Tipps zu Wireless - Grundlagen

• Wireless Networking Überblick
   
• 802.11-Standards im Vergleich
  • 802.11a
  • 802.11b
  • 802.11g
  • Dual-Band Geräte
     
• Topologieunterscheidungen
  • Infrastrukturmodus
  • Ad-hoc-Modus (Peer-to-Peer Workgroup)
     
• Weitere Wireless Fachbegriffe
  • Netzwerkname: Extended Service Set Identification (ESSID)
  • Authentifizierung und WEP
  • Authentifizierung nach 802.11
  • Open System-Authentifizierung
  • Shared Key-Authentifizierung
  • Übersicht der WEP-Parameter
  • Codegröße
  • Optionen bei der WEP-Konfiguration
  • Wireless-Kanäle
  • Die Netzwerk-Zugangskontrolle auf der Basis von 802.1x-Ports

Wireless Networking Überblick

Generell beschreibt der IEEE 802.11 Standard die Technik des drahtlosen, lokalen Netzwerks. Diese Wireless Local Area Networks werden oft auch als Wireless LAN, WLAN oder WiFi umschrieben. Die etablierten Standards sind zur Zeit 802.11a (sendet im 5 GHz Frequenzbereich mit bis zu 54 MBit/s) und 802.11b (sendet im 2,4 GHz Frequenzbereich mit bis zu 11 MBit/s). Neu hinzu gekommen ist jetzt der IEEE 802.11g Standard, er wurde im Juni 2003 ratifiziert.

802.11-Standards im Vergleich

802.11a

Beschreibung:

Eine IEEE Spezifikation für Wireless Netzwerke, sendet im 5 GHz Frequenzbereich (5.725 GHz bis 5.850 GHz) .Er sieht acht überschneidungsfreie Funkkanäle vor Die maximale Übertragungsrate beträgt 54 MBit/s, wobei der effektive Durchsatz für den Benutzer jedoch abhängig ist von der Anzahl der Benutzer, der Störeinflüsse und der Entfernung zum Access Point ab.

Vorteile:

• Interferenz: Frei von Interferenzstörungen durch 2.4 GHz-Geräte wie Funktelefonen, Mikrowellengeräten, etc.; coexistiert störungsfrei mit Blutooth und 802.11b Geräten.
• Geschwindigkeit: bis zu 5x schneller als 802.11b
• Reichweite: Vergleichbare Reichweiten wie 802.11b in einer typischen Büroumgebung bis 25 Meter, bei größeren Reichweiten abfallend
• Portdichte: 802.11a Systeme haben mehr nicht überlappende Kanäle als 802.11b und 802.11g und erlauben eine höhere Systemkapazität (gleichzeitiger Einsatz von bis zu 8 Benutzern, ohne dass es zur Teilung von Kanal-Bandbreiten kommt, gegenüber 3 bei 802.11b und 802.11g)
• Höhere Investitionskosten, aber erhöhte Portdichte und Datentransferraten führen eventuell wieder zu geringeren Kosten pro Anwender / pro Mit/s
• Kapazität: 64 Benutzer pro Access Point

Empfehlung:

• Höherer Anspruch an Leistung und Geschwindigkeit
• Bandbreiten-intensive Anwendungen wie Sprache, Video und die Übertragung von großen Dateien wie Bilder und Graphiken.
• Anwesenheit von signifikanten RF Interferenzen auf dem 2.4 Hz Band (Notwendigkeit einer klaren Frequenz) durch Funktelefone, Blutooth etc.
• Hohe Portdichte des Netzwerks durch viele Benutzer / Clients.
• Mehr Anwender pro Access Point, z.B. Computer-Labor, Konferenz-Zentrum etc.

Einführung:

Der Standard wurde 1999 fertig gestellt.

