Seit einem Monat hat das Bad- und Sanitärunternehmen Wireless-LAN in seinen Ausstellungsräumen. Das Unternehmen ist auf individuell angepasste Lösungen für Wellness-Bäder spezialisiert. Mit einem leichten Subnotebook ausgerüstet, begleitet der Berater seine Kunden durch die Ausstellung. Auf dem Rechner läuft ein entsprechendes Planungsprogamm für eine 3D-Gestaltung. Dank der Wireless-LAN-Anbindung an das ERP-System kann der Berater dem Kunden ohne einen Ortswechsel die Liefertermine nennen und gemeinsam weitere Schritte für die Installation beim Kunden planen. Bisher musste der Berater die Kunden für die konkrete Planung zu einem stationären Computer bitten. Gerade an dieser Stelle endete dann oft das Gespräch. Jetzt kann der Berater schneller und unkomplizierter in den weiteren Verkaufsprozess einsteigen.

Bis es soweit war, musste die IT-Abteilung jedoch einige Überlegungen anstellen. Vor allem gab es einige Sicherheitsbedenken, das interne LAN mit einem Funknetz zu koppeln. Daher entstand das WLAN als ein separates IP-Subnetz, das eine Firewall vom restlichen Netz trennt. Weiterhin erfolgt der Zugang nur über ein IPsec-VPN. Auf dem Notebook laufen zudem ein Virenscanner und eine Personal-Firewall. Über ein WLAN hatte das Unternehmen schon einmal nachgedacht. Das Planungsprogramm erforderte jedoch eine höhere Bandbreite, als der damals allein verfügbare Standard 802.11b mit 11 MBit/s im 2,4-GHz-Band leisten konnte. Zwar gab es auch schon den 802.11a-Standard mit 54 MBit/s im 5-GHz-Band. Aber es fehlte noch an einer offiziellen Freigabe der Funkfrequenzen in Deutschland. Auch nach dieser Freigabe schied 11a wegen der geringen Reichweite bei den damals verfügbaren Produkten aus. Erst 802.11g mit 54 MBit/s im 2,4-GHz-Band ergab sich eine interessante Möglichkeit.

Da bestimmte Dateien jedoch immer noch zu groß waren, beschloss die IT-Abteilung, entsprechende Elemente auf den Subnotebooks lokal abzulegen und über eine Synchronisationslösung auf dem aktuellen Stand zu halten. Als nicht ganz einfach erwies sich auch die Aufstellung der Access-Points als Zugangspunkte zum LAN. Wegen des schwierigen baulichen Umfelds durch die Ausstellungslandschaft holte sich die IT-Mannschaft für die Funkausleuchtung einen externen WLAN-Planungsspezialisten. Durch die geschickte Auswahl der Aufstellungsorte und den Einsatz von einigen gerichteten Antennen statt normaler Rundstrahlantennen ergab sich schließlich doch eine flächendeckende Ausleuchtung. Wegen des wachsenden Geschäfts muss das Unternehmen jetzt eine größere Lagerhalle bauen. Diese liegt jedoch nicht mehr auf dem Grundstück, sondern eine Häuserzeile weiter, allerdings mit einer direkten Sichtverbindung zum Firmengelände. Durch die guten Erfahrungen mit Wireless-LAN will die IT-Abteilung jetzt die neue Halle über eine Punkt-zu-Punkt-WLAN-Verbindung an das bisherige LAN anzubinden. Auch hier sollen ein VPN sowie Firewalls die Zugänge auf beiden Seiten sichern. Außerdem erwägt die IT-Abteilung, Voice-over-IP (VoIP) einzusetzen. Entsprechende Tests im LAN laufen. Dann könnten andere Mitarbeiter die Berater über deren WLAN-Telefon mittels VoIP im Ausstellungsraum über das interne Telefonnetz erreichen.

Dieses fiktive Beispiel zeigt, dass Wireless-LAN ein sehr flexibles Instrument sein kann, um Verbindungsprobleme zu lösen. Es deutet aber auch an, dass ein Einschalten und Loslegen zwar in einem ersten Schritt funktionieren können. Die Probleme etwa im Bereich Sicherheit, WLAN-Planung oder benötigter Bandbreite holen den Administrator mit höherem Aufwand danach jedoch wieder ein.

