WLAN
Ein WLAN Netzwerk ermöglicht, uns Hosts miteinander kommunizieren zu lassen, ohne sie untereinander mit einem Kabel zu verbinden.
WLAN
Ein WLAN Netzwerk ermöglicht, uns Hosts miteinander kommunizieren zu lassen, ohne sie untereinander mit einem Kabel zu verbinden. Als Medium dienen uns Funkwellen welche auf verschiedene Arten empfangen und gesendet werden können.
Inhalt:
- Typen von funkbasierten Netzwerken
- Standards von WLAN
- Geräte im WLAN
- Topologien
- Aufbau Datenpakete
- CSMA/CA
- Verbinden mit einem WLAN
- Sicherheit
Typen von funkbasierten Netzwerken
WPAN - Wireless Personal Area Network
Ein WPAN bzw. Wireless Personal Area Network wird für die Verbindung verschiedener Hosts untereinander per Funk genutzt. Dies erfolgt innerhalb einer geringen Reichweite unter 10 Metern und wird durch die Hosts selber aufgebaut als auch "gemanaged". Sie arbeiten nach dem Standard 802.15 und nutzen das 2.4 GHz Band. Beispiele für WPAN wären Bluetooth oder ZigBee.
WLAN - Wireless Local Area Network
Ein WLAN funktioniert von einem zentralen Gerät aus gesteuert im Grunde wie ein WPAN. Nur wird die Kommunikation der Hosts von einer zentralen Komponente im Heim- oder kleineren Unternehmensbereich gesteuert. Ein WLAN erreicht deshalb eine höhere Reichweite und kann sowohl im 2,4 GHz als auch im 5 GHz Bereich funktionieren. Der passende Standard heißt 802.11 und wird in verschiedene Standards mit Buchstaben unterteilt.
WMAN - Wireless Metropolitan Area Network
Im städtischen Bereich sind große kabellose Netzwerke, als WMAN betitel. WMAN arbeiten nicht im herkömmlichen Bereich von WLAN und stellen eine komplexe Form im Aufbau dar.
WWAN - Wireless Wide-Area Networks (WWAN's)
Hier gilt dasselbe wie bei einem herkömmlichen Wide-Area Network. Nur das hier zum Großteil kabellose Verbindungen vorherrschend sind. So kann mit einem WWAN eine sehr große Distanz überwunden werden. Hierfür werden Satelliten in der Erdumlaufbahn genutzt.
Standards von WLAN
Im Bereich des, WLAN treffen wir auf viele verschiedene Bezeichnungen mit Buchstaben hinter dem durch die IEEE herausgegebenen Standard 802.11. Was dahinter steckt, ist eigentlich einfach:
Jeder Buchstabe spezifiziert wie die Komponenten kommunizieren und wie sie zum Teil aufgebaut sein müssen, um der Kommunikation gerecht zu werden. Im normalen WLAN Zuhause oder im kleineren Unternehmensbereich findet man folgende Standards:
| Standard | Frequenz | Spezifikation |
| 802.11 | 2,4 GHz |
|
| 802.11a | 5 GHz |
|
| 802.11b | 2,4 GHz |
|
| 802.11g | 2,4 GHz |
|
| 802.11n | 2,4 GHz & 5 GHz |
|
| 802.11ac | 5 GHz |
|
| 802.11ax |
2,4 GHz & 5 GHz |
|
Geräte im WLAN
Im WLAN findet man viele Geräte, welche uns den Zugriff ermöglichen.
Netzwerkkarte mit WLAN
Diese Zugriffsmethode finden wir bei Hosts, welche WLAN fähig sind. Sie kann entweder in Form eingebauter Komponenten im Laptop oder auch im Handy auftreten. Bei Geräten ohne werksseitige WLAN Konnektivität bietet sich die Nutzung einer Erweiterungskarte in Form einer PCIe-Karte oder eines USB-Sticks an. Mit den Netzwerkkarten kann dann entweder im WLAN oder sogar oft im Rahmen eines WPAN kommuniziert werden.
WLAN-"Router"
Er ist in den meisten Haushalten oder kleinen Firmen zu finden und bündelt die Kommunikation in einem WLAN. Die Bezeichnung Router ist hier umgangssprachlich etabliert, da hier verschiedene Geräte in einem gebündelt sind. So besteht ein "Router" zuhause aus Access Point, Switch und Gateway bzw. Router und bündelt so viele Geräte in einem. Daher ist der Begriff sehr schwammig definiert. Sie stellt aufgrund ihres Aufbaus eine Verbindung zwischen Internet, kabelgebundenen- und funkgebundenen Geräten her.
Access Point
Ein Access Point ist im Grunde genommen ein Zugriffspunkt, der es funkgebundenen Geräten ermöglicht, auf ein Netzwerk zuzugreifen. So nutzt man AP (Kurzform für Access Point) um einen gewissen Bereich mit einem WLAN zu versorgen. Ein Meetingraum wird meist mit einem AP ausgestattet, damit Besucher nicht ständig Netzwerkkabel in ihre Laptops stecken müssen. Ihnen wird so der Zugang per WLAN auf das LAN und/oder weitere Netzwerke ermöglicht. Sie können autonom oder Controller basiert verwaltet werden.
WLAN-Controller
WLAN-Controller verwalten mehrere AP und bieten damit für mittlere und größere Unternehmen eine Möglichkeit, nicht jeden AP einzeln zu konfigurieren. Durch diese Zentralisierung werden Kosten enorm gesenkt. Heutige Systeme können z. B. 64000 Hosts mit 6000 AP verwalten.
Antennen
Antennen können in verschiedenen Varianten mit ihren eigenen Charakteristiken verwendet werden. So unterscheiden sie sich alle in ihrer Empfangs- und Senderichtung.
Omnidirektionale Antenne
Sie werden im WLAN am häufigsten eingesetzt. Der Grund ist die 360° Empfangs- und Senderichtung, durch welche sie sich perfekt einsetzen lässt. Der Nachteil ist die geringe Reichweite im Vergleich zu direktionalen Antennen.
Direktionale Antennen
Sie werden dort eingesetzt, wo ein WLAN Signal zum Großteil in eine Richtung strahlen soll. Der Vorteil dabei ist die höhere Reichweite aufgrund der Bündelung Bezug nehmend auf die Sendeleistung.
MIMO Antennen
Der Name ist eine Abkürzung für Multiple Input Multiple Output und beschreibt einen Standard in dem mehrere Antennen empfangen, während mehrere Antennen senden. Dadurch sind höhere Empfangs- und Senderaten möglich. Innerhalb der 802.11n/ac/ax Standards trifft man auf MIMO.
Topologien
Ein WLAN kann nach 802.11 Standard verschiedene Topologien, also Ausbauvarianten, annehmen. Zwei dieser Topologien sind spezifiziert und eine wird mit dazu gezählt.
Ad-hoc
Der Ad-hoc Aufbau spezifiziert die Kommunikation zwischen zwei Hosts (Peers). Man spricht auch von einer Peer-to-Peer Verbindung bei der, zwei Hosts die Verbindung aushandeln und durchführen. Sie sind dann von jeglichen anderen Strukturen losgelöst und haben keine weiteren Verbindungen. Es wird auch von einem idependend basic service set (IBSS) gesprochen.
Infrastructure Mode
Der "Infrastructur Mode" bezeichnet den Aufbau mit mehreren Netzwerkkomponenten. Ihr zugrunde liegt mindestens eine Zentrale Komponenten wie ein Access-Point oder ein WLAN fähiger "Router". Ab diesen Komponenten findet man dann eine kabelgebundene Infrastruktur vor.
Der "Infrastructure Mode" gliedert sich in zwei Arten auf. So kann er als BSS oder ESS beschaffen sein.
BSS
Der Begriff BSS ist eine Abkürzung für Basic Service Set und besteht aus einem einzelnen Access-Point welcher nicht mit anderen verknüpft ist. Verlässt ein Gerät den Bereich des Basic Service Area (BSA), also dem Funkbereich des AP, kann es nicht mehr innerhalb eines anderen BSA mit den Geräten aus dem vorherigen kommunizieren. Man könnte also von Insellösungen sprechen. Jeder AP identifiziert sich durch seine "eindeutige" Layer-2 MAC-Adresse über den sogenannten BSSID (Basic Service Set Identifier).
