Netzwerke, Routing,Firewalls und Grundlagen
Dieses Kapitel gibt einen Überblick über IP-Netzwerke, Routing und
allgemeine Netzwerkfragen.
Weiterführende Dokumente
In diesem Anhang wird häufiger auf RFC-Dokumente mit weiteren
Informationen verwiesen. „RFC“ steht für „Request For Comment“. RFCs werden von
der Internet Engineering Task Force (IETF) herausgegeben, einer offenen
Vereinigung, die für die Architektur und Funktionsweise des Internets zuständig
ist. In den RFC-Dokumenten werden die Standardprotokolle und -verfahren für das
Internet festgelegt. Diese Dokumente sind im Internet unter www.ietf.org
zu finden. Zahlreiche andere Websites enthalten ebenfalls Auszüge
und Querverweise auf diese Dokumente.
Grundlegende Routerkonzepte
In einem LAN (Local Area Network) können große Bandbreiten einfach
und relativ preisgünstig bereitgestellt werden. Die Bereitstellung einer großen
Bandbreite zwischen einem lokalen Netzwerk und dem Internet kann dagegen sehr
kostspielig sein. Auf Grund dieser Kosten wird der Internetzugang in der Regel
über eine langsamere WAN-Verbindung (Wide Area Network) hergestellt, z. B. über
ein Kabel- oder DSL-Modem. Um eine optimale Ausnutzung der langsameren
WAN-Verbindung zu gewährleisten, benötigt man einen Mechanismus, der den für das
Internet bestimmten Datenverkehr auswählt und dafür sorgt, dass nur diese Daten
übertragen werden. Die Auswahl und Weiterleitung dieser Daten wird von einem
Router übernommen.
Was ist ein Router?
Ein Router ist ein Gerät, das den Datenverkehr zwischen Netzwerken
weiterleitet. Die Weiterleitung erfolgt anhand der in den Daten enthaltenen
Informationen aus der Vermittlungsschicht und der vom Router geführten
Routingtabellen. In diesen Routingtabellen legt der Router ein logisches Abbild
des gesamten Netzwerks an, indem er Daten sammelt und diese mit anderen Routern
im Netzwerk austauscht. Anhand dieser Informationen wählt der Router dann den
besten Pfad für die Weiterleitung des Netzwerkverkehrs. Router unterscheiden
sich in ihrer Leistung und ihrem Umfang, der Anzahl der unterstützten
Routingprotokolle und der Arten von WAN-Verbindung, die sie unterstützen. Der
RangeMax Wireless Router WPN824 ist ein kleiner Router für Bürozwecke, der das
IP-Protokoll über eine
Einzelbenutzer-Breitbandverbindung lenkt.
RIP (Routing Information
Protocol)
Zu den Protokollen, mit deren Hilfe Router ein Abbild des
Netzwerks aufbauen und aktualisieren, gehört das Routing Information Protocol
(RIP). Mit Hilfe von RIPs senden Router sich gegenseitig in regelmäßigen
Abständen Aktualisierungen zu und suchen nach Veränderungen, die in die
Routingtabelle aufgenommen werden müssen. Der WPN824 Router unterstützt sowohl
das ältere Protokoll RIP-1 als auch das neuere RIP-2. Zu den Neuerungen von
RIP-2 gehört die Unterstützung von Subnetz- und Multicast-Protokollen. RIP ist
für die meisten in Privathaushalten eingesetzten Anwendungen nicht
erforderlich.
IP-Adressen und das Internet
Da TCP/IP-Netzwerke in der gesamten Welt miteinander verbunden
sind, benötigt jedes Gerät im Internet eine eindeutige Adresse. Nur so kann
sichergestellt werden, dass gesendete Daten am vorgesehenen Ziel ankommen. Die
Vergabe von Adressen erfolgt blockweise durch die IANA (Internet Assigned
Numbers Authority). Einzelne Benutzer und kleinere Unternehmen und Organisationen
können ihre Adressen entweder direkt von der IANA oder über einen
Internetdienstanbieter beziehen. Sie können die IANA unter www.iana.org
kontaktieren. Das Internet Protocol (IP) verwendet eine 32-Bit-Adressstruktur.
Die Adresse wird normalerweise in der Dezimalschreibweise (auch als
Punktnotation bezeichnet) angegeben. Dabei werden die einzelnen Gruppen von
jeweils acht Bit in dezimaler Form und durch Punkte getrennt angegeben.
So erscheint z. B. die folgende binäre Adresse
11000011 00100010 00001100 00000111
in der Regel als
195.34.12.7
Die zweite Version prägt sich besser ein und ist außerdem bequemer
für die Eingabe. Die 32 Bit der Adresse werden zudem in zwei Teile unterteilt:
Der erste Teil der Adresse identifiziert das Netzwerk, der zweite Teil den
Host-Knoten oder die Host-Station des Netzwerks. Der Trennpunkt zwischen dem
ersten und zweiten Teil kann je nach Adressabschnitt und Anwendung
unterschiedlich sein. Es gibt fünf Standardklassen von IP-Adressen. Bei jeder
dieser Adressklassen wird der Netzwerkund Hostabschnitt der Adresse auf
unterschiedliche Weise festgelegt, um die unterschiedliche Hostanzahl in
Netzwerken zu berücksichtigen. Jede Adresse beginnt mit einem eindeutigen Bit-Muster,
über das die TCP/IP-Software die Adressklasse identifizieren kann. Anhand der Adressklasse
kann die Software den Hostabschnitt der Adresse ermitteln. Die folgende
Abbildung zeigt die drei wichtigsten Adressklassen mit den jeweiligen Netzwerk-
und Hostabschnitten.
Abbildung B-1: Die drei
wichtigsten Adressklassen
Die fünf Adressklassen sind:
• Klasse A
Adressen der Klasse A lassen bis zu 16.777.214 Hosts in einem
einzigen Netzwerk zu. Sie verwenden 8 Bit für die Netzwerknummer und 24 Bit für
die Hostadresse. Die Adressen der Klasse A befinden sich in diesem Bereich:
1.x.x.x bis 126.x.x.x.
• Klasse B
Adressen der Klasse B lassen bis zu 65.354 Hosts in einem Netzwerk
zu. Sie verwenden jeweils
16 Bit für die Netzwerknummer und die Hostadresse. Die Adressen
der Klasse B befinden sich
in diesem Bereich:
128.1.x.x bis 191.254.x.x.
• Klasse C
Adressen der Klasse C lassen bis zu 254 Hosts in einem Netzwerk
zu. Sie verwenden 24 Bit für die Netzwerkadresse und 8 Bit für die Hostadresse.
Die Adressen der Klasse C befinden sich in diesem Bereich:
192.0.1.x bis 223.255.254.x.
• Klasse D
Die Adressen der Klasse D werden für Multicasts (Übersenden von
Nachrichten an mehrere Hosts)
verwendet. Sie befinden sich in diesem Bereich:
224.0.0.0 bis 239.255.255.255.
• Klasse E
Die Adressen der Klasse E dienen experimentellen Zwecken. Dank
dieser Adressstruktur können IP-Adressen jedes physikalische Netzwerk und jeden
Host in jedem physikalischen Netzwerk eindeutig identifizieren. Als
Netzwerkadresse für jeden eindeutigen Wert des Netzwerkabschnitts der Adresse
wird die Basisadresse des Bereichs (mit lauter Nullen als Hostadresse)
verwendet. Diese wird in der Regel nicht an einen Host zugewiesen. Die höchste
Adresse des Bereichs (bei der die Hostadresse aus lauter Einsen – bzw. dem Wert
255 – besteht) wird ebenfalls nicht vergeben, sondern wird als
Broadcast-Adresse verwendet. Über die Broadcast-Adresse kann ein Paket simultan
an alle Hosts mit derselben Netzwerkadresse versendet werden.
Netzmaske
In den oben beschriebenen Adressklassen wird die Größe der beiden
Abschnitte (Netzwerkadresse und Hostadresse) durch die Klasse festgelegt.
Dieses Unterteilungsschema kann auch durch eine der IP-Adresse zugeordnete
Netzmaske ausgedrückt werden. Über die 32 Bit lange Netzmaske lässt sich durch
logische UND-Verknüpfung mit einer IP-Adresse die Netzwerkadresse ermitteln.
Die Netzmasken für die Klassen A, B und C lauten z. B.: 255.0.0.0, 255.255.0.0
und 255.255.255.0. Die IP-Adresse „192.168.170.237“ ist eine Adresse der Klasse
C, deren Netzwerkabschnitt aus den vorderen 24 Bit besteht. Wenn diese Adresse,
wie hier gezeigt, mit der Netzmaske für die Klasse C logisch mit UND verknüpft
wird, bleibt nur der Netzwerkabschnitt der Adresse übrig:
11000000 10101000 10101010 11101101 (192.168.170.237)
verknüpft mit
11111111 11111111 11111111 00000000 (255.255.255.0)
ist gleich
11000000 10101000 10101010 00000000 (192.168.170.0)
Als kürzere Alternative zur Dezimalschreibweise kann die Netzmaske
auch als Anzahl der Einsen von links gezählt angegeben werden. Diese Anzahl
wird nach einem Backslash (/) an die IP-Adresse angehängt: „/n“. In unserem
Beispiel könnte die IP-Adresse also auch als „192.168.170.237/24“ geschrieben
werden. Dieser Schreibweise ist zu entnehmen, dass die Netzmaske aus 24 Einsen
gefolgt von 8 Nullen besteht.
Subnetzadressierung
Ein Blick auf die Adressstrukturen lässt erkennen, dass selbst bei
Adressen der Klasse C eine große Anzahl von Hosts pro Netzwerk zulässig ist.
Eine solche Struktur bedeutet eine ineffiziente Adressennutzung, wenn für jedes
Ende einer Routerverbindung eine andere Netzwerkadresse erforderlich ist.
Kleinere Büro-LANs verfügen häufig nicht über die dafür erforderliche
Geräteanzahl. Die Lösung für dieses Problem heißt Subnetzadressierung. Die
Subnetzadressierung ermöglicht die Aufteilung einer IP-Netzwerkadresse in
mehrere kleinere physikalische Netzwerke, die auch als Subnetze bezeichnet
werden. Dabei werden einige der Hostadressen als Subnetznummern verwendet. Eine
Adresse der Klasse B ergibt 16 Bit an Hostadressen bzw. 64.000 Hosts. Da die
meisten Organisationen keine 64.000 Hosts benötigen, bleiben freie Bits übrig,
die anders vergeben werden können. Mit Hilfe der Subnetzadressierung können
diese freien Bits genutzt werden (vgl. Abbildung unten).
Abbildung B-2: Subnetz in
einer Adresse der Klasse B
Eine Adresse der Klasse B kann auch in viele Adressen der Klasse C
aufgeteilt werden. Ein Beispiel:
Die IP-Adresse „172.16.0.0“ wurde vergeben, doch es gibt nicht
mehr als 255 Hostadressen. Dadurch
stehen 8 zusätzliche Bits für die Subnetzadresse zur Verfügung.
Zur Verdeutlichung: Bei der IP-Adresse „172.16.97.235“ ist 172.16 die
IP-Netzwerkadresse, 97 die Subnetzadresse und 235 die Hostadresse. Neben der
Erweiterung der verfügbaren Adressen hat die Subnetzadressierung jedoch auch
noch andere Vorteile. Mit Hilfe der Subnetzadressierung kann ein
Netzwerkmanager ein Adressschema für das Netzwerk entwickeln, bei dem für die
einzelnen geografischen Standorte oder Abteilungen der Organisation
unterschiedliche Subnetze eingerichtet werden. Auch wenn im obigen Beispiel das
gesamte dritte Oktett für eine Subnetzadresse verwendet wird, ist die
Einrichtung von Subnetzen keineswegs auf die Grenzen eines Oktetts beschränkt.
Wenn Sie weitere Netzwerknummern benötigen, müssen Sie lediglich einige Bits
von der Hostadresse in die Netzwerkadresse verschieben. Angenommen, Sie möchten
eine Netzwerknummer der Klasse C (z. B. „192.68.135.0“) in zwei Nummern
unterteilen. Dann verschieben Sie ein Bit von der Hostadresse in die Netzwerkadresse.
Die neue Netzmaske (oder Subnetzmaske) lautet: 255.255.255.128. Das erste Subnetz
hat die Netzwerknummer „192.68.135.0“ mit Hosts von „192.68.135.1“ bis
„192.68.135.126“, das zweite Subnetz hat die Netzwerknummer „192.68.135.128“
mit Hosts von „192.68.135.129“ bis „192.68.135.254“.
Hinweis: Die Nummer „192.68.135.127“ wird
nicht vergeben, da sie die Broadcast-Adresse des ersten Subnetzes ist. Die
Nummer „192.68.135.128“ wird nicht vergeben, da sie die Netzwerk-Adresse des
zweiten Subnetzes ist. In der folgenden Tabelle sind die zusätzlichen
Subnetzmaskenbits in Dezimalschreibweise aufgeführt. So verwenden Sie diese
Tabelle: Schreiben Sie die ursprüngliche Netzmaske der Klasse auf und ersetzen
Sie die Oktetts mit dem Wert „0“ durch den Wert der zusätzlichen Subnetz-Bits
in Dezimalschreibweise. Wenn Sie zum Beispiel ein Netzwerk der Klasse C mit der
Subnetzmaske „255.255.255.0“ in 16 Subnetze (4 Bit) unterteilen möchten, ist
die neue Subnetzmaske „255.255.255.240“.
Die folgende Tabelle enthält eine Auswahl häufiger Netzmaskenwerte
in Dezimalschreibweise und die Maskenlängenformate. Achten Sie bei der
Konfiguration darauf, dass alle Hosts in einem LAN-Segment dieselbe Netzmaske verwenden.
Dies empfiehlt sich aus folgenden Gründen:
Tabelle B-1. Tabelle zur
Netzmaskennotationsumwandlung für ein Oktett
Bits Wert in Dezimalschreibweise
1 128
2 192
3 224
4 240
5 248
6 252
7 254
8 255
Tabelle B-2.
Netzmaskenformate
Dezimalschreibweise Maskenlänge
255.0.0.0 /8
255.255.0.0 /16
255.255.255.0 /24
255.255.255.128 /25
255.255.255.192 /26
255.255.255.224 /27
255.255.255.240 /28
255.255.255.248 /29
255.255.255.252 /30
255.255.255.254 /31
255.255.255.255 /32
• Nur so können alle Hosts lokale IP-Broadcast-Datenpakete
erkennen. Wenn ein Gerät Broadcasts an seine Segmentnachbarn überträgt,
verwendet es als Zieladresse die lokale Netzwerkadresse mit lauter Einsen als
Hostadresse. Damit diese Vorgehensweise funktioniert, müssen auf allen Geräten
im Segment dieselben Bits als Hostadresse konfiguriert sein.
• Nur so kann ein lokaler Router oder eine lokale Bridge erkennen,
welche Adressen lokal und welche entfernt sind.
Private IP-Adressen
Wenn Ihr lokales Netzwerk vom Internet isoliert ist (z. B. wenn
Sie NAT verwenden), können Sie den Hosts beliebige IP-Adressen zuweisen, ohne
dass dadurch Probleme entstehen. Die folgenden drei Blöcke von IP-Adressen
wurden jedoch von der IANA speziell für private Netzwerke reserviert:
10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255
192.168.1.0 bis 192.168.255.255
Wählen Sie Ihre private Netzwerknummer also am besten aus diesen
Bereichen aus. Der DHCP-Server des WPN824 Routers ist so vorkonfiguriert, dass
er automatisch private Adressen vergibt. Erstellen Sie unter keinen Umständen
beliebige IP-Adressen, sondern folgen Sie immer den Hinweisen hier. Weitere
Informationen zur Adresszuweisung finden Sie in den Dokumenten RFC 1597, „Address
Allocation for Private Internets“, und RFC 1466, „Guidelines for
Management of IP Address Space“.
Die RFCs sind auf der Website der Internet Engineering Task Force
(IETF) unter www.ietf.org veröffentlicht.
Betrieb mit einer einzelnen IP-Adresse mit Hilfe von NAT
Um mehreren Computern eines LAN gleichzeitig den Zugriff aufs
Internet zu ermöglichen, musste man lange Zeit mehrere IP-Adressen vom
Internetdienstanbieter beziehen. Diese Art von Internetzugang ist teurer als
ein Konto mit einer einzigen Adresse, wie es typischerweise von einem Einzelbenutzer
mit einem Modem (statt eines Routers) eingesetzt wird. Der WPN824 Router verwendet
zur gemeinsamen Nutzung von Adressen eine Methode namens NAT (Network Address Translation).
