Konzeption, Evaluierung und exemplarische Implementierung von WLAN-Lösungen


Diplomarbeit, 2003

124 Seiten, Note: 1,0


Leseprobe


Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Beschreibung der Thematik
1.2 Zielsetzung der Arbeit
1.3 Vorgehensweise und Gliederung

2 Grundlagen
2.1 Entscheidungsgründe für IEEE 802.11b
2.2 Allgemeine Grundlagen eines 802.11b-WLANs
2.2.1 Entstehung
2.2.2 Technik
2.2.2.1 Komponenten
2.2.2.2 Netzwerktopologie
2.2.2.3 Protokoll-Architektur
2.2.2.3.1 Das Physical Layer
2.2.2.3.2 Das MAC-Layer
2.2.3 Sicherheitsaspekte
2.2.3.1 Zugangskontrolle anhand der Service Set ID
2.2.3.2 Zugangskontrolle auf MAC-Adressenebene
2.2.3.3 Wired Equivalent Privacy
2.2.3.3.1 Funktion
2.2.3.3.2 Schwachstellen
2.2.3.3.3 Proprietäre Lösungsansätze
2.2.3.4 Virtual Private Network
2.2.3.5 IEEE 802.1x und 802.11i
2.2.4 Leistungsmerkmale 802.11b, 802.11a, 802.11g
2.3 Das KTDS-Labor

3 Konzeption
3.1 Kriterien
3.2 Anforderungsdefinition
3.3 Auswahl der Testgeräte
3.3.1 Marktübersicht
3.3.2 Teststellungen
3.4 Testablaufplan
3.4.1 Testschritte
3.4.2 Testumgebung
3.4.3 Bewertungs-Modell

4 Evaluierung
4.1 Artem Teststellung
4.1.1 Testdurchführung
4.1.1.1 Installation
4.1.1.2 Allgemeiner Verbindungstest
4.1.1.3 Sicherheit
4.1.1.4 Datenübertragungsrate / Netz-Performance
4.1.1.5 DHCP
4.1.1.6 Interoperabilität
4.1.1.6.1 Cisco PC-Karte
4.1.1.6.2 Orinoco PC-Karte
4.1.1.6.3 D-Link USB-Adapter
4.1.1.6.4 Ergebnis der Interoperabilitätstests
4.1.1.7 Dokumentation und Herstellersupport
4.1.1.8 Preis
4.1.2 Bewertung
4.2 Cisco WLAN-Equipment des KTDS-Labors
4.2.1 Testdurchführung
4.2.1.1 Installation
4.2.1.2 Allgemeiner Verbindungstest
4.2.1.3 Sicherheit
4.2.1.4 Datenübertragungsrate / Netz-Performance
4.2.1.5 DHCP
4.2.1.6 Interoperabilität
4.2.1.6.1 Artem PC-Karte
4.2.1.6.2 Orinoco PC-Karte
4.2.1.6.3 D-Link USB-Adapter
4.2.1.6.4 Ergebnis der Interoperabilitätstests
4.2.1.7 Dokumentation und Herstellersupport
4.2.1.8 Preis
4.2.2 Bewertung
4.3 D-Link USB-Adapter
4.3.1 WLAN-NIC – Installation und Grundkonfiguration
4.3.2 Unattended Setup
4.3.3 Dokumentation und Herstellersupport
4.3.4 Preis
4.3.5 Bewertung
4.4 Orinoco PC-Karte
4.4.1 WLAN-NIC – Installation und Grundkonfiguration
4.4.2 Unattended Setup
4.4.3 Dokumentation und Herstellersupport
4.4.4 Preis
4.4.5 Bewertung
4.5 Roaming
4.5.1 Artem PC-Karte
4.5.2 Cisco PC-Karte
4.5.3 Orinoco PC-Karte
4.5.4 D-Link USB-Adapter
4.5.5 Bewertung

5 Exemplarische Implementierung
5.1 Installation
5.1.1 WLAN-NIC – Installation und Grundkonfiguration
5.1.2 AP – Installation und Grundkonfiguration
5.2 Allgemeiner Verbindungstest
5.3 Sicherheit
5.4 Datenübertragungsrate / Netz-Performance
5.5 Lastaufteilung auf zwei APs
5.6 Funktionstest Standardapplikation Internetzugriff
5.7 Ausleuchtung des KTDS-Labors
5.8 Bewertung

