Wlan Standards und Verschlüsselung
Zur Navigation springen
Zur Suche springen
Topologien
Ad-hoc-Netzwerke
- In einem Ad-hoc-Netzwerk verbinden sich 2 oder auch mehr Rechner über eine Drahtlose Verbindung und tauschen Daten direkt miteinander aus.
Infrastruktur Netzwerke
- In diesen WLANs wird ein zentraler WLAN-Access Point eingesetzt, mit dem die einzelnen Rechner über eine drahtlose Verbindung kommunizieren. Der Access Point definiert anhand einer SSID (Service Set ID, vergleichbar mit einer Netzwerkkennung) ein Drahtlosnetzwerk und kontrolliert den Datenverkehr. Solche Netzwerke sind oft über den Access Point in das kabelgebundene Netzwerk der Firma integriert.
WLAN Standards und Frequenzen
| IEEE-Standard | Max. Übertragungsrate (brutto) | Frequenzbereich |
|---|---|---|
| 802.11a | 54 Mb/s | 5,725 - 5,825 GHz |
| 802.11b | 11 Mb/s | 2,400 - 2,4835 GHz |
| 802.11g | 54 Mb/s | 2,400 - 2,4835 GHz |
| 802.11h | 54 Mb/s | 5,725 - 5,825 GHz |
| 802.11n | (540 Mb/s) | 2,400 - 2,4835 GHz |
802.11 Standard und das ISO/OSI-Modell
- Um alle gängingen Netzwerk-Protokolle auch in einem WLAN nutzen zu können, ist der IEEE 802.11-Standard in den untersten beiden Schichten des ISO-OSI-Modells implementiert.
- In darüber liegenden Schichten implementierte Protokolle sollten nicht mehr merken, dass sie in einem WLAN arbeiten. Folglich müssen auch die Sicherheitsvorkehrungen bereits im Data Link Layer (ISO-Schicht 2) implementiert sein. Dies geschieht im sogenannten Medium Access Control Layer (MAC).
- Im MAC-Frame wird zunächst der Typ der zu übertragenden Daten angegeben. Es wird zwischen Manangement-, Control- und Data-Frames unterschieden. Es folgen Informationen über Richtung, Wiederholung und Reihenfolge der Daten, sowie ob weitere Daten folgen.
- In welchem Adressfeld welche Addresse (Basic Service Set Identification, kurz: BSSID, Destination, Source, Reciever und Transmitter) steht, hängt von der Senderichtung ab.
- Im zweiten Frame-Control-Byte wird mittels WEP-Bits angegeben, ob der Frame Body mittels Wired Equivalent Privacy (WEP) verschlüsselt ist. Wie der Name schon sagt, soll WEP innerhalb des WLAN-Protokolls dafür sorgen, dass im Funknetz die gleiche Sicherheit wie in Kabelnetzen erreicht wird.
Verschlüsselung
WLAN Begriffe
SSID
- Die Service-Set-ID ist die Bezeichnung eines Funknetzwerks und wird benötigt, um mithilfe eines Verbindungsgerätes, beispielsweise einer WLAN-Karte, eine Verbindung zu eben diesem Netzwerk aufbauen zu können. Aus Sicherheitsgründen ist es allerdings möglich, einzustellen, dass das SSID nicht permanent ausgesendet wird.
Beacons
- In einem WLAN sendet ein Router oder ein Accesspoint in regelmäßigen Abständen ein kleines Datenpaket mit der Bezeichnung Beacon. Es handelt sich bei diesem Paket um eine Art Statusmeldung, die Informationen über den Netzwerknamen (Service Set Identifier; SSID), mögliche Übertragungsraten und die Art der verwendeten Verschlüsselung enthält. Clients ermöglicht das Beacon den einfachen Verbindungsaufbau mit dem WLAN-Accesspoint. Sie benötigen lediglich noch einige Zusatzinformationen wie das Passwort. Auch die Empfangsqualität eines WLANs lässt sich mit Hilfe des Beacons überwachen.