Mit Hilfe dieser Methode können mehrere vernetzte Computer ein Internetkonto
mit einer einzigen IP-Adresse gemeinsam nutzen. Die IP-Adresse kann dabei vom
Internetdienstanbieter statisch oder dynamisch vergeben werden. Diese
gemeinsame Nutzung der Adresse wird dadurch ermöglicht, dass der Router die
internen LAN-IP-Adressen in eine einzige Adresse umwandelt, die im Internet
weltweit eindeutig ist. Die internen LAN-IP-Adressen können dabei entweder
private oder registrierte Adressen sein. Weitere Informationen zur Umwandlung
von IP-Adressen finden Sie im Dokument RFC 1631, Die folgende Abbildung
illustriert den Betrieb mit einer einzigen IP-Adresse.
Abbildung B-3: Betrieb mit einer einzelnen IP-Adresse mit Hilfe
von NAT
Die abgebildete Lösung bietet zudem einen Firewall-ähnlichen
Schutz, da die internen LAN-Adressen im Internet auf Grund der Umwandlung bei
der Verbindung nicht zu erkennen sind. Alle eingehenden Anforderungen werden
durch den Router gefiltert. Diese Filterung kann verhindern, dass unbefugte Eindringlinge
Ihr System ausspionieren. Mit Hilfe einer Portweiterleitung können Sie aber
dennoch einen Computer in Ihrem lokalen Netzwerk (z. B. einen Webserver) für
externe Benutzer zugänglich machen.
MAC-Adressen und ARP
(Address Resolution Protocol)
Eine IP-Adresse allein reicht nicht aus, um Daten von einem
LAN-Gerät an ein anderes zu senden. Um den Versand von Daten zwischen
LAN-Geräten zu ermöglichen, muss die IP-Adresse des Zielgeräts in dessen
MAC-Adresse (Media Access Control) umgewandelt werden. Jedes Gerät in einem
Netzwerk verfügt über eine eindeutige MAC-Adresse. Bei der MAC-Adresse handelt
es sich um eine 48-Bit-Nummer, die jedem Gerät vom Hersteller zugewiesen wird.
Zur Zuordnung von IP-Adressen zu MAC-Adressen wird ein Protokoll namens ARP
(Address Resolution Protocol) verwendet. IP verwendet ARP zum Ermitteln von
MAC-Adressen. Wenn ein Gerät Daten an eine andere Station im Netzwerk sendet
und die MAC-Zieladresse noch nicht erfasst ist, wird ARP verwendet. Dazu wird
eine ARP-Anforderung an das Netzwerk gesendet. Alle Stationen des Netzwerks
empfangen und lesen diese Anforderung. Die IP-Zieladresse der gewünschten Station
ist in dieser Anforderung enthalten. So antwortet nur die Station mit dieser
IP-Adresse auf die ARP-Anforderung. Alle anderen Stationen ignorieren die
Anfrage.
Weiterführende Dokumente
Die Station mit der richtigen IP-Adresse antwortet mit ihrer
eigenen MAC-Adresse direkt an das sendende Gerät. Die Empfängerstation gibt die
gewünschte MAC-Zieladresse an die übertragende Station weiter. Die IP- und
MAC-Adressdaten für die einzelnen Stationen werden in einer ARP-Tabelle gespeichert.
Beim nächsten Versand von Daten kann die Adresse den in der Tabelle
gespeicherten Informationen entnommen werden.
Weitere Informationen zur Adresszuweisung finden Sie in den IETF-Dokumenten RFC
1597, „Address Allocation for Private Internets“, und RFC 1466, „Guidelines
for Management of IP Address Space“. Weitere Informationen zur Umwandlung
von IP-Adressen finden Sie im Dokument RFC 1631, „The IP Network Address
Translator (NAT)“.
DNS-Server
Viele der Ressourcen im Internet können über einfache
beschreibende Namen wie www.NETGEAR.com
erreicht werden. Diese Art der Adressierung ist auf der
Anwendungsebene sehr praktisch, doch damit ein Benutzer wirklich auf die
Ressource zugreifen kann, muss der beschreibende Name in eine IP-Adresse umgewandelt
werden. Ähnlich wie ein Telefonbuch bestimmten Namen bestimmte Telefonnummern zuordnet
oder eine ARP-Tabelle IP-Adressen die entsprechenden MAC-Adressen zuordnet,
ordnet ein DNS-Server (Domain Name System) beschreibenden Namen die richtigen
IP-Adressen zu. Wenn ein Computer über einen beschreibenden Namen auf eine
Ressource zugreift, kontaktiert er dabei zuerst einen DNS-Server, um die
IP-Adresse der Ressource zu erfahren. Der Computer sendet die gewünschte
Nachricht über die IP-Adresse. Viele große Unternehmen, wie z. B. Internetdienstanbieter,
haben eigene DNS-Server und gestatten ihren Kunden die Benutzung dieser Server
zum Nachschlagen von Adressen.
IP-Konfiguration über DHCP
Bei der Installation eines IP-basierten LANs muss für jeden
Computer eine IP-Adresse konfiguriert werden. Wenn der Computer auf das
Internet zugreifen soll, sollten zudem eine Gateway-Adresse und eine oder
mehrere DNS-Serveradressen konfiguriert werden. Als Alternative zur manuellen Konfiguration
gibt es auch eine Methode, mit der jeder Computer im Netzwerk diese Konfigurationsdaten
automatisch abrufen kann: Ein Gerät im Netzwerk wird als DHCP-Server (Dynamic
Host Configuration Protocol) eingesetzt. Der DHCP-Server speichert neben
anderen Informationen (darunter Gateway- und DNS-Adressen) eine Liste von
IP-Adressen, die er an andere Geräte im Netzwerk vergeben kann. Der WPN824
Router kann als DHCP-Server eingesetzt werden. Beim Verbindungsaufbau zum
Internetdienstarbeiter dient der WPN824 Router außerdem als DHCP-Client. Falls
der Internetdienstanbieter diese Informationen per DHCP zur Verfügung stellt, kann die Firewall automatisch IP-Adresse,
Subnetzmaske, DNS-Serveradressen und eine Gateway-Adresse abrufen.
Internetsicherheit und Firewalls
Wenn Ihr LAN über einen Router an das Internet angeschlossen ist,
besteht die Gefahr, dass Eindringlinge von außen auf Ihr Netzwerk zugreifen
oder Störungen verursachen. Ein NAT-Router gewährt hier einen gewissen Schutz,
da bei diesem Verfahren das Netzwerk hinter dem Router vor externen Zugriffen
über das Internet geschützt ist. Hartnäckige Hacker können sich allerdings
dennoch Informationen über Ihr Netzwerk verschaffen oder zumindest Ihre
Internetverbindung unterbrechen. Besseren Schutz bietet ein Firewall-Router.
Was ist eine Firewall?
Eine Firewall ist ein Gerät, das ein Netzwerk vor einem anderen
Netzwerk schützt, aber dennoch einen Austausch zwischen den beiden Netzwerken
zulässt. Eine Firewall beinhaltet die Funktionen eines NAT-Routers, ergänzt
diese jedoch um weitere Funktionen zur Abwehr von unbefugten Zugriffen und Angriffen
durch Hacker. Eine Reihe bekannter Typen von Zugriffsversuchen und
Hackerangriffen kann erkannt werden, sobald sie auftreten. Wenn es zu einem
Vorfall kommt, kann die Firewall Einzelheiten des Angriffsversuchs
protokollieren und ggf. den Administrator per E-Mail benachrichtigen. Mit den im
Protokoll festgehaltenen Daten kann der Administrator sich dann an den
Internetdienstanbieter des Hackers wenden. Bei manchen Arten von
Zugriffsversuch kann die Firewall den Hacker abwehren, indem alle weiteren
Pakete, die von der IP-Adresse des Hackers stammen, für eine gewisse Zeit ignoriert
werden.
SPI (Stateful Packet
Inspection)
Anders als gewöhnliche Router für die gemeinsame Internetnutzung
verwendet eine Firewall einen Prozess namens SPI (Stateful Packet Inspection).
Dabei wird das Netzwerk durch sichere Firewall-Filterung vor Angriffen und
Zugriffsversuchen geschützt. Da Benutzeranwendungen wie FTP und Webbrowser
komplexe Netzwerkverkehrsmuster schaffen können, muss die Firewall in der Lage sein,
den Status von Netzwerkverbindungen gruppenweise zu analysieren. Durch SPI
werden eingehende Pakete in der Vermittlungsschicht abgefangen und dann in
Bezug auf statusbezogene Informationen zu allen Netzwerkverbindungen
analysiert. Ein zentraler Cache-Speicher innerhalb der Firewall protokolliert
die Statusinformationen zu allen Netzwerkverbindungen. Der gesamte Datenverkehr,
der durch die Firewall geht, wird in Hinblick auf den Status dieser Verbindung analysiert.
Dadurch wird bestimmt, ob die Daten durchgelassen oder abgelehnt werden.
Denial-of-Service-Angriffe
Mit Denial-of-Service-Angriffen (DoS) können Hacker Ihr Netzwerk
funktionsunfähig machen oder die Kommunikation verhindern. Ein derartiger
Angriff kann mit ganz einfachen Mitteln geschehen. Es reicht schon aus, Ihre
Website mit mehr Anfragen zu überschwemmen, als diese verarbeiten kann. Ein etwas
raffinierterer Angreifer versucht vielleicht, Schwachstellen im Betriebssystem
Ihres Routers oder Gateways auszunutzen. Manche Betriebssysteme können z. B.
schon durch Senden eines Datenpakets mit falschen Längenangaben gestört werden.
Netzwerk-Verkabelung
Ursprünglich wurden für Netzwerke dicke oder dünne Koaxialkabel
verwendet, doch inzwischen werden meistens ungeschirmte Twisted-Pair-Kabel
(UTP) eingesetzt. Ein UTP-Kabel besteht aus vier miteinander verdrillten Aderpaaren
und hat einen RJ45-Stecker. Ein normales UTP-Patchkabel (Durchgangskabel)
entspricht der Standardverdrahtung nach EIA568B, die unten in Tabelle
B-3 dargestellt ist.
Kabel der Kategorie 5
Kabel der Kategorie 5 (CAT 5), die den Standards ANSI/EIA/TIA-568-A
entsprechen, dürfen eine Gesamtlänge von 100 m nicht überschreiten. Diese Länge
ist wie folgt aufzuteilen: 6 m zwischen dem Switch und dem Patch-Panel (falls
eines verwendet wird) 90 m zwischen dem Kabelschrank und der Wandsteckdose 3 m
zwischen der Wandsteckdose und dem Desktop-Gerät Das Patch-Panel und sonstige
Geräte müssen den Anforderungen für den Betrieb bei 100 MBit/s (Kategorie 5)
entsprechen. An den Schnittstellen darf das Leitungspaar jeweils max. 1,5 cm
entdrillt werden.
Bei Twisted-Pair-Netzwerken, die mit 10 MBit/s (10BASE-T)
arbeiten, wirkt es sich meist nicht nachteilig aus, wenn Kabel von niedriger
Qualität verwendet werden. Bei 100 MBit/s (100BASE-Tx) muss das Kabel dagegen
der Kategorie 5 (Cat 5) der EIA (Electronic Industries Alliance) entsprechen. Diese
Kategorie ist auf die Kabelummantelung aufgedruckt. Ein Kabel der Kategorie 5
erfüllt besondere Anforderungen hinsichtlich Datenverlust und Störsignalen.
Sowohl bei Netzwerken mit 10 MBit/s als auch bei Netzwerken mit 100 MBit/s sind
zudem Einschränkungen bezüglich der maximalen Kabellänge zu berücksichtigen.
Tabelle B-3. Verdrahtung
eines UTP-Patchkabels
Pin Leitungsfarbe Signal
1 Orange/Weiß Senden (Tx) +
2 Orange Senden (Tx) -
3 Grün/Weiß Empfangen (Rx) +
4 Blau
5 Blau/Weiß
6 Grün Empfangen (Rx) -
7 Braun/Weiß
8 Braun
Das Innenleben eines
Twisted-Pair-Kabels
Damit zwei Geräte miteinander kommunizieren können, muss der
Sender jedes Geräts mit dem Empfänger des jeweils anderen Geräts verbunden
sein. Die Crossover-Funktion ist normalerweise in die Schaltkreise des Geräts
integriert. Adapterkarten für Computer und Workstations sind in der Regel MDI-Ports
(Media Dependent Interface), die auch als Uplink-Ports bezeichnet werden. Die
meisten Repeater und Switch-Ports sind als MDI mit integrierten Crossover-Ports
konfiguriert. Diese werden als MDI-X-Ports oder normale Ports bezeichnet. Die
Auto Uplink-Technologie erkennt automatisch, welche Verbindungsart (MDI oder
MDI-X) benötigt wird, und stellt die richtige Verbindung her.
Abbildung B-4 zeigt ein
Twisted-Pair-Durchgangskabel
Abbildung B-4: Twisted-Pair-Durchgangskabel
Abbildung B-5 zeigt ein
Twisted-Pair-Crossover-Kabel
Abbildung B-5: Twisted-Pair-Crossover-Kabel
Abbildung B-6: UTP-Kabel der Kategorie 5 mit RJ-45-Stecker an
beiden Enden
Hinweis: Manche Telefonkabel können auch
über einen RJ-45-Stecker verfügen. Die Verwendung von Telefonkabeln führt
jedoch zu einer Vielzahl von Kollisionen, so dass der darüber angeschlossene
Port partitioniert oder vom Netzwerk getrennt wird.
Uplink-Switches,
Crossover-Kabel und MDI-/MDIX-Umschaltung
In der Verdrahtungstabelle weiter oben sind die Signale „Senden“
und „Empfangen“ aus der
Perspektive des Computers dargestellt, der als MDI (Media
Dependent Interface) verdrahtet ist. Bei dieser Verdrahtung sendet der Computer
über die Pins 1 und 2. Im Switch wird die Perspektive umgekehrt, und über die
Pins 1 und 2 erfolgt der Empfang. Diese Art der Verdrahtung wird als „MDI-X“
(Media Dependant Interface - Crossover) bezeichnet. Wenn ein Computer mit einem
anderen Computer oder ein Switch-Port mit einem anderen Switch-Port verbunden
werden soll, muss das Senderpaar mit dem Empfängerpaar vertauscht werden.
Dieser Tausch kann über einen der folgenden zwei Mechanismen bewerkstelligt
werden. Die meisten Switches verfügen über einen Uplink-Umschalter, der es
ermöglicht, die Paare an einem Port zu vertauschen, so dass dieser Port über
ein normales Netzwerkkabel mit einem anderen Switch verbunden werden kann. Die
zweite Möglichkeit ist die Verwendung eines Crossover-Kabels. Dabei handelt es
sich um ein spezielles Kabel, bei dem das Sender- und Empfängerpaar in einem
der Anschlüsse vertauscht ist. Crossover-Kabel sind oft nicht als solche
gekennzeichnet, können jedoch durch einen Vergleich der beiden Anschlüsse
identifiziert werden. Da die Stecker aus durchsichtigem Plastik sind, kann man
sie leicht nebeneinander legen und die Reihenfolge der Leitungsfarben vergleichen.
Bei einem Durchgangskabel ist die Farbreihenfolge in beiden Steckern gleich.
Bei einem Crossover-Kabel sind das orangefarbene und das grüne Paar bei einem
der beiden Stecker vertauscht. Der WPN824 Router verwendet die Auto UplinkTM-Technologie
(auch als MDI/MDIX bezeichnet). Dies bedeutet, dass jeder LAN-Port automatisch
erkennt, ob für das eingesteckte Netzwerkkabel eine normale Verbindung (d. h.
eine Verbindung zu einem Computer) oder eine Uplink-Verbindung (d. h. eine
Verbindung zu einem Router oder Switch) erforderlich ist. Der Port konfiguriert
sich dann den Anforderungen entsprechend selbst. Diese Funktion macht zudem die
Verwendung von Crossover-Kabeln unproblematisch, da Auto UplinkTM
bei beiden Kabeltypen die richtige Verbindung herstellt.
Anhang C
Netzwerkeinrichtung
In diesem Anhang wird beschrieben, wie Sie Ihr Netzwerk auf eine
Internetverbindung über den RangeMax Wireless Router WPN824 vorbereiten und
überprüfen, ob der Breitband-Internetservice Ihres Internetdienstanbieters
(kurz ISP) bereit ist.
Voraussetzungen zum Einsatz eines Routers mit einem
Breitbandmodem
Vor Beginn müssen Sie folgende Vorbereitungen treffen:
Kabel und
Computer-Hardware
Der WPN824 Router kann in Ihrem Netzwerk nur eingesetzt werden,
wenn jeder Computer mit einem 802.11g- oder 802.11b-Wireless-Adapter bzw. einer
kabelgebundenen Netzwerkkarte und einem Netzwerkkabel ausgestattet ist. Wenn
Ihr Computer die Verbindung zum Netzwerk über eine Netzwerkkarte mit 100 MBit/s
herstellt, müssen Sie ein CAT-5-Kabel (Kategorie 5) wie das im Lieferumfang
Ihres Routers enthaltene verwenden. Das Kabel- oder DSL-Breitbandmodem muss über
eine übliche 10 MBit/s Ethernet-Schnittstelle (10BASE-T) oder über eine 100
MBit/s Fast
Ethernet-Schnittstelle
(100BASE-Tx) verfügen.