6 Abschluss
6.1 Zusammenfassung
6.2 Fazit

Glossar

Genutzte Literatur und weitere Quellen

Anhang

Abbildungsverzeichnis

Abbildung 1: OSI-7-Schichten-Modell

Abbildung 2: Independent Basic Service Set

Abbildung 3: Extended Service Set

Abbildung 4: 802.11b Protokoll-Architektur

Abbildung 5: Interframe Space-Zeiten

Abbildung 6: Das Backoff-Verfahren

Abbildung 7: Das RTS/CTS-Verfahren

Abbildung 8: Das Hidden Terminal-Problem

Abbildung 9: Firewalleinsatz zum Schutz des LANs

Abbildung 10: WEP-Verschlüsselung und –Entschlüsselung

Abbildung 11: Errechnung des Authentifizierungs-Schlüssels

Abbildung 12: Grundriss KTDS-Labor

Abbildung 13: Netzwerkskizze KTDS-Labor

Abbildung 14: WLAN-Testumgebung

Abbildung 15: Konfiguration Artem-WLAN-Karte unter Windows 2000

Abbildung 16: Konfiguration Artem-WLAN-Karte unter Windows XP

Abbildung 17: Artem Compoint Manager

Abbildung 18: Konfigurationsoberflächen des Artem AP

Abbildung 19: Verbindungsübersicht des Artem-AP

Abbildung 20: Artem Onair Clientmanager - Verbindungstest

Abbildung 21: Verbindungsstatusfenster unter Windows XP

Abbildung 22: Allgemeiner Verbindungstest per Ping-Programm

Abbildung 23: Konfiguration Cisco PC-Karte

Abbildung 24: Oberfläche des Cisco Aironet Configuration Administration Tool

Abbildung 25: Cisco IP Setup Utility

Abbildung 26: Konfigurationsoberflächen des Cisco AP

Abbildung 27: Verbindungsübersicht des Cisco-AP

Abbildung 28: Aironet Client Utility - Verbindungstest

Abbildung 29: Konfiguration D-Link USB-Adapter unter Windows 2000

Abbildung 30: WLAN-Komponenten im KTDS-Labor

Abbildung 31: Netzwerkinfrastruktur WLAN-Implementierung

Abbildung 32: Verbindungsübersicht beider APs

Tabellenverzeichnis

Tabelle 1: Frequenzbereiche und Sendeleistungen nach 802.11

Tabelle 2: DSSS-Kanäle im ISM-Band

Tabelle 3: Datenübertragungsraten und Reichweiten

Tabelle 4: Leistungsmerkmale 802.11b, 802.11a und 802.11g

Tabelle 5: Beispiel einer Bewertungsmatrix

Tabelle 6: Durchsatz Artem-Teststellung unter Windows 2000

Tabelle 7: Durchsatz Artem-Teststellung unter Windows XP

Tabelle 8: Durchsatz Artem-Teststellung verschlüsselt

Tabelle 9: Durchsatz Cisco PC-Karte gegen Artem-AP unverschlüsselt

Tabelle 10: Durchsatz Cisco PC-Karte gegen Artem-AP verschlüsselt

Tabelle 11: Durchsatz Orinoco PC-Karte gegen Artem-AP unverschlüsselt

Tabelle 12: Durchsatz Orinoco PC-Karte gegen Artem-AP verschlüsselt

Tabelle 13: Durchsatz D-Link USB-Adapter gegen Artem-AP unverschlüsselt

Tabelle 14: Durchsatz D-Link USB-Adapter gegen Artem-AP verschlüsselt

Tabelle 15: Durchsatzergebnisse am Artem-AP

Tabelle 16: Bewertungsmatrix Artem Teststellung

Tabelle 17: Durchsatz Cisco-Komponenten unter Windows 2000

Tabelle 18: Durchsatz Cisco-Komponenten unter Windows XP

Tabelle 19: Durchsatz Cisco-Komponenten verschlüsselt

Tabelle 20: Durchsatz Artem PC-Karte gegen Cisco-AP unverschlüsselt

Tabelle 21: Durchsatz Artem PC-Karte gegen Cisco-AP verschlüsselt

Tabelle 22: Durchsatz Orinoco PC-Karte gegen Cisco-AP unverschlüsselt

Tabelle 23: Durchsatz Orinoco PC-Karte gegen Cisco-AP verschlüsselt

Tabelle 24: Durchsatz D-Link USB-Adapter gegen Cisco-AP unverschlüsselt

Tabelle 25: Durchsatz D-Link USB-Adapter gegen Cisco-AP verschlüsselt

Tabelle 26: Durchsatzergebnisse am Cisco-AP

Tabelle 27: Durchsatzergebnisse insgesamt

Tabelle 28: Bewertungsmatrix Cisco WLAN-Lösung

Tabelle 29: Bewertungsmatrix D-Link USB-Adapter

Tabelle 30: Bewertungsmatrix Orinoco PC-Karte

Tabelle 31: Bewertungsmatrix Implementierung KTDS-Labor

Tabelle 32: Technologie-Vergleich Kabellose Netzwerktechnologien

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Beschreibung der Thematik

Im heutigen Zeitalter der Informationstechnologien (IT) wird der schnelle, mobile, ortsunabhängige und kostengünstige Zugriff auf Informationen immer öfter als Anforderung an Datenkommunikationsnetze definiert.

Die Nachteile der herkömmlichen kabelgebundenen Netzwerktechnologien zur Anbindung von Clientsystemen, wie z. B. Ethernet, an lokale Datennetze sind offensichtlich:

- Hohe Kosten für die Verkabelung in Gebäuden
- Fehlende Mobilität

Zur Beseitigung dieser Nachteile wurden in den letzten Jahren verschiedene kabellose Netzwerktechnologien entwickelt, wie Infrarot, Bluetooth, HomeRF, HIPERLAN und Wireless LAN nach 802.11 des Institute of Electrical and Electronic Engineers (IEEE). Für den Einsatz in Local Area Networks (LAN) hat sich WLAN nach IEEE 802.11 als am besten geeignete Technologie erwiesen (siehe Kapitel 2.1).

Thema dieser Diplomarbeit ist es, die Eignung eines kabellosen LANs auf Basis von IEEE 802.11b (im Nachfolgenden kurz 802.11b genannt) als Alternative zu herkömmlichen Ethernet-Netzwerken zu prüfen.

1.2 Zielsetzung der Arbeit

Zielsetzung dieser Arbeit ist es, anhand einer ausführlichen Evaluierung festzustellen, ob die ausgewählten WLAN-Komponenten den Anforderungen an eine kabellose LAN-Alternative genügen sowie herstellerübergreifend interaktionsfähig sind und dies anhand einer exemplarischen Implementierung innerhalb des Netzes des Labors für Kommunikationstechnik und Datensicherheit (KTDS-Labor) des Instituts für Informatik am Campus Gummersbach zu belegen. Das KTDS-Labor dient dort als Testumgebung für alle Aspekte im Bereich Kommunikationstechnik und Datensicherheit.

1.3 Vorgehensweise und Gliederung

In Kapitel 1 wird eine Einführung in die vorliegende Diplomarbeit gegeben. Neben der Beschreibung der Thematik wird die Zielsetzung der Diplomarbeit dargelegt. Des weiteren wird die Vorgehensweise und Gliederung der Diplomarbeit dargestellt.

In Kapitel 2 werden die Grundlagen der Thematik dieser Diplomarbeit vermittelt. Hierzu gehören die Entscheidungsgründe für IEEE 802.11b sowie die allgemeinen Grundlagen dieser Technologie wie die Entstehungsgeschichte, die Technik und Sicherheitsaspekte. Darüber hinaus werden die Leistungsmerkmale der verschiedenen Standards der IEEE 802.11-Reihe verglichen.

Als Grundlage für die spätere exemplarische Implementierung wird eine nähere Beschreibung des KTDS-Labors gegeben.

