich erst einmal alle Default-Passwörter (z.B. im Access-Point) zu ändern. Als nächstes sollten im AP die MAC-Adressen der Geräte festgelegt werden, die Zugriff auf das WLAN haben dürfen (" MAC-Filter"). Es sollte auf jeden Fall WEP oder besser, WPA aktiviert werden. Nach der Installation des WLAN, sollte  die SSID (Service Set Identifier) Broadcast abgeschaltet werden.
Die SSID ist eine aus max. 32 alphanumerischen Zeichen bestehende Zeichenfolge, die im Prinzip der Name des WLANs ist. Mit der SSID wird im Client festgelegt auf welchen AP er zugreifen darf. Sendet der Client nicht die richtige SSID bekommt er keinen Zugriff. Für die Vergabe der SSID gelten im Prinzip die gleichen Regeln wie für die Vergabe von sicheren Passwörter.

Weitere Hinweise für ein sicheres WLAN finden Sie in der folgenden, zusammenfassenden Textbox.

GRUNDLEGENE SICHERHEITSMASSNAHMEN IM WLAN

  • WLAN-Geräte (z. B. der Access-Point) sollten ausschließlich über eine kabelgebundene Verbindung (und nicht über das WLAN) konfiguriert werden.
  • Im Access-Point sollte die Fernkonfiguration abgeschaltet werden.
  • Das vom Hersteller vergebene Standard-Passwort des Access-Points sollte geändert werden.
  • Die Zugriffskontrollliste (ACL = Access Control List = MAC-Filter) sollte aktiviert werden, um Netzzugang vom Access-Point nur für Endgeräte mit bekannter MAC-Adresse zuzulassen. Diese Maßnahme ist jedoch kein absoluter Schutz, denn MAC-Adressen sind für "Profis" leicht manipulierbar.
  • Die SSID des Access-Point sollte keine Rückschlüsse auf verwendete Hardware, Einsatzzweck oder Einsatzort zulassen, denn jede Firmware (im WLAN-Router) hat Fehler, die ausgenutzt werden können. Niemals die MAC-Adresse des Routers als SSID verwenden, denn diese enthält als Code den Hersteller und weitere Angaben über das Gerät, die einem "Hacker" Ansatzpunkte für ein Eindringen liefern können.
  • Nach der Einrichtung von WEP/WPA und MAC-Filtern sollte das SSID-Bakensignal (Beacon) abgeschaltet werden, da die Clients fest eingerichtet sind und eine zyklische Bekanntgabe des Netzwerknamen (SSID-Broadcasting) nur noch ein Sicherheitsrisiko darstellt. Dadurch wird das WLAN mehr oder weniger unsichtbar. Das verhindert ein unabsichtliches Einloggen in das WLAN.
    Die SSID kann aber auch bei deaktiviertem Broadcasting mit spezialisierter Software (WLAN-Sniffer) aus einer laufenden Übertragung  ausgelesen werden.
  • WLAN-Geräte sollten ausgeschaltet werden, solange sie nicht genutzt werden.
  • Die Reichweite des WLANs sollte minimiert werden. Dies kann durch Reduzierung der Sendeleistung bzw. Standortwahl des WLAN-Gerätes durchgeführt werden. So werden auch benachbarte WLAN-Zellen weniger beeinträchtigt.
  • Regelmäßige Firmware-Aktualisierungen des Access-Points durchführen, um sicherheitsrelevante Verbesserungen zu erhalten.

4. Beispielhafte Einrichtung eines WLANs

Eine Einrichtung und Konfiguration eines WLANs soll am Beispiel des beliebten WLAN-Routers FRITZ!Box WLAN 7270 dargestellt werden. Neben dem WLAN Access-Point enthält der Router weitere Funktionen wie DSL-Modem, DECT-Basisstation usw. Diese zusätzlichen Funktionen sollen an dieser Stelle nicht besprochen werden.

