M 3.58 Einführung in WLAN-Grundbegriffe

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

WLANs können in zwei verschiedenen Architekturen betrieben werden. Im Ad-hoc-Modus kommunizieren zwei oder mehr mobile Endgeräte, die mit einer WLAN-Karte ausgestattet sind (Clients), direkt miteinander.

In den meisten Fällen wird ein WLAN im Infrastruktur-Modus betrieben, d. h. die Kommunikation der Clients erfolgt über eine zentrale Funkbrücke, den sogenannten Access Point. Über den Access Point erfolgt auch die Verbindung in kabelgebundene LAN-Segmente.

Der Infrastruktur-Modus lässt mehrere Einsatzvarianten zu:

Im Standard IEEE 802.11 werden die Bezeichnungen Independent Basic Service Set (IBSS) für Funk-Netze im Ad-hoc-Modus und Basic Service Set ( BSS ) für Konstellationen im Infrastruktur-Modus mit einem Access Point verwendet. Mehrere gekoppelte BSS werden als Extended Service Set ( ESS ) bezeichnet, das koppelnde Netz wird Distribution System (DS) genannt.

Die in Deutschland und in fast allen Staaten Europas zugelassenen WLAN-Systeme nach IEEE 802.11, 802.11b und 802.11g nutzen das ISM-Frequenzband (Industrial-Scientific-Medical) zwischen 2,4 und 2,48 GHz, das gebührenfrei und ohne zusätzliche Genehmigung verwendet werden kann. Die Sendeleistung ist auf maximal 100 mW EIRP (Effective Isotropic Radiated Power) begrenzt.

Systeme des Standards IEEE 802.11 übertragen die Daten mit einer Rate von 1 bzw. 2 Mbit/s mittels Bandspreizverfahren, entweder mittels Frequenzsprung- (FHSS) oder Direct-Sequence- (DSSS) Verfahren. Der Vollständigkeit halber sei erwähnt, dass 802.11 auch eine Infrarot-Übertragung definiert, die bisher aber in der Praxis bedeutungslos geblieben ist.

Die Systeme nach IEEE 802.11b verwenden nur das DSSS-Verfahren. Die zu übertragenen Daten werden mit einem festen Code gespreizt, um die Übertragung unempfindlicher gegen Störung zu machen. Der Zugriff auf den Funkkanal erfolgt, wie bei allen Systemen der 802.11 Standards, nach einem zufallsgesteuerten Verfahren, genannt Carrier Sense Multiple Access with Collision Avoidance ( CSMA/CA ). Die Brutto-Datenübertragungsrate beträgt bei IEEE 802.11b maximal 11 Mbit/s. Die Übertragungsraten können, wie bei allen Systemen der 802.11 Standards, nicht garantiert werden, sie hängen ab von der Anzahl der Clients und der Qualität der Funkübertragungsstrecke.

Systeme des Standards IEEE 802.11g verwenden die Übertragungstechnik Orthogonal Frequency Division Multiplexing (OFDM) nach IEEE 802.11a und erlauben daher auch Datenraten von bis zu 54 Mbit/s.

Im 2,4 GHz-Frequenzbereich stehen in Deutschland 13 Frequenzkanäle mit einem Frequenzabstand von 5 MHz für die Funkübertragung nach 802.11b zur Verfügung. Bei einer Kanalbandbreite von ca. 22 MHz können jedoch nur maximal 3 Kanäle gleichzeitig überlappungsfrei genutzt werden, beispielsweise die Kanäle 2, 7 und 12.

Systeme der Standards IEEE 802.11a und 802.11h nutzen den 5 GHz-Bereich. Im Frequenzbereich von 5,15 bis 5,35 GHz und bei 5,47 bis 5,725 GHz sind in Deutschland insgesamt 19 Kanäle in einem Abstand von 20 MHz unter Auflagen freigegeben worden. Bei einer Kanalbandbreite von 20 MHz werden direkt benachbarte Kanäle hier nicht gestört. Im 5 GHz Frequenzbereich arbeiten auch militärische und zivile Radar- und Navigationsanwendungen und es dürfen hier nur Systeme eingesetzt werden, die eine dynamische Frequenzwahl und eine Anpassung der Sendeleistung unterstützen.

