drahtlose Netzwerke

Die Übertragung von Daten zwischen den Knoten des Netzwerks erfolgt nicht über einen physikalischen Träger, sondern auf der Grundlage von Hertzschen Wellen (Funk-, Infrarotübertragung). Dieser Netzwerktyp ermöglicht die Vernetzung verschiedener dezentraler Geräte innerhalb eines Radius, der abhängig von den verwendeten Frequenzen und Leistungen von wenigen Metern bis hin zu mehreren Dutzend Metern reichen kann. Die wachsende Beliebtheit von drahtlosen Netzwerken ist in hohem Maß auf ihre einfache Errichtung zurückzuführen:

Wie auch bei den festverdrahteten Netzwerken wird zwischen verschiedenen Typen von drahtlosen Netzwerken unterschieden. Die Unterscheidung beruht auf dem gewünschten Abdeckungsbereich und auf der Funktion des Netzwerks. Es wurden verschiedene Technologien entwickelt, um den Anforderungen jeder dieser Kategorien zu entsprechen.

In diese Kategorie fallen die drahtlosen Netzwerke mit geringer Reichweite (maximal einige Dutzend Meter). Der Hauptzweck dieses Netzwerktyps ist die Verbindung von Peripherigeräten mit einer verkabelten Zentraleinheit oder die Vernetzung von zwei oder drei nicht weit voneinander entfernten Geräten. Die verwendeten Technologien lauten: Bluetooth, ZigBee, WiFi und IrDA.

Diese Kategorie umfasst die drahtlosen Netzwerke, die einen Abdeckungsbereich bieten, der dem eines lokalen Unternehmensnetzwerk entspricht, d.h. etwa 100 Meter. Der Zweck dieses Netzwerks ist die Vernetzung verschiedener Geräte, die sich ähnlich wie bei festverdrahteten Netzwerken des Typs LAN (Local Area Network) innerhalb eines beschränkten geografischen Bereichs befinden. Die verwendeten Technologien lauten: WiFi und HiperLan2.

Diese Kategorie beinhaltet Netzwerke, die eine Abdeckung bieten, die einem Campus oder einem Stadtviertel entspricht. Der Zweck dieses Netzwerks ist die Vernetzung verschiedener festverdrahteter Netzwerke oder drahtloser Netzwerke, die sich innerhalb ein und desselben Campus oder Stadtviertels befinden. Die verwendete Technologie ist die der drahtlosen Anschlussleitung.

In dieser Familie sind Netzwerke zusammengefasst, die sich innerhalb eines mehrere Kilometer umfassenden Abdeckungsbereichs befinden. Zur Bezeichnung dieser Kategorie wird gelegentlich auch der Begriff "zellulares Mobilfunknetz" verwendet. Die wichtigsten Technologien lauten: GSM, GPRS und UMTS.

Die Nutzung der beiden letzten Kategorien unterliegt strengen Vorschriften, und diese Dienste werden von speziellen Unternehmen angeboten. Eine Behandlung dieses Themas würde den Rahmen dieses Dokuments sprengen.

Für die Errichtung eines drahtlosen Netzwerks sind Grundkenntnisse über die Ausbreitung von Hertzschen Wellen erforderlich. (Die Beachtung dieser Regeln ermöglicht eine optimale Aufstellung der Sender.)

Hertzsche Wellen (Funk, Infrarot etc.) breiten sich geradlinig aus. Bei einer Kollision mit einem Hindernis wird das Signal gedämpft, breitet sich jedoch weiter aus, und ein Teil des Signals wird reflektiert.

Einige Daten Geringe Dämpfung: Holz, Kunststoff, nicht getöntes Glas. Mittlere Dämpfung: getöntes Glas, Wasser, Personen, nicht bewehrte Mauern. Starke Dämpfung: Fliesen, Stahlbeton. Sehr starke Dämpfung: Metall.