Netzwerkkonfiguration des
Computers
Der WPN824 wird mit einer integrierten Konfigurationsoberfläche
(Web Configuration Manager) geliefert. Für den Zugriff auf die
Konfigurationsmenüs des WPN824 muss auf Ihrem Computer ein Java-fähiger
Webbrowser, der HTTP-Uploads unterstützt, installiert sein (z. B. Microsoft
Internet Explorer oder Netscape Navigator). Verwenden Sie Internet Explorer
bzw. Netscape Navigator 4.0 oder höher.
Hinweis: Wenn ein Techniker Ihres
Internetdienstanbieters Ihren Computer bei der Installation eines
Breitbandmodems konfiguriert hat oder wenn Sie ihn nach Anleitung Ihres Dienstanbieters
konfiguriert haben, sollten Sie die aktuellen Konfigurationsdaten für die Konfiguration
Ihrer Firewall übernehmen. Notieren Sie sich diese Informationen, bevor Sie Ihre
Computer neu konfigurieren.
Für die erste Konfiguration Ihres Routers müssen Sie einen
Computer über ein Netzwerkkabel an den Router anschließen. Dieser Computer muss
so eingerichtet sein, dass er seine TCP/IP-Konfiguration vom Router automatisch
über DHCP erhält.
.
Konfiguration des
Internetzugangs
Je nachdem, wie der Internetzugang von Ihrem Internetdienstanbieter
eingerichtet wurde, benötigen Sie einen oder mehrere der folgenden
Konfigurationsparameter zum Anschluss des Routers an das Internet:
• Host- und Domainnamen
• Benutzernamen und Passwort zur Anmeldung beim
Internetdienstanbieter
• DNS-Serveradressen (Domain Name Server) des
Internetdienstanbieters
• Feste IP-Adresse, auch statische IP-Adresse genannt
Wo erhalte ich die
Parameter für die Internetkonfiguration?
Die erforderlichen Informationen für die Internetverbindung können
Sie auf unterschiedliche Weise erhalten.
• Ihr Internetdienstanbieter liefert alle Informationen, die Sie
für die Verbindung zum Internet benötigen. Wenn Sie diese Informationen nicht
finden können, fordern Sie sie bei Ihrem Internetdienstanbieter an oder
versuchen Sie es mit einer der unten genannten Möglichkeiten.
• Wenn Sie einen Computer mit einer bestehenden Internetverbindung
haben, können Sie die Informationen auf diesem Computer abrufen.
— Öffnen Sie unter Windows 95/98/ME die Systemsteuerung, wählen
Sie unter „Netzwerk“ den TCP/IP-Eintrag für den Netzwerk-Adapter und klicken
Sie auf Eigenschaften. Notieren Sie die Einstellungen, die auf jeder
Registerkarte stehen.
— Öffnen Sie unter Windows 2000/XP die LAN-Verbindung, wählen Sie
den TCP/IP-Eintrag für den Netzwerk-Adapter und klicken Sie auf Eigenschaften.
Notieren Sie die Einstellungen, die auf jeder Registerkarte stehen.
— Notieren Sie bei Apple-Computern die Einstellungen im TCP/IP-
oder Netzwerk-Kontrollfeld.
Aufzeichnung der
Internetzugangsdaten
Drucken Sie diese Seite aus. Tragen Sie die
Konfigurationsparameter Ihres Internetdienstanbieters (ISP) ein.
ISP-Benutzername: Bei
der Eingabe des Benutzernamens und Passworts für die Anmeldung kommt es auf die
genaue Schreibweise (mit Groß- und Kleinschreibung) an, die Sie von Ihrem Internetdienstanbieter
erhalten haben. Manche Internetdienstanbieter verwenden Ihre vollständige E-Mail-Adresse
als Benutzernamen. Der Dienstname wird nicht von allen Internetdienstanbietern gefordert.
Wenn Sie sich mit einem Benutzernamen und Passwort anmelden, tragen Sie
Folgendes ein:
Benutzername: ______________________________
Passwort:
____________________________
Dienstname:
_____________________________
Feste oder statische
IP-Adresse: Wenn Sie eine statische
IP-Adresse haben, notieren Sie die folgenden Informationen. 169.254.141.148 ist
ein Beispiel für eine gültige IP-Adresse. Feste oder statische
Internet-IP-Adresse: ______ ______ ______ ______
Gateway-IP-Adresse: ______
______ ______ ______
Subnetzmaske: ______
______ ______ ______
DNS-Serveradressen des
Internetdienstanbieters: Wenn Sie
DNS-Serveradressen erhalten haben,
tragen Sie Folgendes ein:
Erste DNS-Server-IP-Adresse: ______
______ ______ ______
Zweite DNS-Server-IP-Adresse:
______ ______ ______ ______
Host- und Domainnamen: Manche
Internetdienstanbieter verwenden einen bestimmten Host- oder Domainnamen, z. B.
CCA7324-A oder home.
Wenn Sie keine Host- oder Domainnamen erhalten haben, können Sie sich von den
folgenden Beispielen anregen lassen: • Wenn Ihr vorrangiges E-Mail-Konto bei
Ihrem Internetdienstanbieter aaa@yyy.de lautet,
verwenden Sie aaa als Hostnamen. Ihr Internetdienstanbieter
kann ihn als Konto-, Benutzer-, Host-, Computer- oder Systemnamen bezeichnen.
• Wenn der Mailserver Ihres Internetdienstanbieters mail.xxx.yyy.de
heißt, verwenden Sie xxx.yyy.de als
Domainnamen.
Hostname des ISP:
_________________________
Domainname des ISP:
_______________________
Anhang D
Grundlagen drahtloser Netzwerke
Dieses Kapitel gibt einen Überblick über drahtlose Netzwerke.
Überblick über drahtlose Netzwerke
Der WPN824 Router erfüllt die Standards 802.11b und 802.11g für
drahtlose Netzwerke (kurz WLANs) des IEEE (Institute of Electrical and
Electronics Engineers). Bei einer drahtlosen Verbindung des Typs 802.11b oder g
werden die Daten über das DSSS-Verfahren (Direct Sequence Spread Spectrum)
verschlüsselt und im lizenzfreien Frequenzband bei 2,4 GHz übertragen. Die
maximale Übertragungsrate für drahtlose Verbindungen des Typs 802.11b beträgt
11 MBit/s. Wenn das Funksignal schwach ist oder Interferenzen entdeckt werden,
wird die Übertragungsrate jedoch automatisch von 11 MBit/s zunächst auf 5,5,
dann auf 2 und schließlich auf 1 MBit/s gesenkt. Beim Standard 802.11g liegen
die automatisch erfassten Übertragungsraten bei 1; 2; 5,5; 6; 9; 12; 18; 24;
36; 48; 54 und im Turbomodus bei 108 MBit/s.
Die WECA (Wireless Ethernet Compatibility Alliance, vgl. http://www.wi-fi.net),
eine Gruppe, die Branchenstandards für die Kompatibilität von 802.11-Geräten
festlegt, bezeichnet den Standard 802.11 auch als „Wireless Ethernet“ oder
„Wi-Fi“. Der Standard 802.11 bietet zwei Modi zum Betrieb eines drahtlosen
Netzwerks, den Ad-hoc-Modus und den Infrastruktur-Modus.
Infrastruktur-Modus
Mit einem Wireless Access Point können Sie das WLAN im Infrastruktur-Modus
betreiben. Dieser Modus bietet drahtlose Verbindungen für eine Vielzahl von
drahtlosen Geräten, die sich innerhalb einer festgelegten Reichweite befinden
und über eine Antenne mit den Hosts des drahtlosen Netzwerks kommunizieren.
Im Infrastruktur-Modus wandelt der Wireless Access Point Funkdaten
in Daten für das kabelgebundene Netzwerk um. Er bildet also eine Bridge
zwischen dem verdrahteten LAN und drahtlosen Clients. Der Funkbereich des
drahtlosen Netzwerks kann vergrößert werden, indem mehrere Access Points über
einen verkabelten Netzwerk-Backbone verbunden werden. Wenn ein mobiles Gerät die
Funkzelle eines Access Points verlässt, bewegt es sich in die Funkzelle eines
anderen. So können drahtlose Clients sich frei von einem Access-Point-Bereich
zum nächsten bewegen, ohne dass dabei die Verbindung unterbrochen wird.
Ad-hoc-Modus
(Peer-to-Peer-Arbeitsgruppe)
In einem Ad-hoc-Netzwerk werden Computer je nach Bedarf verbunden.
Es gibt also keinerlei Struktur oder feste Stationen in diesem Netzwerk – in
der Regel kann jeder Host mit allen anderen Hosts kommunizieren. Bei dieser
Konfiguration gibt es keinen Access Point. In diesem Modus können Sie schnell
eine kleine drahtlos verbundene Arbeitsgruppe einrichten, deren Mitglieder dann
über das Microsoft-Netzwerk ihrer jeweiligen Windows-Betriebssysteme Daten
austauschen und Drucker gemeinsam nutzen können. Manche Hersteller bezeichnen
Ad-hoc-Netzwerke auch als „Peer-to-Peer-Netzwerke“. In dieser Betriebsart
werden Datenpakete direkt von den Sende- an die Empfangsstationen gesendet.
Solange sich die Stationen in Funkreichweite zueinander befinden,
ist dies die einfachste und preisgünstigste Methode zur Einrichtung eines
drahtlosen Netzwerks.
Netzwerkname: ESSID
(Extended Service Set Identifier)
Die ESSID ist eine von zwei Arten von SSID (Service Set
Identifier). In einem drahtlosen Ad-hoc-Netzwerk ohne Access Points wird eine
BSSID (Basic Service Set Identifier) verwendet. In einem drahtlosen
Infrastruktur-Netzwerk, das einen Access Point enthält, wird die ESSID
verwendet, die manchmal auch einfach als SSID bezeichnet wird. Eine SSID ist
ein aus maximal 32 alphanumerischen Zeichen bestehender Code, der den Namen des
WLANs festlegt. Manche Hersteller bezeichnen die SSID auch als „Netzwerknamen“.
Damit die drahtlosen Geräte in einem Netzwerk miteinander kommunizieren können,
müssen alle Geräte mit derselben SSID konfiguriert werden. Die ESSID wird
normalerweise von einem Access Point gesendet. Die drahtlose Station kann manchmal
mit einer ESSID namens ANY konfiguriert werden. Bei dieser Konfiguration
versucht die drahtlose Station, sich dem Access Point mit dem stärksten
Funksignal zuzuordnen. Voraussetzung dafür ist, dass sowohl der Access Point
als auch die drahtlose Station zur Authentifizierung Open System verwenden.
Authentifizierung und WEP-Datenverschlüsselung
Da keine physische Verbindung zwischen den Hosts besteht, sind
drahtlose Verbindungen anfällig für Eindringlinge und Datendiebstahl. Um ein
gewisses Maß an Sicherheit zu bieten, wurden im Standard IEEE 802.11 die
folgenden beiden Authentifizierungsmethoden definiert:
• Open System.
Bei der Authentifizierung über Open System kann ein drahtloser Computer sich jedem
Netzwerk anschließen und alle unverschlüsselten Nachrichten empfangen.
• Shared Key.
Bei der Authentifizierung über Shared Key können sich nur PCs, die über den richtigen
Authentifizierungsschlüssel verfügen, dem Netzwerk anschließen. Drahtlose IEEE 802.11-Geräte
sind standardmäßig so konfiguriert, dass sie mit Open System arbeiten. Wenn die
Geräte für den Authentifizierungsmodus Shared Key konfiguriert werden, wird zur
Datenverschlüsselung WEP (Wired Equivalent Privacy) verwendet.
802.11-Authentifizierung
Im Standard 802.11 wurden mehrere Dienste definiert, die die
Kommunikation von zwei 802.11-Geräten bestimmen. Eine 802.11-Station kann erst
über einen Access Point, wie er im WPN824 integriert ist, mit einem Netzwerk
kommunizieren, wenn die folgenden Schritte geschehen sind:
1. Die drahtlose Station wird eingeschaltet.
2. Die Station sucht nach Nachrichten von Access Points in ihrer
Reichweite.
3. Die Station empfängt eine Nachricht von einem Access Point mit
einer passenden SSID.
4. Die Station sendet eine Authentifizierungsanforderung an den
Access Point.
5. Der Access Point authentifiziert die Station.
6. Die Station sendet eine Zuordnungsanforderung an den Access Point.
7. Der Access Point ordnet sich der Station zu.
8. Die Station kann nun über den Access Point mit dem Netzwerk
kommunizieren.
Erst wenn die Station durch den Access Point authentifiziert
wurde, kann sie sich dem Access Point zuordnen und mit dem Netzwerk
kommunizieren. Im Standard IEEE 802.11 wurden zwei Arten der Authentifizierung
festgelegt: Open System und Shared Key.
• Bei der Authentifizierung über Open System kann sich jedes Gerät
dem Netzwerk anschließen, dessen SSID mit der SSID des Access Points
übereinstimmt. Wenn als SSID „ANY“ ausgewählt ist, kann das entsprechende Gerät
sich unabhängig von der SSID jedem verfügbaren Access Point in Reichweite
zuordnen.
• Bei der Shared-Key-Authentifizierung müssen die Station und der
Access Point denselben WEP-Schlüssel haben, damit eine Authentifizierung
möglich ist. Die beiden Authentifizierungsmethoden werden im Folgenden näher
erklärt.
Open-System-Authentifizierung
Wenn zwei Geräte sich über Open System authentifizieren, läuft der
Verbindungsaufbau zum Netzwerk wie folgt ab:
1. Die Station sendet eine Authentifizierungsanforderung an den
Access Point.
2. Der Access Point authentifiziert die Station.
3. Die Station ordnet sich dem Access Point zu und schließt sich dem
Netzwerk an.
Dieser Vorgang ist in der Abbildung unten dargestellt.
Abbildung D-1: Open-System-Authentifizierung
Shared-Key-Authentifizierung
Wenn zwei Geräte sich per Shared Key authentifizieren, läuft der
Verbindungsaufbau zum Netzwerk wie folgt ab:
1. Die Station sendet eine Authentifizierungsanforderung an den
Access Point.
2. Der Access Point sendet eine Testnachricht an die Station.
3. Die Station verwendet zum Verschlüsseln der Testnachricht den
konfigurierten 64-Bit- oder 128-Bit-Standardschlüssel und sendet den
verschlüsselten Text dann an den Access Point.
4. Der Access Point entschlüsselt den verschlüsselten Text mit Hilfe
des konfigurierten WEP-Schlüssels, der dem Standardschlüssel der Station
entspricht. Der Access Point vergleicht den entschlüsselten Text mit dem
ursprünglichen Text. Wenn der entschlüsselte Text mit dem ursprünglichen Text
übereinstimmt, verwenden der Access Point und die Station denselben WEP-Schlüssel
und der Access Point authentifiziert die Station.
5. Die Station stellt eine Verbindung zum Netzwerk her. Wenn der
entschlüsselte Text nicht mit dem ursprünglichen Text übereinstimmt (und der
Access Point und die Station demnach nicht denselben WEP-Schlüssel verwenden),
verweigert der Access Point der Station die Authentifizierung und die Station
kann weder mit dem 802.11-Netzwerk noch mit dem kabelgebundenen Netzwerk
kommunizieren. Dieser Vorgang ist in der Abbildung unten dargestellt.
Abbildung D-2: Shared-Key-Authentifizierung
Überblick über die
WEP-Parameter
Bevor Sie bei einem 802.11-Netzwerk WEP aktivieren, sollten Sie
überlegen, welche Art der Verschlüsselung Sie benötigen und wie groß der
Schlüssel sein soll. Bei 802.11-Geräten gibt
es in der Regel drei Optionen für die WEP-Verschlüsselung:
1. WEP wird überhaupt nicht verwendet: Das 802.11-Netzwerk
verschlüsselt keinerlei Daten. Zur Authentifizierung wird Open System
verwendet.
2. WEP wird zur Verschlüsselung verwendet: Sendende
802.11-Geräte verschlüsseln den Datenbestandteil jedes Datenpakets, das
versendet wird, mit einem konfigurierten WEP-Schlüssel. Das Empfangsgerät
entschlüsselt die Daten mit demselben WEP-Schlüssel. Zur Authentifizierung wird
Open System verwendet.
3. WEP wird zur Authentifizierung und Verschlüsselung verwendet:
Sendende 802.11-Geräte verschlüsseln den Datenbestandteil jedes
Datenpakets, das versendet wird, mit einem konfigurierten WEP-Schlüssel. Das
Empfangsgerät entschlüsselt die Daten mit demselben WEP-Schlüssel. Zur Authentifizierung
im drahtlosen Netzwerk wird die Shared-Key-Authentifizierung verwendet.