Überblick über Sicherheitsmechanismen

Die Sicherheitsmechanismen aller 802.11 kompatiblen Systeme sind im Standard IEEE 802.11 definiert. Die Erweiterungen a, b, g und h des Standards bieten keine zusätzlichen Sicherheitsmechanismen, nur die Erweiterung i definiert neue Sicherheitsmechanismen. Die in IEEE 802.11 definierten Mechanismen dienen ausschließlich zur Sicherung der Funkstrecke zwischen den Clients und Access Points. Darüber hinaus lässt der Standard aber auch Freiraum für proprietäre Erweiterungen.

Sämtliche Sicherheitsmechanismen des Standards IEEE 802.11, die im Folgenden dargestellt werden, sind überwindbar und bieten keinen verlässlichen Schutz für sensible Informationen.

Während der Entwicklung des Standards IEEE 802.11i wurde von der Wi-Fi Alliance, basierend auf dem Draft 3.0 von IEEE 802.11i, Wi-Fi Protected Access (WPA) veröffentlicht. WPA enthält bereits einige Verbesserungen der Sicherheitsmechanismen und beschreibt zum einen den Einsatz des im Wesentlichen auf dem Wired Equivalent Protocol (WEP) basierenden Temporary Key Integrity Protocol (TKIP) in Kombination mit dem Integritätsprüfungsverfahren MICHAEL zur Verschlüsselung der Datenpakete. Durch MICHAEL ist in WPA das Problem der mangelhaften Integritätsprüfung in WEP gelöst worden. TKIP und MICHAEL sind als temporäre Lösung zu verstehen, da TKIP nur optional verwendet werden kann und laut WPA-Spezifkationen nicht zwingend ist.

Im Standard IEEE 802.11i, welches bis auf einige Freiheitsgrade bei der Auswahl der EAP -Methoden dem WPA2 der Wi-Fi Alliance entspricht, wird ein anderes Verschlüsselungsverfahren fest vorgeschrieben, das CTR mode (Counter Mode) with CBC -MAC Protocol (Cipher Block Chaining Message Authentication Code, CCMP ). Dieses Verfahren setzt, im Gegensatz zu RC4 in WEP und WPA, den Advanced Encryption Standard ( AES ) zur Verschlüsselung der Authentisierungs- und Nutzdaten ein. Bei der Authentisierung wird hierbei nicht direkt der Klartext mit AES verschlüsselt, sondern ein aus dem symmetrischen Schlüssel gebildeter Zähler. Das eigentliche Verschlüsselungsergebnis entsteht dann aus der XOR-Verknüpfung eines Blocks des Klartexts mit dem AES-verschlüsselten Zähler. Außerdem wird die Methode Cipher Block Chaining (CBC) zur Integritätssicherung der Daten verwendet. Zur Schlüsselverwaltung und -verteilung wird IEEE 802.1X vorausgesetzt.

Die in IEEE 802.11i verwendete Schlüssellänge des AES-Schlüssels beträgt 128 Bit. Dieses Verfahren ist langfristig tragbar, erfordert aber - im Gegensatz zu der TKIP-Variante - neue Hardware.

Als zusätzlicher Schutz der Authentisierung kann das Extensible Authentication Protocol (EAP) gemäß Standard IEEE 802.1X verwendet werden. EAP wird im RFC 3748 genau beschrieben. Der Benutzer meldet sich hier bei einer Authentisierungsinstanz, z. B. an einem RADIUS-Server, an und dieser prüft die Zugangsberechtigung, bevor der Sitzungsschlüssel ausgetauscht wurde. EAP unterstützt eine Reihe von Authentisierungsmethoden, so dass auch Zertifikate und Zwei-Faktor-Authentisierungen genutzt werden können.

Ergänzende Kontrollfragen: