Technik

Funk-LANs bzw. Wireless-LANs (WLANs), basierend auf dem 1997 vom Institute of Electrical and Electronics Engineers (IEEE) definierten Standard IEEE 802.11, bieten die Möglichkeit, mit geringem Aufwand drahtlose lokale Netzwerke aufzubauen oder bestehende drahtgebundene Netzwerke zu erweitern.

Aufgrund der einfachen Installation werden Funk-LANs auch für temporär zu installierende Netze (z. B. auf Messen) verwendet. Darüber hinaus besteht die Möglichkeit, an öffentlichen Plätzen wie Flughäfen oder Bahnhöfen Netzwerkzugänge, so genannte Hot Spots anzubieten, um den mobilen Benutzern Verbindungen in das Internet oder in ihr Home-Office zu ermöglichen. Bereits seit Mitte 2001 sind Sicherheitslücken im Standard bekannt, die zu großen Sicherheitsproblemen führen können. Eine genaue Planung und Absicherung eines Funk-LANs ist deshalb schon im Vorfeld enorm wichtig und es sollte gut überlegt werden, in welchen Bereichen das WLAN empfangen werden und wer dort "mithören" kann.

Die Mehrzahl der derzeit am Markt verfügbaren Funk-LAN-Systeme basieren auf der 1999 vom IEEE verabschiedeten Erweiterung 802.11b des Standards 802.11. Die Hersteller-Vereinigung WiFi-Alliance (vormals WECA) dokumentiert die Kompatibilität zum Standard 802.11b durch die Vergabe des WiFi-Zertifikats. Seit Anfang 2003 sind auch Frequenzen im 5-GHz-Bereich freigegeben, womit auch Systeme der Standards 802.11a bzw. 802.11h zum Einsatz kommen können. Auch der Standard IEEE 802.11g ist bereits verabschiedet worden – dieser erlaubt Breitbandverbindungen im 2,4-GHz-Bereich.

Funk-LANs können in zwei verschiedenen Architekturen betrieben werden:

Im Ad-hoc-Modus kommunizieren zwei oder mehr mobile Endgeräte, die mit einer Funk-LAN-Karte ausgestattet sind (Clients), direkt miteinander.

In den meisten Fällen wird ein Funk-LAN im Infrastruktur-Modus betrieben, d. h. die Kommunikation der Clients erfolgt über eine zentrale Funkbrücke, den sog. Access-Point. Über den Access-Point erfolgt auch die Verbindung in kabelgebundene LAN-Segmente (siehe Abbildung unten).

Der Infrastruktur-Modus lässt mehrere Einsatzvarianten zu:

  • Mittels mehrerer Access-Points können überlappende Funkzellen installiert werden, sodass beim Übergang eines Clients in die nächste Funkzelle die Funkverbindung aufrecht erhalten werden kann ("Roaming"). Auf diese Weise können große Bereiche flächendeckend versorgt werden. Die Reichweite einer Funkzelle ist extrem abhängig von den Umgebungsbedingungen und liegt im Bereich von ca. 10 - 150 Meter.
  • Zwei Access-Points können auch als Brücke (Bridge) zwischen zwei leitungsgebunden LANs eingesetzt werden. Ebenso ist der Einsatz eines Access-Points als Relaisstation (Repeater) zur Erhöhung der Reichweite möglich.
  • Bei der Verwendung entsprechender Komponenten (Richtantennen) an den Access-Points kann ein Funk-LAN auch zur Vernetzung von Liegenschaften eingesetzt werden.

Hier können lt. Herstellerangaben Reichweiten im Kilometerbereich erreicht werden (mit entsprechenden Richtfunkantennen). Die Access-Points können dabei als Relaisstation oder Brücke betrieben werden. Der Standard verwendet die Bezeichnungen Independent Basic Service Set (IBSS) für Funk-Netzwerke im Ad-hoc-Modus und Basic Service Set (BSS) für Konstellationen im Infrastruktur-Modus mit einem Access-Point. Mehrere gekoppelte BSS werden als Extended Service Set (ESS) bezeichnet, das koppelnde Netzwerk wird Distribution System (DS) genannt.

Die in fast allen Staaten Europas zugelassenen Funk-LAN-Systeme nach 802.11 und 802.11b nutzen das ISM-Frequenzband (Industrial-Scientific-Medical) zwischen 2,4 und 2,48 GHz, welches gebührenfrei und ohne zusätzliche Genehmigung verwendet werden kann. Die Sendeleistung ist auf maximal 100 mW EIRP (Effective Isotropic Radiated Power) begrenzt. Systeme des Standards 802.11 übertragen die Daten mit einer Rate von 1 bzw. 2 Mbit/s mittels Bandspreizverfahren, entweder mittels Frequenzsprung- (FHSS) oder Direct-Sequence-Verfahren (DSSS). Der Vollständigkeit halber sei erwähnt, dass 802.11 auch eine Infrarot-Übertragung definiert, die bisher aber in der Praxis bedeutungslos geblieben ist.

