Zurück ] Home ] Weiter ]

Netzwerke, Routing,Firewalls und Grundlagen

 

Dieses Kapitel gibt einen Überblick über IP-Netzwerke, Routing und allgemeine Netzwerkfragen.

 

Weiterführende Dokumente

In diesem Anhang wird häufiger auf RFC-Dokumente mit weiteren Informationen verwiesen. „RFC“ steht für „Request For Comment“. RFCs werden von der Internet Engineering Task Force (IETF) herausgegeben, einer offenen Vereinigung, die für die Architektur und Funktionsweise des Internets zuständig ist. In den RFC-Dokumenten werden die Standardprotokolle und -verfahren für das Internet festgelegt. Diese Dokumente sind im Internet unter www.ietf.org zu finden. Zahlreiche andere Websites enthalten ebenfalls Auszüge und Querverweise auf diese Dokumente.

 

Grundlegende Routerkonzepte

In einem LAN (Local Area Network) können große Bandbreiten einfach und relativ preisgünstig bereitgestellt werden. Die Bereitstellung einer großen Bandbreite zwischen einem lokalen Netzwerk und dem Internet kann dagegen sehr kostspielig sein. Auf Grund dieser Kosten wird der Internetzugang in der Regel über eine langsamere WAN-Verbindung (Wide Area Network) hergestellt, z. B. über ein Kabel- oder DSL-Modem. Um eine optimale Ausnutzung der langsameren WAN-Verbindung zu gewährleisten, benötigt man einen Mechanismus, der den für das Internet bestimmten Datenverkehr auswählt und dafür sorgt, dass nur diese Daten übertragen werden. Die Auswahl und Weiterleitung dieser Daten wird von einem Router übernommen.

 

Was ist ein Router?

Ein Router ist ein Gerät, das den Datenverkehr zwischen Netzwerken weiterleitet. Die Weiterleitung erfolgt anhand der in den Daten enthaltenen Informationen aus der Vermittlungsschicht und der vom Router geführten Routingtabellen. In diesen Routingtabellen legt der Router ein logisches Abbild des gesamten Netzwerks an, indem er Daten sammelt und diese mit anderen Routern im Netzwerk austauscht. Anhand dieser Informationen wählt der Router dann den besten Pfad für die Weiterleitung des Netzwerkverkehrs. Router unterscheiden sich in ihrer Leistung und ihrem Umfang, der Anzahl der unterstützten Routingprotokolle und der Arten von WAN-Verbindung, die sie unterstützen. Der RangeMax Wireless Router WPN824 ist ein kleiner Router für Bürozwecke, der das IP-Protokoll über eine

Einzelbenutzer-Breitbandverbindung lenkt.

 

RIP (Routing Information Protocol)

Zu den Protokollen, mit deren Hilfe Router ein Abbild des Netzwerks aufbauen und aktualisieren, gehört das Routing Information Protocol (RIP). Mit Hilfe von RIPs senden Router sich gegenseitig in regelmäßigen Abständen Aktualisierungen zu und suchen nach Veränderungen, die in die Routingtabelle aufgenommen werden müssen. Der WPN824 Router unterstützt sowohl das ältere Protokoll RIP-1 als auch das neuere RIP-2. Zu den Neuerungen von RIP-2 gehört die Unterstützung von Subnetz- und Multicast-Protokollen. RIP ist für die meisten in Privathaushalten eingesetzten Anwendungen nicht erforderlich.

 

IP-Adressen und das Internet

Da TCP/IP-Netzwerke in der gesamten Welt miteinander verbunden sind, benötigt jedes Gerät im Internet eine eindeutige Adresse. Nur so kann sichergestellt werden, dass gesendete Daten am vorgesehenen Ziel ankommen. Die Vergabe von Adressen erfolgt blockweise durch die IANA (Internet Assigned Numbers Authority). Einzelne Benutzer und kleinere Unternehmen und Organisationen können ihre Adressen entweder direkt von der IANA oder über einen Internetdienstanbieter beziehen. Sie können die IANA unter www.iana.org kontaktieren. Das Internet Protocol (IP) verwendet eine 32-Bit-Adressstruktur. Die Adresse wird normalerweise in der Dezimalschreibweise (auch als Punktnotation bezeichnet) angegeben. Dabei werden die einzelnen Gruppen von jeweils acht Bit in dezimaler Form und durch Punkte getrennt angegeben.

So erscheint z. B. die folgende binäre Adresse

11000011 00100010 00001100 00000111

in der Regel als

195.34.12.7

Die zweite Version prägt sich besser ein und ist außerdem bequemer für die Eingabe. Die 32 Bit der Adresse werden zudem in zwei Teile unterteilt: Der erste Teil der Adresse identifiziert das Netzwerk, der zweite Teil den Host-Knoten oder die Host-Station des Netzwerks. Der Trennpunkt zwischen dem ersten und zweiten Teil kann je nach Adressabschnitt und Anwendung unterschiedlich sein. Es gibt fünf Standardklassen von IP-Adressen. Bei jeder dieser Adressklassen wird der Netzwerkund Hostabschnitt der Adresse auf unterschiedliche Weise festgelegt, um die unterschiedliche Hostanzahl in Netzwerken zu berücksichtigen. Jede Adresse beginnt mit einem eindeutigen Bit-Muster, über das die TCP/IP-Software die Adressklasse identifizieren kann. Anhand der Adressklasse kann die Software den Hostabschnitt der Adresse ermitteln. Die folgende Abbildung zeigt die drei wichtigsten Adressklassen mit den jeweiligen Netzwerk- und Hostabschnitten.

 

Abbildung B-1: Die drei wichtigsten Adressklassen

Die fünf Adressklassen sind:

• Klasse A

Adressen der Klasse A lassen bis zu 16.777.214 Hosts in einem einzigen Netzwerk zu. Sie verwenden 8 Bit für die Netzwerknummer und 24 Bit für die Hostadresse. Die Adressen der Klasse A befinden sich in diesem Bereich:

1.x.x.x bis 126.x.x.x.

• Klasse B

Adressen der Klasse B lassen bis zu 65.354 Hosts in einem Netzwerk zu. Sie verwenden jeweils

16 Bit für die Netzwerknummer und die Hostadresse. Die Adressen der Klasse B befinden sich

in diesem Bereich:

128.1.x.x bis 191.254.x.x.

• Klasse C

Adressen der Klasse C lassen bis zu 254 Hosts in einem Netzwerk zu. Sie verwenden 24 Bit für die Netzwerkadresse und 8 Bit für die Hostadresse. Die Adressen der Klasse C befinden sich in diesem Bereich:

192.0.1.x bis 223.255.254.x.

• Klasse D

Die Adressen der Klasse D werden für Multicasts (Übersenden von Nachrichten an mehrere Hosts)

verwendet. Sie befinden sich in diesem Bereich:

224.0.0.0 bis 239.255.255.255.

• Klasse E

Die Adressen der Klasse E dienen experimentellen Zwecken. Dank dieser Adressstruktur können IP-Adressen jedes physikalische Netzwerk und jeden Host in jedem physikalischen Netzwerk eindeutig identifizieren. Als Netzwerkadresse für jeden eindeutigen Wert des Netzwerkabschnitts der Adresse wird die Basisadresse des Bereichs (mit lauter Nullen als Hostadresse) verwendet. Diese wird in der Regel nicht an einen Host zugewiesen. Die höchste Adresse des Bereichs (bei der die Hostadresse aus lauter Einsen – bzw. dem Wert 255 – besteht) wird ebenfalls nicht vergeben, sondern wird als Broadcast-Adresse verwendet. Über die Broadcast-Adresse kann ein Paket simultan an alle Hosts mit derselben Netzwerkadresse versendet werden.

 

Netzmaske

In den oben beschriebenen Adressklassen wird die Größe der beiden Abschnitte (Netzwerkadresse und Hostadresse) durch die Klasse festgelegt. Dieses Unterteilungsschema kann auch durch eine der IP-Adresse zugeordnete Netzmaske ausgedrückt werden. Über die 32 Bit lange Netzmaske lässt sich durch logische UND-Verknüpfung mit einer IP-Adresse die Netzwerkadresse ermitteln. Die Netzmasken für die Klassen A, B und C lauten z. B.: 255.0.0.0, 255.255.0.0 und 255.255.255.0. Die IP-Adresse „192.168.170.237“ ist eine Adresse der Klasse C, deren Netzwerkabschnitt aus den vorderen 24 Bit besteht. Wenn diese Adresse, wie hier gezeigt, mit der Netzmaske für die Klasse C logisch mit UND verknüpft wird, bleibt nur der Netzwerkabschnitt der Adresse übrig:

11000000 10101000 10101010 11101101 (192.168.170.237)

verknüpft mit

11111111 11111111 11111111 00000000 (255.255.255.0)

ist gleich

11000000 10101000 10101010 00000000 (192.168.170.0)

Als kürzere Alternative zur Dezimalschreibweise kann die Netzmaske auch als Anzahl der Einsen von links gezählt angegeben werden. Diese Anzahl wird nach einem Backslash (/) an die IP-Adresse angehängt: „/n“. In unserem Beispiel könnte die IP-Adresse also auch als „192.168.170.237/24“ geschrieben werden. Dieser Schreibweise ist zu entnehmen, dass die Netzmaske aus 24 Einsen gefolgt von 8 Nullen besteht.

 

Subnetzadressierung

Ein Blick auf die Adressstrukturen lässt erkennen, dass selbst bei Adressen der Klasse C eine große Anzahl von Hosts pro Netzwerk zulässig ist. Eine solche Struktur bedeutet eine ineffiziente Adressennutzung, wenn für jedes Ende einer Routerverbindung eine andere Netzwerkadresse erforderlich ist. Kleinere Büro-LANs verfügen häufig nicht über die dafür erforderliche Geräteanzahl. Die Lösung für dieses Problem heißt Subnetzadressierung. Die Subnetzadressierung ermöglicht die Aufteilung einer IP-Netzwerkadresse in mehrere kleinere physikalische Netzwerke, die auch als Subnetze bezeichnet werden. Dabei werden einige der Hostadressen als Subnetznummern verwendet. Eine Adresse der Klasse B ergibt 16 Bit an Hostadressen bzw. 64.000 Hosts. Da die meisten Organisationen keine 64.000 Hosts benötigen, bleiben freie Bits übrig, die anders vergeben werden können. Mit Hilfe der Subnetzadressierung können diese freien Bits genutzt werden (vgl. Abbildung unten).

 

Abbildung B-2: Subnetz in einer Adresse der Klasse B

Eine Adresse der Klasse B kann auch in viele Adressen der Klasse C aufgeteilt werden. Ein Beispiel:

Die IP-Adresse „172.16.0.0“ wurde vergeben, doch es gibt nicht mehr als 255 Hostadressen. Dadurch

stehen 8 zusätzliche Bits für die Subnetzadresse zur Verfügung. Zur Verdeutlichung: Bei der IP-Adresse „172.16.97.235“ ist 172.16 die IP-Netzwerkadresse, 97 die Subnetzadresse und 235 die Hostadresse. Neben der Erweiterung der verfügbaren Adressen hat die Subnetzadressierung jedoch auch noch andere Vorteile. Mit Hilfe der Subnetzadressierung kann ein Netzwerkmanager ein Adressschema für das Netzwerk entwickeln, bei dem für die einzelnen geografischen Standorte oder Abteilungen der Organisation unterschiedliche Subnetze eingerichtet werden. Auch wenn im obigen Beispiel das gesamte dritte Oktett für eine Subnetzadresse verwendet wird, ist die Einrichtung von Subnetzen keineswegs auf die Grenzen eines Oktetts beschränkt. Wenn Sie weitere Netzwerknummern benötigen, müssen Sie lediglich einige Bits von der Hostadresse in die Netzwerkadresse verschieben. Angenommen, Sie möchten eine Netzwerknummer der Klasse C (z. B. „192.68.135.0“) in zwei Nummern unterteilen. Dann verschieben Sie ein Bit von der Hostadresse in die Netzwerkadresse. Die neue Netzmaske (oder Subnetzmaske) lautet: 255.255.255.128. Das erste Subnetz hat die Netzwerknummer „192.68.135.0“ mit Hosts von „192.68.135.1“ bis „192.68.135.126“, das zweite Subnetz hat die Netzwerknummer „192.68.135.128“ mit Hosts von „192.68.135.129“ bis „192.68.135.254“.

Hinweis: Die Nummer „192.68.135.127“ wird nicht vergeben, da sie die Broadcast-Adresse des ersten Subnetzes ist. Die Nummer „192.68.135.128“ wird nicht vergeben, da sie die Netzwerk-Adresse des zweiten Subnetzes ist. In der folgenden Tabelle sind die zusätzlichen Subnetzmaskenbits in Dezimalschreibweise aufgeführt. So verwenden Sie diese Tabelle: Schreiben Sie die ursprüngliche Netzmaske der Klasse auf und ersetzen Sie die Oktetts mit dem Wert „0“ durch den Wert der zusätzlichen Subnetz-Bits in Dezimalschreibweise. Wenn Sie zum Beispiel ein Netzwerk der Klasse C mit der Subnetzmaske „255.255.255.0“ in 16 Subnetze (4 Bit) unterteilen möchten, ist die neue Subnetzmaske „255.255.255.240“.

Die folgende Tabelle enthält eine Auswahl häufiger Netzmaskenwerte in Dezimalschreibweise und die Maskenlängenformate. Achten Sie bei der Konfiguration darauf, dass alle Hosts in einem LAN-Segment dieselbe Netzmaske verwenden. Dies empfiehlt sich aus folgenden Gründen:

 

Tabelle B-1. Tabelle zur Netzmaskennotationsumwandlung für ein Oktett

Bits Wert in Dezimalschreibweise

1 128

2 192

3 224

4 240

5 248

6 252

7 254

8 255

Tabelle B-2. Netzmaskenformate

Dezimalschreibweise Maskenlänge

255.0.0.0 /8

255.255.0.0 /16

255.255.255.0 /24

255.255.255.128 /25

255.255.255.192 /26

255.255.255.224 /27

255.255.255.240 /28

255.255.255.248 /29

255.255.255.252 /30

255.255.255.254 /31

255.255.255.255 /32

• Nur so können alle Hosts lokale IP-Broadcast-Datenpakete erkennen. Wenn ein Gerät Broadcasts an seine Segmentnachbarn überträgt, verwendet es als Zieladresse die lokale Netzwerkadresse mit lauter Einsen als Hostadresse. Damit diese Vorgehensweise funktioniert, müssen auf allen Geräten im Segment dieselben Bits als Hostadresse konfiguriert sein.

• Nur so kann ein lokaler Router oder eine lokale Bridge erkennen, welche Adressen lokal und welche entfernt sind.

 

Private IP-Adressen

Wenn Ihr lokales Netzwerk vom Internet isoliert ist (z. B. wenn Sie NAT verwenden), können Sie den Hosts beliebige IP-Adressen zuweisen, ohne dass dadurch Probleme entstehen. Die folgenden drei Blöcke von IP-Adressen wurden jedoch von der IANA speziell für private Netzwerke reserviert:

10.0.0.0 bis 10.255.255.255

172.16.0.0 bis 172.31.255.255

192.168.1.0 bis 192.168.255.255

Wählen Sie Ihre private Netzwerknummer also am besten aus diesen Bereichen aus. Der DHCP-Server des WPN824 Routers ist so vorkonfiguriert, dass er automatisch private Adressen vergibt. Erstellen Sie unter keinen Umständen beliebige IP-Adressen, sondern folgen Sie immer den Hinweisen hier. Weitere Informationen zur Adresszuweisung finden Sie in den Dokumenten RFC 1597, „Address Allocation for Private Internets“, und RFC 1466, „Guidelines for Management of IP Address Space“.

Die RFCs sind auf der Website der Internet Engineering Task Force (IETF) unter www.ietf.org veröffentlicht.

 

Betrieb mit einer einzelnen IP-Adresse mit Hilfe von NAT

Um mehreren Computern eines LAN gleichzeitig den Zugriff aufs Internet zu ermöglichen, musste man lange Zeit mehrere IP-Adressen vom Internetdienstanbieter beziehen. Diese Art von Internetzugang ist teurer als ein Konto mit einer einzigen Adresse, wie es typischerweise von einem Einzelbenutzer mit einem Modem (statt eines Routers) eingesetzt wird. Der WPN824 Router verwendet zur gemeinsamen Nutzung von Adressen eine Methode namens NAT (Network Address Translation). Mit Hilfe dieser Methode können mehrere vernetzte Computer ein Internetkonto mit einer einzigen IP-Adresse gemeinsam nutzen. Die IP-Adresse kann dabei vom Internetdienstanbieter statisch oder dynamisch vergeben werden. Diese gemeinsame Nutzung der Adresse wird dadurch ermöglicht, dass der Router die internen LAN-IP-Adressen in eine einzige Adresse umwandelt, die im Internet weltweit eindeutig ist. Die internen LAN-IP-Adressen können dabei entweder private oder registrierte Adressen sein. Weitere Informationen zur Umwandlung von IP-Adressen finden Sie im Dokument RFC 1631, Die folgende Abbildung illustriert den Betrieb mit einer einzigen IP-Adresse.