WPA-Supplicant
- (englisch supplicant: Bittsteller) ist eine Software für Linux, BSD, AROS und Windows, welche die im WPA-Standard definierte Rolle des Supplicanten wahrnimmt.Bei WPA werden die zur Verschlüsselung verwendeten Schlüssel regelmäßig automatisch ausgetauscht. WPA verwendet Schlüssel im alten WEP-Format, die durch das regelmäßige automatische Austauschen sicher gemacht werden. WEP-Schlüssel sind knackbar, sobald eine Mindestmenge darüber ausgetauschter Daten mitgehört wurde, der regelmäßige Schlüsseltausch sorgt dafür, dass die Schlüssel vor dem Erreichen dieser Datenmenge durch neue ersetzt werden. Der Supplicant ist für den Client-Teil des Schlüsselaustausches zuständig. Der Wireless Access Point verlangt in regelmäßigen Abständen vom Supplicanten, dass dieser sich authentisiert. Gelingt dies dem Supplicanten, so erhält er vom Access Point einen neuen Schlüssel, der von nun an für die Datenübertragung mit dem Access-Point zu verwenden ist – bis der Access Point den Schlüssel mit Hilfe des Supplicanten erneut austauscht. Der Supplicant rekonfiguriert also regelmäßig den Schlüssel einer WLAN-Karte über deren Gerätetreiber.
Zugriffskontrolle
ACL mit MAC
- Die in Infrastrukturnetzen eingesetzen Access Points können eine Zugangskontrolle auf Basis der Hardware-Adressen gewährleisten, da jede Kommunikation über den Access Point stattfindet. Diese Kontrolle wird mittels einfacher Access-Control-Listen (ACLs) durchgeführt. Die ACLs enthalten registrierte MAC-Addressen der WLAN-Clients, die entweder zur Kommunikation zugelassen oder verweigert werden können. Die ACLs mit den MAC-Addressen sind auf jedem Access Point vorhanden. Sie werden entweder fest im internen Speicher des Access Points abgelegt oder per RADIUS-Protokoll (Remote Authentication Dial-In User Service) nach Bedarf von einem zentralen Server abgefragt. Die zentrale Ablage erleichtert dabei vor allem das Management in einem großen Netzwerk mit vielen Teilnehmern. Das Verfahren wird allgemein auch als "MAC-Filterung" bezeichnet.
Closed Network
- Eine weitere wichtige Funktion in WLANs trägt der Netzwerkname, der in technischen Dokumentationen auch als ESSID (Extendet Service Set Identifier) bezeichnet wird. Bei der Trennung der Netzwerke durch die ESS-ID muss an jeder Client-Station zur Auswahl des Netzwerkes der passende Netzwerkname eingetragen werden. Zusätzlich besteht die Möglichkeit die ESS-ID auf "ANY" einzustellen, um sich in beliebigen WLANs in der Nähe anmelden zu können.
- Viele WLAN-Adapter bieten ergänzend die Möglichkeit einer Scan-Funktion, mit der sich eine Liste aller WLAN-Netzwerke in Reichweite ermitteln lässt.
- Bei eingeschalteter "Closed Network"-Funktion sind Scan-Funktion und ANY-Anmeldung der WLAN-Clients nicht möglich. Solche Netze sind für alle Clients "unsichtbar". Nur wenn der Netzwerkname explizit bekannt ist, kann eine Assoziation mit der Basis-Station, die im "Closed Network"-Modus betrieben wird, erfolgen. Die "Closed Network"-Funktion ist in den meisten Access Points integriert.
IEEE 802.1X/EAP
- Durch den 802.1x Standard wird das WLAN um die "Port Based Networkl Access Control"-Funktion erweitert, die eine Authentifizierungsmöglichkeit für Benutzer und Stationen darstellt. Die Auswahl des Authentifizierungs-mechanismus zwischen Client und Station übernimmt dabei das Extensible Authentication Protocol (EAP).
