An Flughäfen, Coffeeshops und Universitäten, aber auch in Privathaushalten sprießen Funknetze nach IEEE 802.11b inzwischen wie Pilze aus dem Boden. WLANs sind in - sei es, um überall im Haus ins Internet zu kommen oder die Sonnenstrahlen trotz Arbeit im Garten zu genießen. Hier finden Sie die wichtigsten Hinweise, damit es auch mit dem Nachbarn klappt.
Ein Funknetz kann viele Wünsche erfüllen. Es erspart das Strippenziehen. Bei geringen Entfernungen erlaubt es, lokale Netze über eine Funkbrücke zu koppeln: Ohne weitere Maßnahmen überbrückt die Technik in Gebäuden Entfernungen von 20 Metern und mehr. Mit Aufwand, sprich speziellen Antennen (ab 150 Mark) lässt sich die Reichweite bei freier Sicht auf einige hundert Meter, mit Richtantennen sogar auf zwei Kilometer erhöhen; mehr dazu auf Seite 134 in c't 18/2001.
Angesichts der Standardisierung gemäß IEEE sollte man meinen, sei es kein Problem, ein Funknetz aufzubauen. Dennoch kann, wer allzu gedankenlos kauft, schnell reinfallen: Um die ‘Interoperabilität’ der Funknetzwerkkarten der verschiedenen Hersteller ist es nur im Idealfall gut bestellt: Weicht man von den Pfaden ab, die von den Herstellern vorgesehen sind, kann sich ein vorschneller Kauf als Fehlinvestition erweisen. Und: Wer gezielt kauft, kann erhebliche Summen sparen ...
Ein Funknetz lässt sich wahlweise im so genannten Ad-hoc-Modus oder einem ‘Infrastructure Mode’ betreiben. Im Ad-hoc-Modus kommunizieren die Stationen direkt miteinander. Im Grunde genommen handelt es sich um Punkt-zu-Punkt-Verbindungen, da aber jeder Rechner mehrere dieser Verbindungen unterhalten kann, spielt das praktisch keine Rolle. Mit einer Ausnahme: Es ist möglich, dass weit voneinander entfernte Stationen einander nicht ‘sehen’ können, beide sehr wohl aber eine dritte Station dazwischen. Der Ad-hoc-Modus ist letztlich am besten geeignet, wenn man gar kein großes Funknetz aufbauen will, sondern nur zwei Netze oder Systeme verbinden will.
Im Infrastructure Mode hingegen vermittelt eine spezielle Basisstation, Access Point genannt, zwischen den Clients. Er dient zum einen als Bridge zum drahtgebundenen Netz, vermittelt also Pakete zwischen den Netzen hin und her. Zum anderen arbeitet ein Access Point als Repeater, das heißt er empfängt die Pakete der Stationen und leitet sie an andere weiter - dabei sinkt natürlich der Durchsatz. Letztlich kann ein Access Point die Reichweite verdoppeln, wenn er zentral aufgestellt ist: Er lässt zwei Stationen miteinander kommunizieren, die so weit voneinander entfernt stehen, dass sie sich im Ad-hoc-Modus nicht ‘sehen’ könnten.
|
Ein Access Point kann, zentral aufgestellt, zwei weit voneinander entfernte Stationen verbinden. |
Zur Inbetriebnahme eines Ad-hoc-Netzes muss man auf allen Clients einen einheitlichen Namen für das Funknetz einstellen. Bei einem Netz mit Access Point dagegen reicht es, dort den gewünschten Namen einzutragen; bei der Einstellung ‘any’ auf den Clients erhalten diese automatisch den Namen übermittelt. Unter Umständen kann es im Ad-hoc-Netz Sinn machen, den Kanal vorzugeben, auf dem die Stationen funken sollen; im Normalfall finden sie aber selbstständig einen gemeinsamen Kanal. Eine gute Hilfestellung gewährt die Software, die viele Hersteller ihren Funkkarten beilegen. Sie liefert unter anderem Daten, wie gut der Empfang ist - ein erstes Indiz dafür, dass die Karten miteinander sprechen.
Access Points gibt es inzwischen in verschiedenen Ausprägungen: in der klassischen Form mit einem Ethernet-Anschluss oder als so genanntes ‘Home Residential Gateway’, das die Funktionen eines SOHO-Routers integriert, also mit Anschluss an ISDN oder DSL, manche sogar mit integriertem Hub, um auch kabelgebundene Rechner anzubinden. Im Vergleich zu einer Funkkarte kostet ein Access Point allerdings etliche hundert Mark mehr und stellt in kleinen drahtgebundenen Netzen, in denen ohnehin eine Maschine als Gateway zum Internet dient oder schon ein Router für den gemeinsamen Internet-Zugriff existiert, eine durchaus vermeidbare Investition dar.