Abbildung B-3: Betrieb mit einer einzelnen IP-Adresse mit Hilfe von NAT

Die abgebildete Lösung bietet zudem einen Firewall-ähnlichen Schutz, da die internen LAN-Adressen im Internet auf Grund der Umwandlung bei der Verbindung nicht zu erkennen sind. Alle eingehenden Anforderungen werden durch den Router gefiltert. Diese Filterung kann verhindern, dass unbefugte Eindringlinge Ihr System ausspionieren. Mit Hilfe einer Portweiterleitung können Sie aber dennoch einen Computer in Ihrem lokalen Netzwerk (z. B. einen Webserver) für externe Benutzer zugänglich machen.

 

MAC-Adressen und ARP (Address Resolution Protocol)

Eine IP-Adresse allein reicht nicht aus, um Daten von einem LAN-Gerät an ein anderes zu senden. Um den Versand von Daten zwischen LAN-Geräten zu ermöglichen, muss die IP-Adresse des Zielgeräts in dessen MAC-Adresse (Media Access Control) umgewandelt werden. Jedes Gerät in einem Netzwerk verfügt über eine eindeutige MAC-Adresse. Bei der MAC-Adresse handelt es sich um eine 48-Bit-Nummer, die jedem Gerät vom Hersteller zugewiesen wird. Zur Zuordnung von IP-Adressen zu MAC-Adressen wird ein Protokoll namens ARP (Address Resolution Protocol) verwendet. IP verwendet ARP zum Ermitteln von MAC-Adressen. Wenn ein Gerät Daten an eine andere Station im Netzwerk sendet und die MAC-Zieladresse noch nicht erfasst ist, wird ARP verwendet. Dazu wird eine ARP-Anforderung an das Netzwerk gesendet. Alle Stationen des Netzwerks empfangen und lesen diese Anforderung. Die IP-Zieladresse der gewünschten Station ist in dieser Anforderung enthalten. So antwortet nur die Station mit dieser IP-Adresse auf die ARP-Anforderung. Alle anderen Stationen ignorieren die Anfrage.

 

Weiterführende Dokumente

Die Station mit der richtigen IP-Adresse antwortet mit ihrer eigenen MAC-Adresse direkt an das sendende Gerät. Die Empfängerstation gibt die gewünschte MAC-Zieladresse an die übertragende Station weiter. Die IP- und MAC-Adressdaten für die einzelnen Stationen werden in einer ARP-Tabelle gespeichert. Beim nächsten Versand von Daten kann die Adresse den in der Tabelle gespeicherten Informationen entnommen werden.
Weitere Informationen zur Adresszuweisung finden Sie in den IETF-Dokumenten RFC 1597, „Address Allocation for Private Internets“, und RFC 1466, „Guidelines for Management of IP Address Space“. Weitere Informationen zur Umwandlung von IP-Adressen finden Sie im Dokument RFC 1631, „The IP Network Address Translator (NAT)“.

 

DNS-Server

Viele der Ressourcen im Internet können über einfache beschreibende Namen wie www.NETGEAR.com erreicht werden. Diese Art der Adressierung ist auf der Anwendungsebene sehr praktisch, doch damit ein Benutzer wirklich auf die Ressource zugreifen kann, muss der beschreibende Name in eine IP-Adresse umgewandelt werden. Ähnlich wie ein Telefonbuch bestimmten Namen bestimmte Telefonnummern zuordnet oder eine ARP-Tabelle IP-Adressen die entsprechenden MAC-Adressen zuordnet, ordnet ein DNS-Server (Domain Name System) beschreibenden Namen die richtigen IP-Adressen zu. Wenn ein Computer über einen beschreibenden Namen auf eine Ressource zugreift, kontaktiert er dabei zuerst einen DNS-Server, um die IP-Adresse der Ressource zu erfahren. Der Computer sendet die gewünschte Nachricht über die IP-Adresse. Viele große Unternehmen, wie z. B. Internetdienstanbieter, haben eigene DNS-Server und gestatten ihren Kunden die Benutzung dieser Server zum Nachschlagen von Adressen.

 

IP-Konfiguration über DHCP

Bei der Installation eines IP-basierten LANs muss für jeden Computer eine IP-Adresse konfiguriert werden. Wenn der Computer auf das Internet zugreifen soll, sollten zudem eine Gateway-Adresse und eine oder mehrere DNS-Serveradressen konfiguriert werden. Als Alternative zur manuellen Konfiguration gibt es auch eine Methode, mit der jeder Computer im Netzwerk diese Konfigurationsdaten automatisch abrufen kann: Ein Gerät im Netzwerk wird als DHCP-Server (Dynamic Host Configuration Protocol) eingesetzt. Der DHCP-Server speichert neben anderen Informationen (darunter Gateway- und DNS-Adressen) eine Liste von IP-Adressen, die er an andere Geräte im Netzwerk vergeben kann. Der WPN824 Router kann als DHCP-Server eingesetzt werden. Beim Verbindungsaufbau zum Internetdienstarbeiter dient der WPN824 Router außerdem als DHCP-Client. Falls der Internetdienstanbieter diese Informationen per DHCP zur Verfügung stellt,  kann die Firewall automatisch IP-Adresse, Subnetzmaske, DNS-Serveradressen und eine Gateway-Adresse abrufen.

 

Internetsicherheit und Firewalls

Wenn Ihr LAN über einen Router an das Internet angeschlossen ist, besteht die Gefahr, dass Eindringlinge von außen auf Ihr Netzwerk zugreifen oder Störungen verursachen. Ein NAT-Router gewährt hier einen gewissen Schutz, da bei diesem Verfahren das Netzwerk hinter dem Router vor externen Zugriffen über das Internet geschützt ist. Hartnäckige Hacker können sich allerdings dennoch Informationen über Ihr Netzwerk verschaffen oder zumindest Ihre Internetverbindung unterbrechen. Besseren Schutz bietet ein Firewall-Router.

 

Was ist eine Firewall?

Eine Firewall ist ein Gerät, das ein Netzwerk vor einem anderen Netzwerk schützt, aber dennoch einen Austausch zwischen den beiden Netzwerken zulässt. Eine Firewall beinhaltet die Funktionen eines NAT-Routers, ergänzt diese jedoch um weitere Funktionen zur Abwehr von unbefugten Zugriffen und Angriffen durch Hacker. Eine Reihe bekannter Typen von Zugriffsversuchen und Hackerangriffen kann erkannt werden, sobald sie auftreten. Wenn es zu einem Vorfall kommt, kann die Firewall Einzelheiten des Angriffsversuchs protokollieren und ggf. den Administrator per E-Mail benachrichtigen. Mit den im Protokoll festgehaltenen Daten kann der Administrator sich dann an den Internetdienstanbieter des Hackers wenden. Bei manchen Arten von Zugriffsversuch kann die Firewall den Hacker abwehren, indem alle weiteren Pakete, die von der IP-Adresse des Hackers stammen, für eine gewisse Zeit ignoriert werden.

 

SPI (Stateful Packet Inspection)

Anders als gewöhnliche Router für die gemeinsame Internetnutzung verwendet eine Firewall einen Prozess namens SPI (Stateful Packet Inspection). Dabei wird das Netzwerk durch sichere Firewall-Filterung vor Angriffen und Zugriffsversuchen geschützt. Da Benutzeranwendungen wie FTP und Webbrowser komplexe Netzwerkverkehrsmuster schaffen können, muss die Firewall in der Lage sein, den Status von Netzwerkverbindungen gruppenweise zu analysieren. Durch SPI werden eingehende Pakete in der Vermittlungsschicht abgefangen und dann in Bezug auf statusbezogene Informationen zu allen Netzwerkverbindungen analysiert. Ein zentraler Cache-Speicher innerhalb der Firewall protokolliert die Statusinformationen zu allen Netzwerkverbindungen. Der gesamte Datenverkehr, der durch die Firewall geht, wird in Hinblick auf den Status dieser Verbindung analysiert. Dadurch wird bestimmt, ob die Daten durchgelassen oder abgelehnt werden.

 

Denial-of-Service-Angriffe

Mit Denial-of-Service-Angriffen (DoS) können Hacker Ihr Netzwerk funktionsunfähig machen oder die Kommunikation verhindern. Ein derartiger Angriff kann mit ganz einfachen Mitteln geschehen. Es reicht schon aus, Ihre Website mit mehr Anfragen zu überschwemmen, als diese verarbeiten kann. Ein etwas raffinierterer Angreifer versucht vielleicht, Schwachstellen im Betriebssystem Ihres Routers oder Gateways auszunutzen. Manche Betriebssysteme können z. B. schon durch Senden eines Datenpakets mit falschen Längenangaben gestört werden.

 

Netzwerk-Verkabelung

Ursprünglich wurden für Netzwerke dicke oder dünne Koaxialkabel verwendet, doch inzwischen werden meistens ungeschirmte Twisted-Pair-Kabel (UTP) eingesetzt. Ein UTP-Kabel besteht aus vier miteinander verdrillten Aderpaaren und hat einen RJ45-Stecker. Ein normales UTP-Patchkabel (Durchgangskabel) entspricht der Standardverdrahtung nach EIA568B, die unten in Tabelle B-3 dargestellt ist.

 

Kabel der Kategorie 5

Kabel der Kategorie 5 (CAT 5), die den Standards ANSI/EIA/TIA-568-A entsprechen, dürfen eine Gesamtlänge von 100 m nicht überschreiten. Diese Länge ist wie folgt aufzuteilen: 6 m zwischen dem Switch und dem Patch-Panel (falls eines verwendet wird) 90 m zwischen dem Kabelschrank und der Wandsteckdose 3 m zwischen der Wandsteckdose und dem Desktop-Gerät Das Patch-Panel und sonstige Geräte müssen den Anforderungen für den Betrieb bei 100 MBit/s (Kategorie 5) entsprechen. An den Schnittstellen darf das Leitungspaar jeweils max. 1,5 cm entdrillt werden.

Bei Twisted-Pair-Netzwerken, die mit 10 MBit/s (10BASE-T) arbeiten, wirkt es sich meist nicht nachteilig aus, wenn Kabel von niedriger Qualität verwendet werden. Bei 100 MBit/s (100BASE-Tx) muss das Kabel dagegen der Kategorie 5 (Cat 5) der EIA (Electronic Industries Alliance) entsprechen. Diese Kategorie ist auf die Kabelummantelung aufgedruckt. Ein Kabel der Kategorie 5 erfüllt besondere Anforderungen hinsichtlich Datenverlust und Störsignalen. Sowohl bei Netzwerken mit 10 MBit/s als auch bei Netzwerken mit 100 MBit/s sind zudem Einschränkungen bezüglich der maximalen Kabellänge zu berücksichtigen.

 

Tabelle B-3. Verdrahtung eines UTP-Patchkabels

Pin Leitungsfarbe Signal

1 Orange/Weiß Senden (Tx) +

2 Orange Senden (Tx) -

3 Grün/Weiß Empfangen (Rx) +

4 Blau

5 Blau/Weiß

6 Grün Empfangen (Rx) -

7 Braun/Weiß

8 Braun

 

Das Innenleben eines Twisted-Pair-Kabels

Damit zwei Geräte miteinander kommunizieren können, muss der Sender jedes Geräts mit dem Empfänger des jeweils anderen Geräts verbunden sein. Die Crossover-Funktion ist normalerweise in die Schaltkreise des Geräts integriert. Adapterkarten für Computer und Workstations sind in der Regel MDI-Ports (Media Dependent Interface), die auch als Uplink-Ports bezeichnet werden. Die meisten Repeater und Switch-Ports sind als MDI mit integrierten Crossover-Ports konfiguriert. Diese werden als MDI-X-Ports oder normale Ports bezeichnet. Die Auto Uplink-Technologie erkennt automatisch, welche Verbindungsart (MDI oder MDI-X) benötigt wird, und stellt die richtige Verbindung her.

Abbildung B-4 zeigt ein Twisted-Pair-Durchgangskabel

Abbildung B-4: Twisted-Pair-Durchgangskabel

Abbildung B-5 zeigt ein Twisted-Pair-Crossover-Kabel

Abbildung B-5: Twisted-Pair-Crossover-Kabel

Abbildung B-6: UTP-Kabel der Kategorie 5 mit RJ-45-Stecker an beiden Enden

Hinweis: Manche Telefonkabel können auch über einen RJ-45-Stecker verfügen. Die Verwendung von Telefonkabeln führt jedoch zu einer Vielzahl von Kollisionen, so dass der darüber angeschlossene Port partitioniert oder vom Netzwerk getrennt wird.

 

Uplink-Switches, Crossover-Kabel und MDI-/MDIX-Umschaltung

In der Verdrahtungstabelle weiter oben sind die Signale „Senden“ und „Empfangen“ aus der

Perspektive des Computers dargestellt, der als MDI (Media Dependent Interface) verdrahtet ist. Bei dieser Verdrahtung sendet der Computer über die Pins 1 und 2. Im Switch wird die Perspektive umgekehrt, und über die Pins 1 und 2 erfolgt der Empfang. Diese Art der Verdrahtung wird als „MDI-X“ (Media Dependant Interface - Crossover) bezeichnet. Wenn ein Computer mit einem anderen Computer oder ein Switch-Port mit einem anderen Switch-Port verbunden werden soll, muss das Senderpaar mit dem Empfängerpaar vertauscht werden. Dieser Tausch kann über einen der folgenden zwei Mechanismen bewerkstelligt werden. Die meisten Switches verfügen über einen Uplink-Umschalter, der es ermöglicht, die Paare an einem Port zu vertauschen, so dass dieser Port über ein normales Netzwerkkabel mit einem anderen Switch verbunden werden kann. Die zweite Möglichkeit ist die Verwendung eines Crossover-Kabels. Dabei handelt es sich um ein spezielles Kabel, bei dem das Sender- und Empfängerpaar in einem der Anschlüsse vertauscht ist. Crossover-Kabel sind oft nicht als solche gekennzeichnet, können jedoch durch einen Vergleich der beiden Anschlüsse identifiziert werden. Da die Stecker aus durchsichtigem Plastik sind, kann man sie leicht nebeneinander legen und die Reihenfolge der Leitungsfarben vergleichen. Bei einem Durchgangskabel ist die Farbreihenfolge in beiden Steckern gleich. Bei einem Crossover-Kabel sind das orangefarbene und das grüne Paar bei einem der beiden Stecker vertauscht. Der WPN824 Router verwendet die Auto UplinkTM-Technologie (auch als MDI/MDIX bezeichnet). Dies bedeutet, dass jeder LAN-Port automatisch erkennt, ob für das eingesteckte Netzwerkkabel eine normale Verbindung (d. h. eine Verbindung zu einem Computer) oder eine Uplink-Verbindung (d. h. eine Verbindung zu einem Router oder Switch) erforderlich ist. Der Port konfiguriert sich dann den Anforderungen entsprechend selbst. Diese Funktion macht zudem die Verwendung von Crossover-Kabeln unproblematisch, da Auto UplinkTM bei beiden Kabeltypen die richtige Verbindung herstellt.

Anhang C

Netzwerkeinrichtung

In diesem Anhang wird beschrieben, wie Sie Ihr Netzwerk auf eine Internetverbindung über den RangeMax Wireless Router WPN824 vorbereiten und überprüfen, ob der Breitband-Internetservice Ihres Internetdienstanbieters (kurz ISP) bereit ist.

 

Voraussetzungen zum Einsatz eines Routers mit einem

Breitbandmodem

Vor Beginn müssen Sie folgende Vorbereitungen treffen:

 

Kabel und Computer-Hardware

Der WPN824 Router kann in Ihrem Netzwerk nur eingesetzt werden, wenn jeder Computer mit einem 802.11g- oder 802.11b-Wireless-Adapter bzw. einer kabelgebundenen Netzwerkkarte und einem Netzwerkkabel ausgestattet ist. Wenn Ihr Computer die Verbindung zum Netzwerk über eine Netzwerkkarte mit 100 MBit/s herstellt, müssen Sie ein CAT-5-Kabel (Kategorie 5) wie das im Lieferumfang Ihres Routers enthaltene verwenden. Das Kabel- oder DSL-Breitbandmodem muss über eine übliche 10 MBit/s Ethernet-Schnittstelle (10BASE-T) oder über eine 100 MBit/s Fast

 

Ethernet-Schnittstelle (100BASE-Tx) verfügen.

