W-LAN-Grundlagen - Ausbildung technischer Berufe
Transcrição
W-LAN-Grundlagen - Ausbildung technischer Berufe
ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Was bringt W-LAN-?..............................................................................................2 Wireless-LAN – Datenübertragung über Funk .....................................................2 Vorteil Funkverbindungen ....................................................................................2 Reichweite............................................................................................................2 Sicherheit .............................................................................................................3 Höhere Sicherheitsstufe bei Wireless-LAN ..........................................................3 W-LAN-Komponenten ...........................................................................................3 WLAN für Home-Offices und KMU.......................................................................3 Funktion des Access-Points.................................................................................3 Funktion der Wireless-LAN-Adapter (Clients) ......................................................4 Funktion externe Antennen ..................................................................................4 Einsatzmodelle.......................................................................................................4 PC und Internetanschluss in separatem Raum ....................................................4 Wireless-LAN für das Heimnetzwerk....................................................................4 Verbund gebäude-/raumübergreifende Netzwerke ..............................................5 Wireless-LAN für Outdoor ....................................................................................5 Einrichtung eines Hotspots ..................................................................................5 Sicherheit ...............................................................................................................6 Sicherheitsfunktionen für Wireless-LAN...............................................................6 Hide-ESSID..........................................................................................................6 MAC-Adressfilter ..................................................................................................6 WEP-Chiffrierung .................................................................................................6 IEEE 802.1x .........................................................................................................6 WPA & 802.1x......................................................................................................6 Block-Intra-BSS-Traffic ........................................................................................7 Standarts ................................................................................................................7 Wireless-LAN-Standards......................................................................................7 11-Mbps-Technologie (802.11b/2,4-GHz-Bereich):..............................................7 54-Mbps-Technologie (802.11g/2,4-GHz-Bereich):..............................................7 Gemischte Umgebungen (802.11b/801.11g kombiniert)......................................7 Nitro-Mode für gemischte WLANs........................................................................8 Seite 1 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Wireless-LAN – Datenübertragung über Funk Mit Wireless-LAN werden Daten zwischen einzelnen PCs und/oder Netzwerken via Funk übermittelt. Beim Internetzugang wird ein Wireless-LAN-Access-Point installiert, an den übrigen Arbeitsplätzen je ein WLAN-ClientAdapter. Ohne teuren Kabelinstallationen ist es so möglich, dass alle Computer drahtlos im Internet surfen. Der MACAdressfilter sowie die WEP-Verschlüsselung schützen das Netzwerk vor ungewollten Zugriffen. Mit der erweiterten Sicherheitsfunktion nach dem Standard IEEE 802.1x müssen sich die Clients mit einem persönlichen Benutzernamen und Passwort beim Access-Point anmelden. Wenn all diese Sicherheitsstufen sorgfältig angewendet werden, kann das Wireless-LAN auf einem