Hinweis: Bei manchen 802.11-Access-Points
ist es zudem möglich, WEP nur zur Authentifizierung
zu verwenden (Shared-Key-Authentifizierung
ohne Datenverschlüsselung).
Schlüsseltiefe
Der Standard IEEE 802.11 unterstützt zwei Arten der
WEP-Verschlüsselung: 64 Bit und 128 Bit. Bei der
64-Bit-WEP-Datenverschlüsselung können 5 Zeichen (40 Bits) eingegeben werden.
Dazu kommen 24 voreingestellte Bits, die zusammen mit den 40 Bits einen
64-Bit-Schlüssel ergeben. (Die voreingestellten 24 Bits können nicht vom
Benutzer geändert werden.) Dieser Schlüssel wird zur Verschlüsselung und
Entschlüsselung aller Daten verwendet, die über das drahtlose Gerät versendet werden.
Manche Hersteller bezeichnen die 64-Bit-WEP-Verschlüsselung als „40-Bit-WEP-Verschlüsselung“,
da der Benutzer nur 40 Bits selbst bestimmen kann. Bei der
128-Bit-WEP-Verschlüsselung können 104 Bits vom Benutzer bestimmt werden.
Ähnlich wie bei der 64-Bit-WEP-Verschlüsselung sind die restlichen 24 Bits
voreingestellt und können nicht vom Benutzer geändert werden. Manche Hersteller
erlauben die Verwendung von Kennwörtern anstelle der komplizierten
Hexadezimalcodes, um die Eingabe des Schlüssels zu erleichtern. Die
128-Bit-Verschlüsselung ist sicherer als die 64-Bit-Verschlüsselung. Es kann
jedoch sein, dass sie auf Grund von Exportvorschriften nicht überall verfügbar
ist. 802.11-Geräte, die für 64-Bit-Verschlüsselung konfiguriert sind,
unterstützen normalerweise bis zu vier WEP-Schlüssel. Jeder
64-Bit-WEP-Schlüssel besteht aus 5 Paaren von hexadezimalen Zeichen (0–9 and
A–F). „12 34 56 78 90“ wäre ein Beispiel für einen 64-Bit-WEP-Schlüssel.
802.11-Geräte, die für 128-Bit-Verschlüsselung konfiguriert sind,
unterstützen normalerweise vier WEP-Schlüssel. Produkte mancher Hersteller
unterstützen allerdings nur einen 128-Bit-Schlüssel. Der 128-Bit-WEP-Schlüssel
besteht aus 13 Paaren von hexadezimalen Zeichen (0–9 and A–F). „12 34 56 78 90
AB CD EF 12 34 56 78 90“ wäre ein Beispiel für einen 128-Bit-WEP-Schlüssel.
Tabelle D-1: Schlüsselgrößen
Hinweis: 802.11-Access-Points können
normalerweise bis zu vier 128-Bit-WEP-Schlüssel speichern. Manche
802.11-Client-Adapter können jedoch nur einen derartigen Schlüssel speichern.
Vergewissern Sie sich also, dass die Konfiguration Ihres 802.11-Access-Points
mit der des Client-Adapters übereinstimmt.
Schlüsselgröße Anzahl hexadezimaler
Zeichen Beispiel für einen hexadezimalen Schlüssel
64-Bit (24+40) 10 4C72F08AE1
128-Bit (24+104) 26 4C72F08AE19D57A3FF6B260037
WEP-Konfigurationsoptionen
Die WEP-Einstellungen müssen bei allen 802.11-Geräten, die zum
selben drahtlosen Netzwerk gehören (also dieselbe SSID aufweisen),
übereinstimmen. Wenn Ihre mobilen Clients also zwischen verschiedenen Access
Points wechseln sollen, müssen die WEP-Einstellungen bei allen
802.11-Access-Points und allen 802.11-Client-Adaptern im Netzwerk identisch
sein.
Hinweis: Achten Sie darauf, die Schlüssel
beim Client-Adapter in derselben Reihenfolge einzugeben wie beim Access Point.
WEP-Schlüssel 1 des Access Points muss also mit WEP-Schlüssel 1 des Client-Adapters
übereinstimmen, WEP-Schlüssel 2 des Access Points mit WEP-Schlüssel 2 des Client-Adapters
usw.
Hinweis: Access Point und Client-Adapter
müssen nicht denselben Standardschlüssel verwenden. Die Hauptsache ist, dass
die Schlüssel in derselben Reihenfolge erscheinen. Das heißt, wenn der Access Point
WEP-Schlüssel 2 als Standardschlüssel für die Übertragung verwendet, kann ein
Client-Adapter trotzdem WEP-Schlüssel 3 als Standardschlüssel für die
Übertragung verwenden. Die zwei Geräte können dennoch miteinander
kommunizieren, solange der WEP-Schlüssel 2 mit dem WEP-Schlüssel 2 des
Client-Adapters identisch ist und der WEP-Schlüssel 3 des Access Points mit dem
WEP-Schlüssel 3 des Client-Adapters.
Drahtlose Kanäle
Unten finden Sie eine Erläuterung der drahtlosen Frequenzen, die
von 802.11b/g-Netzwerken verwendet werden.
Die Hosts in drahtlosen Netzwerken des Typs IEEE 802.11b/g
kommunizieren über Funkfrequenzen im ISM-Band (Industrial, Scientific, and
Medical) zwischen 2,4 und 2,5 GHz. Der Abstand zwischen den Kanälen beträgt
jeweils 5 MHz. Auf Grund des Streuspektrums der Signale kommt es jedoch häufig
vor, dass ein Host beim Versand von Signalen über einen bestimmten Kanal ein Frequenzspektrum
von bis zu 12,5 MHz ober- und unterhalb der eigentlichen Kanalfrequenz nutzt.
Dies führt zu Interferenzen, wenn in einer Umgebung zwei separate
drahtlose Netzwerke nebeneinander bestehen, die aneinander grenzende Kanäle
benutzen (z. B. Kanal 1 und 2). Die Verwendung von zwei Kanälen, die möglichst
weit auseinander liegen, wird im Vergleich mit Netzwerken mit nahe beieinander
liegenden Kanälen die Störungen deutlich verringern und die Leistung spürbar
verbessern. In Tabelle D-2 sind die Hochfrequenzkanäle
aufgelistet, die von 802.11b/g-Netzwerken verwendet werden:
Tabelle D-2: 802.11b/g-Hochfrequenzkanäle
Kanal Mittenfrequenz Frequenzspanne
1 2412 MHz 2399,5 MHz–2424,5 MHz
2 2417 MHz 2404,5 MHz–2429,5 MHz
3 2422 MHz 2409,5 MHz–2434,5 MHz
Hinweis: In den einzelnen Ländern werden
unterschiedliche Kanäle unterstützt. So werden in den USA und Kanada die Kanäle
1 bis 11 unterstützt, in Europa und Australien dagegen Kanäle 1 bis 13. Als
Abstand zwischen den Kanälen benachbarter drahtloser Netzwerke wird 25 MHz (5
Kanäle) empfohlen. So können Sie in Ihrem drahtlosen Netzwerk bis zu drei
unterschiedliche Kanäle einsetzen. In den USA stehen nur 11 Kanäle zur
Verfügung. Sie sollten also mit Kanal 1 beginnen und im Bedarfsfall auf Kanäle
6 und 11 erweitern, da diese Kanäle sich nicht überschneiden.
Sicherheit im drahtlosen Netzwerk mit WPA und WPA2
WPA (Wi-Fi Protected Access) und WPA2 sind Spezifikationen von
standardbasierten, kompatiblen Sicherheitsfunktionen, die den Datenschutz und
die Zugriffssteuerung bei bereits vorhandenen und bei künftigen WLAN-Systemen
verbessern
WEP wurde vom IEEE als optionale Sicherheitserweiterung für
802.11b-WLANs eingeführt, doch es zeigte sich bald, dass dieser Standard
erhebliche Schwächen hatte. Angesichts dieser Situation stellte die Wi-Fi
Alliance im Oktober 2002 eine neue Sicherheitsarchitektur vor, die die Mängel
von WEP behebt. Dieser Standard war früher unter dem Namen „SSN“ (Safe Secure
Network) bekannt und ist nicht nur mit bestehenden 802.11-Geräten kompatibel,
sondern auch mit 802.11i, der neuen Sicherheitsarchitektur für drahtlose
Netzwerke, die vom IEEE festgelegt wurde.
4 2427 MHz 2414,5 MHz–2439,5 MHz
5 2432 MHz 2419,5 MHz–2444,5 MHz
6 2437 MHz 2424,5 MHz–2449,5 MHz
7 2442 MHz 2429,5 MHz–2454,5 MHz
8 2447 MHz 2434,5 MHz–2459,5 MHz
9 2452 MHz 2439,5 MHz–2464,5 MHz
10 2457 MHz 2444,5 MHz–2469,5 MHz
11 2462 MHz 2449,5 MHz–2474,5 MHz
12 2467 MHz 2454,5 MHz–2479,5 MHz
13 2472 MHz 2459,5 MHz–2484,5 MHz
Tabelle D-2: 802.11b/g-Hochfrequenzkanäle
Kanal Mittenfrequenz Frequenzspanne
WPA und WPA2 bieten die folgenden Vorteile:
• Verbesserte Datensicherheit
• Stabile Schlüsselverwaltung
• Datenursprungsauthentifizierung
• Datenintegritätsschutz
Die Wi-Fi Alliance führt inzwischen bei WPA-Produkten
Kompatibilitätszertifizierungstests durch.
Seit August 2003 müssen alle neuen Wi-Fi-zertifizierten Produkte
WPA unterstützen. NETGEAR implementiert WPA und WPA2 bei Client- und
Access-Point-Produkten. Der Standard 802.11i wurde 2004 ratifiziert.
Worin unterscheidet sich
WPA von WEP?
WEP ist ein Datenverschlüsselungsverfahren, das nicht zur
Benutzerauthentifizierung gedacht ist. Die WPA-Benutzerauthentifizierung wird
mit 802.1x und EAP (Extensible Authentication Protocol) implementiert. WPA
erfordert die Unterstützung für 802.1x-Authentifizierung. Beim Standard 802.11 war
die 802.1x-Authentifizierung optional. Nähere Informationen zum EAP finden Sie
im IETF-Dokument RFC 2284. Bei Verwendung von 802.11 WEP müssen alle Access Points und
drahtlosen Client-Adapter eines drahtlosen Netzwerks denselben
Verschlüsselungscode benutzen. Eines der größten Probleme des Standards 802.11
ist, dass das Ändern der Schlüssel sehr aufwendig ist. Wenn die WEP-Schlüssel nicht
sehr häufig aktualisiert werden, können Unbefugte ein Netzwerk mit Hilfe eines
Sniffing-Tools beobachten und innerhalb eines Tages die verschlüsselten
Nachrichten entschlüsseln. Produkte, die ausschließlich auf dem Standard 802.11
basieren, bieten Administratoren keine effektive Methode zur Aktualisierung der
Schlüssel. Bei 802.11 ist die WEP-Verschlüsselung optional, bei WPA ist dagegen
die Verschlüsselung über TKIP (Temporal Key Integrity Protocol) erforderlich.
TKIP ersetzt WEP durch einen neuen Algorithmus, der stärker als der
WEP-Algorithmus ist. Die für die Verschlüsselung erforderlichen Berechnungen
können jedoch auch von älteren drahtlosen Geräten durchgeführt werden. TKIP
bietet wichtige Verbesserungen zur Datenverschlüsselung, darunter eine Funktion
zum paketweisen Ändern von Schlüsseln, die Nachrichtenintegritätsprüfung
Michael (Message Integrity Check, MIC), einen erweiterten Initialisierungsvektor
(IV) mit Sequenzierungsregeln und einen Mechanismus zur Neuverschlüsselung. Mit diesen Verbesserungen berücksichtigt TKIP alle bekannten
Schwächen von WEP.
Worin unterscheidet sich
WPA von WPA 2 (IEEE 802.11i)?
WPA ist aufwärts kompatibel mit den Sicherheitsanforderungen von
WPA2. WPA ist eine Untergruppe von WPA2, die Elemente des ersten Entwurfs von
802.11i verwendet, darunter 802.1x und TKIP. Zu den Hauptelementen von WPA2,
die nicht in WPA enthalten sind, gehören sicheres IBSS (Ad-hoc-Modus), Secure
Fast Handoff (bei 802.11-VoIP-Telefonen) und verbesserte Verschlüsselungsprotokolle
wie AES-CCMP. Diese Funktionen waren entweder noch in der Entwicklung oder für
ihre Implementierung waren Hardware-Upgrades erforderlich.
Was sind die
Hauptsicherheitsmerkmale von WPA und WPA2?
Die Standards WPA und WPA2 enthalten die folgenden
Sicherheitsfunktionen:
• WPA- und WPA2-Authentifizierung
• WPA- und WPA2-Schlüsselverwaltung
– TKIP (Temporal Key Integrity Protocol)
– Michael/MIC (Message Integrity Code)
– AES-Unterstützung (WPA2, Unterstützung durch die Hardware
erforderlich)
Diese Funktionen werden unten näher beschrieben.
WPA/WPA2 berücksichtigt die meisten der bekannten Schwächen von WEP und ist in
erster Linie für drahtlose Infrastrukturnetzwerke im Unternehmensbereich
gedacht. Eine entsprechende Infrastruktur besteht aus Stationen, Access Points
und Authentifizierungsservern (normalerweise RADIUS-Server).
Auf dem RADIUS-Server sind Benutzeranmeldedaten wie Benutzernamen und Passwörter
gespeichert oder er hat Zugriff auf diese. So kann der RADIUS-Server die
Benutzer identifizieren, bevor sie auf das drahtlose Netzwerk zugreifen können.
Die Stärke von WPA/WPA2 liegt in einer integrierten Sequenz von Vorgängen, die
802.1x-/ EAP-Authentifizierung sowie leistungsfähige Schlüsselverwaltungs- und
Verschlüsselungstechniken umfassen. Zu den wichtigsten Vorgängen gehören:
• Feststellung der Netzwerksicherheitsfunktionen. Dies geschieht
auf der 802.11-Ebene und wird durch die WPA-Informationselemente in Beacon
Frames, Probe Responses und Anforderungen für (erneute) Zuordnung kommuniziert.
Zu den in diesen Elementen enthaltenen Informationen gehören die
Authentifizierungsmethode (802.1x oder Pre-Shared Key) und die bevorzugte Codierungsart
(WEP, TKIP oder AES).
Die wichtigste Information in den Beacon Frames ist die
Authentifizierungsmethode und die Codierungsart. Zu den möglichen
Authentifizierungsmethoden gehören 802.1x und Pre-Shared Key. Pre-Shared Key
ist eine Authentifzierungsmethode, bei der sowohl für die Stationen als auch
für den Access Point ein statisch konfiguriertes Passwort verwendet wird. So
ist kein Authentifizierungsserver erforderlich. Dies macht diese Methode
besonders interessant für Heimnetzwerke und kleine Büroumgebungen. Zu den
anderen Codierungsmöglichkeiten gehören WEP, TKIP und AES (Advanced Encryption
Standard). TKIP und AES werden unten im Zusammenhang mit der Datensicherheit
näher erläutert • Authentifizierung. Zur Authentifizierung wird EAP über 802.1x
eingesetzt. Die für WPA erforderliche gegenseitige Authentifizierung kann durch
einen EAP-Typ, der diese Funktion unterstützt, ermöglicht werden.
802.1x-Port-Zugriffskontrolle gewährt erst dann uneingeschränkten Zugriff auf
das Netzwerk, wenn die Authentifizierung abgeschlossen ist. WAP verwendet
802.1x-EAPOL-Schlüsselpakete zur Verteilung von nur für die jeweilige Sitzung
gültigen Schlüsseln an die erfolgreich authentifizierten Stationen. Der
Antragsteller in der Station entscheidet anhand der in den Informationselementen
enthaltenen Informationen zur Authentifizierung und Codierungsart, welche
Authentifizierungsmethode und Codierung er verwendet. Wenn der Access Point z.
B. das Verfahren Pre-Shared Key (PSK) verwendet, ist eine
802.1x-Authentifizierung nicht erforderlich. Es reicht aus, wenn der Antragsteller
dem Access Point den richtigen Pre-Shared Key präsentieren kann. Wenn der Antragsteller
keine WPA-Informationselemente entdeckt, weiß er, dass er zum Zugriff auf das Netzwerk
eine Authentifizierungsmethode und Schlüsselverwaltung verwenden muss, die
älter ist als WPA 802.1x. • Schlüsselverwaltung. WPA/WPA2 beinhaltet ein
stabiles System zur Erstellung und Verwaltung von Schlüsseln, in das auch
Authentifizierung und Datensicherheit integriert sind. Die Schlüssel werden
nach der erfolgreichen Authentifizierung durch einen vierfachen Handshake
zwischen Station und Access Point erstellt.
• Datensicherheit (Verschlüsselung). TKIP (Temporal Key Integrity Protocol)
wird als Ergänzung von WEP eingesetzt, um dessen Schwächen mit leistungsstarken
Verschlüsselungs- und Sicherheitstechniken auszugleichen.
• Datenintegrität. TKIP fügt am Ende jeder Klartextnachricht einen MIC (Message
Integrity Code) an, um eine Verfälschung von Nachrichten zu verhindern.
WPA-/WPA2-Authentifizierung:
Benutzerauthentifizierung in
Unternehmensnetzwerken
über 802.1x/EAP und RADIUS
Abbildung D-3: Übersicht über WPA/WPA2
IEEE 802.1x ist ein effektives Modell für die Authentifizierung
und Kontrolle des Benutzerflusses in einem geschützten Netzwerk und stellt
darüber hinaus eine Möglichkeit zum dynamischen Wechsel von Datenschlüsseln
bereit, z. B über EAP von einem RADIUS-Server. Dieses Modell ermöglicht zudem
den Einsatz eines Authentifizierungsservers zur gegenseitigen
Authentifizierung. So wird verhindert, dass unerwünschte Benutzer sich Zugang
zum drahtlosen Netzwerk verschaffen. Die eigentlichen
Authentifizierungsmechanismen sind jedoch nicht Bestandteil von 802.1x. Bei der
Verwendung von 802.1x legt der EAP-Typ (z. B. EAP-TLS (Transport Layer Security)
oder EAP-TTLS (EAP Tunneled Transport Layer Security)) fest, wie die
Authentifizierung verläuft.
Hinweis: Für Umgebungen mit einer
RADIUS-Infrastruktur (Remote Authentication Dial-In User Service) unterstützt
WPA EAP (Extensible Authentication Protocol). Für Umgebungen ohne
RADIUS-Infrastruktur unterstützt WPA den Einsatz eines Pre-Shared Key. Zusammengenommen
bilden diese Verfahren die Grundstruktur für eine leistungsfähige Benutzerauthentifizierung.
In Windows XP ist 802.1x integriert, und etliche Switches und Wireless Access
Points von NETGEAR unterstützen diesen Standard.
Zertifizierungsstelle (z. B. Win Server, VeriSign) WPA-/WPA2-
fähiger drahtloser Client mit „Antragsteller“ TCP/IPPorts
sind bis zur Authentifizierung geschlossen RADIUS-Server
Verdrahtetes Netzwerk mit
optionaler,
802.1x-Port-basierter
Zugriffssteuerung
WPA-/ WPA2-fähiger Access Point: verwendet Pre-Shared Key oder 802.1x
TCP/IPPorts werden nach der Authentifizierung geöffnet
Drahtloses Netzwerk
Benutzernamenauthentifizierung
Abbildung D-4: Ablauf der 802.1x-Authentifizierung
Der Access Point sendet Beacon-Frames mit einem
WPA-/WPA2-Informationselement an die Stationen im Service Set. Das
Informationselement enthält die erforderliche Authentifizierungsmethode (802.1x
oder Pre-Shared Key) und die bevorzugte Codierungsart (WEP, TKIP oder AES).
Auch Probe Requests (vom Access Point an die Station) und Zuordnungsanforderungen
(von der Station zum Access Point) enthalten WPA-Informationselemente.
1. Die einleitende 802.1x-Kommunikation beginnt mit dem Versuch eines
nicht authentifizierten Antragstellers (Client), eine Verbindung zu einem Authentifizierer
(802.11-Access-Point) aufzubauen. Der Client sendet eine EAP-Startnachricht.
Dadurch wird eine Reihe von Nachrichtenwechseln zur Authentifizierung des
Clients eingeleitet.
2. Der Access Point antwortet mit einer EAP-Identitätsanforderung.
1
2
3
4
6 5
7
3. Der Client sendet ein EAP-Antwortpaket mit der Identität an den
Authentifizierungsserver. Der Access Point gibt daraufhin einen Port frei, über
den der Client ausschließlich EAP-Pakete an den Authentifizierungsserver senden
kann. Dieser Port befindet sich auf der verkabelten Seite des Access Points.
Der Access Point blockiert alle anderen Arten von Datenverkehr wie HTTP-, DHCP-
und POP3-Pakete, bis die Identität des Clients durch einen
Authentifizierungsserver (z. B. einen RADIUS-Server) bestätigt wurde.
4. Der Authentifizierungsserver überprüft die Identität des Clients
mit Hilfe eines speziellen
Authentifizierungsalgorithmus. Dabei können digitale Zertifikate
oder andere Arten der
EAP-Authentifizierung zum Einsatz kommen.
5. Der Authentifizierungsserver sendet eine Bestätigungs- oder
Ablehnungsnachricht an den
Access Point.
6. Der Access Point sendet ein EAP-Erfolgspaket (oder Ablehnungspaket)
an den Client.
7. Wenn der Authentifizierungsserver den Client akzeptiert, ändert
der Access Point den Status des Client-Ports zu autorisiert und leitet
zusätzliche Daten weiter. An dieser Stelle ist zu beachten, dass die Software,
die den EAP-Typ unterstützt, auf dem Authentifizierungsserver installiert ist
sowie Bestandteil des Betriebssystems bzw. der Antragstellersoftware der
Client-Geräte ist. Der Access Point gibt die 802.1x-Nachrichten lediglich weiter.
Dies bedeutet, dass Sie einen beliebigen EAP-Typ angeben können, ohne deswegen
einen 802.1x-kompatiblen Access Point anschaffen zu müssen. Demzufolge können
Sie den EAP-Authentifizierungstyp auch auf Methoden wie Token Cards (Smart
Cards), Kerberos, Einmalpasswörter, Zertifikate und öffentliche Schlüssel
erweitern. Selbst wenn neue Authentifizierungsmethoden entwickelt werden und
Ihre Sicherheitsanforderungen sich ändern, können Sie diese integrieren.
WPA-/WPA2-Schlüsselverwaltung
Bei 802.1x ist die Neuverschlüsselung von Unicast-Schlüsseln optional.
802.11 und 802.1x bieten zudem keinen Mechanismus zum Ändern des globalen
Schlüssels für den Multicast- und Broadcast-Datenversand. Bei WPA/WPA2 ist die
Neuverschlüsselung sowohl für Unicast-Schlüssel als auch für globale Schlüssel
obligatorisch. Unicast-Schlüssel werden durch das TKIP (Temporal Key Integrity
Protocol) für jedes Frame geändert. Die Änderung wird zwischen dem drahtlosen
Client und dem Wireless Access Point synchronisiert. Änderungen des globalen
Schlüssels können bei WPA mit Hilfe des Informationselements vom Wireless
Access Point an die angeschlossenen drahtlosen Clients weitergegeben werden. 802.1x-Authentifizierungsserver,
die für einen dynamischen Schlüsselaustausch konfiguriert sind, können dem
Access Point gemeinsam mit der Bestätigungsnachricht einen Sitzungsschlüssel übermitteln.
Der Access Point kann mit dem Sitzungsschlüssel eine EAP-Schlüsselnachricht
erstellen, unterzeichnen und verschlüsseln, die untermittelbar nach der
Erfolgsnachricht an den Client gesendet wird. Der Client kann dann anhand der
Schlüsselnachricht die erforderlichen Schlüssel definieren. In typischen
802.1x-Implementierungen kann der Client Schlüssel so oft wie nötig automatisch
ändern, um das Risiko zu minimieren, dass unerwünschte Eindringlinge genügend
Zeit haben, den aktuellen Schlüssel zu knacken.
TKIP (Temporal Key
Integrity Protocol)
Mit TKIP verfügt WPA über wichtige Verbesserungen zur
Datenverschlüsselung, z. B. eine Funktion zum paketweisen Ändern von
Schlüsseln, die Nachrichtenintegritätsprüfung Michael (Message Integrity Check,
MIC), einen erweiterten Initialisierungsvektor (IV) mit Sequenzierungsregeln
und einen Mechanismus zur Neuverschlüsselung. Darüber hinaus bietet TKIP die
folgenden Funktionen:
• Verifizierung der Sicherheitskonfiguration nach Festlegen der
Schlüssel
• Synchronisierte Änderung des Unicast-Schlüssels für alle Frames
• Erstellung eines eindeutigen Unicast-Startschlüssels für jede
Pre-Shared-Key-Authentifizierung
Michael
Bei 802.11 und WEP wird Datenintegrität über einen 32-Bit-ICV (Integrity
Check Value) gewährleistet, der an die 802.11-Nutzinformationen angehängt
und über WEP verschlüsselt wird. Obwohl der ICV verschlüsselt ist, lassen sich
per Kryptoanalyse Teile der verschlüsselten Nutzinformationen ändern und der
verschlüsselte ICV aktualisieren, ohne dass der Empfänger dies bemerkt. Bei WPA
legt eine Methode namens Michael einen neuen Algorithmus fest, über den
die Berechnungsvorrichtungen der drahtlosen Geräte einen 8-Byte-MIC (Message
Integrity Check) errechnen. Der MIC wird zwischen dem Datenabschnitt des IEEE
802.11-Frame und dem 4-Byte-ICV platziert. Das MIC-Feld wird zusammen mit den
Frame-Daten und dem ICV verschlüsselt. Michael bietet zudem
Wiederholungsschutz. Mit einem neuen Frame-Zähler in IEEE 802.11 können Wiederholungsangriffe
verhindert werden.
AES-Unterstützung für WPA2
WPA2 unterstützt unter anderem die Verschlüsselungsmethode AES
(Advanced Encryption Standard). AES-Unterstützung wird jedoch zunächst nicht zu
den Voraussetzungen für eine Wi-Fi-Zertifizierung gehören. AES gilt als
optimale Wahl für sicherheitsbewusste Unternehmen, stellt sie jedoch vor ein Problem:
AES erfordert eine grundlegende Neugestaltung der Hardware der Netzwerkschnittstellenkarten
der Station und des Access Points. TKIP ist ein pragmatischer Kompromiss, der
Unternehmen bessere Sicherheit bietet, während AES-kompatible Geräte
entwickelt, hergestellt und nach und nach eingeführt werden.
Sind mit WPA/WPA2 alle
Probleme gelöst?
Auch WPA/WPA2 hat seine Schwächen. Es ist besonders anfällig für
Denial-of-Service-Angriffe. Wenn der Access Point innerhalb von 60 Sekunden
zwei Datenpakete empfängt, die nicht über den erforderlichen MIC (Message
Integrity Code) verfügen, steht das Netzwerk unter Angriff. Dies führt dazu,
dass der Access Point Gegenmaßnahmen einleitet, darunter auch die Unterbrechung
der Verbindung zu allen Stationen, die den Access Point verwenden. Dies
verhindert, dass Angreifer sich Informationen über den Schlüssel verschaffen,
und macht zudem die Administratoren auf das Problem aufmerksam. Es bedeutet
jedoch leider auch, dass Benutzer für 60 Sekunden die Verbindung zum Netzwerk
verlieren. Vor allem aber beweist es, dass keine einzelne Sicherheitstaktik
vollkommenen Schutz gewährleisten kann. WPA/WPA2 bedeutet gegenüber WEP definitiv
einen großen Fortschritt der WLAN-Sicherheit. Es sollte jedoch als eine
Komponente einer umfassenden Netzwerksicherheitsstrategie betrachtet werden.
Produktunterstützung für
WPA/WPA2
Seit August 2003 unterstützen drahtlose Produkte von NETGEAR, Inc.
mit Wi-Fi-Zertifizierung den WPA-Standard. Drahtlose Produkte von NETGEAR,
Inc., deren Wi-Fi-Zertifizierung vor August 2003 erteilt wurde, hatten ein Jahr
Zeit, um WPA hinzuzufügen und so ihre Wi-Fi-Zertifizierung zu behalten. Für
WPA/WPA2 sind Software-Änderungen in den folgenden Bereichen erforderlich:
• Wireless Access Points
• Drahtlose Netzwerkadapter
• Programme für drahtlose Clients
Änderungen an Wireless Access Points
Die Firmware von Wireless Access Points muss aktualisiert werden,
um die folgenden Funktionen zu unterstützen:
• Das neue
WPA-/WPA2-Informationselement
Wireless Access Points signalisieren, dass sie WPA/WPA2
unterstützen, indem sie das Beacon-Frame mit einem neuen
802.11-WPA-/WPA2-Informationselement, das die Sicherheitskonfiguration des
Wireless Access Points (Verschlüsselungsalgorithmen und Informationen über die
Konfiguration der drahtlosen Sicherheit) enthält, versenden.
• Die
WPA-/WPA2-Zwei-Phasen-Authentifizierung
Open System, dann 802.1x (EAP mit RADIUS oder Pre-Shared Key).
• TKIP
• Michael
• AES (WPA2)
Um ältere Wireless Access Points zur Unterstützung von WPA/WPA2
aufzurüsten, müssen Sie sich vom Anbieter der Wireless Access Points ein
WPA-/WPA2-Firmware-Update besorgen und dieses auf den Wireless Access Points
installieren.
Änderungen an drahtlosen Netzwerkadaptern
Die WLAN-Software im Adapter (und möglicherweise auch im
Betriebssystem oder der Client-Anwendung) muss aktualisiert werden, um die
folgenden Funktionen zu unterstützen:
• Das neue WPA-/WPA2-Informationselement
Drahtlose Clients müssen in der Lage sein, das
WPA-/WPA2-Informationselement zu verarbeiten und darauf mit einer spezifischen
Sicherheitskonfiguration zu reagieren.
• Die WPA-/WPA2-Zwei-Phasen-Authentifizierung
Open System, dann 802.1x-Antragsteller (EAP oder Pre-Shared Key).
• TKIP
• Michael
• AES (WPA2)
Um Ihre drahtlosen Netzwerkkarten zur Unterstützung von WPA/WPA2
aufzurüsten, müssen Sie sich gegebenenfalls vom Anbieter der drahtlosen
Netzwerkkarten ein WPA-/WPA2-Firmware-Update besorgen und damit die Treiber der
drahtlosen Netzwerkkarten aktualisieren. Bei drahtlosen Windows-Clients müssen
Sie sich einen aktualisierten Netzwerktreiber besorgen, der WPA unterstützt.
Treiber für drahtlose Netzwerkkarten, die mit Windows XP (Service Pack 1) und Windows
Server 2003 kompatibel sind, müssen nach der Aktualisierung in der Lage sein,
die WPA-Fähigkeit und die Sicherheitskonfiguration der Karte an den „Wireless
Zero Configuration“-Dienst zu übermitteln.
Microsoft hat mit zahlreichen Anbietern drahtloser Geräte zusammengearbeitet,
um das
WPA-Treiber-Update in den Treiber für drahtlose Netzwerkkarten zu
integrieren. Zur Aktualisierung eines drahtlosen Windows-Clients müssen Sie
sich also lediglich den neuen WPA-/WPA2-kompatiblen Treiber besorgen und diesen
installieren.
Änderungen an Programmen für drahtlose Clients
Die Programme für drahtlose Clients müssen aktualisiert werden, um
die Konfiguration der WPA-/ WPA2-Authentifizierung (sowie von Pre-Shared-Key)
und die Unterstützung der neuen WPA-/ WPA2-Verschlüsselungsalgorithmen (TKIP
und AES) zu ermöglichen. Microsofts WPA-Clientprogramm ist über die Website von
Microsoft erhältlich.
Hinweis: Microsofts WPA2-Client befindet sich noch in der Beta-Phase.
Glossar
Dieses Glossar enthält Definitionen der Fachausdrücke, die in diesem
Handbuch verwendet werden.
802.11 (Standard) 802.11 bzw. IEEE 802.11 ist eine
Funktechnik, die in drahtlosen LANs (Wireless Local Area Networks, WLANs)
eingesetzt wird. Es handelt sich dabei um einen Standard, der vom IEEE
(Institute of Electrical and Electronic Engineers, http://standards.ieee.org)
entwickelt wurde. Das IEEE ist eine internationale Organisation, die Standards
für Hunderte von elektronischen und elektrischen Geräten entwickelt. Die Organisation
verwendet zur Unterscheidung der unterschiedlichen Technologiefamilien Zahlen
(ähnlich wie die Dewey-Dezimalklassifikation in Bibliotheken). Die Untergruppe
802 (der IEEE) entwickelt Standards für LANs und WANs. Die Abteilung 802.11 ist
dabei für die Überprüfung und Entwicklung von Standards für drahtlose LANs
(WLANs) zuständig. WiFi, 802.11, setzt sich aus mehreren Standards zusammen,
die für unterschiedliche Frequenzen gelten: 802.11b ist der Standard für WLANs
im 2,4-GHz-Spektrum mit einer Bandbreite von 11 MBit/s; 802.11a ist ein anderer
WLAN-Standard und gehört zu Systemen, die im Frequenzbereich 5 GHz mit einer Bandbreite
von 54 MBit/s arbeiten. Der Standard 802.11g gilt für WLANs, die im
Frequenzbereich 2,4 GHz mit einer Bandbreite von 54 MBit/s arbeiten.
802.11a (Standard)
Ein IEEE-Standard für drahtlose Netzwerke im Frequenzbereich 5 GHz
(5,15 GHz bis 5,85 GHz) mit einer maximalen Datenübertragungsrate von 54
MBit/s. Der 5-GHz-Frequenzbereich ist nicht so überfüllt wie der
2,4-GHz-Bereich, da der Standard 802.11a mehr Funkkanäle bietet als Standard
802.11b. Diese zusätzlichen Kanäle können helfen, Radio- und
Mikrowellenstörungen zu vermeiden.
802.11b (Standard)
Ein internationaler Standard für drahtlose Netzwerke im
Frequenzbereich 2,4 GHz (2,4 GHz bis 2,4835 GHz) mit einem Datendurchsatz von
bis zu 11 MBit/s. Dieser Frequenzbereich wird sehr stark genutzt.
Mikrowellengeräte, schnurlose Telefone, medizinische und wissenschaftliche
Geräte sowie Bluetooth-Geräte verwenden allesamt das 2,4-GHz-Frequenzband.
802.11d (Standard)
802.11d ist eine Ergänzung des IEEE-Standards 802.11 zur
MAC-Schicht (Media Access Control), die die weltweite Nutzung von 802.11-WLANs
fördern soll. Dabei wird Access Points die Übermittlung von Daten über die
zulässigen Funkkanäle mit akzeptabler Leistungsstärke für die Client-Geräte
ermöglicht. Die Geräte werden dabei automatisch an die geografischen
Anforderungen angepasst. Der Standard 802.11d soll Funktionen und
Einschränkungen festlegen, die den Betrieb von WLANs in den entsprechenden
Ländern ermöglichen. Gerätehersteller möchten keine Vielzahl landesspezifischer
Produkte herstellen und Benutzer, die viel reisen, möchten nicht für jedes Land
eine eigene WLAN-PC-Card anschaffen. Dies wird langfristig zu
landesspezifischen Firmware-Lösungen führen.
802.11e (Standard)
802.11e ist ein geplanter IEEE-Standard zur Definition von
QoS-Mechanismen (Quality of Service) für drahtlose Geräte, der
bandbreitenempfindliche Anwendungen wie Telefon und Video unterstützt.
802.11g (Standard)
Dieser Standard zur Erweiterung der Bitübertragungsschicht ist
802.11b sehr ähnlich, erlaubt jedoch einen Datendurchsatz von bis zu 54 MBit/s.
Dieser Standard verwendet das 2,4-GHz-Frequenzband, setzt jedoch eine andere
Funktechnik ein, um die Gesamtbandbreite zu vergrößern.
802.11i
Dieser Name bezeichnet die IEEE-Arbeitsgruppe, die sich mit der
Standardisierung der WLAN-Sicherheit befasst. Das Sicherheitsrahmenwerk von
802.11i basiert auf RSN (Robust Security Network). RSN setzt sich aus zwei
Teilen zusammen: 1.) Einem Datensicherheitsmechanismus und 2.) Verwaltung der Sicherheitsbeziehungen
(Security Association Management). Der Datensicherheitsmechanismus unterstützt
zwei geplante Verschlüsselungsmethoden: TKIP and AES. TKIP (Temporal Key
Integrity Protocol) ist eine Übergangslösung, die Software-Patches für WEP
definiert, damit ein Mindestmaß an Datensicherheit gewährleistet ist. AES oder
AES-OCB (Advanced Encryption Standard & Offset Codebook) ist ein
leistungsstarkes Datensicherheitsschema, das als langfristige Lösung gedacht
ist. Die Verwaltung der Sicherheitsbeziehungen wird über drei Verfahren
geregelt: a.) RSN-Abstimmungsverfahren, b.) IEEE-802.1x-Authentifizierung und
c.) IEEE-802.1x-Schlüsselverwaltung. Die Standards wurden so definiert, dass
sie eine Koexistenz mit derzeit implementierten Netzwerken, die noch aus der
Zeit vor RSN stammen, ermöglichen.
802.11n (Standard)
Eine im Oktober 2003 gebildete Arbeitsgruppe der IEEE, die als
„802.11n“ oder „TGn“ bezeichnet wird. Sie ist zuständig für das
100MBit/s-Standardprotokoll in der Bitübertragungsschicht. Als
Veröffentlichungstermin ist derzeit Dezember 2005 geplant. Im Februar 2004 war
noch kein Entwurf verfügbar. Es wird jedoch erwartet, dass das Protokoll sowohl
die 2,4- als auch die 5-GHz-Frequenz verwendet.
Ad-hoc-Modus
Eine Client-Einstellung, die unabhängige Peer-to-Peer-Verbindungen
über ein WLAN ermöglicht. Eine andere Einsatzmöglichkeit ist die Kommunikation
von PCs untereinander über einen Access Point. Siehe Access Point und
Infrastruktur-Modus.
Access Point (auch Zugangspunkt)
Ein WLAN-Sende-/Empfangsgerät (oft auch als „Basisstation“
bezeichnet), über das ein oder mehrere drahtlose Geräte an ein kabelgebundenes
LAN angeschlossen werden können. Über eine Funkbrücke können Access Points auch
miteinander kommunizieren. Es gibt unterschiedliche Typen von Access Points
(Basisstationen), die sowohl in drahtlosen als auch in kabelgebundenen
Netzwerken eingesetzt werden. Dazu gehören Bridges,
Hubs, Switches, Router und Gateways. Die Unterschiede zwischen diesen Geräten
sind nicht immer klar definiert, da bestimmte Funktionen, die einem dieser
Geräte zugeordnet werden, auch in andere Geräte integriert werden können. So
kann z. B. ein Router Funktionen einer Bridge übernehmen oder ein Hub auch als
Switch eingesetzt werden. Alle diese Geräte dienen jedoch dazu, Daten von einem
Ort an einen anderen zu übertragen. Eine Bridge verbindet Geräte, die dasselbe
Protokoll verwenden. Über einen Router können Netzwerke verbunden werden, in
denen unterschiedliche Protokolle zum Einsatz kommen. Der Router liest zudem
die in den Paketen enthaltenen Adressen und leitet die Pakete an die
entsprechende Computerstation weiter. Dabei arbeitet er mit den anderen Routern
im Netzwerk zusammen, um den besten Pfad zum Versand der Pakete zu finden. Ein
drahtloser Hub oder Access Point verfügt neben anderen zusätzlichen Funktionen
über Roaming und bietet eine Netzwerkverbindung zu einer Vielzahl von Clients.
Er vergibt jedoch keine Bandbreite. Ein Switch ist ein Hub mit besonderen
Fähigkeiten: Er kann die Adresse auf einem Paket lesen und dieses an die entsprechende
Computerstation weiterleiten. Bei einem Wireless Gateway handelt es sich um
einen Access Point, der zusätzliche Funktionen, wie NAT-Routing, DHCP,
Firewalls und Sicherheit, bereitstellt.
AES (Advanced Encryption Standard)
Ein 128-Bit-Block-Datenverschlüsselungsverfahren, das von den
belgischen Kryptographieexperten Joan Daemen und Vincent Rijmen entwickelt
wurde. Die Regierung der Vereinigten Staaten übernahm im Oktober 2000 diesen
Algorithmus als Verschlüsselungsverfahren anstelle der bisher verwendeten DES-Verschlüsselung.
AES operiert auf mehreren Netzwerkschichten zugleich. Das National Institute of
Standards and Technology (NIST) des US-Handelsministeriums wählte den
Algorithmus „Rijndael“ aus einer Gruppe von fünf in die nähere Auswahl
genommenen Algorithmen, darunter auch ein Algorithmus namens „MARS“ von einem
großen Entwicklungsteam bei IBM. AES wird WEP voraussichtlich 2006 als WLAN-Verschlüsselungsmethode
ablösen.
Bandbreite
Die Übertragungskapazität, die in einem Netzwerk zur Verfügung
steht. Die verfügbare Bandbreite hängt von mehreren Variablen ab, darunter die
Datenübertragungsrate zwischen Geräten im Netzwerk, der Netzwerk-Overhead, die
Benutzeranzahl und der Typ des Geräts, über das PCs an das Netzwerk angeschlossen
werden. Die Bandbreite lässt sich gewissermaßen mit einem Rohr vergleichen, da
bei beiden die Größe die Kapazität bestimmt: Je breiter das Rohr ist, desto
mehr Wasser kann hindurchfließen, und je mehr Bandbreite ein Netzwerk zur
Verfügung stellt, desto mehr Daten können hindurchfließen. Der Standard 802.11b
bietet eine Bandbreite von 11 MBit/s; 802.11a und 802.11g dagegen 54 MBit/s.
Bit pro Sekunde (Bit/s)
Maßeinheit für die Datenübertragungsgeschwindigkeit über
Kommunikationsleitungen, basierend auf der Anzahl von Bit, die pro Sekunde
versendet oder empfangen werden können. Bit pro Sekunde (Bit/s) werden oft mit
Bytes pro Sekunde (Bytes/s) verwechselt. Während Bits zum Messen der Übertragungsgeschwindigkeit
verwendet werden, dienen Bytes zur Angabe der Speicherkapazität. 8 Bits ergeben
ein Byte. Wenn ein drahtloses Netzwerk also mit einer Bandbreite von 11
Megabits pro Sekunde (11 MBit/s) arbeitet, versendet es pro Sekunde 1,375
Megabytes (1,375 Mbytes/s).
Bluetooth-Funktechnik
Eine technische Spezifikation zum Verbinden von tragbaren
Computern, PDAs und Mobiltelefonen für die drahtlose Übertragung von
Telefongesprächen und Daten über kurze Entfernungen mit Hilfe eines globalen Funkfrequenzbands.
Bluetooth ist ein Frequenzsprungverfahren im Frequenzspektrum 2,4 GHz mit einer
Reichweite von bis zu zehn Metern und einem Datendurchsatz von bis zu 1 MBit/s.
Bridge
Ein Gerät zum Verbinden eines LANs (Local Area Network) mit einem
anderen LAN, das dasselbe Protokoll verwendet (z. B. drahtlos, Ethernet oder
Token Ring). Wireless Bridges werden sehr häufig eingesetzt, um die
unterschiedlichen Gebäude auf einem Universitätscampus zu verbinden.
Clients oder Client-Geräte
Jeder Computer in einem Netzwerk, der Dienste (Dateien,
Druckfunktionen) von einem anderen Mitglied des Netzwerks bezieht. Clients sind
Endbenutzer. Zu den WiFi-Client-Geräten gehören PC Cards für Notebook-Computer,
Mini-PCI-Module in Notebook-Computern und mobilen Geräten sowie USB- und PCI-/ISA-Bus-WiFi-Radios.
Client-Geräte kommunizieren in der Regel mit Hub-Geräten wie Access Points und
Gateways.
Crossover-Kabel
Ein spezielles Kabel, mit dem zwei Computer ohne einen Hub
vernetzt werden können. Crossover-Kabel werden zudem manchmal benötigt, um ein
Kabel- oder DSL-Modem mit einem Wireless Gateway oder Access Point zu
verbinden. Die Signale werden nicht parallel von einem Stecker zum nächsten
geführt, sondern „gekreuzt“. Wird zum Beispiel ein Kabel mit acht Leitungen
verwendet, geht das Signal am einen Ende des Kabels über Pin 1 ein und kommt am
anderen Ende auf Pin 8 an. Die Signale wechseln von einer Seite auf die andere.
CSMA/CA (Carrier Sense Multiple Action/Collision Avoidance)
CSMA/CA ist die Hauptmethode für den Zugriff auf Medien in
IEEE-802.11-WLANs. Diese Methode folgt dem Prinzip „Erst zuhören, dann reden“
und verringert die Anzahl von Kollisionen, die durch gleichzeitigen Datenversand
verursacht werden. Ganz verhindert werden diese Kollisionen dadurch allerdings
nicht. IEEE 802.11 legt fest, dass die Kollisionsvermeidungsmethode (und nicht
Kollisionserkennung (Collision Detection)) verwendet werden soll, da der
Standard Halbduplexbetrieb zu Grunde legt – d. h. es kann nur entweder gesendet
oder empfangen werden, aber nicht beides gleichzeitig. Im Gegensatz zu konventionellen, kabelgebundenen Hosts kann eine
WLAN-Station eine Kollision während des Sendens nicht erkennen. Wenn es zu
einer Kollision kommt, erhält die Sendestation kein ACK-Paket (ACKnowledge) von
der Empfängerstation. Aus diesem Grund haben ACK-Pakete die höchste Priorität
im Netzwerk. Nach Abschluss einer Datenübertragung beginnt die Empfangsstation
mit dem Senden des ACK-Pakets, bevor ein anderer Knoten den Versand eines neuen
Datenpakets einleiten kann. Alle anderen Stationen müssen eine längere
pseudo-zufällige Zeitspanne warten, bevor sie senden können. Wenn die
Sendestation kein ACK-Paket erhält, wartet sie die nächste Gelegenheit für
einen erneuten Übertragungsversuch ab.
CSMA/CD (Carrier Sense Multiple Action/Collision Detection)
Eine Methode zum Verwalten des Datenverkehrs und Verringern von
Rauschen in kabelgebundenen Netzwerken. Ein Netzwerkgerät überträgt Daten,
nachdem es einen verfügbaren Kanal entdeckt hat. Wenn jedoch zwei Geräte
gleichzeitig Daten senden, entdecken die sendenden Geräte eine Kollision und senden
die Daten nach Ablauf eines zufälligen Zeitraums erneut.
DHCP (Dynamic Host Configuration Protocol)
Ein Dienstprogramm, das Servern das dynamische Zuweisen von
IP-Adressen aus einer vordefinierten Liste ermöglicht. Die Server können zudem
die Nutzungszeit der Adressen begrenzen, damit diese erneut vergeben werden
können. Ohne DHCP müssten IT-Administratoren die IP-Adressen auf allen
Computern im gesamten Netzwerk manuell eingeben. Unter Verwendung von DHCP wird
jedem Computer bei der Anmeldung beim Netzwerk automatisch eine IP-Adresse
zugewiesen.
Diversity-Antennen
Ein Antennensystem, das zwei Antennen einsetzt, um Empfangs- und
Übertragungsqualität zu optimieren und Störungen zu minimieren.
DNS (Domain Name Service)
Ein Programm, das mit Hilfe einer auf mehreren Internetservern
gespeicherten Datenbank URLs in IP-Adressen umwandelt. Das Programm läuft im
Hintergrund und erleichtert das Surfen im Internet, da so statt numerischer
alphabetische Adressen eingesetzt werden können. Ein DNS-Server wandelt einen
Namen wie „mywebsite.com“ in eine Zahlenfolge wie „107.22.55.26“ um. Jede
Website im Internet hat ihre eigene spezifische IP-Adresse.
Drahtloses Netzwerk
Die Infrastruktur, die die drahtlose Übertragung von Signalen
ermöglicht, wird als drahtloses Netzwerk bezeichnet. In einem Netzwerk sind
unterschiedliche Geräte miteinander verbunden, und Ressourcen können von
mehreren Teilnehmern gemeinsam genutzt werden.
ESSID (häufig auch als „SSID“ – Service Set Identifier –
bezeichnet)
Die Kennung eines drahtlosen 802.11-Netzwerks. Durch Angabe der
richtigen ESSID beim Einrichten des Clients melden Sie sich bei Ihrem
drahtlosen Netzwerk an (statt bei einem anderen Netzwerk in Reichweite). (Siehe
SSID.) Andere Bezeichnungen für die ESSID sind Netzwerkname, bevorzugtes Netzwerk,
SSID oder Wireless LAN Service Area.
Ethernet
Internationaler Standard (Übertragungsprotokoll) für
kabelgebundene Netzwerke. Einfache 10BaseT-Netzwerke bieten eine Bandbreite von
ca. 10 MBit/s. Fast Ethernet (100 MBit/s) und Gigabit Ethernet (1000 MBit/s)
werden immer beliebter.
Firewall
Ein System, das Netzwerke schützt und den Zugriff durch Unbefugte
verhindert. Firewalls sind in Form von Software, Hardware oder einer
Kombination aus beiden erhältlich. Firewalls können den Zugang zu einem Netzwerk
regulieren sowie den Datenfluss nach außen einschränken.
Gateway
Üblicherweise ein Gerät, das eine Verbindung zu einem anderen
Netzwerk, z. B. dem Internet, herstellt. Gateways können zudem
VPN-Unterstützung, Firewalls, unterschiedliche Sicherheitsstufen und Wireless Access
Points mit weiteren Funktionen beinhalten.
Hot-Spot
Hot-Spots bieten Zugang zu WiFi-Diensten. Dies kann kostenlos oder
gebührenpflichtig sein. Hot-Spots sind in Cafés, Flughäfen, Bahnhöfen,
Kongresszentren, Hotels und an anderen öffentlichen Orten zu finden. Unternehmen
und Hochschulen richten ebenfalls Hot-Spots ein, um Besuchern und Gästen die
Möglichkeit zum drahtlosen Internetzugang zu bieten. In manchen Ländern werden
Hot-Spots als „Coolspots“ bezeichnet.
Hub
Ein Gerät mit mehreren Ports, über das PCs per Netzwerkkabel oder
WiFi an ein Netzwerk angeschlossen werden können. Kabelgebundene Hubs können zahlreiche Ports haben und die Übertragungsgeschwindigkeit
kann von 10 MBit/s bis zu mehreren Gigabyte pro Sekunde reichen. Ein Hub sendet
die Pakete, die er empfängt, an alle angeschlossenen Ports. An einen kleinen
kabelgebundenen Hub können nur 4 Computer angeschlossenen werden, an einen
großen Hub 48 und mehr. An drahtlose Hubs (Access Points) können sogar Hunderte
von Computern angeschlossen werden.
Hz (Hertz)
Die SI-Einheit für die Frequenz gibt die Anzahl der Schwingungen
pro Sekunde an. Ein Megahertz (MHz) entspricht einer Million Hertz, ein
Gigahertz (GHz) einer Milliarde Hertz. In den USA ist
die Standardstromfrequenz 60 Hz, das Frequenzband für MW-Funk ist 535–1605 kHz,
das Frequenzband für UKW-Funk ist 88–108 MHz und 802.11b-WLANs arbeiten bei 2,4
GHz.
IEEE (Institute of Electrical and Electronics Engineers)
Ein Berufsverband, zu dessen Mitgliedern Ingenieure,
Wissenschaftler und Studenten der Elektrotechnik und verwandter Fachgebiete
gehören (Website: www.ieee.org). Das IEEE hat über 300.000 Mitglieder
und spielt eine wichtige Rolle bei der Entwicklung von Standards für Computer
und Kommunikationstechnik.
IEEE 802.11
Eine Normenfamilie für LANs, herausgegeben vom IEEE (Institute of
Electrical and Electronics Engineers). Die meisten kabelgebundenen Netzwerke
entsprechen 802.3, dem Standard für CSMA/CD-basierte Ethernetnetzwerke, oder
802.5, dem Standard für Token-Ring-Netzwerke. 802.11 legt den Standard für drahtlose
LANs (WLANs) fest und umfasst drei nicht miteinander kompatible Verfahren: FHSS
(Frequency Hopping Spread Spectrum), DSSS (Direct Sequence Spread Spectrum) und
Infrarot. Die WECA (Wireless Ethernet Compatibility Alliance, inzwischen Wi-Fi
Alliance) konzentriert sich auf 802.11b, einen DSSS-Standard für drahtlose
Netzwerke mit einer Übertragungsrate von 11 MBit/s.
Infrastruktur-Modus
Eine Client-Einstellung, die Verbindungen zu einem Access Point
möglich macht. Im Gegensatz zum Ad-hoc-Modus, in dem PCs direkt miteinander
kommunizieren, gehen im Infrastruktur-Modus alle von den Clients versendeten
und empfangenen Daten durch einen Access Point. Der Access Point ist nicht nur
für
den drahtlosen Netzwerkdatenverkehr in der unmittelbaren Umgebung
zuständig, sondern sorgt auch für die Kommunikation mit dem kabelgebundenen
Netzwerk. Siehe Ad-hoc-Modus und Access Point.
IP-Adresse (Internet Protocol Address)
Eine 32-Bit-Nummer, die den Sender oder Empfänger jeglicher über
das Internet versendeter Daten kennzeichnet. IP-Adressen setzen sich aus zwei
Teilen zusammen: Der eine verweist auf ein bestimmtes Netzwerk innerhalb des
Internets, der andere verweist auf das jeweilige Gerät (das ein Server oder
eine Workstation sein kann) innerhalb dieses Netzwerks.
ISO-OSI-Referenzmodell
Ein von der ISO (International Standards Organization)
entwickeltes Netzwerkmodell, das aus sieben Stufen oder Schichten besteht.
Durch die Standardisierung dieser Schichten und der Schnittstellen zwischen
ihnen können unterschiedliche Elemente eines bestehenden Protokolls angepasst
oder geändert werden, um dem technischen Fortschritt und veränderten
Systemanforderungen gerecht zu werden. Die sieben Schichten werden wie folgt
bezeichnet:
• Bitübertragungsschicht (auch physikalische Schicht, engl.
Physical Layer)
• Sicherungsschicht (auch Verbindungssicherungsschicht,
Verbindungsebene, Prozedurebene, engl. Data Link Layer)
• Vermittlungsschicht (auch Paketebene, engl. Network Layer)
• Transportschicht (auch Ende-zu-Ende-Kontrolle,
Transport-Kontrolle, engl. Transport Layer)
• Kommunikationsschicht (auch Kommunikationssteuerungsschicht,
Steuerung logischer Verbindungen, Sitzungsschicht, engl. Session Layer)
• Darstellungsschicht (auch Datendarstellungsschicht,
Datenbereitstellungsebene, engl. Presentation Layer)
• Anwendungsschicht (auch Anwenderebene, Verarbeitungsschicht,
engl. Application Layer)
Der Standard IEEE 802.11 bezieht sich auf die
Bitübertragungsschicht (physikalische Schicht, PHY) und den unteren Bereich der
Sicherungsschicht. Der untere Bereich der Sicherungsschicht wird oft als MAC-Schicht
(Media Access Control) bezeichnet.
Kollisionsvermeidung (Collision Avoidance)
Ein Netzwerkknotenmerkmal für die proaktive Entdeckung, ob ein
Signal gesendet werden kann, ohne dabei eine Kollision zu riskieren.
MAC (Media Access Control)
Jedes drahtlose 802.11-Gerät hat seine eigene, unveränderbare
MAC-Adresse. Diese eindeutige
Kennzeichnung kann genutzt werden, um drahtlose Netzwerke sicherer
zu machen. Wenn ein Netzwerk eine MAC-Tabelle einsetzt, erhalten nur diejenigen
802.11-Geräte, deren MAC-Adresse in der MAC-Tabelle dieses Netzwerks
aufgelistet sind, Zugang zum Netzwerk.
Maschennetze
Maschennetze (oft auch als „Maschenstruktur“ bezeichnet) sind eine
Netzwerktopologie, bei der Geräte über eine Vielzahl von Verbindungen zwischen
den einzelnen Netzwerkknoten verbunden werden. In einer vollständigen Mesh
Topologie ist jeder Knoten mit allen anderen Knoten im Netzwerk verbunden. Maschennetze
können drahtlos oder kabelgebunden sein.
In der oben dargestellten Maschenstruktur entspricht jede Kugel
einem Router. Server und Drucker können gemeinsam genutzt werden, indem sie mit
jedem Router in der Masche verbunden werden. Für einen drahtlosen Zugang zum
Maschennetz muss ein Access Point an einen der Router in diesem Netz angeschlossen
werden.
MIMO (Multiple Input Multiple Output)
MIMO bezeichnet Funktechnologien, die zur Optimierung der
drahtlosen Kommunikation mit mehreren Verbindungen zwischen Sender und
Empfänger arbeiten. Hierzu werden mehrere Antennen benötigt.
NAT (Network Address Translation, Netzwerk-Adressumsetzung)
Eine Netzwerkfunktion, mit der mehrere Computer eine einzige
Eingangs-IP-Adresse dynamisch zum gemeinsamen Zugriff auf das Internet über
eine Einwähl-, Kabel- oder xDSL-Verbindung nutzen können. NAT verwendet die
gemeinsame IP-Adresse und erstellt neue IP-Adressen für alle Client-Computer im
Netzwerk.
Netzwerkname
Der Netzwerkname kennzeichnet das drahtlose Netzwerk für alle
gemeinsam genutzten Geräte. Bei der Installation eines drahtlosen Netzwerks
muss in der Regel ein Netzwerkname bzw. eine SSID eingegeben werden. Beim
Einrichten eines einzelnen Computers, eines kabelgebundenen Netzwerks oder
einer
Arbeitsgruppe werden andere Netzwerknamen verwendet.
Netzwerkkarte (NIC, Network Interface Card)
Eine Steckkarte für PCs, die entweder drahtlos funktioniert oder
über einen Anschluss für ein Netzwerkkabel verfügt. In beiden Fällen kann über die Karte eine
bidirektionale Kommunikation zwischen dem Computer und Netzwerkgeräten wie
einem Hub oder Switch hergestellt werden. Die meisten Netzwerkkarten in
kabelgebundenen Büronetzwerken arbeiten mit 10 MBit/s (Ethernet), 100 MBit/s
(Fast Ethernet) oder 10/100 MBit/s (Dual Speed). Daneben sind aber auch
besonders schnelle Gigabit- und 10-Gigabit-Netzwerkkarten erhältlich. Oft
werden Netzwerkkarten auch als Netzwerk-Adapter bezeichnet.
PC-Card
Oberbegriff für scheckkartengroße Erweiterungskarten in 16-Bit-
(PCMCIA-) oder 32-Bit- (CardBus-) Technologie. PC-Cards werden vor allem in
Notebooks eingesetzt. Zu den als PC-Cards erhältlichen Peripheriegeräten
gehören u. a. WiFi-Karten, Speicherkarten, Modems, Netzwerkkarten und
Festplatten.
PCI
PCI ist ein leistungsstarker E/A-Bus, mit dem die meisten Computer
ausgestattet sind. Andere Bussysteme sind ISA und AGP. PCI und andere Busse
ermöglichen den Einbau von internen Karten, die Dienste und Funktionen bieten,
die von der Hauptplatine oder anderen Anschlüssen nicht unterstützt werden.
Peer-to-Peer-Netzwerk (bei WLANs auch Ad-hoc-Modus)
Ein kabelgebundenes oder drahtloses Computernetzwerk ohne Server,
zentralen Hub oder Router. Alle vernetzten PCs können gleichrangig als
Netzwerkserver oder Client agieren und jeder Client-Computer kann mit allen
anderen drahtlosen Computern kommunizieren, ohne dabei über einen Access Point
oder Hub gehen zu müssen. Da es keine zentrale Basisstation gibt, die den
Datenverkehr überwacht oder den Internetzugang zur Verfügung stellt, kann es
jedoch zu Kollisionen der einzelnen Signale und damit zu einer Beeinträchtigung
der Leistung des Netzwerkes insgesamt kommen.
PHY (physikalische Schicht oder auch Bitübertragungsschicht)
Die unterste Schicht des ISO-OSI-Referenzmodells. Diese Schicht
ist in erster Linie für die Übertragung der Bitströme über das PHYsikalische
Übertragungsmedium zuständig. Bei drahtlosen Netzwerken ist das Übertragungsmedium
der freie Raum. In der Bitübertragungsschicht werden Parameter wie Datenübertragungsrate,
Modulationsmethode, Signalparameter, Sender-/Empfängersynchronisierung usw. festgelegt.
In einer Funkimplementierung entspricht die Bitübertragungsschicht den
Bereichen Funk-Front-End und Basisbandsignalverarbeitung.
Plug & Play
Eine Computersystemfunktion, die die automatische Konfiguration
von Zusatz- und Peripheriegeräten wie PC-Cards, Druckern, Scannern und
Multimediageräten ermöglicht.
Proxy-Server
Proxy-Server werden in größeren Unternehmen eingesetzt, um den
Netzwerkbetrieb und die Sicherheit zu optimieren. Ein Proxy-Server kann die
direkte Kommunikation zwischen zwei oder mehr Netzwerken verhindern. Der
Proxy-Server leitet zulässige Datenanforderungen an entfernte Server weiter
und/oder bearbeitet Datenanfragen direkt mit Hilfe von Daten auf entfernten
Servern.
Reichweite
Die Entfernung, die ein drahtloses Netzwerk von einem Access Point
aus abdecken kann. Die meisten WiFi-Systeme bieten eine Reichweite von 30 m
oder mehr. Je nach Umgebung und der verwendeten Antenne können WiFi-Signale
eine Reichweite von bis zu 1,6 km erreichen.
Residential Gateway (Heim-Gateway)
Ein drahtloses Gerät, über das in einem Heimnetzwerk mehrere PCs
mit Peripheriegeräten und dem Internet verbunden werden können. Die meisten
WiFi-Residential-Gateways bieten zudem auch DHCP und NAT.
RJ-45
Die Standardstecker in kabelgebundenen Netzwerken. RJ-45-Stecker
sehen RJ-11-Telefonsteckern sehr ähnlich. RJ-45 können jedoch bis zu acht
Leitungen haben, Telefonstecker haben dagegen nur vier.
Roaming
Der nahtlose Wechsel von der Funkzelle eines Access Points in die
des nächsten mit einem Notebook oder Desktop-PC, ohne dass dabei die Verbindung
unterbrochen wird.
Rogue Access Point
Als „Rogue Access Point“ bezeichnet man einen nicht autorisierten
Access Point, der mit dem Heim- oder Unternehmensnetzwerk verbunden ist oder im
Stand-Alone-Modus arbeitet (z. B. von einem Parkplatz oder benachbarten Gebäude
aus). Rogue Access Points werden nicht von den Netzwerk-Administratoren verwaltet
und erfüllen auch nicht die Sicherheitsrichtlinien des Netzwerks. Sie stellen
ein beträchtliches Sicherheitsrisiko dar. Es ist zu empfehlen, ein WLAN-System
einzusetzen, das das Hinzufügen von Rogue Access Points zu einem bestehenden
WLAN so schwer wie möglich macht.
Router
Ein Gerät, das Datenpakete von einem LAN (Local Area Network) oder
WAN (Wide Area Network) an ein anderes weiterleitet. Mit Hilfe von
Routingtabellen und Routingprotokollen kann der Router die Netzwerkadresse
jedes gesendeten Frames entziffern und entscheiden, welche die effizienteste
Route für die Weiterleitung des Frames ist. Er berücksichtigt dabei u. a. die
Auslastung, Leitungskosten, Geschwindigkeit und schlechte Verbindungen.
Satelliten-Breitband
Eine drahtlose Hochgeschwindigkeits-Internetverbindung über
Satellit. Manche
Satelliten-Breitbandverbindungen sind bidirektional (aufwärts und
abwärts). Andere Verbindungen gehen nur in eine Richtung: Der Satellit bietet
eine Hochgeschwindigkeitsverbindung für den Downstream (vom Internet zum
Benutzer) an, für den Upstream (vom Benutzer zum Internet) wird dagegen eine Einwahlverbindung
oder ein anderes terrestrisches System verwendet.
Server
Ein Computer, der seine Ressourcen für andere Computer und Geräte
im Netzwerk verfügbar macht. Dazu gehören z. B. Printserver, Internet-Server
und Datenserver. Ein Server kann auch mit einem Switch oder Router kombiniert
werden.
SSID (auch ESSID)
Eine eindeutige Kennzeichnung aus 32 Zeichen, die an den Header
von über das WLAN versendeten Datenpaketen angehängt und als Passwort
eingesetzt wird, wenn ein mobiles Gerät versucht, eine Verbindung zum BSS
aufzubauen (siehe ESSID). Die SSID dient dazu, ein WLAN von anderen zu unterscheiden.
Deshalb müssen alle Access Points und sonstigen Geräte, die versuchen, eine
Verbindung zu einem bestimmten WLAN aufzubauen (siehe ESSID). Die SSID
verwenden. Geräten, die nicht über die eindeutige SSID verfügen, wird der
Anschluss an das BSS verweigert. Da SSIDs jedoch den Paketen im Klartext zu
entnehmen sind, bieten sie keinerlei Sicherheit für das Netzwerk. Die SSID wird
auch als „Netzwerkname“ bezeichnet, da sie im Prinzip zur Kennzeichnung drahtloser
Netzwerke dient.
SSL (Secure Sockets Layer)
Ein verbreitetes Verschlüsselungsprotokoll, das von vielen
Online-Händlern und Online-Banking-Websites eingesetzt wird, um bei
finanziellen Transaktionen Datensicherheit zu gewährleisten. Zu Beginn einer SSL-Sitzung
sendet der Server seinen öffentlichen Schlüssel an den Browser. Der Browser
sendet sodann einen nach dem Zufallsprinzip erstellten, geheimen Schlüssel
zurück an den Server. Damit ist ein geheimer Schlüsselaustausch für diese
Sitzung gewährleistet.
Standortprüfung
Untersuchung eines Standorts vor der Installation eines drahtlosen
Netzwerks. Bei einer Standortprüfung wird der Standort auf seine Funk- und
Benutzereigenschaften hin untersucht, um eine optimale Positionierung der
Access Points zu erreichen.
Subnetz
Diese kleineren Netzwerke werden in großen Netzwerken eingesetzt,
um die Adressierung zwischen zahlreichen Computern zu erleichtern. Subnetze
werden über einen Router, Switch oder ein Gateway mit dem zentralen Netzwerk
verbunden. Ein WLAN verwendet in der Regel für alle lokalen Computer, mit denen
es kommuniziert, dasselbe Subnetz.
Switch
Ein Hub-ähnlicher Netzwerkverteiler, der die Nutzung eines
Netzwerkes durch unterschiedliche Geräte effizient steuert, damit alle Geräte
optimale Leistung erbringen können. Switches übernehmen im Netzwerk die Rolle
eines Datenverkehrspolizisten: Während ein Hub alle empfangenen Pakete an
sämtliche Ports weiterleitet, sendet ein Switch die Pakete nur an den Port, für
den sie bestimmt sind.
TCP (Transmission Control Protocol)
Ein Protokoll, das zusammen mit dem Internet Protocol (IP)
verwendet wird, um Daten in Form von einzelnen Einheiten, den sog. Paketen,
über das Internet zwischen Computern zu versenden. IP ist dabei für die
Zustellung der Daten zuständig, TCP protokolliert die einzelnen Pakete, in die
eine Nachricht für das effiziente Routing über das Internet zerlegt wird.
Wenn beispielsweise eine Webseite von einem Webserver
heruntergeladen wird, teilt die TCP-Programmschicht auf diesem Server die Datei
in Pakete, versieht sie mit einer Nummer und leitet sie dann einzeln an die
IP-Programmschicht weiter. Auch wenn alle Pakete dieselbe IP-Adresse als Ziel
haben, können die einzelnen Pakete auf unterschiedlichen Wegen dorthin
gelangen. Am anderen Ende fügt TCP die einzelnen Pakete wieder zusammen und
wartet, bis alle angekommen sind, um sie dann als eine einzige Datei
weiterzuleiten.
TCP/IP
TCP/IP ist das zugrunde liegende Protokoll, das die Kommunikation
zwischen Computern im Internet und in einem Netzwerk ermöglicht. Der erste
Teil, TCP, ist für die Übermittlung der Daten zuständig. TCP passt die Größe
der Nachrichten an beiden Enden der Übertragung an und stellt sicher, dass die
Nachricht richtig zugestellt wird. Der zweite Teil, IP, ist die Computeradresse
eines Benutzers in einem Netzwerk. Jeder Computer in einem TCP/IP-Netzwerk hat
eine eigene IP-Adresse, die ihm entweder dynamisch beim Systemstart oder aber
permanent zugewiesen wird. Alle TCP/IP-Nachrichten enthalten die Adresse des Zielnetzwerks
sowie die Adresse der Zielstation. So können TCP/IP-Nachrichten an mehrere
Netzwerke (Subnetze) innerhalb eines Unternehmens oder in der ganzen Welt
übermittelt werden.
TKIP (Temporal Key Integrity Protocol)
Eine Sicherheitsfunktion zur Verbesserung von WEP: TKIP und MIC
(Message Integrity Check) sind Modifikationen von WEP zum Schutz gegen bekannte
Angriffe (WEP und vier Patches für paketweises Ändern von Schlüsseln,
Nachrichtenintegrität, Neuverschlüsselung und Initialisierungsvektorschutz).
Unternehmensnetzwerke: Benutzerauthentifizierung über 802.1x/EAP
und RADIUS
WEP verfügt über nahezu keine Mechanismen zur
Benutzerauthentifizierung. Zur Stärkung der
Benutzerauthentifizierung implementiert WPA (Wi-Fi Protected
Access) 802.1x und EAP (Extensible Authentication Protocol). Zusammengenommen
bilden diese Verbesserungen das Gerüst für eine leistungsfähige
Benutzerauthentifizierung. Dieses Gerüst verwendet einen zentralen Authentifzierungsserver,
z. B. einen RADIUS-Server, um jeden Benutzer vor der Anmeldung beim Netzwerk zu
authentifizieren. Eine gegenseitige Authentifizierung verhindert zudem, dass
der Benutzer sich versehentlich bei einem Spionagenetzwerk anmeldet, das seine
Anmeldedaten stiehlt.
USB (Universal Serial Bus)
Eine bidirektionale, serielle Hochgeschwindigkeitsverbindung
zwischen einem PC und einem Peripheriegerät, die Daten bei 12 MBit/s überträgt. Der neue
Standard USB 2.0 bietet sogar eine Übertragungsrate von bis zu 480 MBit/s. IEEE 1394, FireWire und
iLink bieten allesamt eine Bandbreite von bis zu 400 MBit/s.
Verbesserte Datenverschlüsselung mit TKIP
Zur Verbesserung der Datenverschlüsselung setzt WPA (Wi-Fi
Protected Access) TKIP (Temporal Key Integrity Protocol) ein. TKIP bietet
wichtige Verbesserungen zur Datenverschlüsselung, darunter eine Funktion zum
paketweisen Ändern von Schlüsseln, die Nachrichtenintegritätsprüfung Michael
(Message Integrity Check, MIC), einen erweiterten Initialisierungsvektor (IV)
mit Sequenzierungsregeln und einen Mechanismus zur Neuverschlüsselung. Mit
diesen Verbesserungen berücksichtigt TKIP alle bekannten Schwächen von WEP.
Verschlüsselungscode
Eine alphanumerische (aus Buchstaben und Ziffern bestehende)
Zeichenfolge, die die Verschlüsselung und Entschlüsselung von Daten für einen
sicheren Datenaustausch unter den Mitgliedern eines Netzwerks ermöglicht. WEP
verwendet einen Verschlüsselungscode, der ausgehende Daten im drahtlosen
Netzwerk automatisch verschlüsselt. Auf der Empfängerseite kann der Computer
die Informationen mit Hilfe desselben Verschlüsselungscodes automatisch
entschlüsseln.
Voice over IP (VoIP, auch als IP-Telefonie bekannt)
Sprachübertragung, bei der mit Hilfe von IP digitale Pakete zum
Versand über das Internet erstellt werden. VoIP kann kostengünstiger sein als
die Sprachübertragung in herkömmlichen analogen Paketen über POTS (Plain Old
Telephone Service, ein international gebräuchliches Synonym für den analogen
Telefondienst).
VPN (Virtual Private Network)
Ein Verfahren, das die Sicherheit bei der Datenübertragung über
das Internet erhöhen soll. VPN kann bei kabelgebundenen und drahtlosen
Netzwerken sowie bei Einwahlverbindungen über analoge Telefonleitungen
eingesetzt werden. VPN richtet einen privaten, verschlüsselten Tunnel ein, der
vom Computer des Endbenutzers durch das drahtlose Netzwerk und das Internet
hindurch bis hin zu den Unternehmensservern und -datenbanken reicht.
Warchalking
Das Anbringen von Kreidemarkierungen an Mauern, Gehwegen,
Gebäuden, Schildern, Bäumen usw., um das Bestehen eines offenen drahtlosen
Netzwerks, in der Regel mit einer Internetverbindung, zu kennzeichnen. So
können Eingeweihte erkennen, wo sie gratis eine drahtlose Verbindung nutzen
können. Die offenen Verbindungen stammen meist von den Access Points von
drahtlosen Unternehmensnetzwerken in den Gebäuden. Die Kreidesymbole lassen
erkennen, welche Art von Access Point an dieser spezifischen Stelle verfügbar
ist. Derzeit werden drei Hauptzeichen verwendet: Zwei Rücken an Rücken
positionierte Halbkreise verweisen auf einen offenen Knoten, ein geschlossener
Kreis zeigt einen geschlossenen Knoten an und ein geschlossener Kreis mit einem
„W“ in der Mitte steht für einen Knoten, bei dem WEP aktiviert ist. Warchalker
geben zudem über den Symbolen oft das Passwort an, das zum Zugreifen auf den Knoten
erforderlich ist. Dies kann mit Hilfe von Sniffer-Software leicht ermittelt
werden. Da Warchalking relativ neu ist, ist die Debatte über dessen Legalität
noch nicht abgeschlossen. Es geht zurück auf wandernde Arbeiter in den USA der
dreißiger Jahre, die ähnliche Markierungen an Häusern hinterließen, um anderen
Wanderern zu signalisieren, ob dieses Haus Reisenden gegenüber aufgeschlossen
war oder nicht.
Wardriving
Wardriving ist das Aufspüren und unter Umständen auch Nutzen von
Verbindungen zu WLANs in Städten oder anderen Umgebungen. Zum Wardriving
benötigt man ein Fahrzeug, einen Computer (z. B. ein Notebook), eine drahtlose
Netzwerkkarte im Mixmode und eine Antenne, die auf dem Dach oder im Inneren des
Autos angebracht werden kann. Da die Reichweite eines drahtlosen LAN oft über
das jeweilige Bürogebäude hinausgeht, können sich Eindringlinge von außen
Zugang zum Netzwerk verschaffen, eine kostenlose Internetverbindung nutzen und
vielleicht sogar auf Unternehmensunterlagen und andere Ressourcen zugreifen. Manche
Leute betreiben Wardriving als eine Art Sport, teilweise auch um aufzuzeigen,
wie anfällig WLANs für derartige Angriffe sind. Mit Hilfe einer
omnidirektionalen Antenne und eines Positionierungssystems (GPS) kann der
Wardriver die Standorte der 802.11b-Wireless-Access-Points systematisch
bestimmen.
WEP (Wired Equivalent Privacy)
Das durch WiFi bereitgestellte grundlegende
Verschlüsselungsverfahren für drahtlose Netzwerke. In manchen Fällen reicht WEP
vollkommen aus, um die Sicherheitsanforderungen von Heimanwendern und kleinen
Unternehmen im drahtlosen Netzwerk zu erfüllen. Bei WEP sind
Verschlüsselungsmodi mit 40 Bit (oft auch als 64-Bit-Verschlüsselung
bezeichnet) oder 104 Bit (oft auch als 128-Bit-Verschlüsselung bezeichnet)
verfügbar. Da bei der 104-Bit-Verschlüsselung ein längerer Algorithmus
verwendet wird, der aufwendiger zu entschlüsseln ist, kann sie größeren Schutz
bieten als die einfache 40-Bit- (64-Bit-)Verschlüsselung.
WiFi (Wireless Fidelity)
Eine andere Bezeichnung für den Standard IEEE 802.11b. Produkte
mit WiFi-Zertifizierung sind vollständig miteinander kompatibel, selbst wenn
sie von unterschiedlichen Herstellern stammen. Ein Benutzer eines WiFi-Produkts
kann einen Access Point einer beliebigen Marke mit Client-Hardware jeder
anderen Marke kombinieren, solange beide Geräte dem WiFi-Standard entsprechen.
Wi-Fi Alliance (früher WECA, Wireless Ethernet Compatibility
Alliance)
Die Wi-Fi Alliance ist eine gemeinnützige internationale
Vereinigung, die 1999 gegründet wurde, um die Kompatibilität von WLAN-Produkten
des Standards IEEE 802.11 zu zertifizieren. Derzeit sind 193 Unternehmen aus
aller Welt Mitglied der Wi-Fi Alliance und 509 Produkte haben seit Beginn der Zertifizierung
im März 2000 die WiFi-Zertifizierung erhalten. Die Zielsetzung der Wi-Fi
Alliance und ihrer Mitglieder ist eine Verbesserung der Benutzerfreundlichkeit
durch Produktkompatibilität (www.weca.net).
WiMAX
Eine IEEE 802.16-Arbeitsgruppe, die einen Standard für feste
drahtlose Breitbandzugangssysteme auf Grundlage einer PMP-Architektur
(Point-to-Multipoint) festlegt. Arbeitsgruppe 1 des Bereichs IEEE 802.16 hat
einen Standard für den drahtlosen PMP-Breitbandzugang für Systeme im
Frequenzbereich 10–66 GHz entwickelt. Der Standard gilt sowohl für die MAC-
(Media Access Control) als auch für die Bitübertragungsschicht.
Wireless Multimedia (WMM)
WMM (Wireless Multimedia) ist eine Untergruppe des Standards
802.11e. Mit WMM kann drahtlos versendeten Daten je nach Datentyp eine
unterschiedliche Priorität gegeben werden. Daten, bei denen Zeit eine
wichtigere Rolle spielt (z. B. Video-, Audio- oder Sprachdaten) erhalten eine
höhere Priorität als zeitlich unkritische Daten. WMM funktioniert jedoch nur,
wenn die drahtlosen Clients WMM-fähig sind.
WLAN (Wireless LAN)
Wird manchmal auch als „LAN“ bezeichnet. Ein LAN, das für die
Kommunikation zwischen den einzelnen Knoten Hochfrequenzfunkwellen statt Kabeln
verwendet.
WPA (Wi-Fi Protected Access)
WPA ist ein Verschlüsselungsverfahren für drahtlose Netzwerke, das
die Authentifizierung und Verschlüsselung gegenüber WEP (Wired Equivalent Privacy)
verbessert. WPA wurde von der Netzwerkbranche als Reaktion auf die Schwächen
von WEP entwickelt. Ein wichtiger Teil von WPA ist das Protokoll TKIP (Temporal
Key Integrity Protocol). TKIP behebt die Verschlüsselungsschwächen von WEP. Eine
weitere zentrale Komponente von WPA ist die integrierte Authentifizierung (die
in WEP nicht enthalten ist). Dank dieser Funktion kann WPA ein
Sicherheitsniveau erreichen, das sich in etwa mit dem eines
VPN-Tunnels mit WEP vergleichen lässt, wobei WPA sich jedoch deutlich
einfacher verwalten und benutzen lässt. WPA funktioniert ähnlich wie
802.1x-Unterstützung und erfordert einen RADIUS-Server für die Implementierung.
Die Wi-Fi Alliance wird diese Form von WPA als „WPA-Enterprise“ bezeichnen. Zu
WPA gibt es auch eine Variante namens „WPA Pre-Shared Key“ (WPA-PSK). Diese
bietet eine Authentifizierungsalternative zu einem teuren RADIUS-Server.
WPA-PSK ist eine vereinfachte, aber immer noch sehr leistungsstarke Form von
WPA, die besonders für drahtlose Heimnetzwerke geeignet ist. Zur Verwendung von
WPA-PSK wird wie bei WEP ein statischer Schlüssel (auch als „Passphrase“
bezeichnet) festgelegt. Doch mit Hilfe von TKIP kann WPA-PSK diesen Schlüssel
automatisch in bestimmten voreingestellten Zeitabständen ändern. So wird es
sehr viel schwerer für Hacker, den Schlüssel zu finden und zu missbrauchen. Die
Wi-Fi Alliance wird diese Form von WPA als „WPA-Personal“ bezeichnen.
WPA für Klein- und Heimbüros
In einem Heimnetzwerk oder einer SOHO-Umgebung (Small Office/Home
Office), wo es keine zentralen Authentifizierungsserver und keinen EAP-Rahmen
gibt, wird WPA in einem speziellen Modus ausgeführt. Dieser Modus, der oft auch
als „Pre-Shared Key“ (PSK) bezeichnet wird, ermöglicht die Benutzung von manuell
eingegebenen Schlüsseln oder Passwörtern und wurde für die bequeme Einrichtung
durch Privatbenutzer entwickelt. Der Privatbenutzer muss lediglich beim Access
Point oder drahtlosen Heim-Gateway sowie auf jedem PC, der zum WiFi-Netzwerk
gehört, ein Passwort (das auch als „Hauptschlüssel“ oder „Master Key“
bezeichnet wird) eingeben. Alles weitere wird
automatisch durch WPA geregelt. Erstens wird nur Geräten mit dem richtigen
Passwort der Zugang zum Netzwerk gestattet, so dass Lauscher und andere nicht
autorisierte Personen ausgesperrt werden. Zweitens startet das Passwort automatisch
die TKIP-Verschlüsselung (siehe weiter oben).
WPA für Public Access
Die in WPA festgelegten Verschlüsselungs- und
Authentifizierungsmechanismen sind auch für Anbieter von drahtlosen
Internetdiensten (Wireless Internet Service Provider, WISP) interessant, die so
genannte „Hot-Spots“ – öffentlich zugängliche WiFi-Access-Points – betreiben.
Da sich die Benutzer meist nicht gegenseitig kennen, sind sichere
Datenübertragung und Authentifizierung dort von besonderer Bedeutung. Die in
WPA definierte Authentifizierungsfunktion aktiviert einen sicheren
Zugriffssteuerungsmechanismus für die Dienstanbieter und für mobile Benutzer,
die keine VPN-Verbindungen verwenden.
WPA für Unternehmen
WPA erfüllt die WLAN-Sicherheitsanforderungen von Unternehmen auf
effektive Weise und bietet eine leistungsstarke Verschlüsselungs- und
Authentifizierungslösung bis zur Ratifizierung des Standards IEEE 802.11i. In
einem Unternehmen mit einer eigenen EDV-Abteilung sollte WPA in Verbindung mit
einem Authentifizierungsserver (z. B. RADIUS) eingesetzt werden, um eine
zentrale Steuerung und Verwaltung des Netzwerkzugangs zu ermöglichen. Bei einer
solchen Implementierung kann auf zusätzliche Lösungen wie VPNs verzichtet
werden, vor allem, wenn es nur darum geht, die drahtlose Verbindung mit dem Netzwerk
sicherer zu gestalten.