W-LAN-Grundlagen - Ausbildung technischer Berufe

ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Was bringt W-LAN-?..............................................................................................2
Wireless-LAN – Datenübertragung über Funk .....................................................2
Vorteil Funkverbindungen ....................................................................................2
Reichweite............................................................................................................2
Sicherheit .............................................................................................................3
Höhere Sicherheitsstufe bei Wireless-LAN ..........................................................3
W-LAN-Komponenten ...........................................................................................3
WLAN für Home-Offices und KMU.......................................................................3
Funktion des Access-Points.................................................................................3
Funktion der Wireless-LAN-Adapter (Clients) ......................................................4
Funktion externe Antennen ..................................................................................4
Einsatzmodelle.......................................................................................................4
PC und Internetanschluss in separatem Raum ....................................................4
Wireless-LAN für das Heimnetzwerk....................................................................4
Verbund gebäude-/raumübergreifende Netzwerke ..............................................5
Wireless-LAN für Outdoor ....................................................................................5
Einrichtung eines Hotspots ..................................................................................5
Sicherheit ...............................................................................................................6
Sicherheitsfunktionen für Wireless-LAN...............................................................6
Hide-ESSID..........................................................................................................6
MAC-Adressfilter ..................................................................................................6
WEP-Chiffrierung .................................................................................................6
IEEE 802.1x .........................................................................................................6
WPA & 802.1x......................................................................................................6
Block-Intra-BSS-Traffic ........................................................................................7
Standarts ................................................................................................................7
Wireless-LAN-Standards......................................................................................7
11-Mbps-Technologie (802.11b/2,4-GHz-Bereich):..............................................7
54-Mbps-Technologie (802.11g/2,4-GHz-Bereich):..............................................7
Gemischte Umgebungen (802.11b/801.11g kombiniert)......................................7
Nitro-Mode für gemischte WLANs........................................................................8
Seite 1
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Wireless-LAN – Datenübertragung über Funk
Mit Wireless-LAN werden Daten zwischen einzelnen PCs
und/oder Netzwerken via Funk übermittelt. Beim
Internetzugang
wird
ein
Wireless-LAN-Access-Point
installiert, an den übrigen Arbeitsplätzen je ein WLAN-ClientAdapter. Ohne teuren Kabelinstallationen ist es so möglich,
dass alle Computer drahtlos im Internet surfen. Der MACAdressfilter sowie die WEP-Verschlüsselung schützen das
Netzwerk vor ungewollten Zugriffen. Mit der erweiterten
Sicherheitsfunktion nach dem Standard IEEE 802.1x
müssen sich die Clients mit einem persönlichen
Benutzernamen und Passwort beim Access-Point anmelden. Wenn all diese
Sicherheitsstufen sorgfältig angewendet werden, kann das Wireless-LAN auf einem recht
hohen Sicherheitslevel betrieben werden.
Vorteil Funkverbindungen
Mehrere PCs können mit Wireless-LAN über Funk verbunden werden, dabei entfallen
sämtliche Verkabelungen. So kann man ohne neue Kabel zu verlegen überall WirelessLAN-Geräte einsetzen.
Mit dem Einsatz von externen Antennen kann das Funksignal in eine spezifische Richtung
verstärkt werden.
Reichweite
Die Reichweite der Funkverbindung wird von der Umgebung
beeinflusst. Abhängig von der Bauart von Wänden wird das
Funksignal unterschiedlich stark abgeschwächt. Feldtests
haben ergeben, dass es durchaus möglich ist, mehrstöckige
Gebäude vom Keller bis in den Dachstock per Funk zu
vernetzen. Generell spricht man von Übertragungsdistanzen
von 15 bis 40 Metern in Gebäuden und über 270 Metern bei
Sichtkontakt. Dank neuster Technologien kann durch die
Verkettung von bis zu sechs Access-Points eine
flächendeckende Signalabdeckung realisiert werden.
Seite 2
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Sicherheit
Verdient WLAN punkto Sicherheit seinen schlechten Ruf? Nicht die eigentliche WLANTechnologie ist unsicher! Leider gehen die meisten Anwender sorglos damit um und
verzichten auf vorhandene Sicherheitsmechanismen. Dies beginnt bei grundlegenden
Einstellungen wie dem Ändern des Standardpassworts beim verwendeten Router. Ist dann
die erste Verbindung gelungen, wird vor lauter Freude die Aktivierung der
Sicherheitseinstellungen vergessen.
•
Netzwerke über Funk sind sicher - je besser alle Sicherheitsmechanismen
ausgeschöpft werden.