recht hohen Sicherheitslevel betrieben werden. Vorteil Funkverbindungen Mehrere PCs können mit Wireless-LAN über Funk verbunden werden, dabei entfallen sämtliche Verkabelungen. So kann man ohne neue Kabel zu verlegen überall WirelessLAN-Geräte einsetzen. Mit dem Einsatz von externen Antennen kann das Funksignal in eine spezifische Richtung verstärkt werden. Reichweite Die Reichweite der Funkverbindung wird von der Umgebung beeinflusst. Abhängig von der Bauart von Wänden wird das Funksignal unterschiedlich stark abgeschwächt. Feldtests haben ergeben, dass es durchaus möglich ist, mehrstöckige Gebäude vom Keller bis in den Dachstock per Funk zu vernetzen. Generell spricht man von Übertragungsdistanzen von 15 bis 40 Metern in Gebäuden und über 270 Metern bei Sichtkontakt. Dank neuster Technologien kann durch die Verkettung von bis zu sechs Access-Points eine flächendeckende Signalabdeckung realisiert werden. Seite 2 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Sicherheit Verdient WLAN punkto Sicherheit seinen schlechten Ruf? Nicht die eigentliche WLANTechnologie ist unsicher! Leider gehen die meisten Anwender sorglos damit um und verzichten auf vorhandene Sicherheitsmechanismen. Dies beginnt bei grundlegenden Einstellungen wie dem Ändern des Standardpassworts beim verwendeten Router. Ist dann die erste Verbindung gelungen, wird vor lauter Freude die Aktivierung der Sicherheitseinstellungen vergessen. • Netzwerke über Funk sind sicher - je besser alle Sicherheitsmechanismen ausgeschöpft werden. • Standardpasswort des Wireless-LAN-Routers umgehend ändern • Verstecken des Access-Point-Namens (hide ESSID) • Einschränken des Zugriffs auf WLAN-Access-Point auf bekannte Adapter. Jedes Gerät für ein Netzwerk (auch WLAN-Adapter) verfügt über eine einmalige MACAdresse und kann so identifiziert werden. Erfassung der Adapter-MAC-Adressen im MAC-Adressfilter. • Aktivierung der WEP-Funktion (Wired-Equivalent-Privacy). Durch das Konfigurieren eines persönlichen Schlüssels auf dem Access-Point und dem Client wird die WEPFunktion aktiviert, und alle Daten werden mit einer 64-bit- oder 128-bit-WEPVerschlüsselung chiffriert. • Nutzung von 802.1x, wobei sich der Client mit einem persönlichen Benutzernamen und Passwort beim Access-Point anmelden kann. Höhere Sicherheitsstufe bei Wireless-LAN Noch höhere Sicherheit bietet der Einsatz von VPN (Virtual-Private-Networks) über das Wireless-LAN. Unabhängig von der Verbindung (drahtlos oder verkabelt) wird der Datenverkehr dabei verschlüsselt. Firmen sollten den Einsatz von VPN in Betracht ziehen, für Private sind die normalen Sicherheitsvorkehrungen meist ausreichend WLAN für Home-Offices und KMU Für die Datenübertragung mit Wireless-LAN / Funk wird ein "WLAN-Access-Point" und ein "WLAN-Adapter (Client) pro PC oder Notebook" benötigt. Für die Verstärkung des Funksignals können externe Antennen eingesetzt werden. Funktion des Access-Points Ein Access-Point ermöglicht, bestehende Netzwerke oder ADSL-Internetanschlüsse wie auch einzelne PCs mit einer Wireless-LAN-Lösung einfach zu erweitern. Es gibt AccessPoints mit integriertem Router (und zum Teil Firewall), die für ein Wireless-LAN mit Seite 3 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck mehreren PCs ausgelegt sind. Ein reiner Access-Point ohne Router ermöglicht, bestehende Netzwerklösungen oder ADSL-Internetanschlüsse einfach zu erweitern. Funktion der Wireless-LAN-Adapter (Clients) Die Wireless-LAN-Adapter werden für den Netzwerkzugriff über einen Access-Point eingesetzt. Ein Access-Point arbeitet unabhängig von einem PC und ist auch bei ausgeschaltetem PC verfügbar. Bei Punkt-zu-Punkt-Verbindungen können PCs mit Wireless-LAN-Adapter von einer Station direkt auf die andere zugreifen. Für WirelessArbeitsstationen gibt es verschiedene Möglichkeiten, wie auf einen Access-Point zugegriffen werden kann: • mit PC-Card für Notebooks • mit USB-Adapter (z. B. USB-Stick) für Desktop- und Notebook-Systeme • mit PCI-Adapter für Einbau in Desktop-Systeme • mit Ethernet-Adapter (alle Geräte mit Ethernet-Schnittstelle). Funktion externe Antennen Die Reichweite des Funksignals hängt stark von der Bauweise und den Mauern eines Gebäudes ab. Oft hilft bei schwachem Funksignal die Verstärkung mit einer externen Antenne. Die externen Antennen unterscheiden sich im