Sicherheit im WLAN an Schulen

Inhaltsverzeichnis

(1) Abbildungsverzeichnis

(2) Tabellenverzeichnis

(3) Abkurzungsverzeichnis

1 Einleitung
1.1 Fragestellung, Ziel und Aufbau der Arbeit
1.2 Relevanz des Themas
1.3 Methodische und theoretische Grundlagen

2 Theoretische Grundlagen zur Fragestellung
2.1 Forschungsstand
2.2 Das ISO/OSI-Referenzmodell
2.3 Die Betriebsmodi eines WLANs
2.4 Die Protokollfamilie IEEE 802.11x
2.5 Das Ubertragungsmedium
2.6 Ubergeordnete Forderungen an die Informationssicherheit
2.7 Informationssicherheit durch Kryptografie
2.8 Die Sicherheitsstandards WEP, WPA und WPA2

3 Die Hamburger Berufsschule H 99 als Untersuchungsgegenstand
3.1 Beschreibung des Untersuchungsgegenstandes
3.2 Chancen durch das WLAN in der H 99
3.3 Experteninterview
3.4 Hintergrundinformationen uber das Netzwerk der H 99

4 Entwicklung eines Sicherheitskonzeptes fur die H 99
4.1 Gesetzliche Bestimmungen
4.2 Sicherheitsanforderungen an das WLAN der H 99
4.3 Allgemeine Risiken im Schul-WLAN
4.4 Risiken im WLAN der Berufsschule H 99
4.5 MaBnahmen zur Absicherung des Netzwerks der H 99
4.6 Vorstellung eines moglichen Sicherheitskonzeptes fur die H 99
4.7 Zusammenfassung und Schlussfolgerung

(4) Literaturverzeichnis

(5) Anhang

1. Interview zum Thema: „WLAN der H 99“
2. Strukturierter Netzwerkplan der H 99

(1) Abbildungsverzeichnis

Abb. 1.1: Ubersicht uber die 802.11-Standards der IEEE

Abb. 2.1: Das ISO/OSI-Referenzmodell

Abb. 2.2: BeispielnetzwerkWLAN

Abb. 2.3: Roaming im WLAN

Abb. 2.4: Uberlappungsfreie Kanale 2, 7 und 12 S

Abb. 2.5: Das “Wi-Fi”-Logo

Abb. 2.6: Elektromagnetisches Spektrum

Abb. 2.7: Einordnung WLAN

Abb. 2.8: Das 802.1x-Modell

Abb. 2.9: TLS-Handshake

Abb. 4.1: Das Network Security Wheel

Abb. 4.2: Zuganglichkeit und Sicherheit in einem Netzwerk ausbalancieren

(2) Tabellenverzeichnis

Tab. 2.1: Uberblick uber die Standards IEEE 802.11

Tab. 2.2: Symmetrische und asymmetrische Verschlusselung

(3) Abkurzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Im Zuge des technischen Fortschritts hat der Mensch gegen Ende des letzten Jahrhunderts, mittels der Vernetzung zahlreicher Computernetze sein Kommunikationspotenzial enorm verbessert. Das somit entstandene Internet ist ein weltweites, offentlich zugangliches Netzwerk. Am Anfang war es strikt Wissenschafts-, Lehr- und Militarzwecken vorbehalten. 1991 wurde es auch fur Unternehmen und Privatpersonen freigegeben (vgl. Cisco Networking Academy, 2010). Die Zahl der Internetnutzer wuchs im Laufe der Jahre an und lag 2011 bei 2,1 Milliarden. Dies entspricht ca. 30 Prozent der Weltbevolkerung (Miniwatts Marketing Group, 2012).

Das Internet ermoglicht Privatpersonen sowie Unternehmen innerhalb kurzester Zeit das Teilen von digitalisierten Informationen, Ressourcen und Diensten. Die ,,Alltagswelt wird immer starker von den Massenmedien durchdrungen“ (Schutzeichel, 2004, S. 11).

Die zu ubertragenen Daten sind oft hochsensibel und durfen nicht in falsche Hande geraten oder auf ihrem Weg verandert werden. Zudem ist eine Authentifizierung der Absender^[1] und der Empfanger einer Nachricht erwunscht. „Denn Kommunikationspartner sitzen sich im Internet nicht mehr gegenuber, sodass sie sich anhand ihrer auBeren Erscheinung identifizieren konnten, sondern befinden sich unter Umstanden auf der anderen Seite des Globus“ (Meinel, 2004, S. 649). Von den Betreibern und Benutzern eines Netzwerks werden also gewisse Anforderungen an die Informationssicherheit, die u.a. diese Aspekte thematisiert, gestellt. Diese sind je nach Rechtsstaat und Institution reguliert und dringend erforderlich.