WLAN-Strukturen

Ein Wireless-LAN kann in zwei Modi arbeiten: adhoc und Infrastruktur. Im Adhoc-Modus arbeiten alle Clients als gleichberechtigte Knoten zusammen. Wenn eine Arbeitsgruppe spontan über ein WLAN zusammenarbeiten will, dann bildet sie ein Adhoc-Netzwerk. Im Infrastruktur-Modus bildet ein so genannter Access-Point den Mittelpunkt. Einmal läuft alle Kommunikation zwischen den WLAN-Clients über den Access-Point. Zum anderen stellt er die Verbindung zum LAN her. Eine Besonderheit besitzt dabei 802.11a gegenüber 11b/g. Hier gibt es nur einen Infrastruktur-Modus.

Wireless-LANs arbeiten als Shared-Medium. Damit hat der Administrator wieder die alten Ethernet-Zeiten, als es noch keine Netze mit Switch-Struktur gab. Alle WLAN-Clients, die an einem Access-Point angemeldet sind, teilen sich die verfügbare Bandbreite. Dabei liegt die effektive Bandbreite nochmals deutlich unter der nominellen. In Anlehnung an Ethernet läuft die Verkehrsregelung über CSMA/CA. Hierbei wartet ein Client auf die Bestätigung, dass das Paket angekommen ist. Wenn nicht, nimmt er eine Kollision an und sendet zeitverzögert erneut. Das RTS/CLS-Verfahren (Request-to-Send/Clear-to-Send) löst dabei das Hidden-Node-Problem, wenn zwei Clients an einem Access-Point so weit von einander weg stehen, dass sie sich nicht hören können.

Luft oder andere Medien dämpfen die Funkwellen. Mit zunehmender Entfernung nimmt also die Sendeleistung ab. Dies hat zur Folge, dass die maximale Datenrate nur bis zu einer gewissen Entfernung haltbar ist. Damit würde auch die Übertragung abbrechen. Um dies zu vermeiden, wurden für die Standards 802.11a/b/g so genannte Fallback-Raten definiert, auf die Client und Access-Point automatisch zurückschalten. Die Reichweite eines WLANs lässt sich gerade im Gebäudeinneren nicht allgemein angeben. Zu stark hängt die Reichweite von der Dämpfung der unterschiedlichen Materialien ab. Während Gipskarton-Wände die Wellen recht gut durchlassen, verursacht etwa Beton eine höhere Dämpfung, geschweige denn Stahltüren. Eine WLAN-Planung erfordert auf Grund dieser unterschiedlichen Verhältnisse immer eine Begehung vor Ort.

Ein Kriterium bei der Positionierung der Access-Points ist die Mindestbandbreite, die die Clients erhalten sollen. Wenn überall die maximale Bandbreite möglich sein soll, dann müssen die Access-Points dichter stehen, als wenn die Clients auch eine geringere Bandbreite in Kauf nehmen können. Bei der Positionierung muss jeder Access-Point auch einen Funkkanal erhalten. Senden zwei benachbarte Access-Points auf dem gleichen Kanal, können sie einander bei hohem Verkehr stören, was die Netto-Datenrate senkt. Die Kanalzuordnung gehört daher auch zur Planung.

Dabei hat 802.11a gegenüber 802.11b/g den großen Vorteil, dass es acht beziehungsweise 19 überlappungsfreie Kanäle anbietet – gegenüber drei bei 11b/g.

Nicht alle Access-Points beherrschen eine Leistungsreduzierung für ein Mikrozellendesign. Probleme bereiten WLANs auch so genannte Multipath-Effekte. Hierbei kommt das gleiche Signal durch Zeitverzögerung mehrmals beim Gegenüber an, was den Empfang stört. Eine Hilfe bieten Access-Points mit Antennen-Diversity. Der Access-Point besitzt dazu zwei Antennen und wählt immer die mit dem besseren Empfang aus. Außerdem kommen WLAN-Geräte mit 802.11g/a besser mit Multipath-Effekten zurecht, weil 11a/g eine andere Modulationstechnik als 11b verwendet, nämlich OFDM (Orthoganal-Frequency-Division-Multiplexing). Als ein weiterer Punkt der WLAN-Planung müssen Netzwerkkabel und Stromversorgung zum Access-Point gelegt werden. Beherrscht der Access-Point den Power-over-Ethernet-Standard 802.3af (PoE), dann kann er seinen Strom auch über das Ethernet-Kabel erhalten. PoE leitet den Strom über sonst nicht genutzte Adern im Ethernet-Kabel. Die Einspeisung kann entweder über einen Power-Injector irgendwo zwischen Switch und Access-Point erfolgen oder über einen Power-Hub, der dann quasi im gleichen Rack wie der Switch steht. Oder der Switch selbst hat Ports mit PoE. PoE-Lieferanten sollten dabei erkennen können, ob das angeschlossene Gerät PoE-fähig ist, damit es nicht eventuell beschädigt wird.

Normalerweise haben Access-Points so genannte Rundstrahlantennen. Dabei strahlt die Antenne in horizontaler Richtung mit 360 Grad ab. Nicht immer ist dies jedoch erwünscht, weil die Funkwellen auch in den benachbarten Park oder das angrenzende Gebäude reichen. Oder die Funkwellen müssen einen langen Flur oder eine Strecke im Außenbereich überbrücken. Hier kommen gerichtete Antennen zum Einsatz. Diese begrenzen einmal das Strahlungsfeld und bündeln zum anderen dadurch die Leistung, was in einer höheren Reichweite resultiert. Allerdings gibt es Grenzwerte bei der Gesamtabstrahlleistung, auch EIRP (Effective-isotropic-radiated-Power) genannt, die zu beachten sind. Im 2,4-GHz-Band dürfen 100 mW im Außen- und Innenbereich nicht überschritten werden. Im 5-GHz-Band dürfen Funkstrecken mit maximal 1 Watt EIRP nur im Außenbereich mit 5,470 bis 5,725 GHz arbeiten und müssen zudem bestimmte Voraussetzungen bei Kanal- und Leistungswahl erfüllen. Entsprechende Vorschriften erlässt für die Frequenznutzung in Deutschland die Regulierungsbehörde für

Telekommunikation und Post (www.regtp.de).

Vielfalt der Standards

Vor drei Jahren war die WLAN-Welt noch in Ordnung, was die Standards anbelangt. 802.11b befand sich auf dem Siegeszug, für 11a gab es noch keine Produkte, geschweige denn eine Sendeerlaubnis in Deutschland. 802.11g steckte noch in den Kinderschuhen. Aber im Juni 2003 wurde 802.11g von der IEEE ratifiziert und seit Herbst 2002 hat die RegTP eine Allgemeinzuteilung für Frequenzen im 5-GHz-Band veröffentlicht.

Eine Empfehlung für einen Standard auszusprechen, fällt derzeit schwer. 11b und 11g funken im 2,4-GHz-Band, das noch eine Reihe anderer Systeme wie Bluetooth oder Mikrowellen bevölkert. Dies gilt derzeit noch nicht für das 5-GHz-Band, in dem 802.11a arbeitet. Dafür können 11b und 11g in Sachen Reichweite gegenüber 11a punkten. Die höhere Frequenz führt dazu, dass mehr Leistung für die gleiche Reichweite aufgewendet werden muss. Geht es darum, möglichst viele Clients zu versorgen, hat 11a wieder die Nase vorne. Die RegTP hat für Deutschland zwei Bänder für 5 GHz freigegeben, von 5,150 bis 5,350 GHz sowie von 5,470 bis 5,725 GHz. Das untere Band erlaubt acht überlappungsfreie Kanäle, das obere Band elf, so dass dies maximal 19 gegenüber drei Kanälen bei 11b/g ergibt. Das untere Band darf nur im Innenbereich arbeiten, das obere innen und außen. Dabei erlaubt die RegTP im oberen 5-GHz-Band eine Leistung von 1 Watt gegenüber 200 mW im unteren Band und 100 mW im 2,4 GHz-Band. In den USA gibt es ebenfalls ein oberes Band, das aber von 5,725 bis 5,825 GHz reicht und acht überlappungsfreie Kanäle besitzt. Hier hängt es also von Chipsatz- und WLAN-Hersteller ab, wie sich Client-Karten und Access-Points für unterschiedliche Länder anpassen lassen. Auch in Europa unterscheiden sich die Frequenznutzungsbedingungen, speziell in Frankreich oder Spanien. Für 11b spricht derzeit einmal der Preis, der mit 11g noch weiter sinken wird. Außerdem sind Wireless-Public-Hotspots für einen öffentlichen Internet-Zugang bisher ausnahmslos mit 11b ausgerüstet.