Eine erfreuliche Ausnahme ist der Macintosh: Apple liefert mit seinen Funknetzkarten (AirPort) eine Software, die jeden AirPort-tauglichen Mac in einen echten Access Point verwandelt - während manch anderer Hersteller solche Software für den PC zu verkaufen gedachte, kostet sie bei Apple nichts. Die Apple-Software kann sogar drahtgebundenes LAN, Funknetz und DSL-Anschluss inklusive Intel-PCs versorgen. [#literatur [1]] .
In der Praxis spricht mehr als nur Geiz dafür, auf einen Access Point zu verzichten und einem bestehenden Internet-Gateway noch die Last aufzubürden, die Funkstationen zu bedienen: Nach heutigem Erkenntnisstand sind alle durch IEEE 802.11 vorgegebenen und implementierten Techniken, Funknetze gegen Zugriffe von außen abzusichern, unsicher (siehe Kasten auf Seite 124). Das heißt, wer sich effektiv vor den Zugriffen Dritter in und über sein Funk-LAN hinaus schützen will, darf den Access Point nicht direkt ins vorhandene Netz integrieren. Stattdessen gehört dieser an ein zusätzliches Netzwerkinterface eines Servers oder Routers angeschlossen. Zugriffe über das Funknetz hinweg aufs kabelgebundene Netz sollten nur über dort zusätzlich implementierte Sicherungsmechanismen erlaubt sein.
Als zusätzliche Sicherung bieten sich Paketfilter, ausschließlicher Einsatz sicherer Protokolle wie SSH und der Einsatz von Techniken an, wie sie für Virtual Private Networks (VPNs) gebräuchlich sind (siehe auch Seite 182). Wenn man dazu das Internet-Gateway um eine weitere Netzwerkkarte erweitert, um daran den Access Point anzuschließen, kann man auch gleich direkt eine Funknetzwerkkarte dort einbauen. Der einzige WLAN-spezifische Schutz, auf den man dadurch verzichtet, sind die Filtermöglichkeiten nach MAC-Adressen, WEP-Verschlüsselung als einfache, aber nicht super verlässliche Sicherungsmaßnahme ist weiterhin möglich.
Der Ad-hoc-Modus, auf den man dann angewiesen ist, hat aber Haken: Harmonieren in einem Netz mit Access Point die Funknetzwerkkarten verschiedener Hersteller in der Regel problemlos, ist das im Ad-hoc-Modus längst nicht selbstverständlich. Viele Hersteller haben dieser Betriebsart anfangs wenig Aufmerksamkeit gewidmet und statt der verabschiedeten Standards proprietäre Verfahren implementiert. So kann es durchaus passieren, dass die Karten zweier Hersteller im Ad-hoc-Modus partout nicht zueinander finden.
Inzwischen hat sich die Situation deutlich gebessert: Ein Großteil der auf den Folgeseiten vorgestellten Produkte spricht auch im Ad-hoc-Modus miteinander (standardkonform IBSS-Ad-hoc genannt), aber verlassen kann man sich darauf zurzeit noch nicht. Wer mit der Anschaffung eines Funknetzes liebäugelt, das im Ad-hoc-Modus laufen soll, tut gut daran, nur die Hardware eines Herstellers zu verwenden. Unproblematisch ist es unserer Erfahrung nach, baugleiche Produkte verschiedener Hersteller zu kombinieren, etwa Lucent Orinoco und Elsa AirLancer - leider lassen sich aber die wenigsten Anbieter hier ausreichend in die Karten schauen.
Zusätzliche Schwierigkeiten kann der Einsatz verschiedener Betriebssysteme beim Ad-hoc-Modus bereiten: Während innerhalb der Windows-Familie die Treiber meist eine reibungslose Zusammenarbeit auch im Ad-hoc-Modus gewährleisten, gilt das zum Beispiel für Linux nicht zwangsläufig. Die Treiber, die für Lucent Orinoco und die baugleichen Karten von Elsa, Compaq et cetera verfügbar sind, unterstützen zwar seit einiger Zeit den IBSS-Ad-hoc-Modus, erwiesen sich in unseren Experimenten aber im Gegensatz zum proprietären alten Modus als wenig stabil.
Während im alten Ad-hoc-Modus Sitzungen von mehreren Stunden kein Problem darstellen, halten sich die Treiber im IBSS-Modus oft nur ein paar Minuten - diese Erfahrung bezieht sich auf immerhin zwei Treiber unter Open-Source-Lizenz (wvlan_cs und orinoco_cs) und den teils nicht offen liegenden Treiber von Lucent (wavelan2_cs) sowohl unter 2.2er- als auch 2.4er-Kernel. Im Extremfall kann das bedeuten, dass man auch unter Windows mit veralteten Treibern arbeiten muss, um mit Linux über ein Funk-LAN kommunizieren zu können - die neueren Windows-Treiber für Orinoco bieten den alten Ad-hoc-Modus nämlich inzwischen nicht mehr an ...
Ähnliches gilt für das kommende Windows XP. Hier hat Microsoft den Betrieb von Funknetzen vereinfacht: Unter anderem zeigt XP - nach dem Vorbild von Mac OS - eine Liste der erreichbaren Netze an, der Anwender kann auswählen, in welches er sich bevorzugt einbuchen will, und für jedes Netz Verschlüsselungsparameter definieren - ähnliche Funktionen brachte unter den Vorgängerversionen erst die herstellereigene Software.
Optional kann XP auch als Vermittler zwischen kabelgebundenem und Funknetz operieren. Gängige WLAN-PC-Cards erkennt es von sich aus. Ferner hat Microsoft Funktionen eingebaut, die langfristig die Zugangssicherheit zu sowohl drahtgebundenen als auch Funknetzen verbessern sollen; noch fehlen aber geeignete Gegenstellen, etwa Access Points, die das unterstützen. Den Lucent-eigenen Demo-Ad-hoc-Modus kennt Windows XP unglücklicherweise nicht - der Trick, dafür die alten Treiber für Windows 2000 einzubinden, funktioniert beim aktuellen zweiten Release Candidate nicht mehr.
Wer schnell ein Funknetz will, ist mit Apples Access Point, der AirPort-Basisstation, auch UFO genannt, gut bedient. Sie wird selbst in Linux-Kreisen als Preisknüller gehandelt - schließlich ist für 700 Mark auch ein Router und ein 56k-Modem an Bord. Der Mehrpreis für diesen Access Point gegenüber einem selbst zusammengestellten Router, für den man dann schließlich auch eine Funknetzwerkkarte braucht, liegt unter 400 Mark. Andererseits: Wer über die Tücken des Ad-hoc-Modus informiert ist und seine Hardware geeignet auswählt, hat die ärgsten Hürden für den Aufbau eines einfachen Funknetzes genommen. Für den Aufbau eines Pseudo-Access-Points etwa mit Linux muss er erheblich Zeit einplanen und derzeit angesichts der Treibermissstände auch Kompromisse eingehen.
Das am Access Point eingesparte Geld dürfte deshalb die Zeit kaum aufwiegen - es sei denn, man hat Spaß daran, eine solche Konfiguration selbst zum Laufen zu bringen und daran viel zu lernen. Spätestens, wenn man sich dem Heer der Freiwilligen anschließt, die versuchen, ganze Städte mit Funknetzen nach IEEE 802.11 zu überziehen [#literatur [2]] , zahlt es sich aus, die Dinge im Detail zu kennen. Oder auch dann, wenn man, wie in den USA verbreitet [#literatur [3]] , anderen Leuten - im Straßencafé gegenüber - beschränkten Zugriff aufs eigene Funknetz und die eigene Internet-Anbindung spendiert. (ps)
[1] Johannes Endres, Apfel-Funk, Apple-Hardware vermittelt zwischen Funk-LAN und DSL, c't 16/01, S. 190
[2] www.wavehan.de
[3] Bay Area Wireless User Group
[4] Using the Fluhrer, Mantin, and Shamir Attack to Break WEP: www.cs.rice.edu/~astubble/wep/
[#anfang Seitenanfang]
Schon lange gelten Funknetzwerke als nicht besonders sicher - schließlich ist der größte Vorteil des Mediums Funk gleichzeitig sein größter Nachteil: Die Funkwellen gehen überall hin, auch dorthin, wo sie nicht hin sollen. In ambitionierten Hackerkreisen entwickelte sich War Driving als viel versprechender Freizeitsport (der Name stammt vom War Dialing ab, dem Durchklingeln aller Durchwahlen in einer Firma, um das Modemrack zu finden). Beim War Driving streift man mit geeigneter Hardware durch die Stadt, um Funknetzwerke zu suchen und sich - gegebenenfalls - darin umzusehen. Eine hübsche Spielwiese dafür sind Messen, wo Funknetzwerke eher ‘eben mal schnell’ hochgezogen werden und niemand wirklich darauf achtet, diese abzusichern.
Dass aber nicht nur solche befristeten Installationen Besuchern mit geeigneter Ausrüstung offen stehen, hat die Vergangenheit gezeigt: So fiel in unseren Redaktionsräumen beim Testbetrieb von Funknetzhardware stets auf, dass unser Nachbar, die Medizinische Hochschule Hannover, auch ein Funknetz betreibt, das offenbar nicht weiter abgesichert war. Wies man die Betreiber solcher offenen Netze darauf hin, folgten dem ersten Erschrecken schnell Maßnahmen, um zumindest die Existenz des Netzes zu verschleiern und später auch es abzusichern. Wer damals nur auf die in 802.11 vorgesehenen Sicherungsmechanismen vertraut hat, bekommt jetzt neue Arbeit.
Die von 802.11 als Zugangsschutz vorgesehenen MAC-Adressfilter lassen sich schon lang aushebeln, weil gängige Funknetzwerkkarten mit einer beliebigen MAC-Adresse arbeiten, die sich leicht in der Treiberkonfiguration einstellen lassen. Anders sah es bis Anfang des Jahres noch beim nach IEEE 802.11b gebräuchlichen Verschlüsselungsverfahren WEP (Wired Equivalent Privacy) aus - es galt als wirksamer Schutz. Doch Forscher der kalifornischen Universität in Berkeley deckten auf, dass das Verfahren löchrig ist. Ein halbes Jahr später zeigten andere Experten, dass der WEP zugrunde liegende Stromverschlüsselungsalgorithmus RC4 schon aufgrund der bereits 1995 - lange bevor WEP entwickelt wurde - entdeckten schwachen Schlüssel die Kryptanalyse erleichtert.
Wenige Wochen später erklärten [#literatur [4]] Avi Rubin und John Joannidis von den AT&T Research Labs sowie Adam Stubblefield von der Rice University, ihnen sei ein passiver Angriff auf WEP gelungen. Dafür benutzten sie lediglich handelsübliche Hardware und frei erhältliche Software. Allein durch das Erlauschen des Datenverkehrs mit und der Tatsache, dass WEP einen berechneten, nicht zufälligen Initialisierungsvektor im Klartext überträgt, konnten sie den bei WEP verwendeten Schlüssel errechnen. Nach Schätzungen dauert das Berechnen eines 40-Bit-WEP-Schlüssels eine Viertelstunde, die bessere 128-Bit-Variante mit 104 Bit langem Schlüssel würde einen Datendieb rund 40 Minuten aufhalten - letztlich hat sich WEP als Schutz für Funknetze damit disqualifiziert, egal ob in 40- oder 104-Bit-Fassung.
Für die Absicherung von Funknetzen bleiben damit nur Techniken, wie sie in Virtual Private Networks (VPNs) gebräuchlich sind - also Verfahren, die auf höheren Netzwerkebenen greifen. Das erfordert allerdings einige Umstellungen: Anstatt die Access Points schlicht in die bestehende LAN-Infrastruktur zu integrieren, muss man ein separates Netz für sie aufbauen. An einem Übergabepunkt zwischen WLAN und LAN muss dann die Zugriffsberechtigung überprüft werden. Das kann zum Beispiel ein PPTP-Server erledigen. Doch auch dieser Standard hat jüngst Schlagzeilen gemacht. Man sollte deshalb nicht nur auf von der normalen Benutzerverwaltung getrennte Passwörter Wert legen, sondern diese möglichst lang machen. So hat ein potenzieller Einbrecher mit einer Bruteforce-Attacke kein leichtes Spiel. Deutlich sicherer geht es mit IPsec.
Die Konsequenz daraus muss jeder für sich ausmachen: Noch sind Knackmethoden für WEP nicht Skript-Kiddie-gerecht, sondern erfordern einiges Know-how. Für Privatleute ist die in IEEE 802.11b vorgesehene Verschlüsselung sicherlich besser als gar kein Schutz. Ob man dann darauf achtet, sicherheitsrelevante Informationen nicht über das Funk-LAN zu leiten, also etwa auf Online-Banking verzichtet, hängt von der eigenen Paranoia ab. Firmen sollten jetzt aber handeln. Kommerzielle Pakete, die tiefe Einblicke in Funknetze erlauben, allerdings nicht unter ein paar tausend Dollar zu haben sind, gibt es schon länger. AiroPeek von WildPackets [#literatur [5]] liefert die verschlüsselten WEP-Pakete frei Haus, spuckt allerdings (noch) keine WEP-Schlüssel aus.
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-285198
Kommentare lesen (28 Beiträge)
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