802.11b

Beschreibung:

Internationaler Standard für Wireless-Netzwerke, welcher in einem Frequenzbereich von 2.4 (2.4 GHz bis 2.4835 GHz) sendet. Er sieht drei überschneidungsfreie Funkkanäle vor. Die maximale Übertragungsrate beträgt 11 MBit/s, wobei der effektive Durchsatz für den Benutzer jedoch abhängig ist von der Anzahl der Benutzer, der Störeinflüsse und der Entfernung zum Access Point ist

Vorteile:

• Geschwindigkeit: bis zu 11 MBit/s, ausreichend für viele Applikationen
• Einsatz: Grosse installierte Basis in Geschäfts- wie auch privater Umgebung für einfache Migration zwischen diesen beiden Standorten, wird auch in "Hot Spots" eingesetzt, z.B. Hotels, Flughäfen, etc.
• Kosten: geringsten Investitionskosten bei der Implementierung eines Wireless Netzwerk.
• Kapazität: 32 Benutzer pro Access Point

Empfehlung von 802.11b bei:

• Anspruch an Reichweite ist wichtiger als die Portdichte
• Geringe Anzahl an Anwendern
• Weniger Anwender teilen sich den Datendurchsatz eines Access Points

Einführung:

Der Standard wurde 1999 fertig gestellt. Seit 2001 ist eine Vielzahl entsprechender Produkte erhältlich.

802.11g

Beschreibung:

Internationaler Standard für Wireless-Netzwerke, welcher in einem Frequenzbereich von 2.4 (2.4 GHz bis 2.4835 GHz) sendet. Er sieht drei überschneidungsfreie Funkkanäle vor. Die maximale Übertragungsrate beträgt 54 MBit/s, wobei der effektive Durchsatz für den Benutzer jedoch abhängig ist von der Anzahl der Benutzer, der Störeinflüsse und der Entfernung zum Access Point ist. Der 802.11g-Standard verwendet die OFDM-Modulation (Orthogonal Frequency Division Multiplexing), doch er unterstützt zur Gewährleistung einer Abwärtskompatibilität mit 11b auch CCK-Modulation (Complementary Code Keying) und als Option für schnellere Übertragungsraten die PBCC-Modulation (Packet Binary Convolutional Coding).

Vorteile:

• Geschwindigkeit: bis zu 54 MBit/s, ausreichend für viele Applikationen
• Einsatz: Die große installierte Basis von 802.11b Geräten kann genutzt werden, da der Standard 802.11g kompatibel zum 802.11b Standard ist, das heißt 802.11b und 802.11g Geräte können im gleichen Wireless Netzwerk betrieben werden.
  In der IEEE Spezifikation wird beschrieben, dass wenn ein 802.11g Gerät ein langsameres 802.11b Gerät erkennt, dieses 802.11g Gerät einen RTS/CTS Prozess (Request-to-send/Clear-to-send) startet, bevor es das aktuelle Paket sendet. Dieser Prozess kann den Datendurchsatz verlangsamen. In den Subnetzteilen, in denen eine hohe Performance sehr wichtig ist, sollte die Anzahl der 802.11b Komponenten minimiert werden oder besser gegen 802.11g Produkte ausgetauscht werden.
• Kosten: etwas höhere Investitionskosten als bei der Implementierung eines 802.11b Wireless Netzwerks, dafür aber auch ein bis zu 5x schnellerer Datentransfer als 802.11b.
• Kapazität: 64 Benutzer pro Access Point

Empfehlung von 802.11g bei:

• Anspruch an Reichweite ist wichtiger als die Portdichte
• Höherer Anspruch an Geschwindigkeit, z. B für die Übertragung von großen Dateien wie Bilder und Graphiken
• Geringe Anzahl an Anwendern
• Weniger Anwender teilen sich den Datendurchsatz eines Access Points

Einführung:

Der Standard wurde im Juni 2003 ratifiziert. Bereits seit Frühjahr 2003 sind Produkte verfügbar, die als pre-G angeboten wurden. Die NETGEAR pre-G Produkte lassen sich einfach mit einer auf der Support-Seite bereits verfügbaren kostenlosen Update-Software auf den endgültigen Standard anpassen.

