Kabelfreiheit

Funknetze aufbauen

Praxis & Tipps | Praxis

Kabel sind unansehnliche Stolperfallen, das Verlegen ist aufwendig und macht Dreck, kein Wunder, dass die WLAN-Funktechnik in den vergangenen Jahren stetigen Zuspruch erfahren hat.

Um ein Netzwerk drahtlos zu erweitern, ist häufig keine große Investition nötig. War der DSL-Provider spendabel, besitzt der von ihm gratis oder verbilligt gelieferte Breitband-Router schon eine WLAN-Schnittstelle, die parallel zum internen Ethernet funkt. Fehlt diese bei schlichten Exemplaren, dann steht man vor einem kleinen Dilemma: WLAN-Access-Points ohne Router-Funktion erweitern ein vorhandenes Ethernet-LAN per Funk, sind aber mit Preisen um 60 Euro kaum preiswerter als WLAN-Router. Letzterer ist flexibler und daher das Gerät der Wahl. Das vom Provider spendierte Einfachgerät verkauft man weiter und holt so einen Teil der zusätzlichen Ausgabe wieder herein.

WLAN-Check

  • eigenes Konfigurationspasswort setzen
  • individuellen WLAN-Namen einstellen (SSID)
  • WPA-Verschlüsselung aktivieren
  • nicht erratbares Passwort nehmen: keine Namen, Begriffe aus dem Wörterbuch, Geburts- oder Jahrestage

Aktuelle Notebooks besitzen normalerweise WLAN ab Werk. Ältere Geräte rüstet man mit PC-Cards nach, die ab 25 Euro im Handel sind. Bei stationären Rechnern ist ein USB-Adapter trotz seines – mit PCI-Karten verglichen – höheren Einstandspreises (typisch 30 Euro statt 25 Euro) die günstigere Wahl, denn man kann ihn mit einem kurzen USB-Kabel leichter für optimalen Empfang ausrichten als die fest angebrachte Antenne der PCI-Karte. Die sitzt oft in Bodennähe auf der PC-Rückseite vor einer Wand, was für die Funkausbreitung ungünstig ist. Außerdem fällt die Montage eines USB-Stiftes deutlich leichter.

Bei sehr preisgünstigen USB-Adaptern sollte man darauf achten, dass sie eine USB-2.0-Schnittstelle besitzen. Denn mit Spitzenwerten von bis zu 3 MByte/s netto, die die flinken WLANs durch die Luft senden, sind herkömmliche USB-Interfaces überfordert. Das gilt für den Host-Rechner, der einen USB2-Anschluss braucht, genauso wie für eventuell dazwischenliegende Verbindungen (Kabel, USB-Hubs).

Basisstationen (Access Point oder Router) funken heute in der Regel nach dem WLAN-Standard 802.11g (maximal 54 MBit/s brutto bei 2,4 GHz Sendefrequenz), binden aber im Mixed Mode auch ältere WLAN-Clients ein, die noch den Vorgänger 802.11b (bis zu 11 MBit/s brutto) verwenden. Statt dem normalerweise voreingestellten Mixed Mode kann man auch g-only wählen, wenn ausschließlich 802.11g-fähige Geräte am WLAN teilnehmen. Doch ergab sich damit in bisherigen Tests kein nennenswerter Geschwindigkeitsgewinn. Wer heute WLAN kauft, nimmt Geräte, die dem 802.11g-Standard folgen und WPA-Verschlüsselung beherrschen, und macht damit nichts falsch.

Seit einiger Zeit werben manche Anbieter mit einer Datenrate von 108 MBit/s. Dahinter steckt noch nicht der nächste WLAN-Standard 802.11n, sondern eine von zwei herstellerspezifischen Erweiterungen. Die 2004 auf den Markt gekommene Variante Channel Bonding des Chipsatz-Herstellers Atheros nutzt einen doppelt breiten Funkkanal (40 statt 20 MHz), was Störungen durch Nachbar-WLANs wahrscheinlicher werden lässt.