Netzwerkkonfiguration des Computers

Der WPN824 wird mit einer integrierten Konfigurationsoberfläche (Web Configuration Manager) geliefert. Für den Zugriff auf die Konfigurationsmenüs des WPN824 muss auf Ihrem Computer ein Java-fähiger Webbrowser, der HTTP-Uploads unterstützt, installiert sein (z. B. Microsoft Internet Explorer oder Netscape Navigator). Verwenden Sie Internet Explorer bzw. Netscape Navigator 4.0 oder höher.

Hinweis: Wenn ein Techniker Ihres Internetdienstanbieters Ihren Computer bei der Installation eines Breitbandmodems konfiguriert hat oder wenn Sie ihn nach Anleitung Ihres Dienstanbieters konfiguriert haben, sollten Sie die aktuellen Konfigurationsdaten für die Konfiguration Ihrer Firewall übernehmen. Notieren Sie sich diese Informationen, bevor Sie Ihre Computer neu konfigurieren.

Für die erste Konfiguration Ihres Routers müssen Sie einen Computer über ein Netzwerkkabel an den Router anschließen. Dieser Computer muss so eingerichtet sein, dass er seine TCP/IP-Konfiguration vom Router automatisch über DHCP erhält.

.

Konfiguration des Internetzugangs

Je nachdem, wie der Internetzugang von Ihrem Internetdienstanbieter eingerichtet wurde, benötigen Sie einen oder mehrere der folgenden Konfigurationsparameter zum Anschluss des Routers an das Internet:

• Host- und Domainnamen

• Benutzernamen und Passwort zur Anmeldung beim Internetdienstanbieter

• DNS-Serveradressen (Domain Name Server) des Internetdienstanbieters

• Feste IP-Adresse, auch statische IP-Adresse genannt

 

Wo erhalte ich die Parameter für die Internetkonfiguration?

Die erforderlichen Informationen für die Internetverbindung können Sie auf unterschiedliche Weise erhalten.

• Ihr Internetdienstanbieter liefert alle Informationen, die Sie für die Verbindung zum Internet benötigen. Wenn Sie diese Informationen nicht finden können, fordern Sie sie bei Ihrem Internetdienstanbieter an oder versuchen Sie es mit einer der unten genannten Möglichkeiten.

• Wenn Sie einen Computer mit einer bestehenden Internetverbindung haben, können Sie die Informationen auf diesem Computer abrufen.

— Öffnen Sie unter Windows 95/98/ME die Systemsteuerung, wählen Sie unter „Netzwerk“ den TCP/IP-Eintrag für den Netzwerk-Adapter und klicken Sie auf Eigenschaften. Notieren Sie die Einstellungen, die auf jeder Registerkarte stehen.

— Öffnen Sie unter Windows 2000/XP die LAN-Verbindung, wählen Sie den TCP/IP-Eintrag für den Netzwerk-Adapter und klicken Sie auf Eigenschaften. Notieren Sie die Einstellungen, die auf jeder Registerkarte stehen.

— Notieren Sie bei Apple-Computern die Einstellungen im TCP/IP- oder Netzwerk-Kontrollfeld.

 

Aufzeichnung der Internetzugangsdaten

Drucken Sie diese Seite aus. Tragen Sie die Konfigurationsparameter Ihres Internetdienstanbieters (ISP) ein.

 

ISP-Benutzername: Bei der Eingabe des Benutzernamens und Passworts für die Anmeldung kommt es auf die genaue Schreibweise (mit Groß- und Kleinschreibung) an, die Sie von Ihrem Internetdienstanbieter erhalten haben. Manche Internetdienstanbieter verwenden Ihre vollständige E-Mail-Adresse als Benutzernamen. Der Dienstname wird nicht von allen Internetdienstanbietern gefordert. Wenn Sie sich mit einem Benutzernamen und Passwort anmelden, tragen Sie Folgendes ein:

Benutzername: ______________________________

Passwort:        ____________________________

Dienstname:    _____________________________

 

Feste oder statische IP-Adresse: Wenn Sie eine statische IP-Adresse haben, notieren Sie die folgenden Informationen. 169.254.141.148 ist ein Beispiel für eine gültige IP-Adresse. Feste oder statische Internet-IP-Adresse: ______ ______ ______ ______

Gateway-IP-Adresse:  ______ ______ ______ ______

Subnetzmaske: ______ ______ ______ ______

 

DNS-Serveradressen des Internetdienstanbieters: Wenn Sie DNS-Serveradressen erhalten haben,

tragen Sie Folgendes ein:

Erste DNS-Server-IP-Adresse:           ______ ______ ______ ______

Zweite DNS-Server-IP-Adresse:         ______ ______ ______ ______

 

Host- und Domainnamen: Manche Internetdienstanbieter verwenden einen bestimmten Host- oder Domainnamen, z. B. CCA7324-A oder home. Wenn Sie keine Host- oder Domainnamen erhalten haben, können Sie sich von den folgenden Beispielen anregen lassen: • Wenn Ihr vorrangiges E-Mail-Konto bei Ihrem Internetdienstanbieter aaa@yyy.de lautet, verwenden Sie aaa als Hostnamen. Ihr Internetdienstanbieter kann ihn als Konto-, Benutzer-, Host-, Computer- oder Systemnamen bezeichnen.

• Wenn der Mailserver Ihres Internetdienstanbieters mail.xxx.yyy.de heißt, verwenden Sie xxx.yyy.de als Domainnamen.

Hostname des ISP:     _________________________

Domainname des ISP: _______________________

 

Anhang D

Grundlagen drahtloser Netzwerke

Dieses Kapitel gibt einen Überblick über drahtlose Netzwerke.

Überblick über drahtlose Netzwerke

Der WPN824 Router erfüllt die Standards 802.11b und 802.11g für drahtlose Netzwerke (kurz WLANs) des IEEE (Institute of Electrical and Electronics Engineers). Bei einer drahtlosen Verbindung des Typs 802.11b oder g werden die Daten über das DSSS-Verfahren (Direct Sequence Spread Spectrum) verschlüsselt und im lizenzfreien Frequenzband bei 2,4 GHz übertragen. Die maximale Übertragungsrate für drahtlose Verbindungen des Typs 802.11b beträgt 11 MBit/s. Wenn das Funksignal schwach ist oder Interferenzen entdeckt werden, wird die Übertragungsrate jedoch automatisch von 11 MBit/s zunächst auf 5,5, dann auf 2 und schließlich auf 1 MBit/s gesenkt. Beim Standard 802.11g liegen die automatisch erfassten Übertragungsraten bei 1; 2; 5,5; 6; 9; 12; 18; 24; 36; 48; 54 und im Turbomodus bei 108 MBit/s.

Die WECA (Wireless Ethernet Compatibility Alliance, vgl. http://www.wi-fi.net), eine Gruppe, die Branchenstandards für die Kompatibilität von 802.11-Geräten festlegt, bezeichnet den Standard 802.11 auch als „Wireless Ethernet“ oder „Wi-Fi“. Der Standard 802.11 bietet zwei Modi zum Betrieb eines drahtlosen Netzwerks, den Ad-hoc-Modus und den Infrastruktur-Modus.

Infrastruktur-Modus

Mit einem Wireless Access Point können Sie das WLAN im Infrastruktur-Modus betreiben. Dieser Modus bietet drahtlose Verbindungen für eine Vielzahl von drahtlosen Geräten, die sich innerhalb einer festgelegten Reichweite befinden und über eine Antenne mit den Hosts des drahtlosen Netzwerks kommunizieren.

Im Infrastruktur-Modus wandelt der Wireless Access Point Funkdaten in Daten für das kabelgebundene Netzwerk um. Er bildet also eine Bridge zwischen dem verdrahteten LAN und drahtlosen Clients. Der Funkbereich des drahtlosen Netzwerks kann vergrößert werden, indem mehrere Access Points über einen verkabelten Netzwerk-Backbone verbunden werden. Wenn ein mobiles Gerät die Funkzelle eines Access Points verlässt, bewegt es sich in die Funkzelle eines anderen. So können drahtlose Clients sich frei von einem Access-Point-Bereich zum nächsten bewegen, ohne dass dabei die Verbindung unterbrochen wird.

 

Ad-hoc-Modus (Peer-to-Peer-Arbeitsgruppe)

In einem Ad-hoc-Netzwerk werden Computer je nach Bedarf verbunden. Es gibt also keinerlei Struktur oder feste Stationen in diesem Netzwerk – in der Regel kann jeder Host mit allen anderen Hosts kommunizieren. Bei dieser Konfiguration gibt es keinen Access Point. In diesem Modus können Sie schnell eine kleine drahtlos verbundene Arbeitsgruppe einrichten, deren Mitglieder dann über das Microsoft-Netzwerk ihrer jeweiligen Windows-Betriebssysteme Daten austauschen und Drucker gemeinsam nutzen können. Manche Hersteller bezeichnen Ad-hoc-Netzwerke auch als „Peer-to-Peer-Netzwerke“. In dieser Betriebsart werden Datenpakete direkt von den Sende- an die Empfangsstationen gesendet.

Solange sich die Stationen in Funkreichweite zueinander befinden, ist dies die einfachste und preisgünstigste Methode zur Einrichtung eines drahtlosen Netzwerks.

 

Netzwerkname: ESSID (Extended Service Set Identifier)

Die ESSID ist eine von zwei Arten von SSID (Service Set Identifier). In einem drahtlosen Ad-hoc-Netzwerk ohne Access Points wird eine BSSID (Basic Service Set Identifier) verwendet. In einem drahtlosen Infrastruktur-Netzwerk, das einen Access Point enthält, wird die ESSID verwendet, die manchmal auch einfach als SSID bezeichnet wird. Eine SSID ist ein aus maximal 32 alphanumerischen Zeichen bestehender Code, der den Namen des WLANs festlegt. Manche Hersteller bezeichnen die SSID auch als „Netzwerknamen“. Damit die drahtlosen Geräte in einem Netzwerk miteinander kommunizieren können, müssen alle Geräte mit derselben SSID konfiguriert werden. Die ESSID wird normalerweise von einem Access Point gesendet. Die drahtlose Station kann manchmal mit einer ESSID namens ANY konfiguriert werden. Bei dieser Konfiguration versucht die drahtlose Station, sich dem Access Point mit dem stärksten Funksignal zuzuordnen. Voraussetzung dafür ist, dass sowohl der Access Point als auch die drahtlose Station zur Authentifizierung Open System verwenden.

 

Authentifizierung und WEP-Datenverschlüsselung

Da keine physische Verbindung zwischen den Hosts besteht, sind drahtlose Verbindungen anfällig für Eindringlinge und Datendiebstahl. Um ein gewisses Maß an Sicherheit zu bieten, wurden im Standard IEEE 802.11 die folgenden beiden Authentifizierungsmethoden definiert:

Open System. Bei der Authentifizierung über Open System kann ein drahtloser Computer sich jedem Netzwerk anschließen und alle unverschlüsselten Nachrichten empfangen.

• Shared Key. Bei der Authentifizierung über Shared Key können sich nur PCs, die über den richtigen Authentifizierungsschlüssel verfügen, dem Netzwerk anschließen. Drahtlose IEEE 802.11-Geräte sind standardmäßig so konfiguriert, dass sie mit Open System arbeiten. Wenn die Geräte für den Authentifizierungsmodus Shared Key konfiguriert werden, wird zur Datenverschlüsselung WEP (Wired Equivalent Privacy) verwendet.

 

802.11-Authentifizierung

Im Standard 802.11 wurden mehrere Dienste definiert, die die Kommunikation von zwei 802.11-Geräten bestimmen. Eine 802.11-Station kann erst über einen Access Point, wie er im WPN824 integriert ist, mit einem Netzwerk kommunizieren, wenn die folgenden Schritte geschehen sind:

1. Die drahtlose Station wird eingeschaltet.

2. Die Station sucht nach Nachrichten von Access Points in ihrer Reichweite.

3. Die Station empfängt eine Nachricht von einem Access Point mit einer passenden SSID.

4. Die Station sendet eine Authentifizierungsanforderung an den Access Point.

5. Der Access Point authentifiziert die Station.

6. Die Station sendet eine Zuordnungsanforderung an den Access Point.

7. Der Access Point ordnet sich der Station zu.

8. Die Station kann nun über den Access Point mit dem Netzwerk kommunizieren.

Erst wenn die Station durch den Access Point authentifiziert wurde, kann sie sich dem Access Point zuordnen und mit dem Netzwerk kommunizieren. Im Standard IEEE 802.11 wurden zwei Arten der Authentifizierung festgelegt: Open System und Shared Key.

• Bei der Authentifizierung über Open System kann sich jedes Gerät dem Netzwerk anschließen, dessen SSID mit der SSID des Access Points übereinstimmt. Wenn als SSID „ANY“ ausgewählt ist, kann das entsprechende Gerät sich unabhängig von der SSID jedem verfügbaren Access Point in Reichweite zuordnen.

• Bei der Shared-Key-Authentifizierung müssen die Station und der Access Point denselben WEP-Schlüssel haben, damit eine Authentifizierung möglich ist. Die beiden Authentifizierungsmethoden werden im Folgenden näher erklärt.

Open-System-Authentifizierung

Wenn zwei Geräte sich über Open System authentifizieren, läuft der Verbindungsaufbau zum Netzwerk wie folgt ab:

1. Die Station sendet eine Authentifizierungsanforderung an den Access Point.

2. Der Access Point authentifiziert die Station.

3. Die Station ordnet sich dem Access Point zu und schließt sich dem Netzwerk an.

Dieser Vorgang ist in der Abbildung unten dargestellt.

Abbildung D-1: Open-System-Authentifizierung

Shared-Key-Authentifizierung

Wenn zwei Geräte sich per Shared Key authentifizieren, läuft der Verbindungsaufbau zum Netzwerk wie folgt ab:

1. Die Station sendet eine Authentifizierungsanforderung an den Access Point.

2. Der Access Point sendet eine Testnachricht an die Station.

3. Die Station verwendet zum Verschlüsseln der Testnachricht den konfigurierten 64-Bit- oder 128-Bit-Standardschlüssel und sendet den verschlüsselten Text dann an den Access Point.

4. Der Access Point entschlüsselt den verschlüsselten Text mit Hilfe des konfigurierten WEP-Schlüssels, der dem Standardschlüssel der Station entspricht. Der Access Point vergleicht den entschlüsselten Text mit dem ursprünglichen Text. Wenn der entschlüsselte Text mit dem ursprünglichen Text übereinstimmt, verwenden der Access Point und die Station denselben WEP-Schlüssel und der Access Point authentifiziert die Station.

5. Die Station stellt eine Verbindung zum Netzwerk her. Wenn der entschlüsselte Text nicht mit dem ursprünglichen Text übereinstimmt (und der Access Point und die Station demnach nicht denselben WEP-Schlüssel verwenden), verweigert der Access Point der Station die Authentifizierung und die Station kann weder mit dem 802.11-Netzwerk noch mit dem kabelgebundenen Netzwerk kommunizieren. Dieser Vorgang ist in der Abbildung unten dargestellt.

Abbildung D-2: Shared-Key-Authentifizierung

 

Überblick über die WEP-Parameter

Bevor Sie bei einem 802.11-Netzwerk WEP aktivieren, sollten Sie überlegen, welche Art der Verschlüsselung Sie benötigen und wie groß der Schlüssel sein soll. Bei 802.11-Geräten gibt

es in der Regel drei Optionen für die WEP-Verschlüsselung:

1. WEP wird überhaupt nicht verwendet: Das 802.11-Netzwerk verschlüsselt keinerlei Daten. Zur Authentifizierung wird Open System verwendet.

2. WEP wird zur Verschlüsselung verwendet: Sendende 802.11-Geräte verschlüsseln den Datenbestandteil jedes Datenpakets, das versendet wird, mit einem konfigurierten WEP-Schlüssel. Das Empfangsgerät entschlüsselt die Daten mit demselben WEP-Schlüssel. Zur Authentifizierung wird Open System verwendet.

3. WEP wird zur Authentifizierung und Verschlüsselung verwendet: Sendende 802.11-Geräte verschlüsseln den Datenbestandteil jedes Datenpakets, das versendet wird, mit einem konfigurierten WEP-Schlüssel. Das Empfangsgerät entschlüsselt die Daten mit demselben WEP-Schlüssel. Zur Authentifizierung im drahtlosen Netzwerk wird die Shared-Key-Authentifizierung verwendet.