•
Standardpasswort des Wireless-LAN-Routers umgehend ändern
•
Verstecken des Access-Point-Namens (hide ESSID)
•
Einschränken des Zugriffs auf WLAN-Access-Point auf bekannte Adapter. Jedes
Gerät für ein Netzwerk (auch WLAN-Adapter) verfügt über eine einmalige MACAdresse und kann so identifiziert werden. Erfassung der Adapter-MAC-Adressen im
MAC-Adressfilter.
•
Aktivierung der WEP-Funktion (Wired-Equivalent-Privacy). Durch das Konfigurieren
eines persönlichen Schlüssels auf dem Access-Point und dem Client wird die WEPFunktion aktiviert, und alle Daten werden mit einer 64-bit- oder 128-bit-WEPVerschlüsselung chiffriert.
•
Nutzung von 802.1x, wobei sich der Client mit einem persönlichen Benutzernamen
und Passwort beim Access-Point anmelden kann.
Höhere Sicherheitsstufe bei Wireless-LAN
Noch höhere Sicherheit bietet der Einsatz von VPN (Virtual-Private-Networks) über das
Wireless-LAN. Unabhängig von der Verbindung (drahtlos oder verkabelt) wird der
Datenverkehr dabei verschlüsselt. Firmen sollten den Einsatz von VPN in Betracht ziehen,
für Private sind die normalen Sicherheitsvorkehrungen meist ausreichend
WLAN für Home-Offices und KMU
Für die Datenübertragung mit Wireless-LAN / Funk wird ein "WLAN-Access-Point" und ein
"WLAN-Adapter (Client) pro PC oder Notebook" benötigt. Für die Verstärkung des
Funksignals können externe Antennen eingesetzt werden.
Funktion des Access-Points
Ein Access-Point ermöglicht, bestehende Netzwerke oder ADSL-Internetanschlüsse wie
auch einzelne PCs mit einer Wireless-LAN-Lösung einfach zu erweitern. Es gibt AccessPoints mit integriertem Router (und zum Teil Firewall), die für ein Wireless-LAN mit
Seite 3
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
mehreren PCs ausgelegt sind. Ein reiner Access-Point ohne Router ermöglicht,
bestehende Netzwerklösungen oder ADSL-Internetanschlüsse einfach zu erweitern.
Funktion der Wireless-LAN-Adapter (Clients)
Die Wireless-LAN-Adapter werden für den Netzwerkzugriff über einen Access-Point
eingesetzt. Ein Access-Point arbeitet unabhängig von einem PC und ist auch bei
ausgeschaltetem PC verfügbar. Bei Punkt-zu-Punkt-Verbindungen können PCs mit
Wireless-LAN-Adapter von einer Station direkt auf die andere zugreifen. Für WirelessArbeitsstationen gibt es verschiedene Möglichkeiten, wie auf einen Access-Point
zugegriffen werden kann:
•
mit PC-Card für Notebooks
•
mit USB-Adapter (z. B. USB-Stick) für Desktop- und Notebook-Systeme
•
mit PCI-Adapter für Einbau in Desktop-Systeme
•
mit Ethernet-Adapter (alle Geräte mit Ethernet-Schnittstelle).
Funktion externe Antennen
Die Reichweite des Funksignals hängt stark von der Bauweise und den Mauern eines
Gebäudes ab. Oft hilft bei schwachem Funksignal die Verstärkung mit einer externen
Antenne. Die externen Antennen unterscheiden sich im wesentlichen durch ihren
Sendefokus. Je nach räumlichen Anforderungen erreicht man die beste Funkausleuchtung
mit einer Deckenantenne, einer Desktop-Antenne oder einer Richtstrahlantenne.
PC und Internetanschluss in separatem Raum
Vor allem bei Kabelmodems stellt sich oft das Problem, dass
der Kabelanschluss nicht im gleichen Raum wie der PC
stationiert ist. Viele Wohnungen sind einzig im Wohnzimmer
mit einem Kabelanschluss ausgerüstet. Zwei Lösungen sind
möglich: entweder ein Kabel quer durch die Wohnung
ziehen, oder den PC via Wireless-LAN oder Powerline (siehe
separate Rubrik „Powerline“) anschliessen.
Wireless-LAN für das Heimnetzwerk
Wireless-LAN ist ideal für das Familiennetzwerk: Der neu gekaufte PC im Kinderzimmer
wird durch Wireless-LAN mit den beiden bereits installierten Workstations im Büro und das
Notebook im Elternzimmer vernetzt. Die beiden PCs im Büro können auch mit einem
Kabel verbunden werden, während dem das Notebook im Schlafzimmer der Eltern und der
PC im Kinderzimmer Beispielsweise mit einer PC-Card oder PCI-Karte ausgestattet wird.
Somit ist das Surfen im Internet via Nootbook überall in der Wohnung möglich – auf dem
Balkon, im Zimmer und am Küchentisch.
