WLAN-Wegweiser


Peter Siering



Was man zum Aufbau eines 802.11b-Funknetzes braucht


An Flughäfen, Coffeeshops und Universitäten, aber auch in Privathaushalten sprießen Funknetze nach IEEE 802.11b inzwischen wie Pilze aus dem Boden. WLANs sind in - sei es, um überall im Haus ins Internet zu kommen oder die Sonnenstrahlen trotz Arbeit im Garten zu genießen. Hier finden Sie die wichtigsten Hinweise, damit es auch mit dem Nachbarn klappt.


Ein Funknetz kann viele Wünsche erfüllen. Es erspart das Strippenziehen. Bei geringen Entfernungen erlaubt es, lokale Netze über eine Funkbrücke zu koppeln: Ohne weitere Maßnahmen überbrückt die Technik in Gebäuden Entfernungen von 20 Metern und mehr. Mit Aufwand, sprich speziellen Antennen (ab 150 Mark) lässt sich die Reichweite bei freier Sicht auf einige hundert Meter, mit Richtantennen sogar auf zwei Kilometer erhöhen.


Angesichts der Standardisierung gemäß IEEE sollte man meinen, sei es kein Problem, ein Funknetz aufzubauen. Dennoch kann, wer allzu gedankenlos kauft, schnell reinfallen: Um die ‘Interoperabilität’ der Funknetzwerkkarten der verschiedenen Hersteller ist es nur im Idealfall gut bestellt: Weicht man von den Pfaden ab, die von den Herstellern vorgesehen sind, kann sich ein vorschneller Kauf als Fehlinvestition erweisen. Und: Wer gezielt kauft, kann erhebliche Summen sparen ...


Infrastructure oder Ad-hoc

Ein Funknetz lässt sich wahlweise im so genannten Ad-hoc-Modus oder einem ‘Infrastructure Mode’ betreiben. Im Ad-hoc-Modus kommunizieren die Stationen direkt miteinander. Im Grunde genommen handelt es sich um Punkt-zu-Punkt-Verbindungen, da aber jeder Rechner mehrere dieser Verbindungen unterhalten kann, spielt das praktisch keine Rolle. Mit einer Ausnahme: Es ist möglich, dass weit voneinander entfernte Stationen einander nicht ‘sehen’ können, beide sehr wohl aber eine dritte Station dazwischen. Der Ad-hoc-Modus ist letztlich am besten geeignet, wenn man gar kein großes Funknetz aufbauen will, sondern nur zwei Netze oder Systeme verbinden will.


Im Infrastructure Mode hingegen vermittelt eine spezielle Basisstation, Access Point genannt, zwischen den Clients. Er dient zum einen als Bridge zum drahtgebundenen Netz, vermittelt also Pakete zwischen den Netzen hin und her. Zum anderen arbeitet ein Access Point als Repeater, das heißt er empfängt die Pakete der Stationen und leitet sie an andere weiter - dabei sinkt natürlich der Durchsatz. Letztlich kann ein Access Point die Reichweite verdoppeln, wenn er zentral aufgestellt ist: Er lässt zwei Stationen miteinander kommunizieren, die so weit voneinander entfernt stehen, dass sie sich im Ad-hoc-Modus nicht ‘sehen’ könnten. Ein Access Point kann, zentral aufgestellt, zwei weit voneinander entfernte Stationen verbinden.


Zur Inbetriebnahme eines Ad-hoc-Netzes muss man auf allen Clients einen einheitlichen Namen für das Funknetz einstellen. Bei einem Netz mit Access Point dagegen reicht es, dort den gewünschten Namen einzutragen; bei der Einstellung ‘any’ auf den Clients erhalten diese automatisch den Namen übermittelt. Unter Umständen kann es im Ad-hoc-Netz Sinn machen, den Kanal vorzugeben, auf dem die Stationen funken sollen; im Normalfall finden sie aber selbstständig einen gemeinsamen Kanal. Eine gute Hilfestellung gewährt die Software, die viele Hersteller ihren Funkkarten beilegen. Sie liefert unter anderem Daten, wie gut der Empfang ist - ein erstes Indiz dafür, dass die Karten miteinander sprechen.