In Kapitel 3 wird ein Konzept eines Netzwerkes auf Basis von IEEE 802.11b erarbeitet. Zuerst wird hier anhand verschiedener Kriterien eine Anforderungsdefinition an ein WLAN erstellt.

Anhand dieser Anforderungsdefinition werden dann die zu evaluierenden Testgeräte ausgewählt sowie ein Testablaufplan erstellt.

Die eigentliche Evaluierung wird schließlich in Kapitel 4 durchgeführt. Die ausgewählten Testgeräte durchlaufen die einzelnen Schritte des in Kapitel 3 erstellten Testablaufplanes und erhalten hiernach abschließend eine Bewertung.

Nach der Evaluierung erfolgt in Kapitel 5 die exemplarische Implementierung einer Auswahl der getesteten WLAN-Komponenten im KTDS-Labor. Hierzu gehören neben den in der Evaluierung durchgeführten Schritten zusätzlich die Aufteilung der WLAN-Clients auf 2 verschiedene Access-Points (APs), die Nutzung einer Standardapplikation per Funk sowie die Ausleuchtung des KTDS-Labors.

In Kapitel 6 wird abschließend eine Zusammenfassung und das Fazit der in der Diplomarbeit erarbeiteten Ergebnisse wiedergegeben.

2 Grundlagen

2.1 Entscheidungsgründe für IEEE 802.11b

Die Entscheidung für 802.11b wurde auf Basis des Ergebnisses der vom Autor im Vorfeld erstellten Projektarbeit mit dem Thema „Funktechnologien für den lokalen Datennetzbereich“ getroffen.

Am Markt verfügbar sind aktuell Komponenten folgender Technologien:

- Bluetooth
- DECT (Digital Enhanced Cordless Telecommunications)
- IEEE 802.11b
- IEEE 802.11a
- IrDA (Infrared Data Association)
- HIPERLAN/2
- HomeRF (Home Radio Frequency)

Setzt man im Hinblick auf den Einsatz im LAN-Bereich (aktuell 10 Mbit/s oder 100 Mbit/s Bandbreite im Ethernet) eine gewisse Mindestbandbreite voraus, kommen Bluetooth (1Mbit/s), DECT (1152 Kbit/s) und IrDA (4 Mbit/s) nicht mehr in Frage.

Ein weiteres Ausschluss-Kriterium für HomeRF und HIPERLAN/2 ist, dass diese beiden Technologien im europäischen Raum so gut wie gar keine Verbreitung finden und die Marktanteile verschwindend gering sind. Auch ist hier die Weiterentwicklung nur sehr schleppend bzw. stagniert momentan sogar komplett. Aufgrund des Booms der 802.11-Familie ist hier auch nicht mit weiteren Investitionen in die Weiterentwicklung zu rechnen.

Aus den überbleibenden beiden Konkurrenten 802.11b und 802.11a wurde ersterer aus folgenden Gründen ausgewählt:

- Durch die bereits längere Verfügbarkeit von 802.11b-Komponenten gibt es hier schon umfangreiche Erfahrungswerte, die zur Optimierung und Reifung dieser Technologie geführt haben.
- Es gibt bereits einen genügend großen Wettbewerb am Markt, der eine sorgfältige Auswahl der Produkte sowie einen angemessenen Preis möglich macht.
- 802.11b arbeitet im lizenzfreien ISM-Band bei 2,4 GHz, für das es keine gesetzlichen Einschränkungen gibt.

Aus diesen Gründen ist eine positive Evaluierung im Rahmen dieser Diplomarbeit beim Einsatz von 802.11b ungleich wahrscheinlicher als beim Einsatz von 802.11a.

802.11a ist eine noch recht junge Technologie, neben den fehlenden praktischen Erfahrungswerten und der geringen Verbreitung gelten darüber hinaus in Europa verschiedene Einschränkungen. In Deutschland wurde die Nutzung von 802.11a überhaupt erst mit der Freigabe des 5GHz-Bandes durch die Regulierungsbehörde für Telekommunikation und Post (RegTP) am 13. November 2002 erlaubt[1]. Diese Freigabe enthält jedoch verschiedene Einschränkungen in Bezug auf die nutzbaren Frequenzen sowie die Sendeleistung der einzelnen Komponenten, was sich auf Bandbreite und die Reichweite auswirkt. Der Grund für die Einschränkung liegt darin, dass das 5 GHz-Band in Deutschland noch von anderen Bereichen genutzt wird, wie z. B. dem Flugradar, in der Medizin und bei Fernsteuerungen verschiedenster Art. Des weiteren gab es zum Zeitpunkt der Bearbeitung der Diplomarbeit nur wenige Hersteller, die bereits eine komplette Produktserie auf Basis von 802.11a anbieten konnten. Dementsprechend hoch sind hier auch noch die Preise.

Eine kurze Übersicht über die aktuell am Markt erhältlichen kabellosen Netzwerktechnologien ist im Anhang beigefügt.

2.2 Allgemeine Grundlagen eines 802.11b-WLANs

In diesem Kapitel soll ein Überblick und ein Grundwissen über die Funktionalität und Technologie eines WLAN nach 802.11b vermittelt werden.

Im ersten Unterkapitel wird die Entstehung des Standards IEEE 802.11b erklärt.

Im zweiten Unterkapitel wird näher auf die Technik von 802.11b eingegangen, es werden die verschiedenen Komponenten, die Netzwerktopologie, die Architektur, der Verbindungsaufbau, die Sicherheitsaspekte und die Leistungsmerkmale beschrieben und erklärt.

2.2.1 Entstehung

Die Normung und Standardisierung für lokale Netzwerkzugriffsverfahren wird überwiegend von der IEEE durchgeführt.

Diese Standards sind in einer eigenen Reihe, nämlich der Reihe 802, festgehalten. So wird zum Beispiel das Verfahren „ Carrier Sense Multiple Access with Collision Detection“ (CSMA/CD) unter dem Standard IEEE 802.3 definiert.

Die WLANs erhielten in dieser Reihe die fortlaufende Nummer 11, die dazugehörige Arbeitsgruppe nahm 1991 ihre Arbeit auf.

Verabschiedet wurde der Standard IEEE 802.11 im Jahr 1997. Dieser Standard enthält Festlegungen für WLANs bezüglich der Schichten 1 (Physical Layer) und 2 (Data Link Layer) des ISO-OSI 7-Schichten Modells [2]. Von der Schicht „Data Link Layer“ (DLL) wird nur der untere Teil „Media Access Control“ (MAC) definiert. Der obere Teil „Logical Link Control“ (LLC) bleibt unberührt.

Die Datenrate beträgt bei 802.11 bis zu 2 Mbit/s.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 : OSI-7-Schichten-Modell

Der Standard IEEE 802.11b, der den Titel „Higher-Speed Physical Layer Extension in the 2.4 GHz Band“ trägt, wurde 1999 verabschiedet und enthält vor allem folgende beiden Änderungen:

1. Erhöhung der Datenübertragungsrate auf 11 Mbit/s
2. Roaming-Funktionalität, d. h. das transparente Wechseln zwischen den Funkzellen verschiedener APs unter Beibehaltung der Verbindung ist nun möglich. Eine Funkzelle ist der Bereich, der durch einen AP ausgeleuchtet wird.

2.2.2 Technik

2.2.2.1 Komponenten

Das Grundsystem der WLAN-Technologie besteht aus wenigen, universell einsetzbaren Komponenten und ist modular und skalierbar aufgebaut. Die grundlegenden Komponenten sind

- Die WLAN-Netzwerkkarte (Network Interface Card, NIC):

Die WLAN-Karten werden in Form einer PC-Karte im Clientsystem und meistens auch als aktive Funkkomponente im „Access-Point“ (Zugangs-Punkt) eingesetzt. Der Begriff „PC-Karte“ ist die Kurzform von „PCMCIA-Karte“ und wird aufgrund der kürzeren Schreibweise und einfacheren Aussprache benutzt.

Zum Einsatz der WLAN-PC-Karten in Clientsystemen, die nicht wie Notebooks über PCMCIA-Steckplätze verfügen, wie z. B. Desktop PCs, gibt es ISA- bzw. PCI-Adapter.

Alternativ zur WLAN-PC-Karte gibt es auch so genannte WLAN-Ethernet-Konverter, welche mittels einer herkömmlichen Ethernet-Netzwerkkarte den Zugriff auf ein WLAN ermöglichen; sie sind z. B. bei Druckern und anderen Komponenten einsetzbar, welche einen Ethernet-Anschluss haben und in die keine WLAN-Karte eingebaut werden kann. Diese Konverter gibt es auch in Form von Hubs zum Anschluss mehrerer Clients an das Funkmedium; sie werden dann oft als „WLAN-Bridge“ oder „WLAN-Gateway“ bezeichnet.

Seit einiger Zeit gibt es WLAN-Karten auch schon in serieller und USB-Ausführung, also zum Anschluss an den seriellen bzw. USB-Port. Die USB-Adapter gewinnen in letzter Zeit immer mehr Marktanteile, da sie im Gegensatz zu den internen Adaptern wesentlich einfacher zu installieren sind.

- Der Access-Point (AP):

Der AP ist eine zentrale Komponente von größeren WLAN-Installationen. Er dient als funktechnischer Ersatz eines Hubs und spannt eine lokale Funkzelle auf. Außerdem stellt der AP den Zugang zum drahtgebundenen Netz in der Funktion einer Bridge oder eines Routers dar. Er hat typischerweise einen Ethernet-Anschluss und einen WLAN-Anschluss in Form einer WLAN-PC-Karte.

Der AP regelt den Zugriff der einzelnen Stationen untereinander und ins kabelgebundene Netz.

Darüber kann er je nach Implementierung durch den Hersteller weitere Funktionen zur Verfügung stellen, wie

- Authentifizierung der WLAN-Stationen
- Verschlüsselung des Datenstromes
- Filterung des Datenverkehrs zur Absicherung des Backbone gegen das WLAN
- Zuweisung von IP-Adressen an die WLAN-Clients
- Die Antenne:

Die Antenne dient zum Senden und Empfangen der Funksignale. In die meisten Komponenten wie AP und WLAN-Karten ist schon eine Antenne integriert, optional können oft zusätzliche externe Antennen montiert werden.

Es gibt verschiedene Antennenmodelle für verschiedene Einsatzzwe name="_ftnref3" title="">[3].

Für den Einsatz im AP, in den Client-WLAN-Adaptern sowie allgemein für die Punkt-zu-Multipunkt-Versorgung ist die so genannte Rundstrahlantenne gedacht. Sie wird auch omnidirektionale Antenne genannt und hat einen Abstrahlwinkel von 360°.

Direktionale Antennen hingegen sind immer dann gefragt, wenn im Außenbereich hohe Reichweiten erzielt oder im Innenbereich Reflexionen vermieden werden sollen. Im Gegensatz zur Rundstrahlantenne haben sie einen stark reduzierten Öffnungswinkel.

Bei diesen direktionalen Antennen unterscheidet man drei Typen, die Yagi-, die Parabol- und die Patch-Antenne. Die Yagi-Antenne ist eine Stabantenne, die Parabol-Antenne hat die Form eines Parabol-Spiegels und die Patch-Antenne hat eine flache rechteckige Form. Speziell die Patch-Antenne kann aufgrund ihrer Bauweise besonders klein und flach gehalten werden. Durch die jeweilige Form dieser Typen werden die verschiedenen Abstrahlungswinkel festgelegt.

Die Diversity-Antenne besteht aus zwei identischen Antennen in geringem Abstand voneinander. Sie decken denselben Funkbereich ab und lösen das Problem dass bei Signalverzerrung durch Signalvervielfachung (z. B. durch Reflexionen) entsteht. Diversity-Antennen werden oft an APs eingesetzt.

Für die Überbrückung größerer Entfernungen bis zu 20 km empfehlen sich so genannte „aktive“ Antennen. Sie verfügen über einen integrierten Verstärker und haben die gleiche Gehäusegröße wie obige passive Antennen. Die aktive Verstärkung der Antenne bezieht sich allerdings nur auf den Empfangspfad, um keinen Verstoß gegen die Vorgaben der RegTP zu begehen.