Eine von Ericsson im Jahr 1994 erfundene WPAN-Technologie, die einen Datendurchsatz von etwa 1 Mbps bei einer Abdeckung von ca. 30 Metern bietet. Da diese Technologie nur wenig Strom verbraucht, wird sie logischerweise in kleinen Peripheriegeräten wie beispielsweise in GSM-Geräten, in der Maus, in der Tastatur etc. eingesetzt.

WPAN-Technologie, die hauptsächlich in Haushaltsgeräten oder in Spielwaren verwendet wird.

WPAN-Technologie, die einen eingeschränkten Abdeckungsbereich von ein paar Metern und einen Datendurchsatz von einigen Mbps bietet. Diese Technologie, die übrigens äußerst anfällig gegenüber Störungen durch Lichteinflüsse ist, kommt in den meisten Fernbedienungen zum Einsatz.

Die WLAN-Technologie HiperLAN2 ist eine europäische Norm des ETSI (European Telecommunications Standards Institute), die einen Datendurchsatz von 54 Mbps bei einem Abdeckungsbereich von etwa 100 Metern bietet. Diese Technologie wurde für den Einsatz in LANs (Local Area Network) entwickelt.

Die WLAN-Technologie Wi-Fi (Wireless Fidelity) ist eine Norm der WECA (Wireless Ethernet Compatibility Alliance), die einen Datendurchsatz von bis zu 54 Mbps bei einem Abdeckungsbereich von einigen Hundert Metern bietet.

Die Geräte in einem Wi-Fi-Netz kommunizieren untereinander mittels der von ihren Antennen gesendeten Signale. Jedes Gerät muss also mit einer solchen Antenne ausgestattet sein, die als Netzwerkkarte dient. Die Kommunikation kann in verschiedenen Modi erfolgen und bedarf erforderlichenfalls eines zusätzlichen Geräts, das als "Zugangspunkt" (Access Point, AP) bezeichnet wird. Kurz gesagt, die Funktionsweise des Wi-Fi entspricht in vielerlei Hinsicht der des Ethernet (Festnetz-Protokoll).

Ein Wi-Fi-Netz besteht aus zwei EDV-Geräten.

Drahtlose Zugangskarte:
Eine der Norm 802.11 entsprechende Karte, die entweder in bestimmten mobilen Geräten integriert ist (selbst in den Prozessoren: Centrino), oder in PCI-, PCMCIA- oder USB-Form eingesteckt wird.

Zugangspunkt:
Diese auch als "Access Point" bezeichneten Geräte ermöglichen den Zugriff auf das Netzwerk und sind daher vergleichbar mit einem Konzentrator (Hub) im drahtgebundenen Netz. Die Zugangspunkte werden im Allgemeinen untereinander verkabelt, um ein Zugriffsnetz zu errichten.

Da diese Zugangspunkte mit Strom versorgt werden müssen, könnte es sich als vorteilhaft erweisen, ein verkabeltes Netzwerk zu errichten, das eine Übertragung des Kraftstroms (220 V) über das Datenkabel bietet (POE, Power over Ethernet).

Das Wi-Fi kann in zwei Modi betrieben werden:

Ad-hoc-Modus:
Die Clients werden ohne Zwischenschaltung eines Zugangspunkts direkt miteinander vernetzt. Dieser Modus wird nur selten genutzt.

Infrastrukturmodus:
In diesem Modus werden die Clients mit Zugangspunkten verbunden, die die verfügbare Bandbreite gemeinsam nutzen. Dieser Modus ist vergleichbar mit Switched Ethernet , das über eine Sterntopologie funktioniert.

Jedes Gerät (in der "drahtlosen" Welt auch als Station (STA) bezeichnet) stellt eine Verbindung zum Zugangspunkt her. Die von diesem Zugangspunkt und den abgedeckten Stationen gebildete Domain wird als "Basic Service Set - BSS" bezeichnet. Dieses wird durch eine aus 6 Bytes (d.h. 48 Bits) bestehende "BSS ID" identifiziert, die normalerweise der MAC-Adresse des Zugangspunktes entspricht.