Abb. 18: FRITZ!Box WLAN 7270
Abb. 18: FRITZ!Box WLAN 7270 [2]

Die FRITZ!Box WLAN 7270 lässt sich über eine mit zum Lieferumfang gehörende Software oder über ein integriertes Web-Interface konfigurieren. Dieses bietet eine grafische Benutzeroberfläche, die über einen Internetbrowser verwendet werden kann. In der Benutzeroberfläche werden alle Einstellungen für den Betrieb der FRITZ!Box vorgenommen.
Die Benutzeroberfläche kann von jedem mit der FRITZ!Box verbundenen Computer aus geöffnet werden. Die vorgenommenen Einstellungen, werden in der FRITZ!Box gespeichert.
Zum Öffnen der Bedienoberfläche wird die IP-Adresse (= Standardgateway) der FRITZ!Box oder  die URL "http://fritz.box" in die Adresszeile eines Internetbrowser eingegeben. Nach der Vergabe eines neuen Passwortes kann mit der Konfiguration begonnen werden.
Die Konfiguration des WLANs wird auf drei Untermenüs vorgenommen, die nach Klicken auf den Reiter "WLAN" anwählbar sind. Im ersten Untermenü wird das WLAN eingerichtet (siehe Abb. 19). Hierzu wird das WLAN eingeschaltet, ein Netzwerkname bzw. die SSID vergeben und die anderen Teilnehmer im Netz eingetragen.

Abb. 19: Einrichten des WLAN
Abb. 19: Einrichten des WLAN

Im zweiten Untermenü (siehe Abb. 20) werden die Übertragungskanäle konfiguriert. Dieses kann manuell oder automatisch geschehen. Sind keine weiteren WLANs in der direkten Nachbarschaft, ist die automatische Einstellung sicherlich am bequemsten. Gibt z.B. es in der Nähe WLANs, die nicht immer in Betrieb sind, kann eine manuelle Einstellung besser sein. Bei der Einstellung des Funkkanals ist der Abstand zu benachbarten WLANs zu beachten.

Die FRITZ!Box WLAN 7270 unterstützt auch IEEE802.11n. Diese erlaubt zur Erhöhung der Datendurchsatzrate durch Kanalbündelung. Die Übertragungsbandbreite steigt dabei allerdings von 22 (bzw. 20) MHz auf 40 MHz. Somit passen in das ISM-Band nur noch zwei überlappungsfreie Übertragungskanäle, was in einem dicht besiedelten Gebiet problematisch werden kann. In einem solchen Fall ist ein Ausweichen in das weniger belegte 5 GHz-Band angeraten.

Abb. 20: Einstellen der Funkfrequenz
Abb. 20: Einstellen der Funkfrequenz

Im dritten Untermenü werden die wichtigsten Sicherheitseinstellungen, Verschlüsselung-Modus und WLAN- Netzwerkschlüssel, vorgenommen (Abb. 21).

Abb. 21: Verschlüsselung einstellen
Abb. 21: Verschlüsselung einstellen

REFERENZEN

Abbildungen

[1] ] Abb. 6: Sender eines "Systems zur geheimen Kommunikation" auf der Basis von Frequency Hopping (Hedy Lamarr, 1941) Auszug aus der Patentschrift
Quelle: Google Patents http://www.google.com/patents/US2292387?hl=de

[2] Foto: "Abb. 18: FRITZ!Box WLAN 7270"
Quelle: AVM Pressefoto http://avm.de/presse/pressefotos/fritzbox/produktfotos/

 

Rechtshinweis

Sofern auf dieser Seite markenrechtlich geschützte Begriffe, geschützte (Wort- und/oder Bild-) Marken oder geschützte Produktnamen genannt werden, weisen wir ausdrücklich darauf hin, dass die Nennung dieser Marken, Namen und Begriffe hier ausschließlich der redaktionellen Beschreibung bzw. der Identifikation der genannten Produkte und/oder Hersteller bzw. der beschriebenen Technologien dienen.

Alle Rechte an den in diesem Kompendium erwähnten geschützten Marken- und/oder Produktnamen sind Eigentum der jeweiligen Rechteinhaber und werden hiermit ausdrücklich anerkannt. Alle in unseren Artikeln genannten und ggfs. durch Dritte geschützte Marken- und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts sowie den Besitzrechten der jeweiligen eingetragenen Eigentümer.

Die Nennung von Produktnamen, Produkten und/oder der jeweiligen Produkthersteller dient ausschließlich Informationszwecken und stellt keine Werbung dar. InfoTip übernimmt hinsichtlich der Auswahl, Leistung oder Verwendbarkeit dieser Produkte keine Gewähr.

Sollten dennoch wider unserer Absicht Rechte Dritter verletzt werden, so bitten wir um eine Benachrichtigung ohne Kostennote.