Dual-Band Geräte

Dual-Band Geräte vereinigen all die 3 vorgenannten Standards in einem Gerät. Das heißt, der eingebaute Prozessor unterstützt 802.11a, 802.11b und 802.11g. Er sendet sowohl auf dem 5 GHz Frequenzband (802.11a) sowie auf dem 2.4 GHz Band (802.11b/g), daher auch der Name Dual Band.

Dies gibt Ihnen absolute Flexibilität und erlaubt den simultanen Zugriff aller 3 Standards über ein Gerät. Das heißt in der Praxis, das Anwender mit einem hohen Performanceanspruch ohne Geschwindigkeitseinbuße und ohne Interferenzstörungen auf dem 5 GHz Band senden, während gleichzeitig andere User auf das Netzwerk zugreifen und Ihre Daten auf dem 2.4 GHz Band übertragen.

Topologieunterscheidungen

Infrastrukturmodus

Wenn ein Access Point vorhanden ist, können Sie das Wireless-LAN im Infrastrukturmodus betreiben. Dieser Modus bietet mehreren Wireless-Netzwerkgeräten innerhalb einer festen Reichweite eine Wireless-Konnektivität, indem er mit einem Wireless-Knoten über eine Antenne kommuniziert.

Im Infrastrukturmodus setzt der Wireless Access Point Funkdaten in Ethernet-Daten um und nimmt so eine Mittlerposition zwischen dem verkabelten LAN und Wireless-Clients ein. Durch Einbindung mehrerer Access Points über ein verkabeltes Ethernet Backbone kann die Reichweite des Wireless-Netzwerks noch weiter ausgedehnt werden. Mobilcomputer, die den durch einen Access Point abgedeckten Bereich verlassen, treten in den Bereich eines anderen ein. So können sich Wireless-Clients frei zwischen den Access Point-Domains bewegen, ohne dass die Verbindung unterbrochen wird.

Ad-hoc-Modus (Peer-to-Peer Workgroup)

In einem Ad-hoc-Netzwerk werden die Verbindungen zwischen Computern nach Bedarf hergestellt; das heißt, es gibt keine Strukturen oder Fixpunkte im Netzwerk - jeder Knoten kann mit jedem anderen Knoten kommunizieren. Bei dieser Konfiguration gibt es keinen Access Point. In diesem Modus können Sie schnell eine kleine Wireless-Workgroup einrichten, deren Mitglieder mit Hilfe der Microsoft-Netzwerkfunktionen in den verschiedenen Windows-Betriebssystemen Daten austauschen oder Drucker gemeinsam nutzen können. Manche Anbieter bezeichnen Ad-hoc-Netzwerke auch als Peer-to-Peer-Group-Netzwerke.

Bei dieser Konfiguration werden Netzwerkpakete direkt von den vorgesehenen Übertragungs- und Empfangsstationen gesendet und empfangen. Solange sich die Stationen innerhalb der gegenseitigen Reichweite befinden, ist dies die einfachste und kostengünstigste Methode zur Einrichtung eines Wireless-Netzwerks.

Weitere Wireless Fachbegriffe

Netzwerkname: Extended Service Set Identification (ESSID)

ESSID ist einer von zwei Typen der Service Set Identification (SSID). In einem Ad-hoc-Wireless-Netzwerk ohne Access Points wird die Basic Service Set Identification (BSSID) verwendet. In einem Infrastruktur-Wireless-Netzwerk, das über einen Access Point verfügt, wird ESSID verwendet, das jedoch manchmal weiterhin als SSID bezeichnet wird.

Die SSID ist eine aus max. 32 alphanumerischen Zeichen bestehende Zeichenfolge, die den Namen des Wireless-LAN darstellt. Manche Hersteller bezeichnen die SSID als Netzwerknamen. Damit die Wireless-Geräte in einem Netzwerk miteinander kommunizieren können, müssen alle Geräte mit derselben SSID konfiguriert werden.

Authentifizierung und WEP

Aufgrund der fehlenden physischen Verbindung zwischen den Knoten sind die Wireless-Verbindungen anfällig für Lauschangriffe und Datendiebstahl. Um ein bestimmtes Sicherheitsniveau zu bieten, sind in der IEEE-Norm 802.11 zwei Authentifizierungsmethoden (Open System und Shared Key) definiert.

Bei der Methode Open System kann ein Wireless-PC sich jedem beliebigen Netzwerk anschließen und Nachrichten empfangen, sofern diese nicht verschlüsselt sind. Bei der Methode Shared Key können nur die PCs, die den korrekten Authentifizierungscode besitzen, an das Netzwerk angebunden werden. Standardmäßig werden IEEE 802.11 Wireless-Geräte in einem Open System-Netzwerk betrieben. Die WEP-Datenverschlüsselung (Wired Equivalent Privacy) wird verwendet, wenn für die Wireless-Geräte der Authentifizierungsmodus Shared Key eingestellt wurde. Bei den meisten handelsüblichen Produkten sind zwei Shared Key-Methoden realisiert, die 64-Bit- und die 128-Bit WEP-Verschlüsselung.

Authentifizierung nach 802.11

Die Norm 802.11 definiert verschiedene Dienste, durch die die Kommunikation zwischen zwei 802.11-konformen Geräten geregelt wird. Nur wenn die nachfolgenden Ereignisse eingetreten sind, kann eine 802.11-Station über einen Access Point (z. B. den integrierten Access Point des ME103) mit einem Ethernet-Netzwerk kommunizieren:

1. Schalten Sie die Wireless-Station ein.
2. Die Station sucht nach Nachrichten von Access Points, die in Reichweite liegen.
3. Die Station findet an einem Access Point eine Nachricht mit einer identischen SSID.
4. Die Station sendet eine Authentifizierungsanforderung an den Access Point.
5. Der Access Point authentifiziert die Station, d. h. überprüft die Identität der Station.
6. Die Station sendet eine Verknüpfungsanforderung an den Access Point.
7. Der Access Point stellt eine Verbindung zu der Station her.
8. Nun kann die Station über den Access Point mit dem Ethernet-Netzwerk kommunizieren.

Erst nach der Authentifizierung durch einen Access Point kann eine Station eine Verbindung zu dem betreffenden Access Point herstellen oder mit dem Netzwerk kommunizieren. Die Norm IEEE 802.11 definiert zwei Authentifizierungstypen: Open System und Shared Key.

• Bei der Open System-Authentifizierung kann sich jedes Gerät dem Netzwerk anschließen, sofern die SSID des Geräts der SSID des Access Points entspricht. Alternativ dazu kann das Gerät die SSID-Option "ALLE" bzw. "ANY" verwenden, um eine Verbindung zu allen innerhalb der Reichweite verfügbaren Access Points herzustellen, unabhängig von deren SSID.

• Bei der Shared Key-Authentifizierung müssen die Station und der Access Point denselben WEP-Code besitzen. Diese beiden Authentifizierungsverfahren werden nachfolgend erläutert.

Open System-Authentifizierung

Wenn zwei Geräte die Open System-Authentifizierung verwenden, werden folgende Schritte ausgeführt:

1. Die Station sendet eine Authentifizierungsanforderung an den Access Point.
2. Der Access Point authentifiziert die Station, d. h. überprüft die Identität der Station.
3. Die Station stellt eine Verbindung zu dem Access Point und damit zum Netzwerk her.

Shared Key-Authentifizierung

Wenn zwei Geräte die Shared Key-Authentifizierung verwenden, werden folgende Schritte ausgeführt:

1. Die Station sendet eine Authentifizierungsanforderung an den Access Point.
2. Der Access Point sendet den Challenge-Text (Test-Text) an die Station.
3. Die Station verschlüsselt den Challenge-Text mit Hilfe des konfigurierten 64-Bit-oder 128-Bit-Standardcodes und sendet den verschlüsselten Text an den Access Point.
4. Der Access Point entschlüsselt den verschlüsselten Text mit Hilfe des konfigurierten WEP-Codes, der dem Standardcode der Station entspricht. Der Access Point vergleicht den entschlüsselten Text mit dem ursprünglichen Challenge-Text. Wenn die beiden Texte übereinstimmen, bedeutet dies, dass der Access Point und die Station denselben WEP-Code verwenden; der Access Point bestätigt die Identität der Station.
5. Die Station stellt eine Verbindung zum Netzwerk her. Wenn der entschlüsselte Text nicht mit dem ursprünglichen Challenge-Text übereinstimmt (der Access Point und die Station also nicht denselben WEP-Code verwenden), verweigert der Access Point die Authentifizierung der Station; das heißt, die Station kann weder mit dem 802.11-Netzwerk noch mit dem Ethernet-Netzwerk kommunizieren.

Übersicht der WEP-Parameter

Vor der Aktivierung von WEP in einem 802.11-konformen Netzwerk müssen Sie den erforderlichen Verschlüsselungstyp und die gewünschte Codegröße festlegen. In der Regel sind für Produkte nach 802.11 drei Optionen für die WEP-Verschlüsselung verfügbar:

1. WEP nicht verwenden bzw. Do Not Use WEP:
   In dem 802.11-Netzwerk ist keine Verschlüsselung der Daten erforderlich. Zur Authentifizierung verwendet das Netzwerk das Authentifizierungsverfahren Open System.
    
2. WEP für Verschlüsselung verwenden bzw. Use WEP for Encryption:
   Ein 802.11b-Sendegerät verschlüsselt den Datenteil jedes Pakets, das es versendet, mit einem konfigurierten WEP-Code. Das 802.11b-Empfangsgerät entschlüsselt die Daten mit demselben WEP-Code. Zur Authentifizierung verwendet das 802.11b-Netzwerk das Authentifizierungsverfahren Open System.
    
3. WEP für Authentifizierung und Verschlüsselung verwenden bzw. Use WEP for Authentication and Encryption:
   Ein 802.11-Sendegerät verschlüsselt den Datenteil jedes Pakets, das es versendet, mit einem konfigurierten WEP-Code. Das 802.11-Empfangsgerät entschlüsselt die Daten mit demselben WEP-Code. Zur Authentifizierung verwendet das 802.11-Netzwerk das Authentifizierungsverfahren Shared Key.

Hinweis:

Manche Access Points gemäß 802.11 unterstützen auch die Option "WEP nur für Authentifizierung verwenden" bzw. "Use WEP for Authentication Only" (Shared Key-Authentifizierung ohne Datenverschlüsselung).

Codegröße

Die Norm IEEE 802.11 definiert zwei WEP-Verschlüsselungsverfahren: 40-Bit und 128-Bit. Bei der 64-Bit-WEP-Datenverschlüsselung ist eine aus fünf Zeichen (40 Bit) bestehende Eingabe zulässig. In Kombination mit den 24 vom Hersteller definierten Bit wird ein 64-Bit Verschlüsselungscode generiert. (Die 24 vom Hersteller definierten Bit können nicht vom Benutzer konfiguriert werden.) Dieser Verschlüsselungscode wird zum Ver- und Entschlüsseln aller über die Wireless-Schnittstelle übermittelten Daten verwendet. Einige Anbieter bezeichnen die 64-Bit-WEPDatenverschlüsselung als 40-Bit-WEP-Datenverschlüsselung, da der vom Benutzer konfigurierbare Schlüssel, der bei der Verschlüsselung verwendet wird, nur 40 Bit lang ist. Die 128-Bit WEP-Datenverschlüsselungsmethode besteht aus 104 konfigurierbaren Bit. Ähnlich wie bei der 40-Bit-WEP-Datenverschlüsselung werden die restlichen 24 Bit vom Hersteller festgelegt und können nicht vom Benutzer konfiguriert werden. Einige Hersteller lassen die Eingabe von so genannten "Passphrases" anstelle komplizierter Hexadezimalzeichen zu, um die Eingabe des Verschlüsselungscodes zu vereinfachen.

Die 128-Bit-Verschlüsselung bietet ein größeres Maß an Sicherheit als die 40-Bit-Verschlüsselung.

802.11-Produkte, die für die 40-Bit-Verschlüsselung konfiguriert wurden, unterstützen in der Regel bis zu vier WEP-Codes. Jeder 40-Bit-WEP-Code wird dargestellt als fünf Zeichenpaare, die jeweils aus zwei Hexadezimalzeichen (0-9 und A-F) bestehen. Ein Beispiel eines 40-Bit-WEP-Codes wäre "12 34 56 78 90".

802.11b-Produkte, die für die 128-Bit-Verschlüsselung konfiguriert wurden, unterstützen in der Regel vier WEP-Codes; manche Hersteller unterstützen jedoch nur einen 128-Bit-Code. Der 128-Bit-WEP-Code wird dargestellt als 13 Zeichenpaare, die jeweils aus zwei Hexadezimalzeichen (0-9 und A-F) bestehen. Ein Beispiel eines 128-Bit-WEP-Codes wäre "12 34 56 78 90 AB CD EF 12 34 56 78 90".

Hinweis:

Access Points gemäß 802.11 können in der Regel bis zu vier 128-Bit-WEP-Codes speichern; auf manchen 802.11-konformen Client-Adaptern kann jedoch nur ein 128-Bit-WEP-Code gespeichert werden. Daher sollten Sie in jedem Fall sicherstellen, dass die Konfigurationen Ihres 802.11-konformen Zugangs- und des Client-Adapters übereinstimmen.

Optionen bei der WEP-Konfiguration

Die WEP-Einstellungen müssen auf allen 802.11-Geräten übereinstimmen, die zu demselben, durch die SSID gekennzeichneten Wireless-Netzwerk gehören. Wenn Ihre mobilen Clients sich zwischen mehreren Access Points hin- und herbewegen, müssen alle 802.11-Access Points und alle 802.11-Client-Adapter im Netzwerk dieselben WEP-Einstellungen aufweisen.

Hinweis:

Unabhängig von den für einen Access Point eingegeben Codes ist sicherzustellen, dass für den Client-Adapter dieselben Codes in derselben Reihenfolge eingegeben werden.
Das heißt, WEP-Code 1 auf dem Access Point muss mit WEP-Code 1 auf dem Client-Adapter übereinstimmen, WEP-Code 2 auf dem Access Point muss mit WEP-Code 2 auf dem Client-Adapter übereinstimmen, usw.

Hinweis:

Der Access Point und die Client-Adapter können verschiedene WEP-Standardcodes besitzen, sofern die Codes in derselben Reihenfolge vorliegen. Das heißt, der Access Point kann WEP-Code 2 als Standardcode für die Übertragung verwenden, während ein Client-Adapter WEP-Code 3 als Standardcode für die Übertragung verwenden kann. Die beiden Geräte können dennoch miteinander kommunizieren, sofern der WEP-Code 2 des Access Points mit dem WEP-Code 2 des Clients und der WEP-Code 3 des Access Points mit dem WEP-Code 3 des Clients identisch ist.

Wireless-Kanäle

IEEE 802.11b Wireless-Knoten kommunizieren miteinander mit Funksignalen im ISM-Band (Industrial, Scientific und Medical) zwischen 2,4 GHz und 2,5 GHz. Benachbarte Kanäle liegen 5 MHz auseinander. Aufgrund des Spread-Spektrum-Effekts der Signale verwendet jedoch ein Knoten, der Signale über einen bestimmten Kanal sendet, ein Frequenzspektrum, das die zentrale Kanalfrequenz um 12,5 MHz über- und unterschreitet. Das bedeutet, dass es bei zwei separaten Wireless-Netzwerken, die benachbarte Kanäle (z. B. Kanal 1 und Kanal 2) im selben Bereich verwenden, zu Interferenzen kommt. Durch Nutzung zweier Kanäle mit maximaler Kanaltrennung werden die Störsignale verringert und im Vergleich zu Netzwerken mit minimaler Kanaltrennung deutliche Leistungssteigerungen erzielt.

Tabelle: Funkfrequenzkanäle gemäß 802.11

Hinweis:

Welche der verfügbaren Kanäle von Wireless-Produkten unterstützt werden, variiert von Land zu Land. Die bevorzugte Kanaltrennung zwischen Kanälen in benachbarten Wireless-Netzwerken beträgt 25 MHz (5 Kanäle). Das bedeutet, Sie können innerhalb Ihres Wireless-Netzwerks bis zu drei verschiedene Kanäle verwenden. In den Vereinigten Staaten gibt es nur 11 verwendbare Wireless-Kanäle. Es wird empfohlen, mit Kanal 1 zu beginnen und dann im Fall eines Netzwerkausbaus mit Kanal 6 und Kanal 11 fortzufahren, da diese drei Kanäle nicht überlappen.

Die Netzwerk-Zugangskontrolle auf der Basis von 802.1x-Ports

802.1x setzt sich immer stärker als Industriestandard durch und bietet eine effektive Lösung für die Sicherheit von Wireless-LANs. Windows XP implementiert 802.1x als native Lösung. Das 802.11i Komitee definiert die Verwendung von 802.1x mit dem Ziel, 802.1x als Teil des Standards 802.11 festzulegen. Mit 802.11b WEP müssen alle Access Points und Client Wireless-Adapter an einem bestimmten Wireless-LAN den gleichen Schlüssel verwenden. Jede sendende Station verschlüsselt die Daten vor dem Versenden Daten mit einem WEP-Schlüssel, und die empfangende Station entschlüsselt sie mit dem gleichen Schlüssel wieder. Dieser Prozess reduziert das Risiko, dass jemand passiv die Übertragung überwachen kann und Zugriff auf die über die Wireless-Verbindungen übertragenen Daten erhält.

Ein großes Problem des 802.11 Standards liegt darin, dass die Änderung der Schlüssel recht aufwändig ist. Wenn Sie die WEP-Schlüssel nur selten aktualisieren, kann eine Person ohne diesbezügliche Berechtigung mithilfe eines Sniffing-Tools Ihr Netzwerk überwachen und in weniger als einem Tag die verschlüsselten Nachrichten entschlüsseln. Zur Verwendung verschiedener Schlüssel müssen Sie jeden einzelnen Access Point und Wireless-Adapter manuell mit neuen Schlüsseln konfigurieren. Produkte auf der Basis des 802.11 Standards allein bieten dem Systemadministrator keine effektive Methode zur Aktualisierung der Schlüssel. Bei nur wenigen Benutzern ist das nicht weiter problematisch, in größeren Netzwerken kann das Erneuern der Schlüssel jedoch eine gewaltige Aufgabe darstellen. Aus diesem Grund verwenden viele Unternehmen WEP entweder überhaupt nicht, oder sie behalten die gleichen Schlüssel wochen-, monate- oder sogar jahrelang bei. Beide Ansätze machen Wireless-LANs empfindlich gegenüber dem Mithören durch Personen ohne entsprechende Berechtigung.

IEEE 802.1x bietet eine effektive Rahmenlösung zur Authentifizierung und Steuerung des Benutzer-Datenverkehrs in einem geschützten Netzwerk sowie dynamisch variierende Schlüssel.

802.1x bindet ein Protokoll mit der Bezeichnung EAP (Extensible Authentication Protocol) an die Medien des Kabel- und des Wireless-LAN und unterstützt verschiedene Authentifizierungsmethoden wie beispielsweise Token Cards, Kerberos, Einmal-Kennwörter, Zertifikate und die Authentifizierung über öffentliche Schlüssel. Ausführliche Details zu EAP finden Sie in IETF RFC 2284.

1. Der Client sendet eine Nachricht "EAP - Start". Dadurch wird ein Nachrichtenaustausch zur Authentifizierung des Clients eingeleitet.

2. Der Access Point antwortet mit einer Nachricht "EAP - Identität anfordern".

3. Der Client sendet ein Paket "EAP - Antwort" mit der Identität an den Authentifizierungs-Server.

4. Der Authentifizierungs-Server überprüft die Identität des Clients mit einem spezifischen Authentifizierungs-Algorithmus. Hierzu können digitale Zertifikate oder andere EAP Authentifizierungsmethoden verwendet werden.

5. Der Authentifizierungs-Server sendet eine Nachricht "Akzeptieren" oder "Ablehnen" an den Access Point.

6. Der Access Point sendet ein Paket "EAP - Erfolgreich" (oder ein Ablehnungspaket) an den Client.

7. Wenn der Authentifizierungs-Server den Client akzeptiert, aktiviert der Access Point den Status "Autorisiert" am Client-Port und leitet den weiteren Datenverkehr weiter.

Die anfängliche Initial 802.1x-Kommunikation beginnt mit einem nicht authentifizierten Bereitsteller (d.h. einem Client-Gerät), das versucht, die Verbindung zu einem Authentifikator (z. B. 802.11 Access Point) auszubauen. Der Access Point antwortet durch das Aktiveren eines Ports, über den ausschließlich EAP-Pakete vom Client an den Authentifizierungs-Server auf der verkabelten Seite des Access Points weitergeleitet werden. Der Access Point blockiert den gesamten darüber hinaus gehenden Datenverkehr, z. B. HTTP, DHCP und POP3-Pakete, bis der Access Point die Client-Identität über einen Authentifizierungs-Server (z. B. RADIUS) bestätigen kann. Nach der Authentifizierung öffnet der Access Point den Client-Port für weitere Arten von Datenverkehr.

Das 802.1x-Basisprotokoll bietet eine effektive Authentifizierung und eine dynamische Schlüsselverwaltung mit 802.1x als Mechanismus für die Bereitstellung. Bei einer Konfiguration zur Implementierung eines dynamischen Schlüsselaustauschs kann der 802.1x Authentifizierungs- Server zusammen mit der Nachricht "Akzeptieren" auch Session-Schlüssel an den Access Point zurückgeben. Der Access Point verwendet für den Aufbau, die Signatur und die Verschlüsselung einer EAP-Schlüsselnachricht den gleichen Session-Schlüssel, der unmittelbar nach dem Senden der Nachricht "Erfolgreich" an den Client gesendet wird. Der Client kann anschließend den Inhalt der Schlüsselnachricht zum Definieren geeigneter Schlüssel für die Verschlüsselung verwenden.

Bei typischen 802.1x-Implementierungen kann der Client die Schlüssel beliebig oft automatisch ändern, damit potenzielle Mithörer nicht genügend Zeit haben, den derzeit verwendeten Schlüssel zu knacken.

Sie sollten sich darüber im Klaren sein, dass der eigentliche Authentifizierungsmechanismus nicht von 802.1x bereitgestellt wird. Bei Verwendung von 802.1x müssen Sie einen EAP-Typ auswählen, beispielsweise Transport Layer Security (EAP-TLS) oder EAP Tunneled Transport Layer Security (EAP-TTLS); dieser Typ definiert, wie die Authentifizierung durchgeführt wird.

Es ist an dieser Stelle wichtig zu wissen, dass die Software, die den spezifischen EAP-Typ unterstützt, auf dem Authentifizierungs-Server liegt und innerhalb der Betriebssystem- oder Anwendungs-Software auf den Client-Geräten. Der Access Point arbeitet als "Schleuse" für 802.1x-Nachrichten; das bedeutet, Sie können einen beliebigen EAP-Typ angeben, ohne eine Aktualisierung auf einen 802.1x-kompatiblen Access Point durchführen zu müssen. Sie können daher den EAP-Authentifizierungstyp aktualisieren, wenn neuere Typen verfügbar sind und sich Ihre Sicherheitsanforderungen ändern.