Es ist natürlich möglich, ein Netzwerk zu errichten, das mehrere "BSS" untereinander mittels Wellen oder mittels eines verkabelten Netzwerks verbindet. In diesem Fall spricht man von einem "Extented Service Set - ESS", das durch eine aus max. 32 ASCII-Zeichen bestehende "ESS ID" oder "SS-ID" identifiziert wird.

Wenn eine Station ein "BSS" an eine andere Station weiterleitet (d.h. von einer Domain zur nächsten), ermöglicht das Wi-Fi-Protokoll die Verwaltung der Verlagerung innerhalb eines "ESS" ohne Unterbrechung des Signals. Dieser Vorgang wird als "Roaming" bezeichnet (die Funktionsweise ist identisch mit der des Roaming im GSM-Netz).

Eine neue Station sendet vor jeglicher Verbindungsaufnahme mit dem Wi-Fi-Netz einen Anfrage welche die ESS ID enthält, für die die Zugangskarte konfiguriert ist. Für die drahtlosen Zugangskarten ist jedoch standardmäßig keine ESS ID konfiguriert. In diesem Fall wartet der Client darauf, dass ein Zugangspunkt seine BSS ID oder seine ESS ID bekannt gibt. Diese werden alle 0,1 Sekunde gesendet.

Wi-Fi ist eine Kombination verschiedener IEEE-Normen, die sich hauptsächlich abhängig von der Bandbreite und der Sendeentfernung unterscheiden. Es ist wichtig, diese Normen zu kennen, um die Interoperabilität der Elemente des Wi-Fi-Netzwerks zu gewährleisten.

(*) Die benachbarten, von den Zugangspunkten verwendeten Kanäle überdecken sich teilweise, wodurch sie unbrauchbar werden. Folglich kann nur eine gewisse Anzahl "nicht überdeckender" Kanäle verwendet werden.i (1,6,11 - 2,8,13 - 1,7,13 - ... für 802.11b beispielsweise)

Die Wellen haben die Eigenschaft, sich in alle Richtungen (einschließlich vertikal) auszubreiten, und zwar auf einer breiten Fläche. Es ist nahezu unmöglich, die Ausbreitung dieser Wellen einzuschränken, ohne den Dienst außer Betrieb zu setzen. Folglich öffnet diese Technologie selbst außerhalb von Gebäuden dem Abhören (Sniffing) Tür und Tor.

Da die Funkwellen (auf denen Wi-Fi basiert) sehr anfällig gegenüber Störungen sind, kann bereits die einfache Nutzung einer benachbarten Frequenz zur Unterbrechung der Verbindung führen. Bestimmte Geräte wie etwa Mikrowellenherde gehören zu den "natürlichen Feinden" eines Funknetzes. Eine auf diesem Störprinzip basierende Attacke kann folglich zu einer Destabilisierung des Netzwerks und letztendlich zu einer Unterbrechung der Verbindung führen. Die den Normen 802.11x zu Grunde liegende Technologie sowie deren Speichermechanismen an den Zugangspunkten sind relativ simpel. Daher ist es für einen Piraten ziemlich einfach, Daten zu senden, deren Zweck die Unterbrechung der Verbindungen zwischen den Stationen ist, was wiederum zur Unterbrechung des Dienstes (Denial of Service, DoS) führt.

Das Abfangen von Daten wird begünstigt, da dieser Netzwerktyp offen für alle ist und die Ausbreitung des Signals nur schwer berechnet werden kann. Für Unternehmen kann Datenklau zu einer strategischen Frage werden und finanzielle Schäden zur Folge haben.

Da das "drahtlose" Netzwerk fast immer mit der LAN-Technologie verbunden ist, bietet es einen einfachen Zugang für alle Hacker. Außerdem macht diese Technologie eine Identifikation des Verursachers nahezu unmöglich.