ESS
Während der BSS die einzelnen BSA nicht verknüpft, bietet das ESS (Extended Service Set) eine kabelgebundene Verbindung von mindestens zwei BSS und somit die Möglichkeit, dass Geräte aus einer BSA mit einer anderen kommunizieren können. Das gesamte Einzugsgebiet eines ESS wird ESA (Extended Service Area) genannt. Es kann, sofern keine Access-Control-List oder eine Firewall die Kommunikation einschränkt, jeder Host mit jedem anderen Host im Netzwerk kommunizieren, egal ob kabelgebunden oder nicht.
Tethering
Eine nicht "direkt spezifizierte" Variante ist das Tethering. Es ist eine Abwandlung des Ad-hoc Netzwerkes und ermöglicht auf Grundlage eines Hotspots einem anderen Gerät den Zugang zum Internet, in dem ein eigenes WLAN ausgestrahlt wird. Meistens erfolgt dies durch ein Smartphone, welches ein WLAN Netzwerk ausstrahlt und seine mobile Datenverbindung somit freigibt.
Aufbau Datenpakete
Der WLAN-Frame nach 802.11 ist ähnlich aufgebaut wie ein normaler Layer-2 Ethernet Frame. So gliedert auch er sich in grundlegende 3 Teile. Der Header enthält alle relevanten Informationen für den Transport des Datenpakets, während im Payload Teil die eigentlichen Daten sind. Auch hier findet die Frame Check Sequence (FCS) ihren Platz, um zu verhindern, das das Datenpaket fragmentiert wurde. Besonders ist der Header, in dem der Aufbau etwas anders ist.
Frame Control identifiziert den Typen des Pakets und seine Eigenschaften. Das Duration Feld gibt an, innerhalb welcher Zeit das nächste Paket gesendet wird. Das 1. der 3 Address Felder gibt die MAC-Adresse des Empfänger AP oder Host an während im 2. Address Feld die MAC-Adresse des Senders zu finden ist. Es ist möglich das im 3. Address Feld die MAC-Adresse des Interfaces vom Router, an dem der AP angeschlossen ist, steht. Mit dem Sequence Control Feld ist es dem Sender möglich, Informationen mitzuteilen wie die Sequenzierung oder der Umgang mit fragmentierten Paketen gehandhabt wird. Das 4. Address Feld dient der Kommunikation im Ad-hoc Modus.
CSMA/CA
Da Funk innerhalb des selben Bands ein geteiltes Medium ist, können nicht alle gleichzeitig senden. Es würde in einem endlosen Chaos enden in dem keine Nachricht nicht fragmentiert und leserlich bei seinem Empfänger ankommt. Mit CSMA/CA ist es möglich, dieser Problematik etwas aus dem wegzugehen. Die Abkürzung steht für "carrier sense multiple access with collision avoidance" und ist eine Methode, um Kollisionen zu erkennen und zu vermeiden. Folgend die Funktionsweise wenn ein Host versucht, über das WLAN zu senden:
- Der Host horcht auf dem Medium (Funk) ob eine Kommunikation stattfindet. Man spricht auch vom Status "idle".
- Es wird nun eine "ready to send message" (RTS) an den AP gesendet.
- Der AP sendet eine "clear to send message" (CTS) sofern keine Kommunikation stattfindet. Empfängt der Host den CTS nicht, wartet er eine zufällige Zeit und sendet erneut eine RTS an den AP.
- Der Host sendet seine Daten und wartet auf eine Bestätigung der Übertragung. Wird keine Bestätigung empfangen, startet der Host die Übertragung erneut, da er von einer Kollision ausgeht.
Verbinden mit einem WLAN
Um sich mit einem WLAN zu verbinden, sind lediglich 3 Schritte nötig. Vorausgesetzt es sind alle Voraussetzungen dafür gegeben. Zu diesen gehört die SSID (Name), das Passwort, die Kompatibilität und die Kanaleinstellungen. Sind hier Übereinstimmungen gegeben, kann eine Verbindung aufgebaut werden. Die 3 Schritte sind wie folgt:
1. Discover
Finden des AP anhand seiner SSID. Es kann nur eine Verbindung mit einem in der Nähe bzw. in Empfangsreichweite befindlichen AP hergestellt werden. Es können auch mehrere AP dieselbe SSID besitzen, um den Zugriff zu vereinfachen.
Man unterscheidet beim "discovering", aus Sicht des AP, zwischen dem passiven und aktiven Modus.
passiver Modus
Beim passiven Modus strahlt der AP seine SSID und alle für die Verbindung relevanten Angaben, bis auf das Passwort, periodisch als Broadcast aus. So ist es Host möglich die möglichen Verbindungen einfacher zu erkennen. Dieser Modus wird meistens Zuhause oder in freien öffentlichen Netzwerken eingesetzt.
aktiver Modus
Im aktiven Modus muss der Host vor dem Verbindungsaufbau bereits die SSID kennen. Sendet er einen Broadcast mit einer passenden SSID, erhält er vom betreffenden AP alle relevanten Informationen. So entscheidet der AP auch, ob anhand der vom Host gesendeten Informationen eine Verbindung überhaupt möglich ist.
2. Authenticate
Die Authentifizierung über das Passwort und den passenden Sicherheitsmodus. Nach der Authentifizierung kann die Verbindung hergestellt werden.
3. Associate
Jetzt werden die restlichen Parameter ausgehandelt und der Kommunikation steht nichts mehr im Weg.
Sicherheit
Ihr wollt euer WLAN sicher machen? Mit wenigen Features kann ein WLAN relativ sicher werden, doch auch hier gibt es Grenzen. Legen wir genug Fallstricke, ist es sehr schwer, einen Angriff überhaupt durchzuführen.
Verstecken der SSID
Wie weiter oben unter passiver- und aktiver Modus erklärt wurde, senden AP im passiven Modus ihre SSID als Broadcast aus. Dies vereinfacht zwar den Verbindungsaufbau, stellt jedoch eine für die Sicherheit negative Situation her. Es ist daher besser, den SSID Broadcast zu deaktivieren.
Authentication / Authentifizierung
In nicht offenen WLAN werden sogenannte Pre-Shared-Keys (PSK) genutzt um den Zugang zum Netzwerk zu restriktieren und Pakete zu verschlüsseln. Es muss aber nicht immer ein PSK genutzt werden, denn im Enterprise-Bereich (Unternehmensbereich) nutzt man den Remote Authentication Dial-In Service (RADIUS). Er ist für die Authentifizierung des Gerätes, welches sich in das WLAN einwählen möchte, zuständig. Der User/die Software muss dann via Extensible Authentication Protocol (EAP) seine Anmeldung am WLAN durchführen. Der RADIUS findet sich jedoch nur bei der WPA2 Methode wieder. Neben dieser gibt es auch noch andere Methoden:
| Methode | Beschreibung |
| WEP (Wired Equivalent Privacy) | Die mittlerweile unsicherste Methode um seine Daten zu schützen bietet WEP. Sie nutzt die "Rivest Cipher 4" (RC4)Verschlüsselung und ist in der 802.11 spezifiziert. Auf Grund ihres Alters ist sie schlicht weg heute nicht mehr zu empfehlen. Die Schlüssel sind dauerhaft statisch und verändern sich nicht. |
| WPA (Wi-Fi Protected Access) | WPA greift auf WEP als Methode zurück. Verbessert diese jedoch um einen Verschlüsselungsalgorithmus namens TKIP. Beim "Temporal Key Integrity Protocol" wechselt bei jedem Paket den Schlüssel und ist daher sehr viel schwerer zu knacken. |
| WPA2 (Wi-Fi Protected Access 2) | Die Methode mit der bisher größten Sicherheit nutzt AES (Advanced Encryption Standard) als Verschlüsselung und gilt daher noch als Industriestandard. Bietet zusätzlich die Möglichkeit einer RADIUS-Server Implementierung wie oben beschrieben. |
| WPA3 (Wi-Fi Protected Access 3) | In Zukunft werden wir als Standardmethode WPA3 nutzen. Diese nutzt zusätzlich sogenannte "Protected Management Frames" (PMF). Es sind dann auch nur die aktuellsten Verschlüsselungen zugelassen. Doch dies ist noch Zukunftsmusik. |
MAC-Adressen Filter
Um zu verhindern, dass unerwünschte Hosts in das Netzwerk eindringen, kann ein MAC-Adressen-Filter implementiert werden. Dieser lässt nur Geräte zu oder weist sie ab, wenn sie hinterlegt wurden.