Hinweis: Bei manchen 802.11-Access-Points ist es zudem möglich, WEP nur zur Authentifizierung

zu verwenden (Shared-Key-Authentifizierung ohne Datenverschlüsselung).

Schlüsseltiefe

Der Standard IEEE 802.11 unterstützt zwei Arten der WEP-Verschlüsselung: 64 Bit und 128 Bit. Bei der 64-Bit-WEP-Datenverschlüsselung können 5 Zeichen (40 Bits) eingegeben werden. Dazu kommen 24 voreingestellte Bits, die zusammen mit den 40 Bits einen 64-Bit-Schlüssel ergeben. (Die voreingestellten 24 Bits können nicht vom Benutzer geändert werden.) Dieser Schlüssel wird zur Verschlüsselung und Entschlüsselung aller Daten verwendet, die über das drahtlose Gerät versendet werden. Manche Hersteller bezeichnen die 64-Bit-WEP-Verschlüsselung als „40-Bit-WEP-Verschlüsselung“, da der Benutzer nur 40 Bits selbst bestimmen kann. Bei der 128-Bit-WEP-Verschlüsselung können 104 Bits vom Benutzer bestimmt werden. Ähnlich wie bei der 64-Bit-WEP-Verschlüsselung sind die restlichen 24 Bits voreingestellt und können nicht vom Benutzer geändert werden. Manche Hersteller erlauben die Verwendung von Kennwörtern anstelle der komplizierten Hexadezimalcodes, um die Eingabe des Schlüssels zu erleichtern. Die 128-Bit-Verschlüsselung ist sicherer als die 64-Bit-Verschlüsselung. Es kann jedoch sein, dass sie auf Grund von Exportvorschriften nicht überall verfügbar ist. 802.11-Geräte, die für 64-Bit-Verschlüsselung konfiguriert sind, unterstützen normalerweise bis zu vier WEP-Schlüssel. Jeder 64-Bit-WEP-Schlüssel besteht aus 5 Paaren von hexadezimalen Zeichen (0–9 and A–F). „12 34 56 78 90“ wäre ein Beispiel für einen 64-Bit-WEP-Schlüssel.

802.11-Geräte, die für 128-Bit-Verschlüsselung konfiguriert sind, unterstützen normalerweise vier WEP-Schlüssel. Produkte mancher Hersteller unterstützen allerdings nur einen 128-Bit-Schlüssel. Der 128-Bit-WEP-Schlüssel besteht aus 13 Paaren von hexadezimalen Zeichen (0–9 and A–F). „12 34 56 78 90 AB CD EF 12 34 56 78 90“ wäre ein Beispiel für einen 128-Bit-WEP-Schlüssel.

Tabelle D-1: Schlüsselgrößen

Hinweis: 802.11-Access-Points können normalerweise bis zu vier 128-Bit-WEP-Schlüssel speichern. Manche 802.11-Client-Adapter können jedoch nur einen derartigen Schlüssel speichern. Vergewissern Sie sich also, dass die Konfiguration Ihres 802.11-Access-Points mit der des Client-Adapters übereinstimmt.

Schlüsselgröße Anzahl hexadezimaler

Zeichen Beispiel für einen hexadezimalen Schlüssel

64-Bit (24+40) 10 4C72F08AE1

128-Bit (24+104) 26 4C72F08AE19D57A3FF6B260037

 

WEP-Konfigurationsoptionen

Die WEP-Einstellungen müssen bei allen 802.11-Geräten, die zum selben drahtlosen Netzwerk gehören (also dieselbe SSID aufweisen), übereinstimmen. Wenn Ihre mobilen Clients also zwischen verschiedenen Access Points wechseln sollen, müssen die WEP-Einstellungen bei allen 802.11-Access-Points und allen 802.11-Client-Adaptern im Netzwerk identisch sein.

Hinweis: Achten Sie darauf, die Schlüssel beim Client-Adapter in derselben Reihenfolge einzugeben wie beim Access Point. WEP-Schlüssel 1 des Access Points muss also mit WEP-Schlüssel 1 des Client-Adapters übereinstimmen, WEP-Schlüssel 2 des Access Points mit WEP-Schlüssel 2 des Client-Adapters usw.

Hinweis: Access Point und Client-Adapter müssen nicht denselben Standardschlüssel verwenden. Die Hauptsache ist, dass die Schlüssel in derselben Reihenfolge erscheinen. Das heißt, wenn der Access Point WEP-Schlüssel 2 als Standardschlüssel für die Übertragung verwendet, kann ein Client-Adapter trotzdem WEP-Schlüssel 3 als Standardschlüssel für die Übertragung verwenden. Die zwei Geräte können dennoch miteinander kommunizieren, solange der WEP-Schlüssel 2 mit dem WEP-Schlüssel 2 des Client-Adapters identisch ist und der WEP-Schlüssel 3 des Access Points mit dem WEP-Schlüssel 3 des Client-Adapters.

Drahtlose Kanäle

Unten finden Sie eine Erläuterung der drahtlosen Frequenzen, die von 802.11b/g-Netzwerken verwendet werden.

Die Hosts in drahtlosen Netzwerken des Typs IEEE 802.11b/g kommunizieren über Funkfrequenzen im ISM-Band (Industrial, Scientific, and Medical) zwischen 2,4 und 2,5 GHz. Der Abstand zwischen den Kanälen beträgt jeweils 5 MHz. Auf Grund des Streuspektrums der Signale kommt es jedoch häufig vor, dass ein Host beim Versand von Signalen über einen bestimmten Kanal ein Frequenzspektrum von bis zu 12,5 MHz ober- und unterhalb der eigentlichen Kanalfrequenz nutzt.

Dies führt zu Interferenzen, wenn in einer Umgebung zwei separate drahtlose Netzwerke nebeneinander bestehen, die aneinander grenzende Kanäle benutzen (z. B. Kanal 1 und 2). Die Verwendung von zwei Kanälen, die möglichst weit auseinander liegen, wird im Vergleich mit Netzwerken mit nahe beieinander liegenden Kanälen die Störungen deutlich verringern und die Leistung spürbar verbessern. In Tabelle D-2 sind die Hochfrequenzkanäle aufgelistet, die von 802.11b/g-Netzwerken verwendet werden:

Tabelle D-2: 802.11b/g-Hochfrequenzkanäle

Kanal Mittenfrequenz Frequenzspanne

1 2412 MHz 2399,5 MHz–2424,5 MHz

2 2417 MHz 2404,5 MHz–2429,5 MHz

3 2422 MHz 2409,5 MHz–2434,5 MHz

Hinweis: In den einzelnen Ländern werden unterschiedliche Kanäle unterstützt. So werden in den USA und Kanada die Kanäle 1 bis 11 unterstützt, in Europa und Australien dagegen Kanäle 1 bis 13. Als Abstand zwischen den Kanälen benachbarter drahtloser Netzwerke wird 25 MHz (5 Kanäle) empfohlen. So können Sie in Ihrem drahtlosen Netzwerk bis zu drei unterschiedliche Kanäle einsetzen. In den USA stehen nur 11 Kanäle zur Verfügung. Sie sollten also mit Kanal 1 beginnen und im Bedarfsfall auf Kanäle 6 und 11 erweitern, da diese Kanäle sich nicht überschneiden.

Sicherheit im drahtlosen Netzwerk mit WPA und WPA2

WPA (Wi-Fi Protected Access) und WPA2 sind Spezifikationen von standardbasierten, kompatiblen Sicherheitsfunktionen, die den Datenschutz und die Zugriffssteuerung bei bereits vorhandenen und bei künftigen WLAN-Systemen verbessern WEP wurde vom IEEE als optionale Sicherheitserweiterung für 802.11b-WLANs eingeführt, doch es zeigte sich bald, dass dieser Standard erhebliche Schwächen hatte. Angesichts dieser Situation stellte die Wi-Fi Alliance im Oktober 2002 eine neue Sicherheitsarchitektur vor, die die Mängel von WEP behebt. Dieser Standard war früher unter dem Namen „SSN“ (Safe Secure Network) bekannt und ist nicht nur mit bestehenden 802.11-Geräten kompatibel, sondern auch mit 802.11i, der neuen Sicherheitsarchitektur für drahtlose Netzwerke, die vom IEEE festgelegt wurde.

4 2427 MHz 2414,5 MHz–2439,5 MHz

5 2432 MHz 2419,5 MHz–2444,5 MHz

6 2437 MHz 2424,5 MHz–2449,5 MHz

7 2442 MHz 2429,5 MHz–2454,5 MHz

8 2447 MHz 2434,5 MHz–2459,5 MHz

9 2452 MHz 2439,5 MHz–2464,5 MHz

10 2457 MHz 2444,5 MHz–2469,5 MHz

11 2462 MHz 2449,5 MHz–2474,5 MHz

12 2467 MHz 2454,5 MHz–2479,5 MHz

13 2472 MHz 2459,5 MHz–2484,5 MHz

Tabelle D-2: 802.11b/g-Hochfrequenzkanäle

Kanal Mittenfrequenz Frequenzspanne

WPA und WPA2 bieten die folgenden Vorteile:

• Verbesserte Datensicherheit

• Stabile Schlüsselverwaltung

• Datenursprungsauthentifizierung

• Datenintegritätsschutz

Die Wi-Fi Alliance führt inzwischen bei WPA-Produkten Kompatibilitätszertifizierungstests durch.

Seit August 2003 müssen alle neuen Wi-Fi-zertifizierten Produkte WPA unterstützen. NETGEAR implementiert WPA und WPA2 bei Client- und Access-Point-Produkten. Der Standard 802.11i wurde 2004 ratifiziert.

 

Worin unterscheidet sich WPA von WEP?

WEP ist ein Datenverschlüsselungsverfahren, das nicht zur Benutzerauthentifizierung gedacht ist. Die WPA-Benutzerauthentifizierung wird mit 802.1x und EAP (Extensible Authentication Protocol) implementiert. WPA erfordert die Unterstützung für 802.1x-Authentifizierung. Beim Standard 802.11 war die 802.1x-Authentifizierung optional. Nähere Informationen zum EAP finden Sie im IETF-Dokument RFC 2284. Bei Verwendung von 802.11 WEP müssen alle Access Points und drahtlosen Client-Adapter eines drahtlosen Netzwerks denselben Verschlüsselungscode benutzen. Eines der größten Probleme des Standards 802.11 ist, dass das Ändern der Schlüssel sehr aufwendig ist. Wenn die WEP-Schlüssel nicht sehr häufig aktualisiert werden, können Unbefugte ein Netzwerk mit Hilfe eines Sniffing-Tools beobachten und innerhalb eines Tages die verschlüsselten Nachrichten entschlüsseln. Produkte, die ausschließlich auf dem Standard 802.11 basieren, bieten Administratoren keine effektive Methode zur Aktualisierung der Schlüssel. Bei 802.11 ist die WEP-Verschlüsselung optional, bei WPA ist dagegen die Verschlüsselung über TKIP (Temporal Key Integrity Protocol) erforderlich. TKIP ersetzt WEP durch einen neuen Algorithmus, der stärker als der WEP-Algorithmus ist. Die für die Verschlüsselung erforderlichen Berechnungen können jedoch auch von älteren drahtlosen Geräten durchgeführt werden. TKIP bietet wichtige Verbesserungen zur Datenverschlüsselung, darunter eine Funktion zum paketweisen Ändern von Schlüsseln, die Nachrichtenintegritätsprüfung Michael (Message Integrity Check, MIC), einen erweiterten Initialisierungsvektor (IV) mit Sequenzierungsregeln und einen Mechanismus zur Neuverschlüsselung. Mit diesen Verbesserungen berücksichtigt TKIP alle bekannten Schwächen von WEP.

Worin unterscheidet sich WPA von WPA 2 (IEEE 802.11i)?

WPA ist aufwärts kompatibel mit den Sicherheitsanforderungen von WPA2. WPA ist eine Untergruppe von WPA2, die Elemente des ersten Entwurfs von 802.11i verwendet, darunter 802.1x und TKIP. Zu den Hauptelementen von WPA2, die nicht in WPA enthalten sind, gehören sicheres IBSS (Ad-hoc-Modus), Secure Fast Handoff (bei 802.11-VoIP-Telefonen) und verbesserte Verschlüsselungsprotokolle wie AES-CCMP. Diese Funktionen waren entweder noch in der Entwicklung oder für ihre Implementierung waren Hardware-Upgrades erforderlich.

Was sind die Hauptsicherheitsmerkmale von WPA und WPA2?

Die Standards WPA und WPA2 enthalten die folgenden Sicherheitsfunktionen:

• WPA- und WPA2-Authentifizierung

• WPA- und WPA2-Schlüsselverwaltung

– TKIP (Temporal Key Integrity Protocol)

– Michael/MIC (Message Integrity Code)

– AES-Unterstützung (WPA2, Unterstützung durch die Hardware erforderlich)

Diese Funktionen werden unten näher beschrieben.
WPA/WPA2 berücksichtigt die meisten der bekannten Schwächen von WEP und ist in erster Linie für drahtlose Infrastrukturnetzwerke im Unternehmensbereich gedacht. Eine entsprechende Infrastruktur besteht aus Stationen, Access Points und Authentifizierungsservern (normalerweise RADIUS-Server). Auf dem RADIUS-Server sind Benutzeranmeldedaten wie Benutzernamen und Passwörter gespeichert oder er hat Zugriff auf diese. So kann der RADIUS-Server die Benutzer identifizieren, bevor sie auf das drahtlose Netzwerk zugreifen können. Die Stärke von WPA/WPA2 liegt in einer integrierten Sequenz von Vorgängen, die 802.1x-/ EAP-Authentifizierung sowie leistungsfähige Schlüsselverwaltungs- und Verschlüsselungstechniken umfassen. Zu den wichtigsten Vorgängen gehören:

• Feststellung der Netzwerksicherheitsfunktionen. Dies geschieht auf der 802.11-Ebene und wird durch die WPA-Informationselemente in Beacon Frames, Probe Responses und Anforderungen für (erneute) Zuordnung kommuniziert. Zu den in diesen Elementen enthaltenen Informationen gehören die Authentifizierungsmethode (802.1x oder Pre-Shared Key) und die bevorzugte Codierungsart (WEP, TKIP oder AES). Die wichtigste Information in den Beacon Frames ist die Authentifizierungsmethode und die Codierungsart. Zu den möglichen Authentifizierungsmethoden gehören 802.1x und Pre-Shared Key. Pre-Shared Key ist eine Authentifzierungsmethode, bei der sowohl für die Stationen als auch für den Access Point ein statisch konfiguriertes Passwort verwendet wird. So ist kein Authentifizierungsserver erforderlich. Dies macht diese Methode besonders interessant für Heimnetzwerke und kleine Büroumgebungen. Zu den anderen Codierungsmöglichkeiten gehören WEP, TKIP und AES (Advanced Encryption Standard). TKIP und AES werden unten im Zusammenhang mit der Datensicherheit näher erläutert • Authentifizierung. Zur Authentifizierung wird EAP über 802.1x eingesetzt. Die für WPA erforderliche gegenseitige Authentifizierung kann durch einen EAP-Typ, der diese Funktion unterstützt, ermöglicht werden. 802.1x-Port-Zugriffskontrolle gewährt erst dann uneingeschränkten Zugriff auf das Netzwerk, wenn die Authentifizierung abgeschlossen ist. WAP verwendet 802.1x-EAPOL-Schlüsselpakete zur Verteilung von nur für die jeweilige Sitzung gültigen Schlüsseln an die erfolgreich authentifizierten Stationen. Der Antragsteller in der Station entscheidet anhand der in den Informationselementen enthaltenen Informationen zur Authentifizierung und Codierungsart, welche Authentifizierungsmethode und Codierung er verwendet. Wenn der Access Point z. B. das Verfahren Pre-Shared Key (PSK) verwendet, ist eine 802.1x-Authentifizierung nicht erforderlich. Es reicht aus, wenn der Antragsteller dem Access Point den richtigen Pre-Shared Key präsentieren kann. Wenn der Antragsteller keine WPA-Informationselemente entdeckt, weiß er, dass er zum Zugriff auf das Netzwerk eine Authentifizierungsmethode und Schlüsselverwaltung verwenden muss, die älter ist als WPA 802.1x. • Schlüsselverwaltung. WPA/WPA2 beinhaltet ein stabiles System zur Erstellung und Verwaltung von Schlüsseln, in das auch Authentifizierung und Datensicherheit integriert sind. Die Schlüssel werden nach der erfolgreichen Authentifizierung durch einen vierfachen Handshake zwischen Station und Access Point erstellt.
• Datensicherheit (Verschlüsselung). TKIP (Temporal Key Integrity Protocol) wird als Ergänzung von WEP eingesetzt, um dessen Schwächen mit leistungsstarken Verschlüsselungs- und Sicherheitstechniken auszugleichen.
• Datenintegrität. TKIP fügt am Ende jeder Klartextnachricht einen MIC (Message Integrity Code) an, um eine Verfälschung von Nachrichten zu verhindern.