2.2.2.2 Netzwerktopologie

Durch die verschiedenen Betriebsmodi der APs und der WLAN-Karten gibt es grundsätzlich 2 verschiedene Netzwerktopologien, den Ad-hoc-Modus und den Infrastruktur-Modus. In der folgenden Erläuterung dieser beiden Modi werden zum besseren Verständnis zusätzlich die wichtigsten Definitionen und Begriffe aus dem 802.11-Standard aufgeführt[4].

1. Ad-hoc-Modus

Im Ad-hoc-Modus kommunizieren zwei oder mehr Stationen (STA) miteinander, und zwar direkt, ohne AP. Diese Form wird meistens ohne vorherige Planung eingesetzt, um für eine kurze Zeit mehrere Stationen miteinander zu verbinden; sie wird auch „Peer-to-Peer-Modus“ genannt. Einzige Voraussetzung ist, dass jede Station über eine WLAN-Karte verfügt.

Es handelt sich hierbei somit um eine einzelne unabhängige Funkzelle ohne Anschluss an weitere Netzwerke. Aus diesem Grunde wird diese Funkzelle auch „Independent Basic Service Set“ (IBSS) genannt.

In der nachfolgenden Abbildung ist der Aufbau eines IBSS dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 : Independent Basic Service Set

2. Infrastruktur-Modus

Im Infrastruktur-Modus kommunizieren in der einfachsten Form eine oder mehrere WLAN-Stationen über einen Access-Point miteinander. Ein solches Netzwerk wird als „Basic Service Set“ (BSS) bezeichnet.

Werden zwei oder mehrere BSS in einem gemeinsamen Netzwerk betrieben und deren APs über ein verbindendes Netzwerk gekoppelt, spricht man von einem „Extended Service Set“ (ESS). Das zur Kopplung genutzte Netzwerk bezeichnet man als „Distribution System“ (DS). DS kann sowohl ein kabelgebundenes Netzwerk als auch ein weiteres WLAN sein.

Der AP steuert den Datenverkehr vom DS in die Funkzelle sowie zwischen den einzelnen Stationen.

In einem ESS ist es notwendig, dass die Stationen innerhalb eines BSS exakt lokalisiert werden und ein Wechsel der Stationen zwischen unterschiedlichen BSS unterstützt wird. Dieses spezielle Übergabeverfahren zwischen unterschiedlichen BSS nennt man „Roaming“. Bewegt sich eine Station von einem BSS in ein anderes, wird sie an der Zellengrenze von beiden APs gleichzeitig empfangen. Die APs müssen dann untereinander die Übergabeprozedur, das so genannte Handover-Verfahren, aushandeln und durchführen. Durch die Möglichkeit des Roaming kann eine mobile Station innerhalb eines ESS ohne Unterbrechung der Kommunikation zwischen mehreren BSS wechseln.

Die nachfolgende Abbildung verdeutlicht grafisch den Aufbau eines ESS.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 : Extended Service Set

2.2.2.3 Protokoll-Architektur

Die 802.11b-Protokoll-Architektur definiert das Physical Layer und den MAC-Teil des Data Link Layer. In der nachfolgenden Abbildung ist der Aufbau der 802.11b-Protokoll-Architektur dargestellt .

Abbildung 4 : 802.11b Protokoll-Architektur

2.2.2.3.1 Das Physical Layer

Das Physical Layer setzt sich aus 2 Sublayern zusammen[5]:

- Das Physical Layer Convergence Protocol Sublayer (PLCP) stellt eine für alle physikalischen Ebenen gleiche Schnittstelle zum MAC Sublayer zur Verfügung. Es empfängt die Datenrahmen des MAC Sublayer, die sich „MAC Protocol Data Units“ (MPDU) nennen, und reicht sie nach einer Umwandlung in das PLCP-Rahmenformat an das PMD-Sublayer weiter.
- Das Physical Medium Dependent Sublayer (PMD) übernimmt die physikalische Modulation und Kodierung der PLCP-Rahmen.

Beide Sublayer werden von der Funktion „PHY Layer Management“ gesteuert.

Während der Standard 802.11 noch physikalische Layer für die Übertragungstechnologien Frequency Hopping Spread Spectrum (FHSS), Direct Sequence Spread Spectrum (DSSS) und Infrarot (IR) spezifiziert, wird unter 802.11b nur noch DSSS genutzt.

Die Spread Spectrum Technologie wurde ursprünglich für militärische Anwendungen entwickelt, um das Stören und Abhören eines Signals zu verhindern. Heute wird diese Technologie wegen ihrer Störfestigkeit auch für kommerzielle Anwendungen eingesetzt.

Diese Technologie bietet zwei entscheidende Vorteile:

1. Es können mehrere Systeme in unmittelbarer Nähe unabhängig voneinander zur gleichen Zeit im selben Frequenzbereich arbeiten. Dabei werden die anderen Geräte so gut wie nicht beeinflusst.
2. Sie ist kaum anfällig gegen Störeinflüsse wie elektromagnetische Störungen, wie sie in industriellen Umgebungen auftreten.

Das grundlegende Merkmal dieser Technologie besteht darin, das schmalbandige Sendesignal über eine sehr viel größere Bandbreite als die zur Übertragung notwendige aufzuspreizen.

Beim DSSS-Verfahren werden die Nutzdaten, bevor sie gesendet werden, mit einem Schlüssel multipliziert, der sich „Pseudo Noise Code“ (PN) nennt. „Pseudo“ deshalb, weil dieser Code nicht wirklich „Noise“ (Lärm), sondern der Schlüssel zu den Daten ist. Nur ein Empfänger, der den gleichen Code benutzt, kann die Daten eindeutig rekonstruieren.

Durch die Spreizung wird die Intensität des Signals bis unter die Rauschgrenze reduziert und somit die Störungen für andere Systeme minimiert.

Die Sendefrequenz ist in den einzelnen Ländern unterschiedlich, in Deutschland liegt sie im ISM-Band von 2,4000 bis 2,4835 GHz. In der nachfolgenden Tabelle sind die weltweit genutzten Frequenzen und maximal erlaubten Sendeleistungen für 802.11b aufgeführt.