Diese aus den Vereinigten Staaten stammende Vorgehensweise besteht darin, sich in einem Fahrzeug mit einem Laptop bzw. einem PDA, der mit einer 802.11-Netzwerkkarte (drahtlose Zugangskarte) ausgestattet ist, auf die Suche nach "offenen" (zugänglichen und ungeschützten) drahtlosen Netzwerken zu begeben. Es gibt spezielle Softwareprogramme, die das Auffinden und die geografische Lokalisierung von Wi-Fi-Netzen unter Zuhilfenahme des GPS ermöglichen. Im Internet gibt es zahlreiche Seiten, die diese "offenen" Netzwerke auflisten. Von den Hackern wurde sogar eine eigene Symbolsprache entwickelt. Wie der englische Name "War-chalking" schon sagt, werden spezielle Symbole mittels Kreide auf den Bürgersteigen aufgemalt, um auf "offene" Netzwerke hinzuweisen.

Zu den grundlegenden und einfach zu realisierenden Schutzmaßnahmen gehören:

Das Grundprinzip besteht in der richtigen geografischen Ausrichtung der Klemmen (Zugangspunkte) sowie in der entsprechenden Konfiguration ihrer Leistung, so dass die Ausbreitung des Signals in öffentlichen Bereichen eingeschränkt ist. Die Kontrolle des Netzwerks in seiner Gesamtheit ermöglicht ebenfalls das Aufspüren von Hackern.

Da das Wi-Fi-Netz nur schwer zu überwachen ist, empfehlen wir, diesen Netzwerktyp ebenso wie das Internet (dem man nicht vertrauen sollte) als "untrusted" zu betrachten und es daher hinter die standardmäßige Schutzbarriere Ihres Netzwerks zu verlagern. Konkret heißt dies, dass das drahtlose Netz auf der gleichen Ebene wie Ihr Internetzugang angeschlossen werden sollte, d.h. außerhalb Ihres LAN, wodurch alle Daten die Firewall und die Virenschutzlösung passieren müssen.

Die Standardkonfigurationen der Geräte sind im Allgemeinen kaum geschützt, wodurch Hacker über einen leichten Zugriff verfügen. Nachfolgend sind einige Hinweise bezüglich einer korrekten Konfiguration aufgeführt:

	Ändern Sie das Administrator-Passwort der Zugangspunkte.
	Ändern Sie den Netzwerknamen (ESS ID).
	Deaktivieren Sie die automatische Verbreitung ("Broadcast") der ESS ID im Netzwerk.
	Vermeiden Sie die Übertragung des Verwaltungs-Datenverkehrs (SNMP) im öffentlichen Modus.

Die mit der Fahrgestellnummer ihres Fahrzeugs vergleichbare MAC-Adresse der Netzwerkkarten (für drahtgebundene oder drahtlose Netze) ist ein guter Schlüssel zur Filterung, durch die der Zugang zum Netzwerk auf bekannte Geräte beschränkt wird. Das Prinzip besteht darin, nur die Verbindung zu Geräten zuzulassen, deren MAC-Adressen bekannt sind. Dies kann auf der Ebene der Zugangspunkte auf der Grundlage der Zugangskontrollliste (ACL, acces control list) realisiert werden.

Die WEP (Wired Equivalent Privacy), eine standardmäßige Implementierung in der Wi-Fi-Norm, ist eine symmetrische Datenverschlüsselungstechnologie, die es im Prinzip ermöglicht, über eine neue Sicherheitsebene zu verfügen, die einem drahtgebundenen Netzwerk entspricht. Dieser Algorithmus ist jedoch nicht gerade sehr leistungsfähig, und es gibt im Internet zahlreiche Softwareprogramme, die in der Lage sind, den Verschlüsselungscode zu knacken. Diese Lösung bietet daher keine ausreichende Geheimhaltung.

Der WPA (Wi-Fi Protected Access) bietet über die obligatorische Kombination mit einem Benutzer-Authentifizierungsverfahren wie beispielsweise RADIUS eine höhere Sicherheitsstufe. Die Einrichtung dieser Technologie ist schwieriger, bietet aber eine effiziente Sicherheit.