WPA-/WPA2-Authentifizierung: Benutzerauthentifizierung in

Unternehmensnetzwerken über 802.1x/EAP und RADIUS

Abbildung D-3: Übersicht über WPA/WPA2

IEEE 802.1x ist ein effektives Modell für die Authentifizierung und Kontrolle des Benutzerflusses in einem geschützten Netzwerk und stellt darüber hinaus eine Möglichkeit zum dynamischen Wechsel von Datenschlüsseln bereit, z. B über EAP von einem RADIUS-Server. Dieses Modell ermöglicht zudem den Einsatz eines Authentifizierungsservers zur gegenseitigen Authentifizierung. So wird verhindert, dass unerwünschte Benutzer sich Zugang zum drahtlosen Netzwerk verschaffen. Die eigentlichen Authentifizierungsmechanismen sind jedoch nicht Bestandteil von 802.1x. Bei der Verwendung von 802.1x legt der EAP-Typ (z. B. EAP-TLS (Transport Layer Security) oder EAP-TTLS (EAP Tunneled Transport Layer Security)) fest, wie die Authentifizierung verläuft.

Hinweis: Für Umgebungen mit einer RADIUS-Infrastruktur (Remote Authentication Dial-In User Service) unterstützt WPA EAP (Extensible Authentication Protocol). Für Umgebungen ohne RADIUS-Infrastruktur unterstützt WPA den Einsatz eines Pre-Shared Key. Zusammengenommen bilden diese Verfahren die Grundstruktur für eine leistungsfähige Benutzerauthentifizierung. In Windows XP ist 802.1x integriert, und etliche Switches und Wireless Access Points von NETGEAR unterstützen diesen Standard.

Zertifizierungsstelle (z. B. Win Server, VeriSign) WPA-/WPA2- fähiger drahtloser Client mit „Antragsteller“ TCP/IPPorts sind bis zur Authentifizierung geschlossen RADIUS-Server

 

Verdrahtetes Netzwerk mit

optionaler, 802.1x-Port-basierter

Zugriffssteuerung

WPA-/ WPA2-fähiger Access Point: verwendet Pre-Shared Key oder 802.1x TCP/IPPorts werden nach der Authentifizierung geöffnet

 

Drahtloses Netzwerk

Benutzernamenauthentifizierung

Abbildung D-4: Ablauf der 802.1x-Authentifizierung

Der Access Point sendet Beacon-Frames mit einem WPA-/WPA2-Informationselement an die Stationen im Service Set. Das Informationselement enthält die erforderliche Authentifizierungsmethode (802.1x oder Pre-Shared Key) und die bevorzugte Codierungsart (WEP, TKIP oder AES). Auch Probe Requests (vom Access Point an die Station) und Zuordnungsanforderungen (von der Station zum Access Point) enthalten WPA-Informationselemente.

1. Die einleitende 802.1x-Kommunikation beginnt mit dem Versuch eines nicht authentifizierten Antragstellers (Client), eine Verbindung zu einem Authentifizierer (802.11-Access-Point) aufzubauen. Der Client sendet eine EAP-Startnachricht. Dadurch wird eine Reihe von Nachrichtenwechseln zur Authentifizierung des Clients eingeleitet.

2. Der Access Point antwortet mit einer EAP-Identitätsanforderung.

1

2

3

4

6 5

7

3. Der Client sendet ein EAP-Antwortpaket mit der Identität an den Authentifizierungsserver. Der Access Point gibt daraufhin einen Port frei, über den der Client ausschließlich EAP-Pakete an den Authentifizierungsserver senden kann. Dieser Port befindet sich auf der verkabelten Seite des Access Points. Der Access Point blockiert alle anderen Arten von Datenverkehr wie HTTP-, DHCP- und POP3-Pakete, bis die Identität des Clients durch einen Authentifizierungsserver (z. B. einen RADIUS-Server) bestätigt wurde.

4. Der Authentifizierungsserver überprüft die Identität des Clients mit Hilfe eines speziellen

Authentifizierungsalgorithmus. Dabei können digitale Zertifikate oder andere Arten der

EAP-Authentifizierung zum Einsatz kommen.

5. Der Authentifizierungsserver sendet eine Bestätigungs- oder Ablehnungsnachricht an den

Access Point.

6. Der Access Point sendet ein EAP-Erfolgspaket (oder Ablehnungspaket) an den Client.

7. Wenn der Authentifizierungsserver den Client akzeptiert, ändert der Access Point den Status des Client-Ports zu autorisiert und leitet zusätzliche Daten weiter. An dieser Stelle ist zu beachten, dass die Software, die den EAP-Typ unterstützt, auf dem Authentifizierungsserver installiert ist sowie Bestandteil des Betriebssystems bzw. der Antragstellersoftware der Client-Geräte ist. Der Access Point gibt die 802.1x-Nachrichten lediglich weiter. Dies bedeutet, dass Sie einen beliebigen EAP-Typ angeben können, ohne deswegen einen 802.1x-kompatiblen Access Point anschaffen zu müssen. Demzufolge können Sie den EAP-Authentifizierungstyp auch auf Methoden wie Token Cards (Smart Cards), Kerberos, Einmalpasswörter, Zertifikate und öffentliche Schlüssel erweitern. Selbst wenn neue Authentifizierungsmethoden entwickelt werden und Ihre Sicherheitsanforderungen sich ändern, können Sie diese integrieren.

 

WPA-/WPA2-Schlüsselverwaltung

Bei 802.1x ist die Neuverschlüsselung von Unicast-Schlüsseln optional. 802.11 und 802.1x bieten zudem keinen Mechanismus zum Ändern des globalen Schlüssels für den Multicast- und Broadcast-Datenversand. Bei WPA/WPA2 ist die Neuverschlüsselung sowohl für Unicast-Schlüssel als auch für globale Schlüssel obligatorisch. Unicast-Schlüssel werden durch das TKIP (Temporal Key Integrity Protocol) für jedes Frame geändert. Die Änderung wird zwischen dem drahtlosen Client und dem Wireless Access Point synchronisiert. Änderungen des globalen Schlüssels können bei WPA mit Hilfe des Informationselements vom Wireless Access Point an die angeschlossenen drahtlosen Clients weitergegeben werden. 802.1x-Authentifizierungsserver, die für einen dynamischen Schlüsselaustausch konfiguriert sind, können dem Access Point gemeinsam mit der Bestätigungsnachricht einen Sitzungsschlüssel übermitteln. Der Access Point kann mit dem Sitzungsschlüssel eine EAP-Schlüsselnachricht erstellen, unterzeichnen und verschlüsseln, die untermittelbar nach der Erfolgsnachricht an den Client gesendet wird. Der Client kann dann anhand der Schlüsselnachricht die erforderlichen Schlüssel definieren. In typischen 802.1x-Implementierungen kann der Client Schlüssel so oft wie nötig automatisch ändern, um das Risiko zu minimieren, dass unerwünschte Eindringlinge genügend Zeit haben, den aktuellen Schlüssel zu knacken.

 

TKIP (Temporal Key Integrity Protocol)

Mit TKIP verfügt WPA über wichtige Verbesserungen zur Datenverschlüsselung, z. B. eine Funktion zum paketweisen Ändern von Schlüsseln, die Nachrichtenintegritätsprüfung Michael (Message Integrity Check, MIC), einen erweiterten Initialisierungsvektor (IV) mit Sequenzierungsregeln und einen Mechanismus zur Neuverschlüsselung. Darüber hinaus bietet TKIP die folgenden Funktionen:

• Verifizierung der Sicherheitskonfiguration nach Festlegen der Schlüssel

• Synchronisierte Änderung des Unicast-Schlüssels für alle Frames

• Erstellung eines eindeutigen Unicast-Startschlüssels für jede Pre-Shared-Key-Authentifizierung

 

Michael

Bei 802.11 und WEP wird Datenintegrität über einen 32-Bit-ICV (Integrity Check Value) gewährleistet, der an die 802.11-Nutzinformationen angehängt und über WEP verschlüsselt wird. Obwohl der ICV verschlüsselt ist, lassen sich per Kryptoanalyse Teile der verschlüsselten Nutzinformationen ändern und der verschlüsselte ICV aktualisieren, ohne dass der Empfänger dies bemerkt. Bei WPA legt eine Methode namens Michael einen neuen Algorithmus fest, über den die Berechnungsvorrichtungen der drahtlosen Geräte einen 8-Byte-MIC (Message Integrity Check) errechnen. Der MIC wird zwischen dem Datenabschnitt des IEEE 802.11-Frame und dem 4-Byte-ICV platziert. Das MIC-Feld wird zusammen mit den Frame-Daten und dem ICV verschlüsselt. Michael bietet zudem Wiederholungsschutz. Mit einem neuen Frame-Zähler in IEEE 802.11 können Wiederholungsangriffe verhindert werden.

 

AES-Unterstützung für WPA2

WPA2 unterstützt unter anderem die Verschlüsselungsmethode AES (Advanced Encryption Standard). AES-Unterstützung wird jedoch zunächst nicht zu den Voraussetzungen für eine Wi-Fi-Zertifizierung gehören. AES gilt als optimale Wahl für sicherheitsbewusste Unternehmen, stellt sie jedoch vor ein Problem: AES erfordert eine grundlegende Neugestaltung der Hardware der Netzwerkschnittstellenkarten der Station und des Access Points. TKIP ist ein pragmatischer Kompromiss, der Unternehmen bessere Sicherheit bietet, während AES-kompatible Geräte entwickelt, hergestellt und nach und nach eingeführt werden.

 

Sind mit WPA/WPA2 alle Probleme gelöst?

Auch WPA/WPA2 hat seine Schwächen. Es ist besonders anfällig für Denial-of-Service-Angriffe. Wenn der Access Point innerhalb von 60 Sekunden zwei Datenpakete empfängt, die nicht über den erforderlichen MIC (Message Integrity Code) verfügen, steht das Netzwerk unter Angriff. Dies führt dazu, dass der Access Point Gegenmaßnahmen einleitet, darunter auch die Unterbrechung der Verbindung zu allen Stationen, die den Access Point verwenden. Dies verhindert, dass Angreifer sich Informationen über den Schlüssel verschaffen, und macht zudem die Administratoren auf das Problem aufmerksam. Es bedeutet jedoch leider auch, dass Benutzer für 60 Sekunden die Verbindung zum Netzwerk verlieren. Vor allem aber beweist es, dass keine einzelne Sicherheitstaktik vollkommenen Schutz gewährleisten kann. WPA/WPA2 bedeutet gegenüber WEP definitiv einen großen Fortschritt der WLAN-Sicherheit. Es sollte jedoch als eine Komponente einer umfassenden Netzwerksicherheitsstrategie betrachtet werden.

 

 

Produktunterstützung für WPA/WPA2

Seit August 2003 unterstützen drahtlose Produkte von NETGEAR, Inc. mit Wi-Fi-Zertifizierung den WPA-Standard. Drahtlose Produkte von NETGEAR, Inc., deren Wi-Fi-Zertifizierung vor August 2003 erteilt wurde, hatten ein Jahr Zeit, um WPA hinzuzufügen und so ihre Wi-Fi-Zertifizierung zu behalten. Für WPA/WPA2 sind Software-Änderungen in den folgenden Bereichen erforderlich:

• Wireless Access Points

• Drahtlose Netzwerkadapter

• Programme für drahtlose Clients

Änderungen an Wireless Access Points

Die Firmware von Wireless Access Points muss aktualisiert werden, um die folgenden Funktionen zu unterstützen:

• Das neue WPA-/WPA2-Informationselement

Wireless Access Points signalisieren, dass sie WPA/WPA2 unterstützen, indem sie das Beacon-Frame mit einem neuen 802.11-WPA-/WPA2-Informationselement, das die Sicherheitskonfiguration des Wireless Access Points (Verschlüsselungsalgorithmen und Informationen über die Konfiguration der drahtlosen Sicherheit) enthält, versenden.

Die WPA-/WPA2-Zwei-Phasen-Authentifizierung

Open System, dann 802.1x (EAP mit RADIUS oder Pre-Shared Key).

TKIP

Michael

AES (WPA2)

Um ältere Wireless Access Points zur Unterstützung von WPA/WPA2 aufzurüsten, müssen Sie sich vom Anbieter der Wireless Access Points ein WPA-/WPA2-Firmware-Update besorgen und dieses auf den Wireless Access Points installieren.

Änderungen an drahtlosen Netzwerkadaptern

Die WLAN-Software im Adapter (und möglicherweise auch im Betriebssystem oder der Client-Anwendung) muss aktualisiert werden, um die folgenden Funktionen zu unterstützen:

Das neue WPA-/WPA2-Informationselement

Drahtlose Clients müssen in der Lage sein, das WPA-/WPA2-Informationselement zu verarbeiten und darauf mit einer spezifischen Sicherheitskonfiguration zu reagieren.

Die WPA-/WPA2-Zwei-Phasen-Authentifizierung

Open System, dann 802.1x-Antragsteller (EAP oder Pre-Shared Key).

TKIP

Michael

AES (WPA2)

Um Ihre drahtlosen Netzwerkkarten zur Unterstützung von WPA/WPA2 aufzurüsten, müssen Sie sich gegebenenfalls vom Anbieter der drahtlosen Netzwerkkarten ein WPA-/WPA2-Firmware-Update besorgen und damit die Treiber der drahtlosen Netzwerkkarten aktualisieren. Bei drahtlosen Windows-Clients müssen Sie sich einen aktualisierten Netzwerktreiber besorgen, der WPA unterstützt. Treiber für drahtlose Netzwerkkarten, die mit Windows XP (Service Pack 1) und Windows Server 2003 kompatibel sind, müssen nach der Aktualisierung in der Lage sein, die WPA-Fähigkeit und die Sicherheitskonfiguration der Karte an den „Wireless Zero Configuration“-Dienst zu übermitteln.

Microsoft hat mit zahlreichen Anbietern drahtloser Geräte zusammengearbeitet, um das

WPA-Treiber-Update in den Treiber für drahtlose Netzwerkkarten zu integrieren. Zur Aktualisierung eines drahtlosen Windows-Clients müssen Sie sich also lediglich den neuen WPA-/WPA2-kompatiblen Treiber besorgen und diesen installieren.

Änderungen an Programmen für drahtlose Clients

Die Programme für drahtlose Clients müssen aktualisiert werden, um die Konfiguration der WPA-/ WPA2-Authentifizierung (sowie von Pre-Shared-Key) und die Unterstützung der neuen WPA-/ WPA2-Verschlüsselungsalgorithmen (TKIP und AES) zu ermöglichen. Microsofts WPA-Clientprogramm ist über die Website von Microsoft erhältlich.
Hinweis: Microsofts WPA2-Client befindet sich noch in der Beta-Phase.

 

 

Glossar

Dieses Glossar enthält Definitionen der Fachausdrücke, die in diesem Handbuch verwendet werden.

802.11 (Standard) 802.11 bzw. IEEE 802.11 ist eine Funktechnik, die in drahtlosen LANs (Wireless Local Area Networks, WLANs) eingesetzt wird. Es handelt sich dabei um einen Standard, der vom IEEE (Institute of Electrical and Electronic Engineers, http://standards.ieee.org) entwickelt wurde. Das IEEE ist eine internationale Organisation, die Standards für Hunderte von elektronischen und elektrischen Geräten entwickelt. Die Organisation verwendet zur Unterscheidung der unterschiedlichen Technologiefamilien Zahlen (ähnlich wie die Dewey-Dezimalklassifikation in Bibliotheken). Die Untergruppe 802 (der IEEE) entwickelt Standards für LANs und WANs. Die Abteilung 802.11 ist dabei für die Überprüfung und Entwicklung von Standards für drahtlose LANs (WLANs) zuständig. WiFi, 802.11, setzt sich aus mehreren Standards zusammen, die für unterschiedliche Frequenzen gelten: 802.11b ist der Standard für WLANs im 2,4-GHz-Spektrum mit einer Bandbreite von 11 MBit/s; 802.11a ist ein anderer WLAN-Standard und gehört zu Systemen, die im Frequenzbereich 5 GHz mit einer Bandbreite von 54 MBit/s arbeiten. Der Standard 802.11g gilt für WLANs, die im Frequenzbereich 2,4 GHz mit einer Bandbreite von 54 MBit/s arbeiten.