Access Points gibt es inzwischen in verschiedenen Ausprägungen: in der klassischen Form mit einem Ethernet-Anschluss oder als so genanntes ‘Home Residential Gateway’, das die Funktionen eines SOHO-Routers integriert, also mit Anschluss an ISDN oder DSL, manche sogar mit integriertem Hub, um auch kabelgebundene Rechner anzubinden. Im Vergleich zu einer Funkkarte kostet ein Access Point allerdings etliche hundert Mark mehr und stellt in kleinen drahtgebundenen Netzen, in denen ohnehin eine Maschine als Gateway zum Internet dient oder schon ein Router für den gemeinsamen Internet-Zugriff existiert, eine durchaus vermeidbare Investition dar.


Eine erfreuliche Ausnahme ist der Macintosh: Apple liefert mit seinen Funknetzkarten (AirPort) eine Software, die jeden AirPort-tauglichen Mac in einen echten Access Point verwandelt - während manch anderer Hersteller solche Software für den PC zu verkaufen gedachte, kostet sie bei Apple nichts. Die Apple-Software kann sogar drahtgebundenes LAN, Funknetz und DSL-Anschluss inklusive Intel-PCs versorgen. [1] .


In der Praxis spricht mehr als nur Geiz dafür, auf einen Access Point zu verzichten und einem bestehenden Internet-Gateway noch die Last aufzubürden, die Funkstationen zu bedienen: Nach heutigem Erkenntnisstand sind alle durch IEEE 802.11 vorgegebenen und implementierten Techniken, Funknetze gegen Zugriffe von außen abzusichern, unsicher. Das heißt, wer sich effektiv vor den Zugriffen Dritter in und über sein Funk-LAN hinaus schützen will, darf den Access Point nicht direkt ins vorhandene Netz integrieren. Stattdessen gehört dieser an ein zusätzliches Netzwerkinterface eines Servers oder Routers angeschlossen. Zugriffe über das Funknetz hinweg aufs kabelgebundene Netz sollten nur über dort zusätzlich implementierte Sicherungsmechanismen erlaubt sein.


Als zusätzliche Sicherung bieten sich Paketfilter, ausschließlicher Einsatz sicherer Protokolle wie SSH und der Einsatz von Techniken an, wie sie für Virtual Private Networks (VPNs) gebräuchlich sind (siehe auch Seite 182). Wenn man dazu das Internet-Gateway um eine weitere Netzwerkkarte erweitert, um daran den Access Point anzuschließen, kann man auch gleich direkt eine Funknetzwerkkarte dort einbauen. Der einzige WLAN-spezifische Schutz, auf den man dadurch verzichtet, sind die Filtermöglichkeiten nach MAC-Adressen, WEP-Verschlüsselung als einfache, aber nicht super verlässliche Sicherungsmaßnahme ist weiterhin möglich.


Ad-hoc-Tücken

Der Ad-hoc-Modus, auf den man dann angewiesen ist, hat aber Haken: Harmonieren in einem Netz mit Access Point die Funknetzwerkkarten verschiedener Hersteller in der Regel problemlos, ist das im Ad-hoc-Modus längst nicht selbstverständlich. Viele Hersteller haben dieser Betriebsart anfangs wenig Aufmerksamkeit gewidmet und statt der verabschiedeten Standards proprietäre Verfahren implementiert. So kann es durchaus passieren, dass die Karten zweier Hersteller im Ad-hoc-Modus partout nicht zueinander finden.


Inzwischen hat sich die Situation deutlich gebessert: Ein Großteil der auf den Folgeseiten vorgestellten Produkte spricht auch im Ad-hoc-Modus miteinander (standardkonform IBSS-Ad-hoc genannt), aber verlassen kann man sich darauf zurzeit noch nicht. Wer mit der Anschaffung eines Funknetzes liebäugelt, das im Ad-hoc-Modus laufen soll, tut gut daran, nur die Hardware eines Herstellers zu verwenden. Unproblematisch ist es unserer Erfahrung nach, baugleiche Produkte verschiedener Hersteller zu kombinieren, etwa Lucent Orinoco und Elsa AirLancer - leider lassen sich aber die wenigsten Anbieter hier ausreichend in die Karten schauen.


Zusätzliche Schwierigkeiten kann der Einsatz verschiedener Betriebssysteme beim Ad-hoc-Modus bereiten: Während innerhalb der Windows-Familie die Treiber meist eine reibungslose Zusammenarbeit auch im Ad-hoc-Modus gewährleisten, gilt das zum Beispiel für Linux nicht zwangsläufig. Die Treiber, die für Lucent Orinoco und die baugleichen Karten von Elsa, Compaq et cetera verfügbar sind, unterstützen zwar seit einiger Zeit den IBSS-Ad-hoc-Modus, erwiesen sich in unseren Experimenten aber im Gegensatz zum proprietären alten Modus als wenig stabil.


Während im alten Ad-hoc-Modus Sitzungen von mehreren Stunden kein Problem darstellen, halten sich die Treiber im IBSS-Modus oft nur ein paar Minuten - diese Erfahrung bezieht sich auf immerhin zwei Treiber unter Open-Source-Lizenz (wvlan_cs und orinoco_cs) und den teils nicht offen liegenden Treiber von Lucent (wavelan2_cs) sowohl unter 2.2er- als auch 2.4er-Kernel. Im Extremfall kann das bedeuten, dass man auch unter Windows mit veralteten Treibern arbeiten muss, um mit Linux über ein Funk-LAN kommunizieren zu können - die neueren Windows-Treiber für Orinoco bieten den alten Ad-hoc-Modus nämlich inzwischen nicht mehr an ...


Ähnliches gilt für das kommende Windows XP. Hier hat Microsoft den Betrieb von Funknetzen vereinfacht: Unter anderem zeigt XP - nach dem Vorbild von Mac OS - eine Liste der erreichbaren Netze an, der Anwender kann auswählen, in welches er sich bevorzugt einbuchen will, und für jedes Netz Verschlüsselungsparameter definieren - ähnliche Funktionen brachte unter den Vorgängerversionen erst die herstellereigene Software.


Optional kann XP auch als Vermittler zwischen kabelgebundenem und Funknetz operieren. Gängige WLAN-PC-Cards erkennt es von sich aus. Ferner hat Microsoft Funktionen eingebaut, die langfristig die Zugangssicherheit zu sowohl drahtgebundenen als auch Funknetzen verbessern sollen; noch fehlen aber geeignete Gegenstellen, etwa Access Points, die das unterstützen. Den Lucent-eigenen Demo-Ad-hoc-Modus kennt Windows XP unglücklicherweise nicht - der Trick, dafür die alten Treiber für Windows 2000 einzubinden, funktioniert beim aktuellen zweiten Release Candidate nicht mehr.


Fazit

Wer schnell ein Funknetz will, ist mit Apples Access Point, der AirPort-Basisstation, auch UFO genannt, gut bedient. Sie wird selbst in Linux-Kreisen als Preisknüller gehandelt - schließlich ist für 700 Mark auch ein Router und ein 56k-Modem an Bord. Der Mehrpreis für diesen Access Point gegenüber einem selbst zusammengestellten Router, für den man dann schließlich auch eine Funknetzwerkkarte braucht, liegt unter 400 Mark. Andererseits: Wer über die Tücken des Ad-hoc-Modus informiert ist und seine Hardware geeignet auswählt, hat die ärgsten Hürden für den Aufbau eines einfachen Funknetzes genommen. Für den Aufbau eines Pseudo-Access-Points etwa mit Linux muss er erheblich Zeit einplanen und derzeit angesichts der Treibermissstände auch Kompromisse eingehen.


Das am Access Point eingesparte Geld dürfte deshalb die Zeit kaum aufwiegen - es sei denn, man hat Spaß daran, eine solche Konfiguration selbst zum Laufen zu bringen und daran viel zu lernen. Spätestens, wenn man sich dem Heer der Freiwilligen anschließt, die versuchen, ganze Städte mit Funknetzen nach IEEE 802.11 zu überziehen [2] , zahlt es sich aus, die Dinge im Detail zu kennen. Oder auch dann, wenn man, wie in den USA verbreitet [3] , anderen Leuten - im Straßencafé gegenüber - beschränkten Zugriff aufs eigene Funknetz und die eigene Internet-Anbindung spendiert.


Literatur


[1]

Johannes Endres, Apfel-Funk, Apple-Hardware vermittelt zwischen Funk-LAN und DSL, c't 16/01, S. 190


[2]

www.wavehan.de


[3]

Bay Area Wireless User Group


[4]

Using the Fluhrer, Mantin, and Shamir Attack to Break WEP: www.cs.rice.edu/~astubble/wep/


[5]

Website von WildPackets


Quelle: http://www.heise.de/ct/01/18/122/ [23.08.2001]