wesentlichen durch ihren Sendefokus. Je nach räumlichen Anforderungen erreicht man die beste Funkausleuchtung mit einer Deckenantenne, einer Desktop-Antenne oder einer Richtstrahlantenne. PC und Internetanschluss in separatem Raum Vor allem bei Kabelmodems stellt sich oft das Problem, dass der Kabelanschluss nicht im gleichen Raum wie der PC stationiert ist. Viele Wohnungen sind einzig im Wohnzimmer mit einem Kabelanschluss ausgerüstet. Zwei Lösungen sind möglich: entweder ein Kabel quer durch die Wohnung ziehen, oder den PC via Wireless-LAN oder Powerline (siehe separate Rubrik „Powerline“) anschliessen. Wireless-LAN für das Heimnetzwerk Wireless-LAN ist ideal für das Familiennetzwerk: Der neu gekaufte PC im Kinderzimmer wird durch Wireless-LAN mit den beiden bereits installierten Workstations im Büro und das Notebook im Elternzimmer vernetzt. Die beiden PCs im Büro können auch mit einem Kabel verbunden werden, während dem das Notebook im Schlafzimmer der Eltern und der PC im Kinderzimmer Beispielsweise mit einer PC-Card oder PCI-Karte ausgestattet wird. Somit ist das Surfen im Internet via Nootbook überall in der Wohnung möglich – auf dem Balkon, im Zimmer und am Küchentisch. Seite 4 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Verbund gebäude-/raumübergreifende Netzwerke Mit der (im ZyAIR B-3000) integrierten Bridge-Funktion, ein Teil von WDS (Wireless-Distribution-System) können zwei Netzwerke gebäude- oder raumübergreifend mit WirelessLAN verbunden werden. Es können bis zu sechs AccessPoints miteinander kommunizieren, wodurch die Signalreichweite vergrössert wird. Die im Repeater-Mode arbeitenden ZyAIR B-3000 stellen somit einen WirelessLAN-Verbund dar. WDS wurde von der Firma Intersil als «Quasi-Standard» etabliert und wird in den meisten Wireless-LAN-Produkten verwendet. Wireless-LAN für Outdoor Outdoor-Einsätze bedingen spezielle Anforderungen an Wireless-LANs. Der ZyAIR B5000 ist ein WLAN-Access-Point für Outdoor-WLAN und arbeitet im konzessionsfreien 2,4-GHz-Frequenzband. Somit können entfernte Gebäude mit einer Punkt-zu-Punkt- oder Multipunkt-Verbindung bis zu 10 km auf Sicht erschlossen werden. Der B-5000 eignet sich auch für Internet-Access im Freien, z. B. Gartensitzplätze in Cafés oder an Veranstaltungen, bei denen temporäre Installationen gefragt sind. Einrichtung eines Hotspots Ein Hotspot ist ein Wireless-LAN-Zugangspunkt für die Verbreitung von Internet-Access an öffentlichen Plätzen wie zum Beispiel Cafés, Hotels, Bibliotheken, Bahnhöfe etc. . ZyXEL ermöglicht mit ihrem Hotspot ZyAIR B-4000 den günstigen Internetzugang für Kunden auf "Knopfdruck": Mit integrierter Zugangskontrolle und Ausdruck eines Belegs kann Internet auf einfachste Weise angeboten werden. Der B-4000 vereint einen WLAN-Access-Point mit 4-Port-Switch, NAT und Servicefunktionen im selben Gerät. Ein kompakter Thermoprinter mit Einknopfbedienung ermöglicht dem Personal eine einfache Handhabung. Der B-4000 eignet sich sowohl für den kostenpflichtigen Internetzugang als auch zur kostenlosen Zutrittskontrolle zum Funknetzwerk. Ein kontrollierter Zugang ist somit gewährleistet. Seite 5 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Sicherheitsfunktionen für Wireless-LAN Grenzenlose Mobilität zieht zwangsläufig gewisse Sicherheitsrisiken nach sich. Um sich gegen unerwünschte Zugriffe zu schützen, sollten die in allen ZyXEL WLAN-AccessPoints und -Clients vorhandenen Sicherheitsfunktionen für Wireless-LAN unbedingt konfiguriert und aktiviert werden. Eine 100%-ige Sicherheit lässt sich kaum erreichen. Doch schon durch wenige Massnahmen wird der Aufwand für einen möglichen Angreifer erheblich grösser. Hide-ESSID Damit der Wireless-LAN-Router nicht mit seiner ESSID (Identifikationsname) sichtbar ist, kann diese unterdrückt werden. Als Folge wird auf dem WLAN-Adapter manuell dieselbe ESSID erfasst. Die Standard-ESSID ist zu vermeiden. Weiter soll sie keine Rückschlüsse auf die Firma oder Namen ermöglichen. MAC-Adressfilter Es ist empfehlenswert, den Zugriff zum WLAN auf bestimmte MAC-Adressen einzuschränken. Jeder Netzwerk-Adapter verfügt über eine einmalige MAC-Adresse, anhand derer er identifiziert werden kann. Mit dem MAC-Adressfilter wird ein Zugriff auf den Wireless-LAN-Router über Funk auf bekannte Adapter eingeschränkt. Das Vortäuschen einer falschen MAC-Adresse ist möglich, doch sehr zeitaufwändig. Vorgängig muss eine gültige Adresse ausfindig gemacht werden. WEP-Chiffrierung Durch Verschlüsselungsmassnahmen wie WEP (Wired-Equivalent-Privacy) wird das Belauschen des Datentransfers erschwert. Es kann zwischen einer 64- oder 128-BitVerschlüsselung gewählt werden. IEEE 802.1x Der bereits integrierte Sicherheitsstandard 802.1x ermöglicht, dass sich die Clients mit einem persönlichen Benutzernamen und Passwort beim jeweiligen Access-Point anmelden können. Benutzername und Passwort werden entweder auf dem Access-Point ADSL-Router selbst oder auf einem Radius-Server hinterlegt. WPA & 802.1x WPA (Wi-Fi-Protected-Access) ist eine Interessensgemeinschaft von Herstellern, die das Ziel verfolgt, das WLAN sicherer zu machen. WPA besteht aus einer kompletten Sicherheitslösung kombiniert mit «Advanced-TKIP*-Encryption» (Temporal-Key-IntegrityProtocol) und der leistungsstarken IEEE 802.1x-Benutzer-Authentifizierung. Es soll das heutige Wired-Equivalent-Privacy-Konzept (WEP) ersetzen. Der Schlüssel ändert sich temporär, und zwar immer dann, wenn ein Datenpaket von 10 KB übertragen wurde. Da der Schlüssel periodisch wechselt, hat ein Angreifer wegen der geringen Datenmenge kaum eine Chance, den Schlüssel zu berechnen. Seite 6 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Block-Intra-BSS-Traffic Block-Intra-BSS-Traffic ermöglicht, dass die einzelnen Teilnehmer sich im selben Netzwerk nicht sehen können (VLAN). Diese Funktion steigert gerade für Hotspots die Sicherheit enorm. Wireless-LAN-Standards 1997 wurden die ersten IEEE-Standards für Wireless-LAN vorgestellt. Der Standard 802.11 ermöglichte eine Datenübertragung per Funk von bis zu 2 Mbps. Dank neuen Übertragungsverfahren konnte 1999 der IEEE 802.11b-Standard verabschiedet werden und öffnete Funk-LANs einen breiten Markt. Der Funkstandard IEEE 802.11b arbeitet im lizenzfreien 2,4-GHz-Frequenzbereich und erreicht Datenraten bis zu 11 Mbps. 11-Mbps-Technologie (802.11b/2,4-GHz-Bereich): Die 11-Mbps-Technologie eignet sich für die Internetverbreitung im Privaten oder für Kleinfirmen und ist sogar bei einem schnellen Internetanschluss von bis zu 2 Mbps absolut ausreichend. Dieser weit verbreitete, kostengünstige Standard ist nach wie vor eine ideale und kostengünstige Lösung für viele Anwendungen (Internet, gelegentliche FileTransfers). 54-Mbps-Technologie (802.11g/2,4-GHz-Bereich): Die vollen Vorzüge der 54-Mbps-Technologie schöpft man vor allem bei einer hohen Anzahl Benutzer im gleichen WLAN sowie bei hohem Datenverkehr aus. In grossflächigen Büroräumen können mehrere Access-Points im selben Netzwerk installiert werden. Innerhalb der abgedeckten Funkausleuchtung bewegt man sich bequem von einem ins andere Büro. Dank der Roaming-Funktion übernimmt die nächste Funkzelle die Übertragung. Der neu verabschiedete 802.11g-Standard ist zu 802.11b abwärtskompatibel. Gemischte Umgebungen (802.11b/801.11g kombiniert) Technisch bedingt entsteht in gemischter Client-Umgebung (802.11g und 802.11b) bei allen WLAN-Access-Point-Herstellern ein unangenehmer Nebeneffekt: Die gesamte Performance aller Clients wird auf den Level der 11-Mbps-Technologie (802.11b) reduziert. Leider kann dies auch der Fall sein, wenn benachbarte Signale von 802.11bNetzen (ungewollt) empfangen werden. Z. B. in dichten Ballungsgebieten oder in der Nähe von Hotspot-Installationen. Dank der neuen Funktion «G-only» kann der Access-Point auf das 802.11g-Netz fixiert werden, und B-Netze stören die Performance nicht. Seite 7 ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck Nitro-Mode für gemischte WLANs In gemischten WLANs, die aus 802.11g- und 802.11b-Komponenten bestehen, sowie in reinen 802.11g-Netzwerken werden die Datendurchsätze durch die PRISM NitroTechnologie von Intersil optimiert. Die in den ZyAIR G-1000 und G-100 integrierte PRISM Nitro-Technik ermöglicht eine bis zu 3-fache Durchsatzsteigerung von 802.11g-Adaptern in gemischten Wireless-Netzen (b+g) und bis zu 50% mehr Durchsatz in reinen 802.11gNetzwerken. Die PRISM Nitro-Technologie ist vollumfänglich kompatibel zu IEEE 802.11 und erreicht mit Prioritätsbildungs-Algorithmen sowie verbesserten Schutzmechanismen eine bedeutende Steigerung der Netzwerkleistung. Diese Funktion wird unter ZyXEL GProdukten gewährt. Text von: Seite 8