Seite 4
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Verbund gebäude-/raumübergreifende Netzwerke
Mit der (im ZyAIR B-3000) integrierten Bridge-Funktion, ein
Teil von WDS (Wireless-Distribution-System) können zwei
Netzwerke gebäude- oder raumübergreifend mit WirelessLAN verbunden werden. Es können bis zu sechs AccessPoints
miteinander
kommunizieren,
wodurch
die
Signalreichweite vergrössert wird. Die im Repeater-Mode
arbeitenden ZyAIR B-3000 stellen somit einen WirelessLAN-Verbund dar. WDS wurde von der Firma Intersil als
«Quasi-Standard» etabliert und wird in den meisten
Wireless-LAN-Produkten verwendet.
Wireless-LAN für Outdoor
Outdoor-Einsätze bedingen spezielle Anforderungen an Wireless-LANs. Der ZyAIR B5000 ist ein WLAN-Access-Point für Outdoor-WLAN und arbeitet im konzessionsfreien
2,4-GHz-Frequenzband. Somit können entfernte Gebäude mit einer Punkt-zu-Punkt- oder
Multipunkt-Verbindung bis zu 10 km auf Sicht erschlossen werden. Der B-5000 eignet sich
auch für Internet-Access im Freien, z. B. Gartensitzplätze in Cafés oder an
Veranstaltungen, bei denen temporäre Installationen gefragt sind.
Einrichtung eines Hotspots
Ein Hotspot ist ein Wireless-LAN-Zugangspunkt für die
Verbreitung von Internet-Access an öffentlichen Plätzen wie
zum Beispiel Cafés, Hotels, Bibliotheken, Bahnhöfe etc. .
ZyXEL ermöglicht mit ihrem Hotspot ZyAIR B-4000 den
günstigen Internetzugang für Kunden auf "Knopfdruck": Mit
integrierter Zugangskontrolle und Ausdruck eines Belegs
kann Internet auf einfachste Weise angeboten werden. Der
B-4000 vereint einen WLAN-Access-Point mit 4-Port-Switch,
NAT und Servicefunktionen im selben Gerät. Ein kompakter
Thermoprinter mit Einknopfbedienung ermöglicht dem
Personal eine einfache Handhabung. Der B-4000 eignet sich sowohl für den
kostenpflichtigen Internetzugang als auch zur kostenlosen Zutrittskontrolle zum
Funknetzwerk. Ein kontrollierter Zugang ist somit gewährleistet.
Seite 5
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Sicherheitsfunktionen für Wireless-LAN
Grenzenlose Mobilität zieht zwangsläufig gewisse Sicherheitsrisiken nach sich. Um sich
gegen unerwünschte Zugriffe zu schützen, sollten die in allen ZyXEL WLAN-AccessPoints und -Clients vorhandenen Sicherheitsfunktionen für Wireless-LAN unbedingt
konfiguriert und aktiviert werden. Eine 100%-ige Sicherheit lässt sich kaum erreichen.
Doch schon durch wenige Massnahmen wird der Aufwand für einen möglichen Angreifer
erheblich grösser.
Hide-ESSID
Damit der Wireless-LAN-Router nicht mit seiner ESSID (Identifikationsname) sichtbar ist,
kann diese unterdrückt werden. Als Folge wird auf dem WLAN-Adapter manuell dieselbe
ESSID erfasst. Die Standard-ESSID ist zu vermeiden. Weiter soll sie keine Rückschlüsse
auf die Firma oder Namen ermöglichen.
MAC-Adressfilter
Es ist empfehlenswert, den Zugriff zum WLAN auf bestimmte MAC-Adressen
einzuschränken. Jeder Netzwerk-Adapter verfügt über eine einmalige MAC-Adresse,
anhand derer er identifiziert werden kann. Mit dem MAC-Adressfilter wird ein Zugriff auf
den Wireless-LAN-Router über Funk auf bekannte Adapter eingeschränkt. Das
Vortäuschen einer falschen MAC-Adresse ist möglich, doch sehr zeitaufwändig. Vorgängig
muss eine gültige Adresse ausfindig gemacht werden.
WEP-Chiffrierung
Durch Verschlüsselungsmassnahmen wie WEP (Wired-Equivalent-Privacy) wird das
Belauschen des Datentransfers erschwert. Es kann zwischen einer 64- oder 128-BitVerschlüsselung gewählt werden.
IEEE 802.1x
Der bereits integrierte Sicherheitsstandard 802.1x ermöglicht, dass sich die Clients mit
einem persönlichen Benutzernamen und Passwort beim jeweiligen Access-Point
anmelden können. Benutzername und Passwort werden entweder auf dem Access-Point
ADSL-Router selbst oder auf einem Radius-Server hinterlegt.
WPA & 802.1x
WPA (Wi-Fi-Protected-Access) ist eine Interessensgemeinschaft von Herstellern, die das
Ziel verfolgt, das WLAN sicherer zu machen. WPA besteht aus einer kompletten
Sicherheitslösung kombiniert mit «Advanced-TKIP*-Encryption» (Temporal-Key-IntegrityProtocol) und der leistungsstarken IEEE 802.1x-Benutzer-Authentifizierung. Es soll das
heutige Wired-Equivalent-Privacy-Konzept (WEP) ersetzen. Der Schlüssel ändert sich
temporär, und zwar immer dann, wenn ein Datenpaket von 10 KB übertragen wurde. Da
der Schlüssel periodisch wechselt, hat ein Angreifer wegen der geringen Datenmenge
kaum eine Chance, den Schlüssel zu berechnen.
Seite 6
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Block-Intra-BSS-Traffic
Block-Intra-BSS-Traffic ermöglicht, dass die einzelnen Teilnehmer sich im selben
Netzwerk nicht sehen können (VLAN). Diese Funktion steigert gerade für Hotspots die
Sicherheit enorm.
Wireless-LAN-Standards
1997 wurden die ersten IEEE-Standards für Wireless-LAN vorgestellt. Der Standard
802.11 ermöglichte eine Datenübertragung per Funk von bis zu 2 Mbps. Dank neuen
Übertragungsverfahren konnte 1999 der IEEE 802.11b-Standard verabschiedet werden
und öffnete Funk-LANs einen breiten Markt. Der Funkstandard IEEE 802.11b arbeitet im
lizenzfreien 2,4-GHz-Frequenzbereich und erreicht Datenraten bis zu 11 Mbps.
11-Mbps-Technologie (802.11b/2,4-GHz-Bereich):
Die 11-Mbps-Technologie eignet sich für die Internetverbreitung im Privaten oder für
Kleinfirmen und ist sogar bei einem schnellen Internetanschluss von bis zu 2 Mbps absolut
ausreichend. Dieser weit verbreitete, kostengünstige Standard ist nach wie vor eine ideale
und kostengünstige Lösung für viele Anwendungen (Internet, gelegentliche FileTransfers).
54-Mbps-Technologie (802.11g/2,4-GHz-Bereich):
Die vollen Vorzüge der 54-Mbps-Technologie schöpft man vor allem bei einer hohen
Anzahl Benutzer im gleichen WLAN sowie bei hohem Datenverkehr aus. In grossflächigen
Büroräumen können mehrere Access-Points im selben Netzwerk installiert werden.
Innerhalb der abgedeckten Funkausleuchtung bewegt man sich bequem von einem ins
andere Büro. Dank der Roaming-Funktion übernimmt die nächste Funkzelle die
Übertragung.
Der
neu
verabschiedete
802.11g-Standard
ist
zu
802.11b
abwärtskompatibel.
Gemischte Umgebungen (802.11b/801.11g kombiniert)
Technisch bedingt entsteht in gemischter Client-Umgebung (802.11g und 802.11b) bei
allen WLAN-Access-Point-Herstellern ein unangenehmer Nebeneffekt: Die gesamte
Performance aller Clients wird auf den Level der 11-Mbps-Technologie (802.11b)
reduziert. Leider kann dies auch der Fall sein, wenn benachbarte Signale von 802.11bNetzen (ungewollt) empfangen werden. Z. B. in dichten Ballungsgebieten oder in der Nähe
von Hotspot-Installationen. Dank der neuen Funktion «G-only» kann der Access-Point auf
das 802.11g-Netz fixiert werden, und B-Netze stören die Performance nicht.
Seite 7
ATB Ausbildung Technische Berufe
Ausbildungszentrum Klybeck
Nitro-Mode für gemischte WLANs
In gemischten WLANs, die aus 802.11g- und 802.11b-Komponenten bestehen, sowie in
reinen 802.11g-Netzwerken werden die Datendurchsätze durch die PRISM NitroTechnologie von Intersil optimiert. Die in den ZyAIR G-1000 und G-100 integrierte PRISM
Nitro-Technik ermöglicht eine bis zu 3-fache Durchsatzsteigerung von 802.11g-Adaptern
in gemischten Wireless-Netzen (b+g) und bis zu 50% mehr Durchsatz in reinen 802.11gNetzwerken. Die PRISM Nitro-Technologie ist vollumfänglich kompatibel zu IEEE 802.11
und erreicht mit Prioritätsbildungs-Algorithmen sowie verbesserten Schutzmechanismen
eine bedeutende Steigerung der Netzwerkleistung. Diese Funktion wird unter ZyXEL GProdukten gewährt.
Text von:
Seite 8