802.11a (Standard)

Ein IEEE-Standard für drahtlose Netzwerke im Frequenzbereich 5 GHz (5,15 GHz bis 5,85 GHz) mit einer maximalen Datenübertragungsrate von 54 MBit/s. Der 5-GHz-Frequenzbereich ist nicht so überfüllt wie der 2,4-GHz-Bereich, da der Standard 802.11a mehr Funkkanäle bietet als Standard 802.11b. Diese zusätzlichen Kanäle können helfen, Radio- und Mikrowellenstörungen zu vermeiden.

802.11b (Standard)

Ein internationaler Standard für drahtlose Netzwerke im Frequenzbereich 2,4 GHz (2,4 GHz bis 2,4835 GHz) mit einem Datendurchsatz von bis zu 11 MBit/s. Dieser Frequenzbereich wird sehr stark genutzt. Mikrowellengeräte, schnurlose Telefone, medizinische und wissenschaftliche Geräte sowie Bluetooth-Geräte verwenden allesamt das 2,4-GHz-Frequenzband.

802.11d (Standard)

802.11d ist eine Ergänzung des IEEE-Standards 802.11 zur MAC-Schicht (Media Access Control), die die weltweite Nutzung von 802.11-WLANs fördern soll. Dabei wird Access Points die Übermittlung von Daten über die zulässigen Funkkanäle mit akzeptabler Leistungsstärke für die Client-Geräte ermöglicht. Die Geräte werden dabei automatisch an die geografischen Anforderungen angepasst. Der Standard 802.11d soll Funktionen und Einschränkungen festlegen, die den Betrieb von WLANs in den entsprechenden Ländern ermöglichen. Gerätehersteller möchten keine Vielzahl landesspezifischer Produkte herstellen und Benutzer, die viel reisen, möchten nicht für jedes Land eine eigene WLAN-PC-Card anschaffen. Dies wird langfristig zu landesspezifischen Firmware-Lösungen führen.

802.11e (Standard)

802.11e ist ein geplanter IEEE-Standard zur Definition von QoS-Mechanismen (Quality of Service) für drahtlose Geräte, der bandbreitenempfindliche Anwendungen wie Telefon und Video unterstützt.

802.11g (Standard)

Dieser Standard zur Erweiterung der Bitübertragungsschicht ist 802.11b sehr ähnlich, erlaubt jedoch einen Datendurchsatz von bis zu 54 MBit/s. Dieser Standard verwendet das 2,4-GHz-Frequenzband, setzt jedoch eine andere Funktechnik ein, um die Gesamtbandbreite zu vergrößern.

802.11i

Dieser Name bezeichnet die IEEE-Arbeitsgruppe, die sich mit der Standardisierung der WLAN-Sicherheit befasst. Das Sicherheitsrahmenwerk von 802.11i basiert auf RSN (Robust Security Network). RSN setzt sich aus zwei Teilen zusammen: 1.) Einem Datensicherheitsmechanismus und 2.) Verwaltung der Sicherheitsbeziehungen (Security Association Management). Der Datensicherheitsmechanismus unterstützt zwei geplante Verschlüsselungsmethoden: TKIP and AES. TKIP (Temporal Key Integrity Protocol) ist eine Übergangslösung, die Software-Patches für WEP definiert, damit ein Mindestmaß an Datensicherheit gewährleistet ist. AES oder AES-OCB (Advanced Encryption Standard & Offset Codebook) ist ein leistungsstarkes Datensicherheitsschema, das als langfristige Lösung gedacht ist. Die Verwaltung der Sicherheitsbeziehungen wird über drei Verfahren geregelt: a.) RSN-Abstimmungsverfahren, b.) IEEE-802.1x-Authentifizierung und c.) IEEE-802.1x-Schlüsselverwaltung. Die Standards wurden so definiert, dass sie eine Koexistenz mit derzeit implementierten Netzwerken, die noch aus der Zeit vor RSN stammen, ermöglichen.

802.11n (Standard)

Eine im Oktober 2003 gebildete Arbeitsgruppe der IEEE, die als „802.11n“ oder „TGn“ bezeichnet wird. Sie ist zuständig für das 100MBit/s-Standardprotokoll in der Bitübertragungsschicht. Als Veröffentlichungstermin ist derzeit Dezember 2005 geplant. Im Februar 2004 war noch kein Entwurf verfügbar. Es wird jedoch erwartet, dass das Protokoll sowohl die 2,4- als auch die 5-GHz-Frequenz verwendet.

Ad-hoc-Modus

Eine Client-Einstellung, die unabhängige Peer-to-Peer-Verbindungen über ein WLAN ermöglicht. Eine andere Einsatzmöglichkeit ist die Kommunikation von PCs untereinander über einen Access Point. Siehe Access Point und Infrastruktur-Modus.

Access Point (auch Zugangspunkt)

Ein WLAN-Sende-/Empfangsgerät (oft auch als „Basisstation“ bezeichnet), über das ein oder mehrere drahtlose Geräte an ein kabelgebundenes LAN angeschlossen werden können. Über eine Funkbrücke können Access Points auch miteinander kommunizieren. Es gibt unterschiedliche Typen von Access Points (Basisstationen), die sowohl in drahtlosen als auch in kabelgebundenen Netzwerken eingesetzt werden. Dazu gehören Bridges, Hubs, Switches, Router und Gateways. Die Unterschiede zwischen diesen Geräten sind nicht immer klar definiert, da bestimmte Funktionen, die einem dieser Geräte zugeordnet werden, auch in andere Geräte integriert werden können. So kann z. B. ein Router Funktionen einer Bridge übernehmen oder ein Hub auch als Switch eingesetzt werden. Alle diese Geräte dienen jedoch dazu, Daten von einem Ort an einen anderen zu übertragen. Eine Bridge verbindet Geräte, die dasselbe Protokoll verwenden. Über einen Router können Netzwerke verbunden werden, in denen unterschiedliche Protokolle zum Einsatz kommen. Der Router liest zudem die in den Paketen enthaltenen Adressen und leitet die Pakete an die entsprechende Computerstation weiter. Dabei arbeitet er mit den anderen Routern im Netzwerk zusammen, um den besten Pfad zum Versand der Pakete zu finden. Ein drahtloser Hub oder Access Point verfügt neben anderen zusätzlichen Funktionen über Roaming und bietet eine Netzwerkverbindung zu einer Vielzahl von Clients. Er vergibt jedoch keine Bandbreite. Ein Switch ist ein Hub mit besonderen Fähigkeiten: Er kann die Adresse auf einem Paket lesen und dieses an die entsprechende Computerstation weiterleiten. Bei einem Wireless Gateway handelt es sich um einen Access Point, der zusätzliche Funktionen, wie NAT-Routing, DHCP, Firewalls und Sicherheit, bereitstellt.

AES (Advanced Encryption Standard)

Ein 128-Bit-Block-Datenverschlüsselungsverfahren, das von den belgischen Kryptographieexperten Joan Daemen und Vincent Rijmen entwickelt wurde. Die Regierung der Vereinigten Staaten übernahm im Oktober 2000 diesen Algorithmus als Verschlüsselungsverfahren anstelle der bisher verwendeten DES-Verschlüsselung. AES operiert auf mehreren Netzwerkschichten zugleich. Das National Institute of Standards and Technology (NIST) des US-Handelsministeriums wählte den Algorithmus „Rijndael“ aus einer Gruppe von fünf in die nähere Auswahl genommenen Algorithmen, darunter auch ein Algorithmus namens „MARS“ von einem großen Entwicklungsteam bei IBM. AES wird WEP voraussichtlich 2006 als WLAN-Verschlüsselungsmethode ablösen.

Bandbreite

Die Übertragungskapazität, die in einem Netzwerk zur Verfügung steht. Die verfügbare Bandbreite hängt von mehreren Variablen ab, darunter die Datenübertragungsrate zwischen Geräten im Netzwerk, der Netzwerk-Overhead, die Benutzeranzahl und der Typ des Geräts, über das PCs an das Netzwerk angeschlossen werden. Die Bandbreite lässt sich gewissermaßen mit einem Rohr vergleichen, da bei beiden die Größe die Kapazität bestimmt: Je breiter das Rohr ist, desto mehr Wasser kann hindurchfließen, und je mehr Bandbreite ein Netzwerk zur Verfügung stellt, desto mehr Daten können hindurchfließen. Der Standard 802.11b bietet eine Bandbreite von 11 MBit/s; 802.11a und 802.11g dagegen 54 MBit/s.

Bit pro Sekunde (Bit/s)

Maßeinheit für die Datenübertragungsgeschwindigkeit über Kommunikationsleitungen, basierend auf der Anzahl von Bit, die pro Sekunde versendet oder empfangen werden können. Bit pro Sekunde (Bit/s) werden oft mit Bytes pro Sekunde (Bytes/s) verwechselt. Während Bits zum Messen der Übertragungsgeschwindigkeit verwendet werden, dienen Bytes zur Angabe der Speicherkapazität. 8 Bits ergeben ein Byte. Wenn ein drahtloses Netzwerk also mit einer Bandbreite von 11 Megabits pro Sekunde (11 MBit/s) arbeitet, versendet es pro Sekunde 1,375 Megabytes (1,375 Mbytes/s).

Bluetooth-Funktechnik

Eine technische Spezifikation zum Verbinden von tragbaren Computern, PDAs und Mobiltelefonen für die drahtlose Übertragung von Telefongesprächen und Daten über kurze Entfernungen mit Hilfe eines globalen Funkfrequenzbands. Bluetooth ist ein Frequenzsprungverfahren im Frequenzspektrum 2,4 GHz mit einer Reichweite von bis zu zehn Metern und einem Datendurchsatz von bis zu 1 MBit/s.

Bridge

Ein Gerät zum Verbinden eines LANs (Local Area Network) mit einem anderen LAN, das dasselbe Protokoll verwendet (z. B. drahtlos, Ethernet oder Token Ring). Wireless Bridges werden sehr häufig eingesetzt, um die unterschiedlichen Gebäude auf einem Universitätscampus zu verbinden.

Clients oder Client-Geräte

Jeder Computer in einem Netzwerk, der Dienste (Dateien, Druckfunktionen) von einem anderen Mitglied des Netzwerks bezieht. Clients sind Endbenutzer. Zu den WiFi-Client-Geräten gehören PC Cards für Notebook-Computer, Mini-PCI-Module in Notebook-Computern und mobilen Geräten sowie USB- und PCI-/ISA-Bus-WiFi-Radios. Client-Geräte kommunizieren in der Regel mit Hub-Geräten wie Access Points und Gateways.

Crossover-Kabel

Ein spezielles Kabel, mit dem zwei Computer ohne einen Hub vernetzt werden können. Crossover-Kabel werden zudem manchmal benötigt, um ein Kabel- oder DSL-Modem mit einem Wireless Gateway oder Access Point zu verbinden. Die Signale werden nicht parallel von einem Stecker zum nächsten geführt, sondern „gekreuzt“. Wird zum Beispiel ein Kabel mit acht Leitungen verwendet, geht das Signal am einen Ende des Kabels über Pin 1 ein und kommt am anderen Ende auf Pin 8 an. Die Signale wechseln von einer Seite auf die andere.

CSMA/CA (Carrier Sense Multiple Action/Collision Avoidance)

CSMA/CA ist die Hauptmethode für den Zugriff auf Medien in IEEE-802.11-WLANs. Diese Methode folgt dem Prinzip „Erst zuhören, dann reden“ und verringert die Anzahl von Kollisionen, die durch gleichzeitigen Datenversand verursacht werden. Ganz verhindert werden diese Kollisionen dadurch allerdings nicht. IEEE 802.11 legt fest, dass die Kollisionsvermeidungsmethode (und nicht Kollisionserkennung (Collision Detection)) verwendet werden soll, da der Standard Halbduplexbetrieb zu Grunde legt – d. h. es kann nur entweder gesendet oder empfangen werden, aber nicht beides gleichzeitig. Im Gegensatz zu konventionellen, kabelgebundenen Hosts kann eine WLAN-Station eine Kollision während des Sendens nicht erkennen. Wenn es zu einer Kollision kommt, erhält die Sendestation kein ACK-Paket (ACKnowledge) von der Empfängerstation. Aus diesem Grund haben ACK-Pakete die höchste Priorität im Netzwerk. Nach Abschluss einer Datenübertragung beginnt die Empfangsstation mit dem Senden des ACK-Pakets, bevor ein anderer Knoten den Versand eines neuen Datenpakets einleiten kann. Alle anderen Stationen müssen eine längere pseudo-zufällige Zeitspanne warten, bevor sie senden können. Wenn die Sendestation kein ACK-Paket erhält, wartet sie die nächste Gelegenheit für einen erneuten Übertragungsversuch ab.

CSMA/CD (Carrier Sense Multiple Action/Collision Detection)

Eine Methode zum Verwalten des Datenverkehrs und Verringern von Rauschen in kabelgebundenen Netzwerken. Ein Netzwerkgerät überträgt Daten, nachdem es einen verfügbaren Kanal entdeckt hat. Wenn jedoch zwei Geräte gleichzeitig Daten senden, entdecken die sendenden Geräte eine Kollision und senden die Daten nach Ablauf eines zufälligen Zeitraums erneut.

DHCP (Dynamic Host Configuration Protocol)

Ein Dienstprogramm, das Servern das dynamische Zuweisen von IP-Adressen aus einer vordefinierten Liste ermöglicht. Die Server können zudem die Nutzungszeit der Adressen begrenzen, damit diese erneut vergeben werden können. Ohne DHCP müssten IT-Administratoren die IP-Adressen auf allen Computern im gesamten Netzwerk manuell eingeben. Unter Verwendung von DHCP wird jedem Computer bei der Anmeldung beim Netzwerk automatisch eine IP-Adresse zugewiesen.

Diversity-Antennen

Ein Antennensystem, das zwei Antennen einsetzt, um Empfangs- und Übertragungsqualität zu optimieren und Störungen zu minimieren.

DNS (Domain Name Service)

Ein Programm, das mit Hilfe einer auf mehreren Internetservern gespeicherten Datenbank URLs in IP-Adressen umwandelt. Das Programm läuft im Hintergrund und erleichtert das Surfen im Internet, da so statt numerischer alphabetische Adressen eingesetzt werden können. Ein DNS-Server wandelt einen Namen wie „mywebsite.com“ in eine Zahlenfolge wie „107.22.55.26“ um. Jede Website im Internet hat ihre eigene spezifische IP-Adresse.

Drahtloses Netzwerk

Die Infrastruktur, die die drahtlose Übertragung von Signalen ermöglicht, wird als drahtloses Netzwerk bezeichnet. In einem Netzwerk sind unterschiedliche Geräte miteinander verbunden, und Ressourcen können von mehreren Teilnehmern gemeinsam genutzt werden.

ESSID (häufig auch als „SSID“ – Service Set Identifier – bezeichnet)

Die Kennung eines drahtlosen 802.11-Netzwerks. Durch Angabe der richtigen ESSID beim Einrichten des Clients melden Sie sich bei Ihrem drahtlosen Netzwerk an (statt bei einem anderen Netzwerk in Reichweite). (Siehe SSID.) Andere Bezeichnungen für die ESSID sind Netzwerkname, bevorzugtes Netzwerk, SSID oder Wireless LAN Service Area.

Ethernet

Internationaler Standard (Übertragungsprotokoll) für kabelgebundene Netzwerke. Einfache 10BaseT-Netzwerke bieten eine Bandbreite von ca. 10 MBit/s. Fast Ethernet (100 MBit/s) und Gigabit Ethernet (1000 MBit/s) werden immer beliebter.

Firewall

Ein System, das Netzwerke schützt und den Zugriff durch Unbefugte verhindert. Firewalls sind in Form von Software, Hardware oder einer Kombination aus beiden erhältlich. Firewalls können den Zugang zu einem Netzwerk regulieren sowie den Datenfluss nach außen einschränken.

Gateway

Üblicherweise ein Gerät, das eine Verbindung zu einem anderen Netzwerk, z. B. dem Internet, herstellt. Gateways können zudem VPN-Unterstützung, Firewalls, unterschiedliche Sicherheitsstufen und Wireless Access Points mit weiteren Funktionen beinhalten.