11g nutzt wie 11a OFDM für die Funkwellenerzeugung. Dabei teilt OFDM die 20 MHz breiten Kanäle in 52 jeweils 300 KHz breite Unterträger auf. Von diesen stehen 48 für die Datenübertragung zur Verfügung. Die restlichen vier benötigt OFDM für Pilot-Töne. Durch OFDM erreichen 11g wie 11a eine nominelle Datenrate von 54 MBit/s. Dabei stehen unterschiedliche Datenraten zwischen sechs bis 54 MBit/s zur Verfügung. Da 11g abwärtskompatibel zu 11b sein muss, beherrscht es neben OFDM auch CCK (Complementary-Code-Keying). CCK kennt keine Unterträger, sondern verwendet den gesamten Kanal als Träger. Es stellt Datenraten von 1, 2, 5,5 oder 11 MBit/s zur Verfügung. 11g-Geräte können sich also mit 11b-Geräten unterhalten, wenn sie in den CCK-Modus umschalten. Nun können 11b-Geräte kein OFDM. Funken also 11b und 11g parallel, stören 11b-Geräte 11g-Einheiten, da sie Sendewünsche von diesen nicht hören und darauf keine Rücksicht nehmen können. Daher enthält 11g einen so genannten Kompatibilitätsmodus. Hierbei sendet ein 11g-Gerät vor der eigentlichen Datenübertragung ein CTS-Paket (Clear-to-Send) im 11b-CCK-Modus. 11b-Clients können das CTS-Paket hören und richten sich danach, schweigen also für eine bestimmte Zeit. Die Erfahrungen haben allerdings gezeigt, dass 11g-Netzwerke im Kompatibilitätsmodus dramatisch an Durchsatz verlieren. Weshalb ein gemischter Betrieb eher eine Notlösung ist. Eventuell kann der Administrator trotz parallelem Betrieb von 11g und 11b den Kompatibilitätsmodus vermeiden. Dazu muss der Access-Point über zwei Karten, einmal 11g und einmal 11b verfügen. Die 11g-Karte arbeitet dabei im Nur-11g-Modus. Außerdem müssen 11g und 11b auf verschiedenen, einander nicht überlappenden Kanälen senden.

Um die Übertragung gerade bei 11g und besonders im Kompatibilitätsmodus zu beschleunigen, setzen etwa Intersil, Broadcom oder Agere auf Beschleunigungsmechanismen wie Burstmodus, Komprimierung oder Verwendung mehrerer Kanäle. Es gibt hier aber keine Standardisierung. Intersil verkaufte übrigens letztes Jahr ihre WLAN-Sparte an Globespan Virata.

Normalerweise macht jedes WLAN-Gerät nach der Empfangsbestätigung eine längere Pause, bevor es erneut sendet, um auch anderen eine Chance zur Übertragung einzuräumen. Beim Frame-Bursting sendet das Gerät eine Folge von Paketen, bevor es wieder eine Pause einlegt. Dies erlaubt es gerade 11g-Einheiten in gemischter Umgebung eine höhere Datenrate zu erreichen, ohne theoretisch 11b-Geräte zu benachteiligen. Eine Beschleunigung für 11a/g bietet Atheros mit dem Turbo-Modus in seinen Chipsätzen an. Die nominellen 108 MBit/s erreicht der Chip derzeit durch Kanalbündelung.

Info

WLAN-Standards

• 802.11 Funkstandard im 2,4 GHz-Band mit maximal 2 MBit/s, verwendet FHSS und DSSS zum Senden

• 802.11a Funkstandard im 5 GHz-Band mit maximal 54 MBit/s, verwendet OFDM, benötigt höhere Sendeleistung für gleiche Reichweite als Geräte im 2,4-GHz-Band, in Deutschland 19 überlappungsfreie Kanäle möglich, schreibt keine dynamische Frequenz- und Kanalwahl vor

• 802.11b Funkstandard im 2,4 GHz-Band mit maximal 11 MBit/s, verwendet DSSS zum Senden, drei überlappungsfreie Funkkanäle

• 802.11d Standard für die Anpassung von WLAN-Geräten in Ländern mit unterschiedlichen Frequenznutzungsvorschriften

• 802.11e Standard definiert Erweiterungen in der MAC-Schicht für Quality-of-Service, noch nicht verabschiedet