Tabelle 1 : Frequenzbereiche und Sendeleistungen nach 802.11

Abbildung in dieser Leseprobe nicht enthalten

Die Kanalbreite bei DSSS beträgt 22 MHz, in Deutschland gibt es 13 Kanäle, in den USA und Kanada nur 11. Die Mittenfrequenzen der einzelnen Kanäle haben einen Abstand von 5 MHz. Aus der Signalbreite von 22 MHz folgt, dass sich im ISM-Band lediglich drei DSSS-Kanäle mit einem Abstand von mindestens 5 Kanälen überlappungsfrei nebeneinander anordnen lassen. Die sind z. B. die Kanäle 1/6/11, 2/7/12 und 3/8/13. Die einzelne Frequenzen der 13 Kanäle sind in der folgenden Tabelle aufgeführt.

Tabelle 2 : DSSS-Kanäle im ISM-Band

Abbildung in dieser Leseprobe nicht enthalten

Bei DSSS gibt es vier verschiedene Datenübertragungsraten, welche abhängig von der Signalstärke und -qualität genutzt werden. Je größer die Entfernung ist und je mehr Störeinflüsse, Reflektionen und Hindernisse es gibt, umso geringer ist die Datenrate.

Man spricht von einer offenen Umgebung, wenn sich zwischen Sender und Empfänger keine oder nur gering dämpfende Materialien wie Holz oder Glas befinden. Befinden sich stärker dämpfende Materialien wie Mauersteine zwischen Sender und Empfänger, spricht man von einer halboffenen Umgebung. Als geschlossene Umgebung bezeichnet man normale Bürogebäude und Wohnhäuser, in denen sich Materialien wie Beton und Metall zwischen Sender und Empfänger befinden.

Die nachfolgende Tabelle zeigt, in welcher Umgebung welche Reichweiten mit welchen Datenübertragungsraten bei Einsatz einer omnidirektionalen Antenne standardmäßig zu erreichen sind[6].

Tabelle 3 : Datenübertragungsraten und Reichweiten

Abbildung in dieser Leseprobe nicht enthalten

Zu den Datenübertragungsraten ist bei allen 802.11-Standards grundlegend folgendes zu berücksichtigen:

Die jeweilige Datenübertragungsrate wird auf Sende- und Empfangsrichtung aufgeteilt, da es keinen Vollduplex-Modus gibt. Des weiteren handelt es sich bei einem 802.11-WLAN um ein Medium vom Typ „shared media“ (geteiltes Medium), d. h. alle Stationen teilen sich die Bandbreite, der Datenverkehr in einer Funkzelle lässt sich nicht separieren. Hinzu kommt, dass die Netto-Datenrate aufgrund verschiedener Einflüsse wie dem Protokolloverhead und den Latenzzeiten der Datenpakete oft weit unter 50 Prozent der Brutto-Datenrate liegt.

2.2.2.3.2 Das MAC-Layer

Das MAC-Layer regelt, wie und wann eine Station auf das WLAN zugreifen darf, um Daten zu übertragen.

Er weist eine enge Verwandtschaft mit der kabelgebundenen Variante 802.3 auf. Allerdings muss der drahtlose Standard auf die Besonderheiten der Übertragungsstrecke Rücksicht nehmen.

Da das gleichzeitige Senden und Empfangen von Signalen aufgrund der physikalischen Eigenschaften des Funkmediums nicht möglich ist, entfällt die Möglichkeit zum Erkennen von Kollisionen.

802.11b spezifiziert zwei Verfahren, die den Zugriff auf das Medium regeln[7]:

- Distributed Coordination Function (DCF)
- Point Coordination Function (PCF)

DCF

DCF beschreibt die wesentlichen Zugriffsmechanismen auf das WLAN und basiert auf dem Konzept „Carrier Sense Multiple Access with Collision Avoidance“ (CSMA/CA).

Der CSMA/CA-Algorithmus beruht darauf, dass eine Station, die den Wunsch hat etwas zu senden, erst überprüfen muss, ob das Medium von einer anderen Station bereits benutzt wird.

Eine zentrale Rolle bei CSMA/CA spielt die Zeitspanne zwischen zwei Datenpaketen, die als „Inter Frame Space“ (IFS) bezeichnet wird. Um die Belegung des Mediums zu ermitteln, hört eine sendewillige Station selbiges für die Dauer eines IFS ab. Findet während dieser Zeitspanne keine Kommunikation statt, ist das Medium mit hoher Wahrscheinlichkeit frei und die Station kann mit dem Senden beginnen.

Im Standard sind vier verschiedene IFS-Zeiten definiert, die drei verschiedene Prioritäten haben: Je kürzer die IFS-Dauer, je höher die Priorität.

1. „Distributed Coordination Function Interframe Space“ (DIFS) ist die Zeitspanne, innerhalb der das Medium unter Verwendung von DCF frei sein muss, bevor ein Sender mit der Datenübertragung beginnen darf. Dieser Zeitraum ist die normalerweise benutzte Zeitspanne zwischen zwei Datenpaketen.
2. „Point Coordination Function Interframe Space“ (PIFS) wird dementsprechend von PCF genutzt und ist kürzer als DIFS, um PCF eine bevorzugte Benutzung des Mediums zu ermöglichen.
3. „Short Interframe Space“ (SIFS) wird beim Senden von Kontrollpaketen wie z. B. einem Acknowledge-Paket (ACK) benutzt. SIFS ist die kürzeste aller Zeitspannen und garantiert somit die höchste Priorität.
4. „Extended Interframe Space“ (EIFS) wird nur dann benutzt, wenn bei der vorangegangenen Übertragung ein Fehler aufgetreten ist. Er ermöglicht dem Empfänger der fehlerhaften Übertragung, den Sender zu benachrichtigen und die Daten erneut anzufordern.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5 : Interframe Space-Zeiten

Eine sendende Station, die gerade ein Datenpaket über das Medium geschickt hat, muss für die Dauer eines vorgeschriebenen Zeitintervalls warten, bis sie den nächsten Datenpaket senden darf. Dieses Zeitintervall nennt sich „Contention Window“ (CW) und ist noch größer als EIFS. Nur so kann gewährleistet werden, dass auch andere Stationen zum Senden kommen.