Hot-Spot

Hot-Spots bieten Zugang zu WiFi-Diensten. Dies kann kostenlos oder gebührenpflichtig sein. Hot-Spots sind in Cafés, Flughäfen, Bahnhöfen, Kongresszentren, Hotels und an anderen öffentlichen Orten zu finden. Unternehmen und Hochschulen richten ebenfalls Hot-Spots ein, um Besuchern und Gästen die Möglichkeit zum drahtlosen Internetzugang zu bieten. In manchen Ländern werden Hot-Spots als „Coolspots“ bezeichnet.

Hub

Ein Gerät mit mehreren Ports, über das PCs per Netzwerkkabel oder WiFi an ein Netzwerk angeschlossen werden können. Kabelgebundene Hubs können zahlreiche Ports haben und die Übertragungsgeschwindigkeit kann von 10 MBit/s bis zu mehreren Gigabyte pro Sekunde reichen. Ein Hub sendet die Pakete, die er empfängt, an alle angeschlossenen Ports. An einen kleinen kabelgebundenen Hub können nur 4 Computer angeschlossenen werden, an einen großen Hub 48 und mehr. An drahtlose Hubs (Access Points) können sogar Hunderte von Computern angeschlossen werden.

Hz (Hertz)

Die SI-Einheit für die Frequenz gibt die Anzahl der Schwingungen pro Sekunde an. Ein Megahertz (MHz) entspricht einer Million Hertz, ein Gigahertz (GHz) einer Milliarde Hertz. In den USA ist die Standardstromfrequenz 60 Hz, das Frequenzband für MW-Funk ist 535–1605 kHz, das Frequenzband für UKW-Funk ist 88–108 MHz und 802.11b-WLANs arbeiten bei 2,4 GHz.

IEEE (Institute of Electrical and Electronics Engineers)

Ein Berufsverband, zu dessen Mitgliedern Ingenieure, Wissenschaftler und Studenten der Elektrotechnik und verwandter Fachgebiete gehören (Website: www.ieee.org). Das IEEE hat über 300.000 Mitglieder und spielt eine wichtige Rolle bei der Entwicklung von Standards für Computer und Kommunikationstechnik.

IEEE 802.11

Eine Normenfamilie für LANs, herausgegeben vom IEEE (Institute of Electrical and Electronics Engineers). Die meisten kabelgebundenen Netzwerke entsprechen 802.3, dem Standard für CSMA/CD-basierte Ethernetnetzwerke, oder 802.5, dem Standard für Token-Ring-Netzwerke. 802.11 legt den Standard für drahtlose LANs (WLANs) fest und umfasst drei nicht miteinander kompatible Verfahren: FHSS (Frequency Hopping Spread Spectrum), DSSS (Direct Sequence Spread Spectrum) und Infrarot. Die WECA (Wireless Ethernet Compatibility Alliance, inzwischen Wi-Fi Alliance) konzentriert sich auf 802.11b, einen DSSS-Standard für drahtlose Netzwerke mit einer Übertragungsrate von 11 MBit/s.

Infrastruktur-Modus

Eine Client-Einstellung, die Verbindungen zu einem Access Point möglich macht. Im Gegensatz zum Ad-hoc-Modus, in dem PCs direkt miteinander kommunizieren, gehen im Infrastruktur-Modus alle von den Clients versendeten und empfangenen Daten durch einen Access Point. Der Access Point ist nicht nur für

den drahtlosen Netzwerkdatenverkehr in der unmittelbaren Umgebung zuständig, sondern sorgt auch für die Kommunikation mit dem kabelgebundenen Netzwerk. Siehe Ad-hoc-Modus und Access Point.

IP-Adresse (Internet Protocol Address)

Eine 32-Bit-Nummer, die den Sender oder Empfänger jeglicher über das Internet versendeter Daten kennzeichnet. IP-Adressen setzen sich aus zwei Teilen zusammen: Der eine verweist auf ein bestimmtes Netzwerk innerhalb des Internets, der andere verweist auf das jeweilige Gerät (das ein Server oder eine Workstation sein kann) innerhalb dieses Netzwerks.

ISO-OSI-Referenzmodell

Ein von der ISO (International Standards Organization) entwickeltes Netzwerkmodell, das aus sieben Stufen oder Schichten besteht. Durch die Standardisierung dieser Schichten und der Schnittstellen zwischen ihnen können unterschiedliche Elemente eines bestehenden Protokolls angepasst oder geändert werden, um dem technischen Fortschritt und veränderten Systemanforderungen gerecht zu werden. Die sieben Schichten werden wie folgt bezeichnet:

• Bitübertragungsschicht (auch physikalische Schicht, engl. Physical Layer)

• Sicherungsschicht (auch Verbindungssicherungsschicht, Verbindungsebene, Prozedurebene, engl. Data Link Layer)

• Vermittlungsschicht (auch Paketebene, engl. Network Layer)

• Transportschicht (auch Ende-zu-Ende-Kontrolle, Transport-Kontrolle, engl. Transport Layer)

• Kommunikationsschicht (auch Kommunikationssteuerungsschicht, Steuerung logischer Verbindungen, Sitzungsschicht, engl. Session Layer)

• Darstellungsschicht (auch Datendarstellungsschicht, Datenbereitstellungsebene, engl. Presentation Layer)

• Anwendungsschicht (auch Anwenderebene, Verarbeitungsschicht, engl. Application Layer)

Der Standard IEEE 802.11 bezieht sich auf die Bitübertragungsschicht (physikalische Schicht, PHY) und den unteren Bereich der Sicherungsschicht. Der untere Bereich der Sicherungsschicht wird oft als MAC-Schicht (Media Access Control) bezeichnet.

Kollisionsvermeidung (Collision Avoidance)

Ein Netzwerkknotenmerkmal für die proaktive Entdeckung, ob ein Signal gesendet werden kann, ohne dabei eine Kollision zu riskieren.

MAC (Media Access Control)

Jedes drahtlose 802.11-Gerät hat seine eigene, unveränderbare MAC-Adresse. Diese eindeutige

Kennzeichnung kann genutzt werden, um drahtlose Netzwerke sicherer zu machen. Wenn ein Netzwerk eine MAC-Tabelle einsetzt, erhalten nur diejenigen 802.11-Geräte, deren MAC-Adresse in der MAC-Tabelle dieses Netzwerks aufgelistet sind, Zugang zum Netzwerk.

Maschennetze

Maschennetze (oft auch als „Maschenstruktur“ bezeichnet) sind eine Netzwerktopologie, bei der Geräte über eine Vielzahl von Verbindungen zwischen den einzelnen Netzwerkknoten verbunden werden. In einer vollständigen Mesh Topologie ist jeder Knoten mit allen anderen Knoten im Netzwerk verbunden. Maschennetze können drahtlos oder kabelgebunden sein.

In der oben dargestellten Maschenstruktur entspricht jede Kugel einem Router. Server und Drucker können gemeinsam genutzt werden, indem sie mit jedem Router in der Masche verbunden werden. Für einen drahtlosen Zugang zum Maschennetz muss ein Access Point an einen der Router in diesem Netz angeschlossen werden.

MIMO (Multiple Input Multiple Output)

MIMO bezeichnet Funktechnologien, die zur Optimierung der drahtlosen Kommunikation mit mehreren Verbindungen zwischen Sender und Empfänger arbeiten. Hierzu werden mehrere Antennen benötigt.

NAT (Network Address Translation, Netzwerk-Adressumsetzung)

Eine Netzwerkfunktion, mit der mehrere Computer eine einzige Eingangs-IP-Adresse dynamisch zum gemeinsamen Zugriff auf das Internet über eine Einwähl-, Kabel- oder xDSL-Verbindung nutzen können. NAT verwendet die gemeinsame IP-Adresse und erstellt neue IP-Adressen für alle Client-Computer im Netzwerk.

Netzwerkname

Der Netzwerkname kennzeichnet das drahtlose Netzwerk für alle gemeinsam genutzten Geräte. Bei der Installation eines drahtlosen Netzwerks muss in der Regel ein Netzwerkname bzw. eine SSID eingegeben werden. Beim Einrichten eines einzelnen Computers, eines kabelgebundenen Netzwerks oder einer

Arbeitsgruppe werden andere Netzwerknamen verwendet.

Netzwerkkarte (NIC, Network Interface Card)

Eine Steckkarte für PCs, die entweder drahtlos funktioniert oder über einen Anschluss für ein Netzwerkkabel verfügt. In beiden Fällen kann über die Karte eine bidirektionale Kommunikation zwischen dem Computer und Netzwerkgeräten wie einem Hub oder Switch hergestellt werden. Die meisten Netzwerkkarten in kabelgebundenen Büronetzwerken arbeiten mit 10 MBit/s (Ethernet), 100 MBit/s (Fast Ethernet) oder 10/100 MBit/s (Dual Speed). Daneben sind aber auch besonders schnelle Gigabit- und 10-Gigabit-Netzwerkkarten erhältlich. Oft werden Netzwerkkarten auch als Netzwerk-Adapter bezeichnet.

PC-Card

Oberbegriff für scheckkartengroße Erweiterungskarten in 16-Bit- (PCMCIA-) oder 32-Bit- (CardBus-) Technologie. PC-Cards werden vor allem in Notebooks eingesetzt. Zu den als PC-Cards erhältlichen Peripheriegeräten gehören u. a. WiFi-Karten, Speicherkarten, Modems, Netzwerkkarten und Festplatten.

PCI

PCI ist ein leistungsstarker E/A-Bus, mit dem die meisten Computer ausgestattet sind. Andere Bussysteme sind ISA und AGP. PCI und andere Busse ermöglichen den Einbau von internen Karten, die Dienste und Funktionen bieten, die von der Hauptplatine oder anderen Anschlüssen nicht unterstützt werden.

Peer-to-Peer-Netzwerk (bei WLANs auch Ad-hoc-Modus)

Ein kabelgebundenes oder drahtloses Computernetzwerk ohne Server, zentralen Hub oder Router. Alle vernetzten PCs können gleichrangig als Netzwerkserver oder Client agieren und jeder Client-Computer kann mit allen anderen drahtlosen Computern kommunizieren, ohne dabei über einen Access Point oder Hub gehen zu müssen. Da es keine zentrale Basisstation gibt, die den Datenverkehr überwacht oder den Internetzugang zur Verfügung stellt, kann es jedoch zu Kollisionen der einzelnen Signale und damit zu einer Beeinträchtigung der Leistung des Netzwerkes insgesamt kommen.

PHY (physikalische Schicht oder auch Bitübertragungsschicht)

Die unterste Schicht des ISO-OSI-Referenzmodells. Diese Schicht ist in erster Linie für die Übertragung der Bitströme über das PHYsikalische Übertragungsmedium zuständig. Bei drahtlosen Netzwerken ist das Übertragungsmedium der freie Raum. In der Bitübertragungsschicht werden Parameter wie Datenübertragungsrate, Modulationsmethode, Signalparameter, Sender-/Empfängersynchronisierung usw. festgelegt. In einer Funkimplementierung entspricht die Bitübertragungsschicht den Bereichen Funk-Front-End und Basisbandsignalverarbeitung.

Plug & Play

Eine Computersystemfunktion, die die automatische Konfiguration von Zusatz- und Peripheriegeräten wie PC-Cards, Druckern, Scannern und Multimediageräten ermöglicht.

Proxy-Server

Proxy-Server werden in größeren Unternehmen eingesetzt, um den Netzwerkbetrieb und die Sicherheit zu optimieren. Ein Proxy-Server kann die direkte Kommunikation zwischen zwei oder mehr Netzwerken verhindern. Der Proxy-Server leitet zulässige Datenanforderungen an entfernte Server weiter und/oder bearbeitet Datenanfragen direkt mit Hilfe von Daten auf entfernten Servern.

Reichweite

Die Entfernung, die ein drahtloses Netzwerk von einem Access Point aus abdecken kann. Die meisten WiFi-Systeme bieten eine Reichweite von 30 m oder mehr. Je nach Umgebung und der verwendeten Antenne können WiFi-Signale eine Reichweite von bis zu 1,6 km erreichen.

Residential Gateway (Heim-Gateway)

Ein drahtloses Gerät, über das in einem Heimnetzwerk mehrere PCs mit Peripheriegeräten und dem Internet verbunden werden können. Die meisten WiFi-Residential-Gateways bieten zudem auch DHCP und NAT.

RJ-45

Die Standardstecker in kabelgebundenen Netzwerken. RJ-45-Stecker sehen RJ-11-Telefonsteckern sehr ähnlich. RJ-45 können jedoch bis zu acht Leitungen haben, Telefonstecker haben dagegen nur vier.

Roaming

Der nahtlose Wechsel von der Funkzelle eines Access Points in die des nächsten mit einem Notebook oder Desktop-PC, ohne dass dabei die Verbindung unterbrochen wird.

Rogue Access Point

Als „Rogue Access Point“ bezeichnet man einen nicht autorisierten Access Point, der mit dem Heim- oder Unternehmensnetzwerk verbunden ist oder im Stand-Alone-Modus arbeitet (z. B. von einem Parkplatz oder benachbarten Gebäude aus). Rogue Access Points werden nicht von den Netzwerk-Administratoren verwaltet und erfüllen auch nicht die Sicherheitsrichtlinien des Netzwerks. Sie stellen ein beträchtliches Sicherheitsrisiko dar. Es ist zu empfehlen, ein WLAN-System einzusetzen, das das Hinzufügen von Rogue Access Points zu einem bestehenden WLAN so schwer wie möglich macht.

Router

Ein Gerät, das Datenpakete von einem LAN (Local Area Network) oder WAN (Wide Area Network) an ein anderes weiterleitet. Mit Hilfe von Routingtabellen und Routingprotokollen kann der Router die Netzwerkadresse jedes gesendeten Frames entziffern und entscheiden, welche die effizienteste Route für die Weiterleitung des Frames ist. Er berücksichtigt dabei u. a. die Auslastung, Leitungskosten, Geschwindigkeit und schlechte Verbindungen.

Satelliten-Breitband

Eine drahtlose Hochgeschwindigkeits-Internetverbindung über Satellit. Manche

Satelliten-Breitbandverbindungen sind bidirektional (aufwärts und abwärts). Andere Verbindungen gehen nur in eine Richtung: Der Satellit bietet eine Hochgeschwindigkeitsverbindung für den Downstream (vom Internet zum Benutzer) an, für den Upstream (vom Benutzer zum Internet) wird dagegen eine Einwahlverbindung oder ein anderes terrestrisches System verwendet.

Server

Ein Computer, der seine Ressourcen für andere Computer und Geräte im Netzwerk verfügbar macht. Dazu gehören z. B. Printserver, Internet-Server und Datenserver. Ein Server kann auch mit einem Switch oder Router kombiniert werden.

SSID (auch ESSID)

Eine eindeutige Kennzeichnung aus 32 Zeichen, die an den Header von über das WLAN versendeten Datenpaketen angehängt und als Passwort eingesetzt wird, wenn ein mobiles Gerät versucht, eine Verbindung zum BSS aufzubauen (siehe ESSID). Die SSID dient dazu, ein WLAN von anderen zu unterscheiden. Deshalb müssen alle Access Points und sonstigen Geräte, die versuchen, eine Verbindung zu einem bestimmten WLAN aufzubauen (siehe ESSID). Die SSID verwenden. Geräten, die nicht über die eindeutige SSID verfügen, wird der Anschluss an das BSS verweigert. Da SSIDs jedoch den Paketen im Klartext zu entnehmen sind, bieten sie keinerlei Sicherheit für das Netzwerk. Die SSID wird auch als „Netzwerkname“ bezeichnet, da sie im Prinzip zur Kennzeichnung drahtloser Netzwerke dient.

SSL (Secure Sockets Layer)

Ein verbreitetes Verschlüsselungsprotokoll, das von vielen Online-Händlern und Online-Banking-Websites eingesetzt wird, um bei finanziellen Transaktionen Datensicherheit zu gewährleisten. Zu Beginn einer SSL-Sitzung sendet der Server seinen öffentlichen Schlüssel an den Browser. Der Browser sendet sodann einen nach dem Zufallsprinzip erstellten, geheimen Schlüssel zurück an den Server. Damit ist ein geheimer Schlüsselaustausch für diese Sitzung gewährleistet.

Standortprüfung

Untersuchung eines Standorts vor der Installation eines drahtlosen Netzwerks. Bei einer Standortprüfung wird der Standort auf seine Funk- und Benutzereigenschaften hin untersucht, um eine optimale Positionierung der Access Points zu erreichen.

Subnetz

Diese kleineren Netzwerke werden in großen Netzwerken eingesetzt, um die Adressierung zwischen zahlreichen Computern zu erleichtern. Subnetze werden über einen Router, Switch oder ein Gateway mit dem zentralen Netzwerk verbunden. Ein WLAN verwendet in der Regel für alle lokalen Computer, mit denen es kommuniziert, dasselbe Subnetz.

Switch

Ein Hub-ähnlicher Netzwerkverteiler, der die Nutzung eines Netzwerkes durch unterschiedliche Geräte effizient steuert, damit alle Geräte optimale Leistung erbringen können. Switches übernehmen im Netzwerk die Rolle eines Datenverkehrspolizisten: Während ein Hub alle empfangenen Pakete an sämtliche Ports weiterleitet, sendet ein Switch die Pakete nur an den Port, für den sie bestimmt sind.

TCP (Transmission Control Protocol)

Ein Protokoll, das zusammen mit dem Internet Protocol (IP) verwendet wird, um Daten in Form von einzelnen Einheiten, den sog. Paketen, über das Internet zwischen Computern zu versenden. IP ist dabei für die Zustellung der Daten zuständig, TCP protokolliert die einzelnen Pakete, in die eine Nachricht für das effiziente Routing über das Internet zerlegt wird.

Wenn beispielsweise eine Webseite von einem Webserver heruntergeladen wird, teilt die TCP-Programmschicht auf diesem Server die Datei in Pakete, versieht sie mit einer Nummer und leitet sie dann einzeln an die IP-Programmschicht weiter. Auch wenn alle Pakete dieselbe IP-Adresse als Ziel haben, können die einzelnen Pakete auf unterschiedlichen Wegen dorthin gelangen. Am anderen Ende fügt TCP die einzelnen Pakete wieder zusammen und wartet, bis alle angekommen sind, um sie dann als eine einzige Datei weiterzuleiten.

TCP/IP

TCP/IP ist das zugrunde liegende Protokoll, das die Kommunikation zwischen Computern im Internet und in einem Netzwerk ermöglicht. Der erste Teil, TCP, ist für die Übermittlung der Daten zuständig. TCP passt die Größe der Nachrichten an beiden Enden der Übertragung an und stellt sicher, dass die Nachricht richtig zugestellt wird. Der zweite Teil, IP, ist die Computeradresse eines Benutzers in einem Netzwerk. Jeder Computer in einem TCP/IP-Netzwerk hat eine eigene IP-Adresse, die ihm entweder dynamisch beim Systemstart oder aber permanent zugewiesen wird. Alle TCP/IP-Nachrichten enthalten die Adresse des Zielnetzwerks sowie die Adresse der Zielstation. So können TCP/IP-Nachrichten an mehrere Netzwerke (Subnetze) innerhalb eines Unternehmens oder in der ganzen Welt übermittelt werden.

TKIP (Temporal Key Integrity Protocol)

Eine Sicherheitsfunktion zur Verbesserung von WEP: TKIP und MIC (Message Integrity Check) sind Modifikationen von WEP zum Schutz gegen bekannte Angriffe (WEP und vier Patches für paketweises Ändern von Schlüsseln, Nachrichtenintegrität, Neuverschlüsselung und Initialisierungsvektorschutz).

Unternehmensnetzwerke: Benutzerauthentifizierung über 802.1x/EAP und RADIUS

WEP verfügt über nahezu keine Mechanismen zur Benutzerauthentifizierung. Zur Stärkung der

Benutzerauthentifizierung implementiert WPA (Wi-Fi Protected Access) 802.1x und EAP (Extensible Authentication Protocol). Zusammengenommen bilden diese Verbesserungen das Gerüst für eine leistungsfähige Benutzerauthentifizierung. Dieses Gerüst verwendet einen zentralen Authentifzierungsserver, z. B. einen RADIUS-Server, um jeden Benutzer vor der Anmeldung beim Netzwerk zu authentifizieren. Eine gegenseitige Authentifizierung verhindert zudem, dass der Benutzer sich versehentlich bei einem Spionagenetzwerk anmeldet, das seine Anmeldedaten stiehlt.

USB (Universal Serial Bus)

Eine bidirektionale, serielle Hochgeschwindigkeitsverbindung zwischen einem PC und einem Peripheriegerät, die Daten bei 12 MBit/s überträgt. Der neue Standard USB 2.0 bietet sogar eine Übertragungsrate von bis zu 480 MBit/s. IEEE 1394, FireWire und iLink bieten allesamt eine Bandbreite von bis zu 400 MBit/s.

Verbesserte Datenverschlüsselung mit TKIP

Zur Verbesserung der Datenverschlüsselung setzt WPA (Wi-Fi Protected Access) TKIP (Temporal Key Integrity Protocol) ein. TKIP bietet wichtige Verbesserungen zur Datenverschlüsselung, darunter eine Funktion zum paketweisen Ändern von Schlüsseln, die Nachrichtenintegritätsprüfung Michael (Message Integrity Check, MIC), einen erweiterten Initialisierungsvektor (IV) mit Sequenzierungsregeln und einen Mechanismus zur Neuverschlüsselung. Mit diesen Verbesserungen berücksichtigt TKIP alle bekannten Schwächen von WEP.

Verschlüsselungscode

Eine alphanumerische (aus Buchstaben und Ziffern bestehende) Zeichenfolge, die die Verschlüsselung und Entschlüsselung von Daten für einen sicheren Datenaustausch unter den Mitgliedern eines Netzwerks ermöglicht. WEP verwendet einen Verschlüsselungscode, der ausgehende Daten im drahtlosen Netzwerk automatisch verschlüsselt. Auf der Empfängerseite kann der Computer die Informationen mit Hilfe desselben Verschlüsselungscodes automatisch entschlüsseln.

Voice over IP (VoIP, auch als IP-Telefonie bekannt)

Sprachübertragung, bei der mit Hilfe von IP digitale Pakete zum Versand über das Internet erstellt werden. VoIP kann kostengünstiger sein als die Sprachübertragung in herkömmlichen analogen Paketen über POTS (Plain Old Telephone Service, ein international gebräuchliches Synonym für den analogen Telefondienst).

VPN (Virtual Private Network)

Ein Verfahren, das die Sicherheit bei der Datenübertragung über das Internet erhöhen soll. VPN kann bei kabelgebundenen und drahtlosen Netzwerken sowie bei Einwahlverbindungen über analoge Telefonleitungen eingesetzt werden. VPN richtet einen privaten, verschlüsselten Tunnel ein, der vom Computer des Endbenutzers durch das drahtlose Netzwerk und das Internet hindurch bis hin zu den Unternehmensservern und -datenbanken reicht.

Warchalking

Das Anbringen von Kreidemarkierungen an Mauern, Gehwegen, Gebäuden, Schildern, Bäumen usw., um das Bestehen eines offenen drahtlosen Netzwerks, in der Regel mit einer Internetverbindung, zu kennzeichnen. So können Eingeweihte erkennen, wo sie gratis eine drahtlose Verbindung nutzen können. Die offenen Verbindungen stammen meist von den Access Points von drahtlosen Unternehmensnetzwerken in den Gebäuden. Die Kreidesymbole lassen erkennen, welche Art von Access Point an dieser spezifischen Stelle verfügbar ist. Derzeit werden drei Hauptzeichen verwendet: Zwei Rücken an Rücken positionierte Halbkreise verweisen auf einen offenen Knoten, ein geschlossener Kreis zeigt einen geschlossenen Knoten an und ein geschlossener Kreis mit einem „W“ in der Mitte steht für einen Knoten, bei dem WEP aktiviert ist. Warchalker geben zudem über den Symbolen oft das Passwort an, das zum Zugreifen auf den Knoten erforderlich ist. Dies kann mit Hilfe von Sniffer-Software leicht ermittelt werden. Da Warchalking relativ neu ist, ist die Debatte über dessen Legalität noch nicht abgeschlossen. Es geht zurück auf wandernde Arbeiter in den USA der dreißiger Jahre, die ähnliche Markierungen an Häusern hinterließen, um anderen Wanderern zu signalisieren, ob dieses Haus Reisenden gegenüber aufgeschlossen war oder nicht.

Wardriving

Wardriving ist das Aufspüren und unter Umständen auch Nutzen von Verbindungen zu WLANs in Städten oder anderen Umgebungen. Zum Wardriving benötigt man ein Fahrzeug, einen Computer (z. B. ein Notebook), eine drahtlose Netzwerkkarte im Mixmode und eine Antenne, die auf dem Dach oder im Inneren des Autos angebracht werden kann. Da die Reichweite eines drahtlosen LAN oft über das jeweilige Bürogebäude hinausgeht, können sich Eindringlinge von außen Zugang zum Netzwerk verschaffen, eine kostenlose Internetverbindung nutzen und vielleicht sogar auf Unternehmensunterlagen und andere Ressourcen zugreifen. Manche Leute betreiben Wardriving als eine Art Sport, teilweise auch um aufzuzeigen, wie anfällig WLANs für derartige Angriffe sind. Mit Hilfe einer omnidirektionalen Antenne und eines Positionierungssystems (GPS) kann der Wardriver die Standorte der 802.11b-Wireless-Access-Points systematisch bestimmen.

WEP (Wired Equivalent Privacy)

Das durch WiFi bereitgestellte grundlegende Verschlüsselungsverfahren für drahtlose Netzwerke. In manchen Fällen reicht WEP vollkommen aus, um die Sicherheitsanforderungen von Heimanwendern und kleinen Unternehmen im drahtlosen Netzwerk zu erfüllen. Bei WEP sind Verschlüsselungsmodi mit 40 Bit (oft auch als 64-Bit-Verschlüsselung bezeichnet) oder 104 Bit (oft auch als 128-Bit-Verschlüsselung bezeichnet) verfügbar. Da bei der 104-Bit-Verschlüsselung ein längerer Algorithmus verwendet wird, der aufwendiger zu entschlüsseln ist, kann sie größeren Schutz bieten als die einfache 40-Bit- (64-Bit-)Verschlüsselung.

WiFi (Wireless Fidelity)

Eine andere Bezeichnung für den Standard IEEE 802.11b. Produkte mit WiFi-Zertifizierung sind vollständig miteinander kompatibel, selbst wenn sie von unterschiedlichen Herstellern stammen. Ein Benutzer eines WiFi-Produkts kann einen Access Point einer beliebigen Marke mit Client-Hardware jeder anderen Marke kombinieren, solange beide Geräte dem WiFi-Standard entsprechen.

Wi-Fi Alliance (früher WECA, Wireless Ethernet Compatibility Alliance)

Die Wi-Fi Alliance ist eine gemeinnützige internationale Vereinigung, die 1999 gegründet wurde, um die Kompatibilität von WLAN-Produkten des Standards IEEE 802.11 zu zertifizieren. Derzeit sind 193 Unternehmen aus aller Welt Mitglied der Wi-Fi Alliance und 509 Produkte haben seit Beginn der Zertifizierung im März 2000 die WiFi-Zertifizierung erhalten. Die Zielsetzung der Wi-Fi Alliance und ihrer Mitglieder ist eine Verbesserung der Benutzerfreundlichkeit durch Produktkompatibilität (www.weca.net).

WiMAX

Eine IEEE 802.16-Arbeitsgruppe, die einen Standard für feste drahtlose Breitbandzugangssysteme auf Grundlage einer PMP-Architektur (Point-to-Multipoint) festlegt. Arbeitsgruppe 1 des Bereichs IEEE 802.16 hat einen Standard für den drahtlosen PMP-Breitbandzugang für Systeme im Frequenzbereich 10–66 GHz entwickelt. Der Standard gilt sowohl für die MAC- (Media Access Control) als auch für die Bitübertragungsschicht.

Wireless Multimedia (WMM)

WMM (Wireless Multimedia) ist eine Untergruppe des Standards 802.11e. Mit WMM kann drahtlos versendeten Daten je nach Datentyp eine unterschiedliche Priorität gegeben werden. Daten, bei denen Zeit eine wichtigere Rolle spielt (z. B. Video-, Audio- oder Sprachdaten) erhalten eine höhere Priorität als zeitlich unkritische Daten. WMM funktioniert jedoch nur, wenn die drahtlosen Clients WMM-fähig sind.

WLAN (Wireless LAN)

Wird manchmal auch als „LAN“ bezeichnet. Ein LAN, das für die Kommunikation zwischen den einzelnen Knoten Hochfrequenzfunkwellen statt Kabeln verwendet.

WPA (Wi-Fi Protected Access)

WPA ist ein Verschlüsselungsverfahren für drahtlose Netzwerke, das die Authentifizierung und Verschlüsselung gegenüber WEP (Wired Equivalent Privacy) verbessert. WPA wurde von der Netzwerkbranche als Reaktion auf die Schwächen von WEP entwickelt. Ein wichtiger Teil von WPA ist das Protokoll TKIP (Temporal Key Integrity Protocol). TKIP behebt die Verschlüsselungsschwächen von WEP. Eine weitere zentrale Komponente von WPA ist die integrierte Authentifizierung (die in WEP nicht enthalten ist). Dank dieser Funktion kann WPA ein Sicherheitsniveau erreichen, das sich in etwa mit dem eines VPN-Tunnels mit WEP vergleichen lässt, wobei WPA sich jedoch deutlich einfacher verwalten und benutzen lässt. WPA funktioniert ähnlich wie 802.1x-Unterstützung und erfordert einen RADIUS-Server für die Implementierung. Die Wi-Fi Alliance wird diese Form von WPA als „WPA-Enterprise“ bezeichnen. Zu WPA gibt es auch eine Variante namens „WPA Pre-Shared Key“ (WPA-PSK). Diese bietet eine Authentifizierungsalternative zu einem teuren RADIUS-Server. WPA-PSK ist eine vereinfachte, aber immer noch sehr leistungsstarke Form von WPA, die besonders für drahtlose Heimnetzwerke geeignet ist. Zur Verwendung von WPA-PSK wird wie bei WEP ein statischer Schlüssel (auch als „Passphrase“ bezeichnet) festgelegt. Doch mit Hilfe von TKIP kann WPA-PSK diesen Schlüssel automatisch in bestimmten voreingestellten Zeitabständen ändern. So wird es sehr viel schwerer für Hacker, den Schlüssel zu finden und zu missbrauchen. Die Wi-Fi Alliance wird diese Form von WPA als „WPA-Personal“ bezeichnen.

WPA für Klein- und Heimbüros

In einem Heimnetzwerk oder einer SOHO-Umgebung (Small Office/Home Office), wo es keine zentralen Authentifizierungsserver und keinen EAP-Rahmen gibt, wird WPA in einem speziellen Modus ausgeführt. Dieser Modus, der oft auch als „Pre-Shared Key“ (PSK) bezeichnet wird, ermöglicht die Benutzung von manuell eingegebenen Schlüsseln oder Passwörtern und wurde für die bequeme Einrichtung durch Privatbenutzer entwickelt. Der Privatbenutzer muss lediglich beim Access Point oder drahtlosen Heim-Gateway sowie auf jedem PC, der zum WiFi-Netzwerk gehört, ein Passwort (das auch als „Hauptschlüssel“ oder „Master Key“ bezeichnet wird) eingeben. Alles weitere wird automatisch durch WPA geregelt. Erstens wird nur Geräten mit dem richtigen Passwort der Zugang zum Netzwerk gestattet, so dass Lauscher und andere nicht autorisierte Personen ausgesperrt werden. Zweitens startet das Passwort automatisch die TKIP-Verschlüsselung (siehe weiter oben).

WPA für Public Access

Die in WPA festgelegten Verschlüsselungs- und Authentifizierungsmechanismen sind auch für Anbieter von drahtlosen Internetdiensten (Wireless Internet Service Provider, WISP) interessant, die so genannte „Hot-Spots“ – öffentlich zugängliche WiFi-Access-Points – betreiben. Da sich die Benutzer meist nicht gegenseitig kennen, sind sichere Datenübertragung und Authentifizierung dort von besonderer Bedeutung. Die in WPA definierte Authentifizierungsfunktion aktiviert einen sicheren Zugriffssteuerungsmechanismus für die Dienstanbieter und für mobile Benutzer, die keine VPN-Verbindungen verwenden.

WPA für Unternehmen

WPA erfüllt die WLAN-Sicherheitsanforderungen von Unternehmen auf effektive Weise und bietet eine leistungsstarke Verschlüsselungs- und Authentifizierungslösung bis zur Ratifizierung des Standards IEEE 802.11i. In einem Unternehmen mit einer eigenen EDV-Abteilung sollte WPA in Verbindung mit einem Authentifizierungsserver (z. B. RADIUS) eingesetzt werden, um eine zentrale Steuerung und Verwaltung des Netzwerkzugangs zu ermöglichen. Bei einer solchen Implementierung kann auf zusätzliche Lösungen wie VPNs verzichtet werden, vor allem, wenn es nur darum geht, die drahtlose Verbindung mit dem Netzwerk sicherer zu gestalten.