• 802.11f Inter-Access-Point-Protocol (IAPP), Standard für die Kommunikation zwischen Access-Point zum Austausch etwa von Roaming-Informationen

• 802.11g Funkstand im 2,4-GHz-Band mit maximal 54 MBit/s, verwendet OFDM und CCK, rückwärtskompatibel mit 11b, drei überlappungsfreie Kanäle

• 802.11h Funkstand wie 802.11a, schreibt jedoch dynamische Frequenz- und Leistungswahl etwa für den Einsatz in Europa vor, noch nicht verabschiedet

• 802.11i Sicherheitsstandard, soll WEP ablösen, Teile als Wi-Fi-Protected-Architectur-Label (WPA) veröffentlicht, immer noch nicht verabschiedet

• 802.11j Anpassungen für den Einsatz in Japan im 4,9- und 5-GHz-Band, noch nicht verabschiedet

• 802.11k Standard stellt Informationen über Funk- und Netzwerkaktivitäten für das Management zur Verfügung, Arbeit hat Anfang 2003 begonnen

• 802.11l L wird nicht verwendet.

• 802.11m/ma Anpassungen an Standard 802.11-1999

• 802.11n Standard für Highspeed-WLAN mit effektiven Durchsatz von mindestens 100 MBit/s, Fokussierung auf MAC-Ebene, gegründet September 2003

• 802.11p Drahtloser Zugriff von Fahrzeugen aus. Die Arbeitsgruppe befindet sich im Gründungsprozess. Der Name 11p ist noch nicht definitiv.

• 802.11r Fast-Roaming zwischen Access-Points. Die Arbeitsgruppe befindet sich im Gründungsprozess. Der Name 11r ist noch nicht definitiv.

• 802.11s Wireless-Mesh-Networks. Die Arbeitsgruppe befindet sich im Gründungsprozess. Der Name 11s ist noch nicht definitiv.

802.11b hat sich vor einiger Zeit gegen 802.11 durchgesetzt. Während 802.11 wie auch Bluetooth mit dem so genannten Frequency-Hopping-Spread-Spectrum (FHSS) arbeitet, setzt 11b auf Direct-Sequence-Spread-Spectrum (DSSS). Da FHSS systembedingt nur 1 und 2 MBit/s kann, setzte sich 11b mit DSSS, das bis 11 MBit/s liefert, durch.

11a hatte einige Startschwierigkeiten in Europa, da die ETSI für Geräte im 5-GHz-Band Transmit-Power-Control (TPC) und Dynamic-Frequency-Selection (DSF) forderte. Außerdem spielte auch die Hoffnung eine Rolle, den europäischen Standard Hiperlan-2 zu retten, der ebenfalls im 5-GHz-Band mit 54-MBit/s arbeitet, auf ATM basiert und Quality-of-Service (QoS) von Haus aus mitbringt.

Durch die Allgemeinzuteilung für das 5-GHz-Band machte die RegTP den Weg für die Nutzung frei. Ohne TPC und DSF dürfen Geräte aber nur mit 30 mW im Bereich von 5,150 bis 5,250 GHz senden, mit TPC wenigstens mit 60 mW. Mit TPC und DSF dürfen Geräte immerhin mit 200 mW im Bereich von 5,150 bis 5,350 GHz funken. Enterasys, Lancom und Proxim haben Lösungen vorgestellt, die die Forderung der RegTP nach DSF und TPC erfüllt. Die Tragik liegt aber darin, dass die derzeit verfügbaren WLAN-Karten keine 200 mW hergeben. Immerhin gibt es jetzt WLAN-Karten, die mit 100 mW arbeiten, die meisten liegen bei etwa 60 mW. Bei einer Sendeleistung von 30 mW erscheint 802.11a lediglich als Zimmerfunk brauchbar und ist damit nur in Spezialfällen interessant. Das obere Band darf nur mit TPC und DSF betreten werden, erlaubt aber 1 Watt Sendeleistung.

Sicher ins WLAN

Natürlich drängt sich bei Wireless-LANs die Frage nach der Sicherheit auf. Wie mit einem Rundfunksender, den alle Radioempfänger hören, verhält es sich auch bei einem WLAN-Gerät, das sendet: Jedes andere WLAN-Gerät kann mithören. Ins Bewusstsein der Öffentlichkeit geriet das Thema erst mit der Überwindung von WEP (Wired-Equivalent-Privacy), der integrierten Verschlüsselung und Authentifizierung von WLAN. Schließlich tauchte im Internet auch noch Airsnort als Cracktool auf, das keine kryptografische Kenntnisse verlangte, um WEP-Schlüssel zu errechnen. Daraufhin setzten verschiedene Hersteller auf proprietäre Mechanismen, um mit dynamischen Schlüsseln statt mit statischen wie WEP zu arbeiten. Allmählich entwickeln sich die auf Ports basierende Authentifizierung 802.1x und darauf aufbauende Authentifizierungstechnologien wie EAP-TLS (Enhanced-Authentication-Protocol-Transport-Layer-Security), EAP-TTLS (Tunneled-TLS) oder PEAP (Protected-EAP) als zentrale Sicherheitsinstrumente heraus.

Daneben setzte Cisco noch auf sein, ebenfalls auf EAP und 802.1x basierendes, proprietäres Protokoll LEAP (Light-EAP). Dieses kann aber bei schwachen Passwörtern geknackt werden. Ein entsprechendes Tool steht im Internet zur Verfügung. Deshalb kommt jetzt als Nachfolger EAP-FAST (EAP-Flexible-Authentication-via-Secure-Tunneling). Auch die IEEE wurde tätig und setzte die Arbeitsgruppe 802.11i ein, die ein Nachfolgemodell für WEP finden sollte. Weil Ergebnisse nicht abzusehen waren, entschloss sich die Wi-Fi-Alliance 2003 unter dem Label WPA (Wi-Fi-Protected-Access) Teile des kommenden Standards herauszunehmen. Dazu gehören einmal TKIP (Temporal-Key-Integrity-Protocol), das eine Art Ummantelung für WEP bildet, sowie 802.1x. Im Zusammenspiel mit TKIP und RADIUS erlaubt das Ganze rotierende Keys für die Verschlüsselung. Neben TKIP und 802.1x bildet AES im Counter-Cipher-Block-Chaining-Modus (AES.CCM) die dritte Säule des kommenden 802.11i, dann auch WPA2 genannt. Besonders AES, aber auch TKIP erfordern mehr Rechenleistung, so dass nicht alle alten WLAN-Geräte sich darauf aufrüsten lassen. Mittlerweise haben die Chip-Hersteller AES in ihre WLAN-Prozessoren schon integriert.

Das Problem von WEP besteht darin, dass es verschiedene Elemente wie lineare Checksummenberechnung, RC4, statische Schlüssel zur Klartextübertragung des Initialisierungsvektors oder Strom-Kodierung miteinander verband. TKIP will mit einem Message-Integrity-Code (MIC), einem neuen Sequence-Algorithmus für die Initialisierungsvektoren, einer Schlüsselmixfunktion gegen schwache Schlüssel und dynamische Schlüssel (Rekeying) diese Schwäche vermeiden. Beim Rekeying erneuert die Lösung regelmäßig die Schlüssel. TKIP wurde so angelegt, dass bestehende Hardware für WEP auch TKIP verarbeiten kann.

802.1x gibt einem WLAN-Client erst dann den Port zum Netzwerk frei, wenn er sich authentifiziert hat. Bis dahin darf er über den zweiten Port nur mit dem Authentifizierungs-Server, in der Regel RADIUS, kommunizieren. Als Authentifizierungsprotokoll kommt EAP zum Einsatz. Für einen sicheren Austausch der Authentifikationsdaten gibt es nun verschiedene Möglichkeiten. EAP-TLS verlangt auf beiden Seiten Zertifikate. Um diesen Aufwand zu mindern, wurden EAP-TTLS mit Funk als einer treibenden Kraft oder PEAP mit Microsoft und Cisco als Förderer entwickelt. Beide bauen einen verschlüsselten Tunnel auf, über den sich der Client mittels Login und Passwort identifizieren kann, arbeiten aber auch noch mit Serverzertifikaten. EAP-FAST baut über TLS ebenfalls einen Tunnel auf. Aber jeder Client teilt mit dem RADIUS-Server jeweils ein eigenes Shared-Secret. Zertifikate werden nicht benötigt. Das Shared-Secret muss allerdings zu Beginn ein einziges Mal auf die Clients verteilt werden.

Neben diesen Schutzmechanismen empfiehlt es sich ein VPN einzusetzen. Außerdem sollte das WLAN als ein separates IP-Subnetz arbeiten, dessen Übergang zum LAN eine Firewall schützt. Obendrein helfen VLANs, die Anwender auf den gewünschten Bahnen zu halten. WLAN-Clients sollten immer mit Personal-Firewall und Virenscanner arbeiten. Auch wenn es kein alleiniger Schutz sein kann: MAC-Access-Control-Lists (MAC-ACL), das Ausschalten des SSID-Broadcasts (Service-Set-ID) oder das Ändern der Default-SSID oder des Default-Admin-Passworts der Access-Points oder der Einsatz von WEP bilden entsprechende Schutzbausteine.

Monitoring- und Intrusion-Detection-Systeme (IDS) gehören im LAN zu den typischen Arbeitswerkzeugen. Aber auch im Wireless-LAN muss sich der Administrator damit auseinandersetzen. Das Monitoring zeigt ihm zunächst, welche Aktivitäten es in seinem Luftraum gibt. Darauf aufbauend helfen diese Lösungen dem Administrator Probleme zu identifizieren und geben eventuell sehr ausführliche Tipps, diese zu beheben. Gleichzeitig überwachen die Monitoring-Lösungen die Einhaltung von Sicherheitsregeln wie die Verwendung von 802.1x oder den Zugriff über VPN. Schließlich arbeiten die Monitoring-Lösungen noch als Wireless-IDS. Dazu gehören einmal die Identifizierung und Lokalisierung von fremden und unerwünschten WLAN-Geräten

(Rogue-Devices). Weiter erkennen Monitoring-Lösungen verschiedenste Angriffe, angefangen von MAC-Spoofing, Netstumbler-Scans, Denial-of-Service-Angriffe (DoS) wie Management-Frame-Floods bis hin zu Man-in-the-Middle-Angriffen. Monitoring-Lösungen gibt es entweder separat oder sie kommen im Rahmen von so genannten Wireless-Switch-Systemen zum Einsatz. Bei letzteren sind die IDS-Fähigkeiten nicht immer sehr ausgeprägt. Network Computing testete ausführlich verschiedene Monitoring-Lösungen (siehe Artikel »Luftüberwachung« in der Network Computing 8-9/04, S. 26ff).

Access-Points an der Leine

Wireless-LANs arbeiten als Shared-Medium, besitzen als Funknetz zum Teil ganz andere physikalische Charakteristiken und verlangen mehr Sicherheitsaufwand als drahtgebundene LANs. Bei größeren WLAN-Installationen wächst der Aufwand entsprechend weiter. Wegen diesen Schwierigkeiten haben verschiedene WLAN-Hersteller so genannte Wireless-Switches entwickelt. Getreu dem Motto »Alle Macht dem Switch« übernehmen die Geräte als zentrale Instanz die Sicherheitsfunktionen wie Authentifizierung, Autorisierung oder Verschlüsselung. Sie verwalten die Access-Points, organisieren VLANs, steuern das Bandbreitenmangement oder sorgen für Quality-of-Service. Durch den zentralen Ansatz kennt der Switch die Gegebenheiten an allen angeschlossen Access-Points und kann daher beispielsweise die Bandbreitenzuordnung besser steuern. Bei den Switch-Lösungen übernimmt er auch das Roaming. Anwender können also auch über IP-Subnetzgrenzen ohne Unterbrechung wechseln, was etwa beim Einsatz von VoIP-over-WLAN interessant ist. Außerdem sorgen die Switches für Loadbalancing. Da der Switch die Auslastung der einzelnen Access-Points kennt, kann er Anwender von einem Access-Point zu einem anderen schicken. Weiter übernehmen die Switches in der Regel die Stromversorgung der Access-Points mittels Power-over-Ethernet.

Die meisten Wireless-Switch-Hersteller degradieren die Access-Points zu Antennen mit Bridge-Funktion. Symbol nennt daher seine Access-Points nur noch »Access-Ports« oder Trapeze Networks »Mobility Points«. Diese Reduktion soll auch die Access-Points entsprechend verbilligen und die teueren Investition in den Switch mehr als ausgleichen. Damit wird deutlich, dass sich Wireless-Switch-Systeme bei kleinen Installation eher nicht lohnen. Die Arbeit mit diesen Light-Access-Points bringt bei den meisten Lösungen noch einen weiteren Nachteil mit sich. Nur Light-Access-Points des jeweiligen Herstellers können an diesem Switch arbeiten. Eventuell gibt es für die Switch-Lösung auch Firmware-Upgrades, um andere Access-Points des gleichen Herstellers anzubinden.

Im Sicherheitsbereich beherrschen die Switches in der Regel die gängigen Sicherheitsprotokolls wie TKIP, WPA, EAP-TLS, EAP-TTLS oder PEAP. Gleichzeitig können sie als Terminierung für ein VPN dienen. Policies sorgen dafür, dass ein Anwender nur Zugang zu den Netzwerkressourcen bekommt, die er auch nutzen darf. Außerdem können Wireless-Switches fremde Access-Points erkennen und aussperren. Symbol verbirgt über VLAN-Tagging zudem ihren Switch vor dem Anwender, so dass der Switch nicht mehr direkt angreifbar ist.

Vor einem halben Jahr hat Cisco eine Wireless-Switch-Strategie gegenüber Network Computing noch deutlich dementiert. Jetzt fährt das Unternehmen mit der »Wireless-Solution-Engine« (WLSE) als zentrale Management- und Überwachungs-Lösung und dem für Juni/Juli angekündigten »Catalyst 6500 Series Wireless LAN Services Module« (WLSM) für 6500-Series-Switches nach zahlreichen anderen Herstellern doch eine Wireless-Switch-Strategie. Das WLSM steuert ein Fast-Roaming und verwaltet unterschiedliche Policies für bis zu 16 WLAN-Benutzergruppen.

Nicht mehr in den Bereich der Switches fallen Sicherheits- und Zugangsmanagementlösungen etwa von Bluesocket, Cranite, Nortel Networks oder Reefedge. Diese übernehmen kein Management der Access-Points. Die Lösungen tauchen auch unter dem Namen Wireless-Security-Switch oder WLAN-Security-Gateway auf.

Voice im WLAN

Das neueste Kind im drahtlosen Netz heißt Voice-over-Wireless-LAN und meint die Übertragung von VoIP-Paketen an drahtlose Endgeräte. Allerdings stellen VoIP- und Datenübertragung teilweise unterschiedliche Anforderungen an das WLAN-Design. Voice-WLANs benötigen eine komplette Ausleuchtung, Daten-WLANs konzentrieren sich eher auf bestimmte Bereiche. Bei Daten-WLANs spielt QoS eine untergeordnete Rolle, für Voice-WLANs ist QoS elementar. Voice-WLANs benötigen eine hohe Dichte von Access-Points für eine große durchgängige Bandbreite, die bei Daten-WLANs durchaus variieren darf. Die Roaming-Zeiten spielen bei Daten-WLANs keine besondere Rolle. Voice-WLANs verlangen ein Fast-Roaming, damit es nicht beim Zellwechsel zu Störungen der Sprachverbindung kommt. Weitere Informationen hierzu finden sich in dem Artikel »Flügel für IP-Telefonanlage« in Network Computing 8-9/04, S. 44ff.

WLAN- und VoIP-Hersteller beginnen gerade, das Feld zu besetzen. So berücksichtigen etwa Airespace, Aruba oder Proxim VoIP bei ihren Wireless-Switch-Lösungen. Alcatel, Cisco oder Nortel Networks bieten durchgängige Wireless-VoIP-Lösungen an. Die meisten Wireless-LAN-Telefone beschränken sich auf 802.11b. Sie besitzen als Sicherheitsmaßnahmen meist nur WEP. Die Einbindung in bestehende WLAN-Sicherheitsarchitekturen etwa mit 802.1x kann daher nicht vollständig erfolgen. Was bleibt, ist zum Beispiel der Einsatz von VLANs und ACLs.

Für die Luftschnittstelle gibt es derzeit kein standardisiertes QoS. Es befindet sich aber mit 802.11e ein entsprechender Standard in Entwicklung. Mit Wireless-Multimedia-Enhancement (WME) gibt es aber eine Industriespezifikation, welche die Wi-Fi-Alliance als Wifi-Multimedia-Enhancement prüfen will. Für das Fast-Roaming hat sich gerade eine IEEE-Arbeitsgruppe gegründet, die wahrscheinlich 802.11r heißen wird. Derzeitige Lösungen arbeiten aber alle proprietär. [ wve ]