Die zweite, seit Anfang 2005 erhältliche Technik greift dem nächsten WLAN-Standard 802.11n vor. Sie verwendet zwei parallele Sender und drei Empfänger (MIMO: Multiple Input, Multiple Output), um sonst schädliche, räumliche Reflexionen gewinnbringend auszunutzen. Die ersten Tests der noch nicht standardisierten MIMO-Technik offenbarten tatsächlich eine höhere nutzbare Datenrate. Sie bedienen zwar problemlos auch ältere Clients nach dem 802.11g-Standard, doch sollte man mit dem Kauf noch warten, bis der nächste Standard in trockenen Tüchern ist – voraussichtlich Anfang 2008. Erst dann ist sichergestellt, dass später nachgekaufte Karten problemlos mit der Basisstation zusammenarbeiten. Heute darf man das nur erwarten, wenn alle Hardware von demselben Hersteller kommt, was die Auswahl einschränkt.

Manche Marketingleute gehen sogar noch ein Stüfchen höher und propagieren 125 MBit/s. Doch das ist lediglich ein schöngerechneter Reklamewert, von dem man sich nicht blenden lassen sollte. In der Praxis funken die Geräte nach wie vor mit maximal 54 MBit/s und optimieren nur die zeitliche Abfolge des Medienzugriffs. Der reale Performancegewinn durch diesen Trick liegt bei etwa 30 Prozent.

Ältere Laptops ohne integriertes WLAN rüstet man mit einer Cardbus-Karte nach. Bei stationären PCs lässt ein USB-Stick an einem kurzen Kabel mehr Spielraum bei der Platzierung, um die beste Empfangsposition zu finden.

Neben den 802.11g-Geräten werden nun auch Dual-Band-Produkte erschwinglich, die entweder nach den eingeführten Standards oder alternativ im noch wenig genutzten 5-GHz-Band funken (802.11a/h). 11a/h- und 11g-Geräte können wegen der unterschiedlichen Sendefrequenzen allerdings nicht miteinander sprechen. Das 5-GHz-Band ist vor allem in Innenstädten mit hoher WLAN-Konzentration interessant, weil es wesentlich mehr Funkkanäle zur Verfügung stellt. Parallel sind hier 19 Kanäle nutzbar. Im 2,4-GHz-Bereich kann man maximal drei Funkzellen parallel betreiben, ohne dass es zu gegenseitigen Störungen kommt. WLAN-Interessenten, die von vornherein Problemen mit anderen 2,4-GHz-Anwendungen (Bluetooth, analoge Videoübertragungsstrecken, leckende Mikrowellenöfen) ausweichen wollen und etwas mehr Geld auszugeben bereit sind, sollten sich die 5-GHz-Produkte näher ansehen.

Während Kabel-LANs – leistungsfähige Rechner und Netzkomponenten vorausgesetzt – netto nur geringfügig unter dem Brutto-Durchsatz liegen, ist das bei drahtlosen Netzen anders. Dort geben die Hersteller stets die Übertragungsrate auf dem Medium, also der Funkstrecke, an, weil sich die höhere Zahl besser verkaufen lässt. Von der Bruttodatenrate muss man aber ungefähr die Hälfte abziehen, denn die Teilnehmer müssen ein zeitgesteuertes Medienzugriffsprotokoll verwenden, damit nicht zwei gleichzeitig senden.

Typisch für ein 802.11g-WLAN mit seinen maximal 54 MBit/s sind 25 MBit/s auf Anwendungsebene, also gut 3 MByte/s – bei guter Funkverbindung. Wird diese schlechter, weil entweder Störungen vom Nachbarn herüber kommen oder der Laptop-Träger sich von der Basisstation entfernt, schaltet das WLAN die Bruttorate in mehreren Stufen bis auf 1 MBit/s herunter, um die Verbindung zu halten.

Nicht nur in Sachen Geschwindigkeit, sondern auch bei der Reichweite bleiben Funknetze hinter Kabel-LANs zurück. In Gebäuden liegt die maximale Reichweite je nach Bauweise – eine dünne, trockene Holzwand hemmt die Funkwellen weniger als dicker Stahlbeton – bei 30 bis 50 Metern. Den bestmöglichen Durchsatz gibt es typischerweise nur dann, wenn man die WLAN-Geräte in demselben Raum betreibt. Schon eine dünne Steinmauer kann dazu führen, dass die Geschwindigkeit sinkt. Bei mehreren Mauern oder einer dicken Betondecke kommt eventuell gar keine Verbindung zu Stande, erst recht nicht, wenn das Signal dabei auch noch in schräger Linie durch die Decke muss.

Um die eigene Wohnung optimal auszuleuchten, stellt man die Basisstation möglichst zentral auf. Wenn das nicht genügt, kommt der WLAN-Router eher in die eine Ecke der Behausung und ein zusätzlicher, per Kabel oder Powerline-Technik angebundener Access Point in die andere. WLAN-seitig werden die beiden Geräte gleich eingestellt (SSID, Verschlüsselung), damit man einen wandernden Laptop nicht umkonfigurieren muss, wenn er aus der einen in die andere Funkzelle wechselt. Alternativ kann man eine andere Orientierung der Geräte versuchen: Schon geringfügiges Verlagern oder Drehen kann die Verbindungsqualität ebenso deutlich beeinflussen wie ein Kippen der Basisstationsantennen. Etwas Probieren gehört beim Medium Funk immer dazu.

WLAN-Router trennen nur zwischen Internet (WAN, rechte Buchse) und internem Netz (LAN, Viererblock, plus WLAN), damit drahtlos angebundene Rechner - bei vergessener WLAN-Verschlüsselung auch unerwünschte Gäste - die per Kabel angeschlossenen PCs erreichen

Die gelegentlich angebotene Option, ein Wireless Distribution System (WDS) aufzubauen, bei dem Access Points als drahtlose Wiederholer (Repeater) funken, sollte man mit Bedacht einsetzen. Zwar erleichtert WDS das Abdecken größerer Gebäude, weil man keine Kabel ziehen muss, aber dafür beeinträchtigt sie die Sicherheit erheblich, denn WDS ist bei den meisten Produkten nicht mit WPA einsetzbar. Um eine zusätzliche Sicherung mit einem verschlüsselnden VPN, wie im Beitrag "Virtuelle private Netze unter Windows" beschrieben, kommt man nicht herum. Ferner läuft ein Datenpaket dabei zweimal über das Funkmedium, was den möglichen Durchsatz mindestens halbiert.

In der Regel kann man den ab Werk eingestellten Funkkanal – meist Kanal 6 – verwenden. Kommt es zu Geschwindigkeitseinbrüchen oder gar Verbindungsabrissen, dann kann man mit dem Windows-Tool Netstumbler nachschauen, ob eventuell Nachbarn auf demselben oder einem naheliegenden Kanal senden. Ist das der Fall, wählt man einen freien Kanal, der mindestens um vier Zähler von den belegten entfernt liegt. Wenn das nicht geht, stellt man die Basisstation auf einen belegten Kanalein, denn der Performance-Verlust durch den häufiger belegten Kanal ist womöglich geringer als der durch wechselseitige Störungen, die auf beiden Seiten zu Sende-Wiederholungen führen. Denn nicht nur der Nachbar stört einen, sondern auch umgekehrt. Manche Basisstationen besitzen eine Automatik zur Kanalwahl. Bei vermuteten Funkproblemen sollte man diese probehalber ausschalten und einen festen Kanal wählen.

Zwar helfen die meisten Hersteller dem wenig erfahrenen Anwender mit Setup Wizards oder ähnlich hochtrabend getauften Scripts bei den ersten Schritten, doch bleibt dabei allzu oft die WLAN-Sicherheit auf der Strecke. Ein offenes, nicht durch Verschlüsselung geschütztes Funknetz stellt eine Einladung an Internet-Schnorrer und Datendiebe dar. Wer sich dann mit der Basisstation verbindet, bekommt nicht nur Zugriff auf die Internet-Leitung, sondern ebenso auf interne PCs. Sind diese nicht per Firewall und Account geschützt, steht dem Zugriff auf private Dateien nichts im Wege.

Schlimmer kann es kommen, wenn Schwarz-Surfer den eigenen Internet-Anschluss verwenden, um illegale Dinge zu treiben, etwa Spam in Umlauf bringen, Einbrüche in fremde Rechner proben oder Kinderpornografie herunterladen. Denn der Staatsanwalt wird sich zunächst an den Anschlussinhaber wenden, dessen Adresse er beim Provider erhält.

Ein nicht konfiguriertes WLAN erleichtert dem Datendieb das Leben, weil die Basisstation ihr Lebenszeichen (Beacon) meist mit einem verräterischen Funknetznamen (ESSID) sendet, beispielsweise dem Herstellernamen. Daran erkennt der Spion schon ohne Verbindungsversuch, dass das WLAN wahrscheinlich unverschlüsselt funkt und ein Angriff aussichtsreich ist. Die beschränkte WLAN-Reichweite stellt dabei nur einen schwachen Schutz dar, denn wenn sich Wardriver mit leistungsfähigen Antennen bewaffnen, können sie das WLAN mit Glück noch aus einigen hundert Metern Entfernung empfangen, ohne dass das seinem Besitzer auffällt.

Ein individueller Funknetzname (SSID) erleichtert Nachbarn im Störungsfall die Kontaktaufnahme und hindert Gelegenheitsschnüffler am allzu leichten Erraten der Standardeinstellungen.

Das WLAN dichtet man in drei Schritten ab: Zunächst setzt man ein eigenes Konfigurationspasswort, damit Fremde keinen Zugriff auf die eingestellten Daten bekommen. Anschließend erhält das WLAN einen individuellen Funknetznamen. Hier bietet sich beispielsweise die eigenen E-Mail-Adresse an: Möchte sich ein Nachbar am Breitband-Anschluss beteiligen oder hat ein Hausgenosse ein Funkproblem bei der Kanalwahl, kann er den Besitzer direkt erreichen. Ferner kann man so das eigene WLAN besser erkennen und bucht sich nicht aus Versehen in das eines Nachbarn ein, der Hardware desselben Herstellers verwendet.

Das Funknetz sollte man keinesfalls unverschlüsselt betreiben. Aktuelle WLAN-Geräte müssen WPA beherrschen, die veraltete WEP-Verschlüsselung genügt nicht.

Für die Vertraulichkeit sorgt die Verschlüsselung des drahtlosen Datenverkehrs. Dabei hat sich die standardmäßig bei WLANs eingesetzte Verschlüsselungstechnik WEP (Wired Equivalent Privacy) inzwischen als unbrauchbar erwiesen. Sie geht heute nicht einmal mehr als Notnagel durch, weil sich der eingestellte Schlüssel mit aktuellen Cracktools und etwas Glück innerhalb von Minuten errechnen lässt, wenn nur etwas Datenverkehr auf dem Funknetz herrscht. Basisstationen und Geräte, die lediglich WEP schaffen, sollte man im Händlerregal stehen lassen. Das gilt auch für Geräte, über die vermeintlich unwesentliche Daten fließen, beispielsweise Media-Streaming-Clients. Denn wenn diese nur WEP beherrschen, kompromittieren sie die Sicherheit des ganzen Netzes.

Der Stand der Sicherungstechnik heißt heute WPA (Wifi Protected Access). Er behebt die WEP-Probleme und ist daheim ebenso nutzbar wie in Unternehmen. Bei Heimeinsatz und in kleineren Firmen genügt die Variante WPA-PSK (Pre-Shared Key): Alle WLAN-Nutzer bekommen das gleiche Passwort (PSK), mit dem ihr Rechner sich beim Aufbau der Funkverbindung bei der Basisstation anmeldet. Dieses Passwort darf man beim Konfigurieren der Basisstation nicht zu einfach wählen, denn hier liegt der einzige derzeit bekannte Angriffspunkt. Begriffe aus dem Wörterbuch wie Namen, Orte oder andere gängige Begriffe sind ebenso tabu wie Geburts- oder Jahrestage. Eine kryptische Zeichenfolge wie etwa "5Hn#9.!bz2b(" darf als sicher gelten – dieses Beispiel sollte man allerdings nicht abtippen. Vorsicht auch mit Sonderzeichen wie Umlauten oder grafischen Symbolen, denn Browser und interner Webserver im Router interpretieren diese möglicherweise unterschiedlich, sodass später keine WLAN-Verbindung zu Stande kommt.

Die eigentliche Verschlüsselung erledigt WPA mit einer von zwei Methoden, TKIP oder AES. Manche Basisstationen bieten beide für dieselbe Funkzelle an. Erstere wurde aus WEP weiterentwickelt, Letztere im Vorgriff vom neuen WLAN-Verschlüsselungsstandard 802.11i übernommen. Schon mit TKIP kann ein durchschnittlicher Anwender ohne Sorge surfen. Besonders sicherheitsbedürftige Unternehmen oder staatliche Organisationen schreiben 802.11i mit AES vor.

Hat man die drei Punkte in Sachen Sicherheit abgehakt, steht einem sorgenfreien Funkbetrieb nichts mehr im Weg. (rek)

Anzeige