Der Punkt, an dem eine Kollision am wahrscheinlichsten auftritt, ist dann, wenn von der „Carrier Sense“-Funktion angezeigt wird, dass das Medium frei ist. An diesem Punkt können nämlich mehrere Stationen, die auf ein freies Medium gewartet haben, gleichzeitig versuchen zu senden. Um hier Kollisionen zu vermeiden, wartet jeder Sender nach dem Ablauf der Zeitspanne DIFS einen zufälligen Zeitraum ab, bevor er mit dem Senden beginnt. Diesen Zeitraum bezeichnet man als „ Backoff Time“. Stellt eine Station während dieser Wartezeit eine erneute Belegung des Mediums fest, so wird der „Backoff Timer“ (nämlich der Rückwärts-Zähler) angehalten und behält seinen aktuellen Wert bei. Wenn das Medium nach der Datenübertragung wieder frei wird, erhält diese Station eine erhöhte Priorität, da sie nur noch ihre reduzierte Backoff-Zeit abwarten muss.

Die nachfolgende Abbildung veranschaulicht das Backoff-Verfahren. Station B hat die längste Backoff-Zeit und muss aus diesem Grunde warten, bis sowohl Station C als auch Station D nach Ablauf ihrer jeweiligen Backoff-Zeiten ihr Datenpaket gesendet haben. Erst hiernach kann Station B ihr Datenpaket senden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6 : Das Backoff-Verfahren

Zur gerade beschriebenen Kollisionsvermeidung ist noch eine Verfeinerung möglich, die hilft, die Auswirkungen von Kollisionen weiter zu vermindern. Bei dieser Verfeinerung werden vom Sender und Empfänger kurze Kontroll-Pakete ausgetauscht. Diese Pakete werden ihrem Sinn entsprechend „ Ready To Send“ - (RTS) und „ Clear To Send“ - (CTS) Frames genannt.

Die nachfolgende Abbildung zeigt das Zugriffsverfahren der DCF mit Nutzung des RTS/CTS-Verfahrens.

Station A sendet eine Anfrage, ob sie etwas senden darf, mit einem RTS-Paket. Station B antwortet mit einem CTS-Paket, worauf Station A das eigentliche Datenpaket sendet. Das richtige Eintreffen der Daten wird von Station B mit einem Acknowledgement-Paket (ACK) bestätigt.

Abbildung 7 : Das RTS/CTS-Verfahren

Durch die RTS/CTS-Pakete werden Reservierungsinformationen für das Medium weitergegeben. Der Austausch dieser RTS/CTS-Pakete geschieht mit einer höheren Priorität wie das Übertragen von reinen Datenpaketen.

Hierdurch wird auch das so genannte „Hidden Terminal“ -Problem gelöst, bei dem davon ausgegangen wird, dass sich nicht alle Stationen innerhalb einer Reichweitenzone befinden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8 : Das Hidden Terminal-Problem

Auch wenn gerade von Station A eine Datenübertragung nach Station B erfolgt, erkennt Station C trotzdem ein freies Medium und kann selbst Daten an Station B senden. Hierdurch entsteht bei Station B eine Kollision.

Beim Einsatz des RTS/CTS-Verfahrens wird Station C jedoch durch das CTS-Paket von Station B über die Datenübertragung informiert und wartet mit dem Versenden der eigenen Daten.

Die RTS- und CTS-Pakete beinhalten ein Feld, in dem die komplette Dauer der anstehenden Übertragung eingetragen ist. Alle Stationen, die im Empfangsbereich der Quellstation oder der Empfangsstation liegen, wissen daraufhin von der bevorstehenden Übertragung und deren Dauer.

Mit diesem Datenaustausch ist es möglich, alle Stationen zu informieren und so einen virtuellen „Carrier Sense“ aufzubauen.

Durch den Austausch von RTS/CTS-Paketen ist auch eine schnelle Kollisionserkennung möglich. Falls das CTS der Zielstation nicht empfangen wird, weil eine Kollision stattgefunden hat, kann eine Wiederholung des RTS-Paketes sehr viel schneller erfolgen, als wenn das komplette Datenpaket neu übertragen wird.

Das RTS/CTS-Verfahren wird nur genutzt, wenn das zu übertragende Datenpaket eine bestimmte Mindestlänge hat. Bei sehr kleinen Datenpaketen ist dieses Verfahren zu ineffektiv.

PCF

DCF unterstützt keine Bandbreitenreservierungs- bzw. Quality-of-Service-Dienste (QoS). Daher hat die IEEE 802.11 eine optionale Zugriffsmethode spezifiziert, die PCF heißt. PCF benötigt jedoch zur Funktion einen AP und ist deshalb nicht im Ad-hoc-Modus einsetzbar.

Beim Einsatz von PCF fungiert der AP als Koordinator und vergibt die Senderechte an einzelne Stationen. Er fragt der Reihe nach ab, ob eine Station etwas zu senden hat (Polling) und verwaltet dementsprechend das Senderecht.

PCF hat eine höhere Priorität als DCF. Dies wird dadurch realisiert, dass bei PCF die abzuwartende Zeitspanne zwischen den Datenpaketen (nämlich die Zeit PIFS) kürzer ist als die bei DCF genutzte Zeitspanne DIFS.

Der Access Point kann so die Kontrolle über das Medium übernehmen, da er schon übertragen darf, wenn andere Stationen, die die DCF-Methode verwenden, noch auf den Ablauf der DIFS-Zeitspanne warten müssen.

Die höhere Priorität, die der vom Access Point kontrollierte Datenverkehr hat, kann dazu benutzt werden, um eine Art „wettbewerbsfreie“ Periode durchzuführen. Diese wettbewerbsfreie Periode bezeichnet man als „Contention Free Period“ (CFP).

PCF wird in der Regel nicht als einzige Zugriffsmethode verwendet, sondern zusammen mit DCF eingesetzt.

Eine weitere wichtige Aufgabe des MAC-Layers ist neben der Definition der Zugriffsmethoden die Adressierung der einzelnen Stationen. Diese wird bei 802.11 genau wie bei den herkömmlichen kabelgebundenen LAN-Technologien anhand der bekannten 6 Byte langen hexadezimalen MAC-Adressen durchgeführt.

2.2.3 Sicherheitsaspekte

Die Grenzen, in denen Datenverkehr empfangen werden kann, sind bei 802.11b nicht fix wie in kabelgebundenen Netzen. Da die versendeten Daten aufgrund des verwendeten Übertragungsmediums nicht nur im Gebäude des Benutzers, sondern auch im Umfeld des Gebäudes empfangbar sind, können sie ohne große Probleme abgehört sowie Eindringungsversuche unternommen werden. Hierzu ist nicht mehr notwendig als ein Notebook oder Personal Digital Assistant (PDA) mit einer WLAN-Karte sowie einer geeigneten Software. Es gibt mittlerweile einige bekannte Programme für das Abhören von WLAN-Datenverkehr (z. B. Airsnort oder Netstumbler), die frei im Internet verfügbar und somit für jeden zugänglich und nutzbar sind.

Es müssen daher Sicherheitsmaßnahmen gegen unbefugtes Abhören sowie unbefugtes Eindringen ergriffen werden.

Um dieses Defizit auszugleichen und ein kabelgebundenen Netzen vergleichbares Sicherheitsniveau zu schaffen, wurden verschiedene Mechanismen eingeführt[8]:

- Zugangskontrolle anhand des Netzwerknamens, der so genannten „Service Set ID“ (SSID)
- Zugangskontrolle auf MAC-Adressenebene
- Wired Equivalent Privacy (WEP)
- Virtual Private Network (VPN)
- IEEE 802.11x und 802.11i

Diese Mechanismen werden in den nachfolgenden Unterkapiteln erläutert und bewertet.

Trotz dieser Mechanismen sind WLANs grundlegend als unsicher zu behandeln, genauso wie ein Internetzugang.

Um das kabelgebundene lokale Netz gegen Angriffe über das WLAN zu schützen, sollte man zwischen beide generell eine Firewall schalten. So sind die Ressourcen im kabelgebundenen Netz selbst nach einem erfolgreichen Eindringen in das WLAN weiterhin geschützt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9 : Firewalleinsatz zum Schutz des LANs

Neben den Angriffsversuchen von außen spielt noch ein weiterer Punkt eine wichtige Rolle: Unbekannte Access-Points.

Oft kommt es vor, das in Unternehmen von Angestellten eigene APs aufgestellt werden, um die Vorteile der WLAN-Technologie zu nutzen. Dies geschieht meistens ohne das Wissen der IT-Abteilung. Da auf diesen APs aus Unwissenheit meist alle Sicherheitsmöglichkeiten abgeschaltet sind, können gefährliche Löcher in der Netzwerksicherheit entstehen. Einen solchen unbekannten und unerlaubten AP nennt man auch „Rogue AP“ (Schurken-AP). Der Einsatz eines Rogue AP lässt sich mit Hilfe geeigneter WLAN-Analyse-Software erkennen.

Um das Unternehmensnetz wirksam vor diesen Rogue APs zu schützen, ist also eine regelmäßige WLAN-Netzwerkanalyse notwendig.

2.2.3.1 Zugangskontrolle anhand der Service Set ID

Bevor eine Station mit anderen Stationen in einem bestimmten BSS kommunizieren kann, muss sie sich beim AP anmelden. Hierzu benötigt sie die SSID dieses BSS.

Diese SSID wird vom Netzwerkadministrator vergeben und auf dem AP und den Stationen eingetragen. Die SSID funktioniert wie ein einfaches Passwort.

Ist auf einer Station keine SSID eingetragen, kann sie eine Anfrage ins Netzwerk stellen, welche BSS verfügbar sind. Hierauf antworten die AP in Reichweite unter Angabe ihrer SSID, sodass die Station sich hiernach unter Angabe einer dieser SSIDs an einem der APs anmelden kann.

Dieser Mechanismus des automatischen Rückmeldens der eigenen SSID eines AP an eine anfragende Station kann bei APs verschiedener Hersteller abgeschaltet werden, so dass eine Station sich nur erfolgreich am AP anmelden kann, wenn ihr die SSID bekannt ist.

Diese Art der Zugangskontrolle lässt sich jedoch leicht überwinden, da die SSID auch in anderen Datenpaketen wie z. B. der Anmeldung einer anderen Station übertragen wird. Durch das Abhören des Datenverkehrs kann so die SSID herausgefunden und für die Anmeldung am AP genutzt werden.

Die Zugangskontrolle anhand der SSID ist also kein wirkliches Hindernis gegen das Eindringen in ein Netzwerk.

[...]


[1] S. [RegTP2002]

[2] S. [IEEE1999]

[3] S. [Huber2002]

[4] S. [Gast2002], [Hein2003]

[5] S. [Gast2002], [Hein2003]

[6] S. [Nett2001]

[7] S. [Gast2002], [Hein2003]

[8] Vgl. [Gast2002], [Hein2003],[Kauffels2002]

Ende der Leseprobe aus 124 Seiten

Details

Titel
Konzeption, Evaluierung und exemplarische Implementierung von WLAN-Lösungen
Hochschule
Technische Hochschule Köln, ehem. Fachhochschule Köln
Note
1,0
Autor
Jahr
2003
Seiten
124
Katalognummer
V90489
ISBN (eBook)
9783638047746
ISBN (Buch)
9783640171538
Dateigröße
3407 KB
Sprache
Deutsch
Schlagworte
Konzeption, Evaluierung, Implementierung, WLAN-Lösungen
Arbeit zitieren
Thorsten Steffen (Autor:in), 2003, Konzeption, Evaluierung und exemplarische Implementierung von WLAN-Lösungen, München, GRIN Verlag, https://www.grin.com/document/90489

Kommentare

  • Noch keine Kommentare.
Blick ins Buch
Titel: Konzeption, Evaluierung und exemplarische Implementierung von WLAN-Lösungen



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden