WLAN (wireless LAN Architektur)

Drahtlose Netze funktionieren ähnlich zu "verdrahteten Netzen" - sie müssen auch Signale in das richtige Format für das Medium wandeln oder weiterleiten, hier ist das Medium eben Luft. Die Signale werden analog im 2.4 Gigahertzband (2.4 GHz, Standard 802.11b) gesendet: z.B. ruft ein Benutzer seine e-Mails ab, wird die Anfrage digital an die WLAN-Karte geschickt, die WLAN-Karte wandelt das Digitalsignal nun beim Versenden in analoge Funksignale (Modulation). Die Ziel-WLAN Karte demoduliert wiederum die empfangenen Daten und gibt sie digital weiter.

senden: ..........Digitalsignal > Modulation (D/A-Wandler) > Amplifikation (Signalverstärkung) > senden per Antenne
empfangen:....empfangen per Antenne > Amplifikation (Signalverstärkung) > Modulation > Digitalsignal

2.4GHz = 2,400,000,000 Hz pro Sekunde

Die meisten drahtlosen Netze basieren auch auf dem CSMA Ethernet Standard, d.h. Kollisionen können genauso in der Luft erfolgen.

Einflüsse wie Regen, Schnee, Smog können die Übertragungsleistung jedoch bis zu 50% verringern. Folglich sind eine Fehlererkennung und Korrektur äußerst wichtig.
Anwendung findet z.B. das ARQ-Verfahren (automatic repeat request): die empfangende Netzwerkkarte prüft die eintreffenden Daten, stellt sie Fehler fest, fordert sie über einen Rückkanal (feedback path) die fehlerhaften Daten erneut an. Nach 802.11 Standard wird eine Bestätigung der korrekt eingetroffenen Daten gesendet, fehlt diese ist dies das Zeichen für den Sender die Daten erneut zu senden (stop-and-wait-ARQ, so genannt, da der Sender auf die Bestätigung wartet).

Drahtlose Netzwerke umfassen Basisstationen (Base Stations, Access Points, AP) und Gegenstellen/Einheiten (Handys, Drucker, PDAs, etc) mit Sende-/Empfangsteil für drahtlosen Betrieb und auf drahtlose Kommunikation ausgelegte Software (zB Treiber).

Basistationen wie ein Access-Point haben immer einen verdrahteten Anteil (network interface card, NIC) und einen Sender/Empfänger (wireless network interface card - wireless NIC). Sendet ein Benutzer des drahtlosen Netzes Daten an einen anderen Benutzer des drahtlosen Netzes, fungiert der Access-Point sozusagen als Repeater. Ist das Ziel nicht auf der wireless Seite, leitet der Access-Point die Anfrage ins drahtgebundene Netz.

802.11g WLAN Router (802.11b kompatiel) 54Mbit, 2.4GHz Band, OFDM-Modulation

Unterschieden wird zwischen point-to-point und point-to-multipoint Verbindungen. Bei point-to-point Übertragung handelt es sich meist um Übertragungen über längere Distanzen (diese wird von Wireless Servie Providers angeboten).

Von point-to-multipoint Vernetzung wird gesprochen, wenn eine Basistation mit mehreren drahtlosen Komponenten oder Basistationen kommuniziert. Ein Access-Point (AP) in einem WLAN besitzt eben diese Funktionalität der point-to-multipoint Verbindung.

So genannte Access Controller übernehmen den Schutz sensibler Daten. Sie sind meist in verkabelten Zustand an diese Ressourcen angebunden und regeln den Zugang (z.B. über User-Authentifizierung oder z.B. über Einschränkunng auf bestimmte Dienste wie e-Mail oder WWW).

Aufgaben von Access Controllers

• User-Authentifizierung
• Verschlüsselung
• Bandbreitenmanagement (z.B. als Gäste authentifizierte User surfen mit ISDN Geschwindigkeit, andere mit 2mbit)

Je nach Typus des "WLANs" sind die Geräte zueinander inkompatibel. Geräte, die z.B. für den IEEE 802.11b Standard produziert wurden, finden nur in einem solchen (kompatiblen) WLAN den Anschluss.

Bluetooth
Spezifikation (seit 1988, Bluetooth Special Interest Group)
Kurzwellenfrequenznetzwerk
ideal für kleine Geräte auf kurzen Distanzen mit wenig Leistungsaufnahme.
Spezifikationen: Übertragung: bis 1mbit im 2.4Ghz Frequenzband, Reichweite: ca. 10m (high-power modelle bis 100m), Verschlüsselung ist spezifiziert, Autoconnect Funktion, d.h. die Module können sich automatisch erkennen und verbinden. Standard 802.15 basiert auf Bluetooth. Wird WLAN nach 802.11 und Bluetooth gleichzeitig verwendet, kann es zu Signalinterferenzen und damit Leistungseinbußen kommen, da beide im 2.4Ghz Frequenzband arbeiten.

IrDA (Infrared Data Association)
arbeitet mit Infrarotlicht - dadurch ist zwischen den Geräten eine direkte Sichtverbindung nötig. Übertragung bis zu 4mbit, Reichweite 20cm bis 1m.

IrDA Spezifikationen

Dokumente und Überblick über die Standards ieee.org

• Frequenzmodulation, FM (frequency shift keying, FSK)
  Durch eine Erhöhung bzw. Absenkung der Frequenz wird digital 0 respektive 1 ausgedrückt.
  
• Phasenmodulation (phase shift keying, PSK)
  Durch positive oder negative Phasenverschiebung in Bezug auf ein Referenzsignal wird 0 oder 1 ermittelt
  
• Orthogonales Frequenzmultiplexverfahren (Europäisches HiperLAN/2) (Orthogonal Frequency Division Multiplexing, OFDM)
  Signale werden gleichzeitig in unterschiedlichen Frequenzbändern eingebettet.

Sind die Basisstationen unzureichend konfiguriert (oft werden die default Einstellungen nicht verändert), bietet sich ein breites Feld von Angriffsmöglichkeiten.

Beispiel möglicher Angriffe:

• Unautorisierter Zugang
• Denial of Service Attacken
• Traffic Monitoring (z.B. Abfangen unverschlüsselter Datenpakete)

Verschlüsselung schafft teilweise Abhilfe. Dabei werden die Informationen (die Bits jedes übertragenen Datenpaktes) verschlüsselt und können nur mit dem geeigneten Geheimschlüssel wieder entschlüsselt werden.

WEP Verschlüsselung RC4, Wired Equivalent Privacy (z.B. in 802.11, kein Muss!)
Nur zwischen WLAN-Komponenten findet die verschlüsselte Übertragung statt; wird das Paket von einem WLAN-Router z.B. in ein drahtgebundenes Netz vermittelt, wird dies unverschlüsselt gemacht, WEP greift also nur im Medium Luft. Die symmetrische Verschlüsselung, d.h. der gleiche Key, der verschlüsselt, wird auch zur Entschlüsselung verwendet, hat zur Folge, dass dieser Geheimschlüssel auf jeder Station eingetragen sein muss (shared secret key). Da dieser Schlüssel auch verbreitet werden muss und somit abgehört werden kann, sollte er möglichst oft geändert werden. 802.11 schreibt allerdings keine Verbreitung eines geänderten Keys vor.

WEP2 (802.11i Standard)
Durch das TKIP-Protokoll (Temporal Key Integrity Protocol) wird ca. alle 10.000 Datenpakete der Key automatisch geändert. Meist lassen sich WEP-Geräte durch Firmwareupdates für TKIP kompatibel machen.TKIP ist abwärtskompatibel zu WEP (nur die Sicherheit ist eben dann wiederum weitaus geringer).
Zusätzlich definiert der 802.11i Standard auch die starke AES (Advanced Encryption Standard ) Verschlüsselung - diese benötigt aber mehr CPU-Leistung als die meisten Access-Points heutzutage besitzen.

WPA (Wi-Fi Protocol Access)
Ist ein Zusatz zu WEP. Es werden verschiedene verschlüsselte Keys verwendet, die sich auch periodisch ändern. WPA 1.0entspricht im Moment 802.11i mit TKIP Protokoll. WPA2.0 erfüllt alle Anforderungen laut 802.11i Standard.

Authentifizierung gegenüber Access-Points

Standardmäßig sendet der Access-Point Pakete, die den Service Set Identifier (SSID) enthalten. Der Accesspoint lässt nur Clients zu, deren SSID mit dem des Access-Points übereinstimmen.

Eine stärkere Authentifizierung ist die shared key authentication (SKA, challange/respone), die in 5 Schritten erfolgt:

1. Der Client schickt einen Request an den Accesspoint, dass er sich authentifizieren möchte
2. Der AP antwortet mit "challenge text"
3. Der Client verschlüsselt den challenge text nach WEP Standard und sendet ihn zurück
4. Der AP entschlüsselt diesen und vergleicht ihn mit dem gesendeten
5. Stimmen die beiden Texte überein, gewährt der AP dem Client Zugang

MAC-Filter

Aufgrund der MAC-Adresse (medium access control ) werden die eintreffenden Datenpakete bearbeitet oder verworfen. Relativ aufwendig, da dem AP alle MAC-Adressen, die Zugang erhalten sollen, bekannt sein müssen.

Public-/Private Key Verfahren im WLAN

Die Stationen identifizieren sich über eine mit dem privaten Key veschlüsselte Nachricht an den Access Point. Dieser kann die Richtigkeit mit dem Public Key des Clients entschlüsseln und auf Richtigkeit prüfen (in 802.1x Standard vorhanden).