Eine der Technologien, die den Zugang zum Internet uber lokal betriebene Netzwerke fur viele Organisationen attraktiver macht, ist das drahtlose lokale Netzwerk. Es wird auch Wireless Local Area Network (WLAN) genannt. Bereits seit mehr als einem Vierteljahrhundert pragt der Netzwerkaufbau uber das WLAN das Zeitalter der drahtlosen Kommunikation im Internet. Nicht nur beim Aufbau lokaler Computer-Netzwerke hat sich der WLAN-Standard durchgesetzt. Auch fur offentliche Platze, sogenannte Hot Spots, und Gebaude mit einem hohen Aufkommen an Nutzern des Internets ist das WLAN kaum noch wegzudenken.

Wahrend das Thema WLAN in der Wirtschaft und im privaten Bereich bereits seit vielen Jahren prasent ist, erfahrt es im Bereich der Schulen erst seit der jungeren Vergangenheit durch die immer besser ausgestatteten Bildungseinrichtungen, die nun ihre eigenen WLANs betreiben konnen, an Bedeutung. Auch die Nutzer der offentlichen Einrichtungen, vorwiegend Lehrer, Schuler und Gaste, sind heutzutage technisch immer besser ausgestattet. ,,Wahrend in Deutschland 2010 jeder Einwohner uber zwei internetfahige Gerate verfugte, werden es 2015

bereits funf sein. Und dann wird er monatlich 47 GB uber IP-Netze ubertragen, das entspricht 11.000 MP3-Dateien oder 337 Millionen SMS“ (Cisco Systems, Inc., 2011). Sind auf den Geraten personliche Daten gespeichert oder werden uber ein unsicheres drahtloses Netzwerk wichtige Daten versendet, konnen Sicherheitslucken schnell zur Falle werden.

Betrachtet man diese Entwicklungen, so ist zu sagen, dass MaBnahmen im Bereich der Absicherung immer wichtiger werden und die Schulen vor eine groBe Herausforderung stellen, wenn sie den sicheren Zugriff auf das interne Netzwerk und/oder das Internet uber eine drahtlose Funkverbindung ermoglichen wollen.

1.1 Fragestellung, Ziel und Aufbau der Arbeit

Die zentrale Fragestellung dieser Arbeit lautet: „Wie kann die Sicherheit, speziell im schulischen WLAN, unter Berucksichtigung der Nutzer- und Betreibererwartungen sowie der gesetzlichen Bestimmungen, hergestellt und gewahrleistet werden?“

Die Zielsetzung dieser Arbeit ist die Erstellung eines Sicherheitskonzeptes fur ein abgesichertes WLAN in der Hamburger Berufsschule H 99 .

Nach einer theoretischen Einfuhrung in das Thema WLAN wird durch ein Interview mit dem Netzwerkverantwortlichen der H 99 zunachst ein Eindruck von dem aktuell betriebenen Schulnetzwerk dargestellt. Dies dient zur Feststellung des Ist-Zustandes der aktuell bestehenden Netzwerk-Infrastruktur an der Berufsschule. Die dadurch erhaltenen Einblicke werden anschlieBend auf Basis der Theorie detailliert analysiert und ausgewertet.

AbschlieBend wird auf Basis der gewonnenen Erkenntnisse zunachst der Sollzustand eines fur die Berufsschule derzeit optimal abgesicherten und nutzerfreundlichen WLANs formuliert. Daraus wird im Rahmen eines speziell fur die Schule entwickelten Sicherheitskonzepts eine technische Empfehlung abgeleitet.

1.2 Relevanz des Themas

Jedes Netzwerk benotigt Schutzmechanismen, die nur befugten Personen eine kontrollierte Kommunikation erlauben, die aber zugleich die Benutzerfreundlichkeit nicht unnotig beschneiden. ,,Die Vernetzung von Computern und deren Komponenten hat sowohl fur Organisationen als auch private Nutzer eine neue Qualitat durch den Einsatz von drahtlosen Ubertragungen erreicht. Am vorlaufigen Ende dieser Entwicklung steht das WLAN mit seinen ihm eigenen Sicherheitsanforderungen“ (Osterhage, 2010, S. 3).^[2]