Im 2,4-GHz-Frequenzbereich stehen 13 Frequenzkanäle mit einem Frequenzabstand von 5 MHz für die Funkübertragung nach 802.11b zur Verfügung. Bei einer Kanalbandbreite von ca. 22 MHz können jedoch nur maximal 3 Kanäle gleichzeitig überlappungsfrei genutzt werden, beispielsweise die Kanäle 2, 7 und 12.

Neben den 802.11b-Systemen werden nun auch 802.11a- und 802.11g-Systeme angeboten und weitere Standards wie 802.11h stehen vor der Fertigstellung. Alle drei Standards definieren gegenüber 802.11b eine unterschiedliche physikalische Übertragungstechnik zur Realisierung höherer Übertragungsraten von bis zu 54 Mbit/s (brutto).

802.11g-Systeme arbeiten im gleichen Frequenzbereich wie 802.11b, sodass auch hier nominell 13 Kanäle zur Verfügung stehen. Bei einer Bandbreite der Funksignale von 20 bzw. 22 MHz können maximal 4 Kanäle gleichzeitig in räumlicher Nähe betrieben werden ohne sich gegenseitig zu stören.

802.11a- und zukünftige 802.11h-Systeme nutzen den 5-GHz-Bereich. Im Frequenzbereich von 5,15 bis 5,35 GHz und bei 5,47 bis 5,725 GHz sind insgesamt 19 Kanäle in einem Abstand von 20 MHz nutzbar. Bei einer Kanalbandbreite von 20 MHz werden hier direkt benachbarte Kanäle nicht gestört.

Die Sicherheitsmechanismen aller 802.11-kompatiblen Systeme sind im Standard 802.11 definiert. Die Erweiterungen a, b, g und h des Standards bieten keine zusätzlichen Sicherheitsmechanismen, erst die Erweiterung i wird neue Sicherheitsmechanismen definieren. Die zurzeit in 802.11 definierten Mechanismen dienen ausschließlich zur Sicherung der Funkstrecke zwischen den Clients und Access-Points. Darüber hinaus lässt der Standard aber auch Freiraum für proprietäre Erweiterungen.

Sämtliche Sicherheitsmechanismen des Standards 802.11, die im Folgenden vorgestellt werden, sind überwindbar und bieten keinen verlässlichen Schutz für sensible Informationen:

  • Netzwerkname (SSID)

    Der Standard bietet die Möglichkeit einen Netzwerknamen, ESSID bzw. SSID ([Extended] Service Set Identity), zu vergeben. Dabei gibt es zwei Betriebsarten – wird durch den Nutzer die Kennung "Any" angegeben, akzeptiert die Funk-LAN-Komponente beliebige SSIDs. Im anderen Fall wird der eingetragene Name überprüft und nur Teilnehmer mit der gleichen SSID können am Netzwerk teilnehmen. Bei der Übergabe zwischen zwei benachbarten Funkzellen dient die SSID dazu, den nächsten Access-Point zu finden. Da die SSID im Klartext über das Netz gesendet wird, kann sie ein Angreifer mit einfachen Mitteln in Erfahrung bringen. Einige Access-Points bieten die Möglichkeit, das Senden der SSID im Broadcast zu unterbinden. Das Unterdrücken der SSID auf diese Weise ist jedoch nicht standardkonform. Netze mit unterdrückter SSID werden oft auch "Closed Networks" genannt. Avalaris empfiehlt dringend diese Option zu nutzen, wenn sie für das geplante Netz verfügbar ist!
  • MAC-Adresse

    Jede Netzwerkkarte verfügt über eine eindeutige Hardwareadresse, die sog. MAC-Adresse (Media-Access- Control-Adresse). Prinzipiell ist es möglich, in einem Funk-LAN MAC-Adressen zu definieren, denen es erlaubt ist, mit einem Access-Point zu kommunizieren. Die Adresslisten müssen hierfür allerdings "von Hand" gepflegt werden, was einen nicht unerheblichen Aufwand nach sich zieht. In vielen Einsatzszenarien ist dies nicht möglich. Das Filtern der MAC-Adressen ist nicht im Standard enthalten. Andererseits ist die Filterung von MAC-Adressen standardkonform, da die Filterung keine Auswirkungen auf die Kompatibilität der Clients hat.

    Abhilfe kann hier die Verwendung eines Radius-Servers schaffen. Viele Access-Points unterstützen bereits die Verwendung eines Radius- Servers zur zentralen Verwaltung von MAC-Adressen.
  • User-Authentifizierung

    Zusätzlich zur Verwaltung der MAC-Adressen kann ein Radius-Server auch User-Daten zur Authentifizierung verwalten. Man gewährt dabei jedem Benutzer Zugang in das Funk-LAN, gestattet jedoch nur Zugriff auf eine Webseite, auf der sich der User authentifizieren muss. Kombiniert mit der Registrierung der MAC-Adressen, erlaubt diese Variante wohl den größtmöglichen Schutz vor unbefugtem Zugriff auf das WLAN. Ein Standard zu dieser Lösung ist der von der WiFi-Allianz verabschiedete 802.1X. Dieser ist ein Vorgriff auf den kommenden Sicherheitsstandard für Funk-LANs – 802.11i.
  • WEP-Verschlüsselung, Integritätsschutz und Authentifizierung

    Vertraulichkeit, Integrität und Authentizität im Funk-LAN sollen durch das "Wired Equivalent Privacy"-Protokoll (WEP) gesichert werden. Das WEP-Protokoll basiert auf der Stromchiffre RC4, mit der Klardaten paketweise, abhängig von einem Schlüssel und einem Initialisierungsvektor (IV) in Chiffratdaten umgewandelt werden. Der Schlüssel ist dabei eine Zeichenkette von wahlweise 40 oder optional 104 Bit und muss den am Funk-LAN beteiligten Clients, sowie dem Access-Point vorab zur Verfügung gestellt werden. Dabei wird für das gesamte Funk-LAN ein gemeinsamer Schlüssel verwendet. Der IV wird vom Absender gewählt und sollte für jedes übertragene Datenpaket unterschiedlich sein. Der IV wird dem verschlüsselten Datenpaket unverschlüsselt vorangestellt und über das Funk-LAN übertragen. Über WEP soll die Vertraulichkeit und Integrität der übertragenen Daten gesichert, sowie die Authentisierung des Endgerätes (nicht des Nutzers) durchgeführt werden. Die Realisierung geschieht wie folgt:
    • Vertraulichkeit
      Aus dem Schlüssel und dem IV wird ein pseudozufälliger Bitstrom generiert. Die Chiffratdaten ergeben sich, indem die Klardaten bitweise mit dem Bitstrom XOR-verknüpft werden (XOR = exklusives Oder). Beim Empfänger werden die Klardaten wiederum aus den Chiffratdaten ermittelt, indem derselbe Bitstrom mit den Chiffratdaten XOR-verknüpft wird.

    • Integrität
      Für jedes zu übertragende Datenpaket wird eine 32-Bit-CRC-Checksumme berechnet. Anschließend wird das Datenpaket mit der angehängten Checksumme verschlüsselt.

    • Authentifizierung
      In Verbindung mit der WEP-Verschlüsselung kann zwischen zwei Authentisierungsmodi gewählt werden – "Open" (hierbei findet keine Authentisierung statt) und "Shared Key". Für die Authentisierung im "Shared Key"-Modus wird ein sog. Challenge-Response-Verfahren durchgeführt: Der Access-Point generiert 128 zufällige Bytes und sendet diese in einem Datenpaket unverschlüsselt an einen Client (Challenge). Der Client verschlüsselt das Datenpaket und sendet es zurück zum Access-Point (Response). Der Client hat sich erfolgreich authentisiert, wenn der Access-Point die Response zur Challenge entschlüsseln kann. Der Authentisierungsprozess ist nur einseitig – der Access-Point muss sich gegenüber den Clients nicht authentisieren. Zum Authentisieren wird derselbe Schlüssel verwendet wie zur Verschlüsselung der Nutzdaten.
  • Die WEP-Verschlüsselung ist mittlerweile mehrfach geknackt worden und bietet daher (fast) keinen Schutz mehr. WEP zu aktivieren, ist dennoch strengstens empfohlen – jedes Haustorschloss kann geknackt werden, es ist jedoch trotzdem eine gute Sicherheitsmaßnahme, die Türe abzusperren. Mit einer Schlüssellänge von 152 Bit, wie sie manche Hersteller mittlerweile anbieten, und einer regelmäßigen Änderung des WEP-Keys (mindestens einmal pro Woche) ist immerhin ein nicht zu unterschätzender Aufwand nötig, um die Verschlüsselung zu durchbrechen. Und der regelmäßig geänderte Key erfordert es jede Woche aufs Neue, diesen Aufwand zu betreiben.

Allgemeines zur Sicherheit im WLAN

Grundsätzlich werden WLANs, also die Karten, die Hotspots und die Protokolle für den Datenaustausch, auf Basis der von der IEEE entwickelten Standards mit der Kennnummer 802.11 betrieben. Diese definieren die Übertragungstechnik mit der möglichen Datenrate, und unter anderem auch die Sicherheitsstandards.

Das bis jetzt verwendete Verfahren zur Verschlüsselung der Datenübertragung, als auch zum Schutz der Datenintegrität und zur Authentifizierung der Teilnehmer, das Wired Equivalent Privacy, kurz WEP-Protokoll, weist einige Sicherheitslücken auf, was viele Unternehmen bis dato davon abhielt, WLANs für ihre Belange zu verwenden.

Das WEP verwendet fixe Schlüssel zur Verschlüsselung der Daten und zur Identifizierung der Teilnehmer. Da diese nur mit hohem Aufwand manuell getauscht werden können, ist das Herausfiltern der Schlüssel relativ leicht, allerdings der Austausch der Schlüssel zur Erhöhung der Sicherheit bei Hotspots nahezu unmöglich. Weiters beträgt die Schlüssellänge bei WEP nur 40 Bit, da dies zum Zeitpunkt der Standardsetzung die erlaubte Maximallänge für Sicherheitsschlüssel war, die aus den USA exportiert werden durften. Heutige Schlüssel sollten mindestens eine Länge von 104 Bit haben. Hersteller nennen üblicherweise Schlüssellängen inkl. Protokoll-Overhead, also 56 Bit respektive 128 Bit.

Weiterentwicklungen von WEP wurden natürlich bald notwendig und von verschiedenen Herstellern angeboten. Zum Beispiel Cisco's Lightweight Extensible Authentication Protocol (LEAP) gewährt einen relativ guten Schutz gegen Attacken, funktioniert aber nur mit Produkten von Cisco und ist daher für öffentliche Hotspots nicht geeignet, und führt auch zu höheren Kosten.

WPA (WiFi Protected Access) stellt nun einen Zwischenschritt in Richtung 802.11i-Standard dar und ist seit Frühjahr 2003 erhältlich. WPA setzt auf bereits verabschiedeten Teilen des 802.11i-Standards auf und ist als Update für die derzeit in Verwendung befindlichen Karten und Accesspoints gedacht. WPA bietet durch rotierende und dynamisch erstellte Sicherheitsschlüssel einen weit höheren Schutz gegen Attacken. Weiters besteht die Möglichkeit der Zusammenarbeit mit einem Authentifizierungsserver nach 802.1x-Standard mit EAP.

Dieses Update wird jedem Hotspotbetreiber empfohlen und sollte von den Kunden auch verlangt werden, vor allem beim Kauf neuer WLAN-Karten. Leider benötigt das WPA-Protokoll relativ viel Prozessorleistung und ist damit eine starke Belastung für PDAs usw. Daher, und um noch nicht upgedatete Clients zu befriedigen, wird der Parallelbetrieb von WPA und WEP empfohlen. Dadurch kann upgedateten Mobilgeräten eine höhere Sicherheit garantiert werden. Teilnehmern mit älteren Geräten kann ein Hinweis auf das Update angezeigt, und die Funktionalität eines WLANs geboten werden.

Die mit Ende 2009 zu erwartende Fertigstellung des 802.11i-Standards wird mit hohen Sicherheitsstandards aufwarten und dann auch noch die Probleme wie Denial of Service (DoS) des WPA beseitigen. 802.11i verwendet zur Datenverschlüsselung einen dynamischen Schlüssel mit 128,192 oder gar 256 Bit Länge in Rijndael-Verschlüsselung, arbeitet nahtlos mit RADIUS-Authentifizierungsservern zusammen und bietet eine 4-Wege-Kommunikation zum Aushandeln der Verschlüsselung.

802.11i verwendet das dargestellte Robust-Secure-Network-Verfahren. Zum Erhalt des hohen Sicherheitsstandards benötigt man aber neue, leistungsstarke Geräte, besonders für die Hotspots.

Durch die schrittweise Annäherung an den bzw. die Einführung des 802.11i-Standards über das Jahr 2004, wird folgende Vorgangsweise empfohlen:

  • Führen Sie auf Ihrer Hardware (WLAN-Karten und Hotspots) die Softwareupdates durch, um diese Geräte WPA-fähig zu machen
  • Schalten Sie WPA auf allen Geräten ein – die meisten Karten sind nicht standardmäßig darauf eingestellt! Alle Sicherheitsfeatures verwenden!
  • Beim Kauf von neuer WLAN-Hardware achten Sie darauf, dass WPA standardmäßig implementiert ist.  Wenn möglich, verschieben Sie Investitionen dieser Art gegen Ende dieses Jahres.
  • Nach Fixierung des 802.11i-Standards, und entsprechender Bereitstellung der Produkte auf dem Markt Ende des Jahres, sollten Sie sukzessive Ihre Hardware umstellen.

(Bildquelle: Bundesamt für Sicherheit in der Informationstechnik; Bundesministerium für Verkehr, Innovation und Technologie)

nach oben  Zurück nach oben