- Eine IEEE 802.1x-Anmeldung läuft immer gleich ab, wobei der PC-Treiber der Karte den 802.1x-Standard unterstützen und eine Client-Software zur Konfiguration vorhanden sein muss. Der "Supplicant" ist im allgemeinen ein Client-PC, Notebook oder PDA mit Netzwerkadapter und der "Authenticator" das Gegenstück (im WLAN der Access Point).
- Supplicant und Authenticator tauschen per EAP-over-LAN die Authentifizierungsdaten aus. Die tatsächlich Überprüfung der Benutzerdaten vom Supplicant geschieht allerdings durch einen Authentication-Server, wobei der Authenticator per RADIUS-Protokoll mit dem Server kommuniziert. Daher muss auch der RADIUS-Server die EAP-Erweiterungen unterstützen.
- Das Rahmenwerk zur Authentifizierung stellen also EAP und IEEE 802.1x dar. Sie wird auch WPA2-Enterprise genannt. Die Art der Bestimmung von Benutzeridentität und Station legt auch die EAP-Methode fest.
EAP-Authentifizierungsmethoden:
| EAP-Methode | Supplicant | Authenticator | Authentication Server |
|---|---|---|---|
| EAP-TLS | Zertifikat | Zertifikat | Schnittstelle zur Certification Authority (CA) |
| EAP-TTLS | Passwort | Zertifikat | Schnittstelle zur Certification Authority (CA) bw. Benutzerdatenbank |
| EAP-MD5 | Passwort | - | Benutzerdatenbank |
- Der wesentliche Gewinn für die Sicherheit in WLANs durch IEEE 802.1x entsteht durch die Kombination des Authentifizierungsverfahrens mit der WEP-Verschlüsselung. Denn nachdem Client und Netzwerk gegenseitig ihre Echtheit überprüft haben, ist es möglich, den WEP-Schlüssel automatisch zu generieren oder vom Authentication-Server zuweisen zu lassen. Auch ein regelmäßiger Schlüsselwechsel (Key-Roll-Over, Re-Keying) und eine Re-Authentifizierung nach einer festgelegten Zeit sind möglich.
Open User Authentication (OUA)
- Open User Authentication bedeutet, dass sich der Benutzer vor dem Zugriff auf internetbasierende Dienste zunächst seinen Internet-Browser starten und sich per Benutzername und Kennwort anmelden muss. Im Hintergrund prüft der OUA-Gateway (WLAN Access Point oder Router) die Gültigkeit per RADIUS an einem zentralen Benutzerserver und übermittelt die Abrechnungsinformationen für die Online-Sitzung.
Traffic Lock
- Auch in einem WLAN können Client-Rechner (ohne den Weg über den Access Point) direkt untereinander kommunizieren. In einigen Anwendungen ist dies aus Sicherheitsgründen jedoch nicht erwünscht.
- An Public Spots (Zugangspunkt für ein öffentliches oder halböffentliches WLAN) können zwar alle mobilen Benutzer auf Internet-Dienste zugreifen, untereinander sollen die Teilnehmer jedoch getrennt sein, um Missbrauch zu vermeiden.
- Die Trennung von Stationen auf dem Link-Layer (OSI-Ebene 2) erledigt die Traffic Lock-Funktion in den Access Points. Die Benutzertrennung gild dabei nicht nur für Stationen, die an einem Access Point angemeldet sind, sondern für alle, die sich in einem WLAN (Extendet Service Set) bewegen.
- Die Trennung der an den Access Points angemeldeten Benutzer wird mit IAPP (Inter Access Point Protokoll) erreicht. Hierüber tauschen die Access Points den Anmeldezustand der Clients untereinander auch aus, wenn Clients zwischen verschiedenen Funkzellen wechseln (Roaming).