Tater konnten sich in das prinzipiell offene Netzwerk einklinken, ungehindert gesetzeswidrige Vorgange abwickeln, andere Teilnehmer belauschen oder den Netzwerkverkehr aufzeichnen, um ihn spater nach bestimmten Daten zu durchsuchen. WLANs mussen, je nach Einsatzort, bestimmten Informationssicherheitsanforderungen entsprechen. Um dies zu gewahrleisten, mussen technische und personelle Sicherheitsvorkehrungen getroffen werden, die die ,,neue Qualitat durch den Einsatz von drahtlosen Ubertragungen“ (ebd.) wiederum erschweren konnen. Im Informationstechnik- (IT-) Grundschutzkatalog des BSI (2011, S. 2436) wird auf Folgendes verwiesen: ,,Beim Betrieb von WLAN-Komponenten sind eine Vielzahl von Kenntnissen sowohl uber die grundlegende Funktionsweise als auch uber spezielle technische Auspragungen, aber auch uber eine Vielzahl von Sicherheitsaspekten erforderlich.“ Die Nutzer erwarten in der Regel einen reibungslosen, schnellen, sicheren und unkomplizierten mobilen Zugang, ohne dafur groBen Aufwand betreiben zu mussen. Im Schadenfall haftet allerdings der Betreiber eines Netzwerks, sollte er nicht nachweisen konnen, welcher Nutzer fur entstandene Schaden, wie beispielsweise den Versand von Massenmails, verantwortlich gemacht werden kann.

Die Qualitat, und somit auch die Nutzerfreundlichkeit eines WLANs, konnen bei sehr hohen Sicherheitsvorkehrungen leiden. Ahnlich wie bei der Absicherung eines Hauses durch viele Schlosser und eine Alarmanlage, vielleicht sogar auch noch durch einen Pfortner, kann es am Ende sogar fur die Hauseigentumer umstandlich sein, in ihr eigenes Haus zu gelangen. Ubertragt man diese Metapher auf ein WLAN bedeutet es, dass die Nutzer mit AuthentifizierungsmaBnahmen, GeschwindigkeitseinbuBen durch kryptographierte Daten und wechselnden Passwortern leben mussen. Hinzu kommt, dass Sicherheitsvorkehrungen, je nach technischer Umsetzung, sehr teuer in der Anschaffung und im Unterhalt sein konnen. Die Sicherheit sollte standig uberpruft und auf dem neuesten Stand gehalten werden. Eine Institution, die ihren Nutzern einen mobilen Netzzugang ermoglichen mochte, befindet sich also standig im Spannungsfeld: Nutzererwartung - Informationssicherheitsbedurfnis. Dieses Verhaltnis sollte je nach Institution optimal ausgelotet werden, um die Sicherheit der Daten nicht zu gefahrden, aber auch nicht unnotig die Benutzerfreundlichkeit einzuschranken.

1.3 Methodische und theoretische Grundlagen

Das Generieren von Daten kann in der empirischen Sozialforschung systematisch uber vier Wege erfolgen. Diese vier Moglichkeiten sind die Befragung, die Inhaltsanalyse, die Beobachtung und das Experiment (vgl. Brosius, Koschel & Haas, 2008). Die empirische Untersuchung dieser Arbeit beruht auf durch Befragung erhobene Daten. Diese Methode eignet sich sehr gut, um Verhaltensweisen, Informationen uber Meinungen, Wertehaltungen, Informationsstande oder demographische Basisdaten zu ermitteln. Befragungen unterscheiden sich nach ihrer Kommunikationsart in mundliche und schriftliche Befragungen. AuBerdem unterscheidet man bei der Befragung die Kommunikationsformen geschlossen/standardisiert, teilstandardisiert oder wenig standardisiert/offen. Mit offenen Fragestellungen wird das Ziel verfolgt Meinungen, Einstellungen und personliche Informationen zu erhalten. Offene Fragestellungen gehoren somit zu den qualitativen Befragungen. Geschlossene Fragestellungen dagegen dienen der Darstellung von Haufigkeiten und Korrelationen, und sind somit den quantitativen Befragungen zuzuordnen (vgl. ebd.). Die Fragestellung dieser Arbeit zielt auf die Generierung qualitativer Antworten ab, daher bietet sich eine teilstandardisierte Befragung eines Experten an. Es wurde die Form der personlichen Befragung auf Grundlage eines im Vorfeld entwickelten Fragenkatalogs angewendet. Die Abfolge der Fragen ist strukturiert.

Als Basis fur die theoretischen Grundlagen des Themas Sicherheit im WLAN dienen einschlagige Fachliteratur, Studien und Meinungen aus der Presse. Durch die gewonnenen Kenntnisse aus den theoretischen Grundlagen, dem Experteninterview und dessen Analyse kann ein Sicherheitskonzept fur die Schule und Schulen, die dem Untersuchungsgegenstand entsprechen, entwickelt werden.

2 Theoretische Grundlagen zur Fragestellung

2.1 Forschungsstand

Technisch und wirtschaftlich gesehen haben sich WLANs seit ihrem ersten Einsatz 1992 mittlerweile zum Massenmarkt entwickelt und sind damit zu einer ublichen Kommunikationsmoglichkeit im Alltag geworden. „Der WLAN-Standard hat nicht nur beim Aufbau lokaler Computer-Netzwerke eine groBe Verbreitung gefunden, sondern hat sich auch fur so genannte Hot Spots, offentliche Platze und Gebaude mit einem hohen Aufkommen an Nutzern des Internet, durchgesetzt“ (Ministerium fur Umwelt und Naturschutz, 2004, S. 5). Immer mehr Gerate im Heimnetz benotigen einen Zugang zum WLAN. Es ,,werden nicht nur Mails und Webseiten per Router im Heimnetz verteilt, sondern vor allem Videos - je hochauflosender, desto mehr Bandbreite benotigen sie. 2016 sollen Videos 63 Prozent des gesamten Internetverkehrs ausmachen“ (Rau, 2012).

Am Anfang der Entwicklung fehlte noch eine Standardisierung, sodass nur Gerate eines Herstellers miteinander kommunizieren konnten. Damals lagen die Datenubertragungsraten noch deutlich unter 1 MBit/s . In der Praxis haben sich dann im Laufe der Zeit technische Standards herausgebildet, damit die Kommunikation auch herstellerunabhangig moglich wurde. Diese Standards werden von dem Institute of Electrical and Electronics Engineers (IEEE), einem^[3] weltweitem Berufsverband von Ingenieuren aus den Bereichen Elektrotechnik und Informatik, dokumentiert und verwaltet. Dabei konnen heute im neusten sogenannten 802.11n-Standard Bruttodatenubertragungsraten von bis zu 600 MBit/s erzielt werden. Die Reichweite betragt im Haus, je nach Bauart, ca. siebzig Meter.

Die nachste Entwicklungsstufe sieht bereits mit dem Standard 802.11ac, der sich noch in der Entwurfsphase^[4] befindet, eine Bruttodatenubertragungsrate von zunachst 1750 und spater bis zu 6900 MBit/s vor. Die Funkubertragung stoBt hier erstmals in den Gigabit-Bereich vor. Erste Gerate kommen bereits Ende dieses Jahres, 2012, auf den Markt (vgl. Ahlers, 2012, S. 87).

Die moglichen Konkurrenztechnologien HIPERLAN/2, UMTS, Bluetooth, UWB und Infrarot werden in der Wissenschaft nur als potenzielle Erganzungstechnologien gesehen (vgl. Ministerium fur Umwelt und Naturschutz, 2004, S. 23). Man klassifiziert drahtlose Kommunikationsdienste anhand zweier Leistungsparameter: der Datenubertragungsrate und der geographischen Abdeckung bzw. Reichweite. WLAN bietet im Bereich von bis zu dreihundert Metern die groBte Datenubertragungsrate und setzte sich mit den 802.11x-Standards durch (s. Abb. 1.1). Wie und ob die Zugangstechnologie, Long Term Evolution (LTE), die den neusten Mobilfunkstandard der sogenannten vierten Generation darstellt, eine Konkurrenz zur WLAN- Technologie bilden wird, kann derzeit noch nicht abgesehen werden. Andere Funktechnologien, wie beispielsweise UMTS werden nur als Weiterverkehrsnetze genutzt.

Als Erfolgsfaktor der WLAN-Entwicklung kann der Bedarf an mobiler Internetnutzung gesehen werden, der mit immer weitflachiger Verfugbarkeit von WLAN-fahigen Geraten wie Notebooks, Tablets, Smartphones, MP3-Player, Digitalradios, Fernsehgeraten und selbst herkommlichen Desktop-Computern, die mit Funknetzwerkkarten ausgestattet sind, noch weiter steigen wird. Mittlerweile werden bei Neuabschlussen von Internetzugangsvertragen fast nur noch WLAN- fahige Multifunktionsgerate an die Endnutzer ausgeliefert.

Die hohe Verbreitung der Technik brachte leider nicht nur wohlgesonnene Nutzer mit sich. In Deutschland ist das Mithoren von Informationen jeglicher Art verboten, was Kriminelle jedoch nicht davon abhalt, unbemerkt in ein Netzwerk einzudringen. Gerade am Anfang des 20. Jahrhunderts war das sogenannte Wardriving beliebt. Die unzureichend abgesicherten WLANs wurden dabei mit einem herkommlichen WLAN-fahigen Gerat aufgespurt und mitunter sogar auf Internetseiten veroffentlicht. Dieser Umstand wurde durch nicht abgesicherte oder eine leicht zu entschlusselnde Standard-Verschlusselungsmethode der WLANs begunstigt.

Die Sicherheitslucken konnten vorerst durch die Einfuhrung neuer Sicherheitsstandards geschlossen werden, die als sicher geltende Verschlusselungsalgorithmen unterstutzen und optional Authentifizierungsfunktionen implementieren lassen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1.1: Ubersicht uber die 802.11-Standards der IEEE (Ministerium fur Umwelt und Naturschutz, 2004, S. 6)

Im Laufe der letzten Jahre ist der Einsatz der WLAN-Technologie sowohl fur den Betreiber als auch fur den Anwender immer sicherer geworden. Der Zugang und der Datenstrom konnen effektiv zusammen mit Passwortern verschlusselt und damit vor dem Zugriff Dritter geschutzt werden. Mittels bestimmter technischer Losungen ist es moglich, dass sich die Teilnehmer authentifizieren konnen/mussen. So kann WLAN auch in groBeren Institutionen mit vielen Teilnehmern eingesetzt werden (vgl. Hofherr, 2005, S. 124).

Das Bundesamt fur Sicherheit in der Informationstechnik (BSI), dass im Jahre 1991, zeitgleich mit der Offentlichmachung des Internets, gegrundet wurde, leistet im Bereich der IT-Sicherheit Grundlagenarbeit und ist damit eine tragende Saule der Inneren Sicherheit in Deutschland. Es stellt Sicherheitskonzepte und MaBnahmenplane fur die Burger und die Wirtschaft zur freien Verfugung. Es sei demnach moglich, ein WLAN gegen auBere Angriffe sogar schon mit einfachen Mitteln abzusichern (vgl. Bundesamt fur Sicherheit in der Informationstechnik, 2012, S. 3).

2.2 Das ISO/OSI-Referenzmodell

Damit die Entwicklung von Netzwerktechnik hersteller- und anwendungsunabhangig realisiert werden kann, wurde schon 1979 das Open System Interconnection- (OSI-) Model von der International Organisation for Standardization (ISO) vorgestellt (vgl. Zimmermann, 2007,

107). Das OSI-Modell ist als Basis aller Netzwerkstandards zu sehen. „Dieses Modell dient zur Erklarung und Einordnung der wichtigsten Eigenschaften und Funktionen von Kommunikationssystemen“ (Hansen, 2005, S. 576). Es definiert die Kommunikation von offenen und verteilten Systemen, indem es sich sieben sogenannter Protokollschichten bedient. Diese Schichten bauen aufeinander auf und definieren die Struktur der Kommunikation innerhalb eines offenen Kommunikationssystems. Die Schichten werden auch Ebenen oder Layer genannt. Jeder Schicht wird eine klar umrissene Aufgabe zuteil. So kann das komplexe Problem der Datenkommunikation innerhalb eines oder mehrerer Kommunikationssysteme, die miteinander gekoppelt sind, in kleinere modular aufgebaute Teilprobleme zerlegt werden. Die Schichten eins bis vier werden als transportorientiert, die Schichten funf bis sieben als anwendungsorientiert bezeichnet. Alle Schichten sind bildhaft ubereinander gestapelt und werden deshalb auch Protokoll-Stapel oder Protokoll-Stack genannt (s. Abb. 2.1).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.1: Das ISO/OSI-Referenzmodell (Frisch, 2011, S. 20)

Wenn eine Datenendeinrichtung (DEE)5, hier auch Quelle oder Senke genannt, mit einer Senke kommuniziert, durchlaufen die von ihr erzeugten Daten vertikal von oben nach unten und wieder von unten nach oben alle Schichten. Dabei fugt jede Schicht dem sogenannten Nutzdatenpaket spezifische Protokollinformationen hinzu. Befinden sich diese am Anfang, werden sie Header (H), befinden sie sich am Ende, Trailer (T) genannt. Die einzelnen Schichten kommunizieren zwar vertikal immer mit ihren Nachbarn, korrespondieren aber lediglich in horizontaler Weise^[5] mit ihresgleichen (vgl. Frisch, 2011, S. 20-21). Die ersten zwei Schichten sind Gegenstand der spezifischen WLAN-Standards.

„Wird eine Kommunikation zwischen zwei Partnem initialisiert, so wird ein Prozess angestoBen, in dessen Folge die verschiedenen Schichten mit den ihnen zugedachten Rollen durchlaufen werden“ (Osterhage, 2010, S. 20). Dieser Vorgang beginnt auf der physikalischen Bitubertragungsschicht. Hier wird die Verbindung auf- oder abgebaut und es kommt mittels der dort angesiedelten Protokolle zu einer physikalischen Signalumsetzung. Diese Schicht enthalt u.a. die Normen fur die elektrischen und mechanischen Eigenschaften der Ubertragungsmedien, sowie fur die Signalpegel, Steckverbindungen und ihre Belegungen. Der physikalischen Schicht konnen beispielsweise Standards fur die Network Interface Cards (NIC) zugeordnet werden, die auf jeder DEE zur Kommunikation vorhanden sein mussen. AuBerdem arbeiten hier Repeater und HUBs (vgl. ebd.).

Oberhalb der physikalischen Schicht befindet sich die Sicherungsschicht, die auch Data Link genannt wird. Sie ist zustandig fur das Management der zwischen den DEE aufgebauten Verbindung, kontrolliert gewissermaBen die physikalische Schicht und ist fur die Integritat der Datenubertragung zustandig. AuBerdem findet hier die physikalische Adressierung der Datenframes mittels der Medium Access Control- (MAC-) Adressen der NICs statt.

Die Sicherungsschicht entpackt die von der ersten Ebene kommenden Frames und uberwacht gleichzeitig deren Ubermittlung. Als Hardware sind hier die Switche angesiedelt.

Die Netzwerkschicht entpackt anschlieBend Pakete aus den Frames und ubernimmt das Routing derer im Netzwerk mittels Internet Protokoll- (IP-) Adressen. Als typisches Gerat kann an dieser Stelle der Router genannt werden.

Die Transportschicht kontrolliert wiederum die Netzwerkschicht und teilt die Datenpakete, sofern sie zu groB sind, in mehrere Teile. Ebenso soll sie Datenstaus vermeiden. Firewalls werden auf dieser Ebene eingesetzt, da sie anhand der Kombination von IP-Adressen und Portnummern Verbindungen kontrollieren konnen.

Die Sitzungsschicht organisiert die Verbindungen zwischen den Endsystemen. Dazu sind Steuerungs- und Kontrollmechanismen, auch Aufsitzpunkte genannt, fur die Verbindung und den Datenaustausch implementiert.

In der Darstellungsschicht werden die Daten in ein maschinenunabhangiges Format gewandelt. Damit wird fur eine korrekte Darstellung auf den jeweiligen Systemen gesorgt. Auch findet hier die Verschlusselung der Daten mit hoheren Protokollen wie beispielsweise dem Secure Socket Layer- (SSL-) Protokoll auf Anwendungsebene statt.

Auf der Anwendungsschicht arbeiten die jeweiligen Endanwendungen wie beispielsweise der Webbrowser (vgl. Zimmermann, 2007, S. 108).

Im weiteren Verlauf dieser Arbeit wird wiederholt auf das ISO/OSI-Referenzmodell verwiesen, um die verschiedenen Netzwerkprozesse einzuordnen.

Unter Netzwerktechnik im Allgemeinen fallen u.a. alle Protokolle, Anwendungen und Ubertragungsmedien. Dabei wird zwischen geschlossenen und offenen Systemen unterschieden. Geschlossene Systeme sind Eigenentwicklungen der Hersteller, die meistens die Einbindung von Fremdsystemen nicht gestatteten. Offene Systeme hingegen mussen bestimmte Richtlinien einhalten, „die es anderen Herstellem erlauben, kompatible Gerate zu bauen oder entsprechende Schnittstellenanpassungen zu schaffen, die eine Einbindung ermoglichen“ (Frisch, 2011,S. 19).

2.3 Die Betriebsmodi eines WLANs

Bevor ein Uberblick uber die Sicherheitsmechanismen in Funknetzwerken auf Basis des Standards 802.11 gegeben werden kann, wird im Folgenden zunachst die grundlegende Arbeitsweise eines WLANs vorgestellt.

Die Datenubertragung innerhalb lokaler Funknetzwerke kann uber mehrere Arten erfolgen. Im Folgenden wird nur die gangigste Technik, das WLAN nach den 802.11x-Standards der IEEE, naher betrachtet.

Mit Hilfe der NICs konnen alle Arten von Computern miteinander verbunden werden. Dafur sind nur wenige Hardwarekomponenten notig. Einen Uberblick gibt die Abb. 2.2. Das simple Beispielnetzwerk ist auf die wesentlichen Komponenten reduziert. Es handelt sich um ein LAN, in das zudem Access Points (APs) implementiert sind, die eine drahtlose Kommunikation zwischen einem Client und einem lokalen Netzwerk (LAN) ermoglichen. Bei dem beispielhaft dargestellten AP handelt es sich um ein Hybridgerat, das die Router-, Switch- und Funkfunktionen in einem Gerat vereint. Die NICs sind unterschiedlicher Bauart: Zum einen handelt es sich um eine Steckkarte zur Nachrustung fur Laptops, zum anderen um eine Steckkarte zur Nachrustung von Desktop-PCs. Auffallig ist, dass mehrere APs vorhanden sind. Dies lasst bereits Ruckschlusse auf die grundlegende Funktionsweise von WLANs ziehen. Bewegt man sich mit einem mobilen Gerat durch ein Gebaude mit mehreren APs, findet das Roaming statt: Sobald das Signal eines APs schwacher wird, nutzt die NIC automatisch das starker werdende Signal des nachsten APs. Dies ist sehr nutzlich, da die Verbindung trotz der Mobilitat nicht abreiBt.

Die APs senden periodisch sogenannte Beaconframes, die Informationen uber die Prasenz des Netzwerks beinhalten. Jedes WLAN muss einen Namen, den sogenannten Service Set Identifier (SSID) haben, der den Clients angezeigt werden kann.

Generell gibt es zwei Konfigurationsmoglichkeiten im WLAN. Die erste Variante wird Ad-hoc- Modus oder auch Peer-to-Peer Betrieb genannt. Die Computer sind in einem Maschennetz vernetzt, gleichberechtigt und kommunizieren direkt und ohne APs miteinander.

Die zweite, weiter verbreitete Variante, der Infrastrukturmodus, setzt den Einsatz von APs voraus, die meist einen kabelgebundenen Anschluss besitzen. Dadurch konnen mehrere WLAN- Clients, wie in Abb. 2.2 zu sehen, auf die freigegebenen Ressourcen im Netzwerk zugreifen (vgl. Mainfrankisches Electronic Commerce Kompetenzzentrum, 2007, S. 13).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.2: Beispielnetzwerk WLAN (Mainfrankisches Electronic Commerce Kompetenzzentrum, 2007, S. 13)

Die Verfugbarkeit erhoht sich bei drahtlosen Funkubertragungen durch eine gute Ausleuchtung, die durch das Aufstellen mehrerer APs noch weiter aufgestockt werden kann (s. Abb. 2.3).

Man nennt die APs in diesem Betriebsmodus auch Basic Service Sets (BSS). Koppelt man mehrere BSSs in einem LAN erhalt man ein Extended Service Set (ESS). Durch das Roaming haben die Clients aus logischer Sicht immer Zugriff auf das gesamte LAN.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.3: Roaming im WLAN (Mainfrankisches Electronic Commerce Kompetenzzentrum, 2007, S. 14)

2.4 Die Protokollfamilie IEEE 802.11x

Bereits im oberen Teil dieser Arbeit war von herstellerunabhangigen Standards die Rede. Im Folgenden werden diese grob vorgestellt. Die Beschreibung der Standards ist im Internet frei zuganglich^{[6] [7] [8]}.

WLAN basiert auf dem Standard 802.11, der 1997 vom US-amerikanischen IEEE verabschiedet wurde. Bei dieser ersten Spezifikation erfolgt die Kommunikation im lizenzfreien 2,4-GHz- Band . Es sind Bruttoubertragungsraten von bis zu 2 MBit/s vorgesehen. Brutto beschreibt hier nur die theoretisch mogliche Datenubertragungsrate. Die tatsachliche Nettodatenubertragungsrate fallt bei WLANs leider bis zu ca. 50 % geringer aus. Das liegt u.a. am verwendeten Kanalzugriffsprotokoll Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA) und der Tatsache, dass Funk ein geteiltes Medium (Englisch: shared medium) ist. Wahrend ein AP sendet, mussen sich alle anderen Stationen zuruckhalten (vgl. Ahlers, 2012, S. 87). Hinzu kommt der Overhead, der mitgesendet werden muss. Diesen benotigt man, um eine Integritat der Ubertragung gewahrleisten zu konnen. Ebenso sind im Overhead Hinweise zur Wegesteuerung und Protokollinformationen vorhanden. Zusatzlich mussen die Entfernung zwischen Sender und Empfanger sowie die dazwischenliegenden Medien berucksichtigt werden. Der Standard 802.11 ist eine Untergruppe des Local Area Network (LAN)/Metropolitan Area Network (MAN) Standards 802 (vgl. Osterhage, 2010, S. 6). Die Zahl 802 beruht auf dem Entstehungsdatum, 1980 im Februar.

Erweiterungen des Standards 802.11 wurden uber die Jahre immer wieder erganzt und uber Kleinbuchstaben differenziert (IEEE 802.11a bis ac, s. Tab. 2.1). In den Standards werden nicht nur technische Vorgaben, sondern auch sicherheitsrelevante MaBnahmen vereinbart.

Die erste Erweiterung, 802.11b, wurde 1999 veroffentlicht. Der Vorteil liegt hier bei einer hoheren Ubertragungsrate. 802.11b bietet dem Anwender 14 Kanale. In Deutschland durfen 13 davon mit einer maximalen Sendeleistung von 100 mW genutzt werden. In anderen Landern kann diese Zahl abweichen. Von den 13 zur Verfugung stehenden Kanalen konnen aufgrund von Uberlappungen nur drei gleichzeitig genutzt werden. Jeder Kanal ist 22 MHz breit (s. Abb. 2.4). Zeitgleich zu 802.11b wurde mit 802.11a ein Standard im 5-GHz-Band geschaffen, der eine Ubertragungsrate von bis zu 54 MBit/s ermoglicht. Die Sendeleistung ist in diesem Band auf 30 mW^[9] reglementiert. 802.11a konnte sich jedoch nicht durchsetzen, da die Gerate teuer und der Standard nicht kompatibel zu 802.11b war. Der Vorteil gegenuber 802.11b ist allerdings, dass im groBeren 5-GHz-Band acht uberlappungsfreie Kanale genutzt werden konnen. So ist der storungsfreie Betrieb von mehr APs auf einem engeren Raum moglich.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.4: Uberlappungsfreie Kanale 2, 7 und 12 (BSI, 2003, S. 6)

Im Jahr 2003 wurde der 802.11g-Standard verabschiedet, der abwartskompatibel zu 802.11b ist und Datenubertragungsraten von bis zu 54 MBit/s ermoglicht (vgl. Hofherr, 2005, S. 11).

Der aktuelle Standard 802.11n, der 2009 verabschiedet wurde, erreicht hohere Datenubertragungsraten von bis zu 600 MBit/s. 802.11n kann sowohl im 2,4-GHz- Frequenzbereich als auch im 5-GHz-Frequenzbereich betrieben werden. Der Einsatz von bis zu vier Antennen und die Verbreiterung der Ubertragungskanale von 22 MHz auf 40 MHz erhoht die Bruttodatenrate auf bis zu 600 MBit/s. Diese Technik reprasentiert das Multiple Input Multiple Output- (MIMO-) Verfahren. Fur hohere Datenubertragungsraten werden bis zu vier Kanale gebundelt. Jeder kann folglich bis zu 150 MBit/s (brutto) ubertragen (vgl. ebd.).

Abbildung in dieser Leseprobe nicht enthalten

Tab. 2.1: Uberblick uber die Standards IEEE 802.11 (Vgl. Ministerium fur Umwelt und Naturschutz, 2004, S. 6)

[...]

---

^[1] Zur besseren Lesbarkeit wird in dieser Arbeit das maskuline Genus verwendet. Das feminine Genus ist stets mitgedacht.

^[2] Alle Namen, die mit der Schule in Verbindung gebracht werden konnen, wurden auf Wunsch der Schulleitung geandert.

^[3] MBit/s: Megabit pro Sekunde

^[4] Entwurfsphase: Wird im weiteren Verlauf auch Draft genannt.

^[5] Die DEE beschreibt einen Computer, der als Server (bietet Dienste an) und/oder Client (nimmt Dienste in Anspruch) fungieren kann.

^[6] IEEE Standards Association. URL http://standards.ieee.org/getieee802/ (Abruf am 15.10.2012)

^[7] GHz: Gigahertz

^[8] MHz: Megahertz

^[9] mW: Milliwatt