Dieser Beitrag soll informativ und als Nachschlagewerk dienen, um alle grundlagen des WLANs aufzuzeigen.
Ich begrenze mich auf den Europäischen Bereich.
WLAN bedeutet „Wireless Local Area Network“, zu Deutsch „Drahtloses lokale Netzwerk“ und bezeichnet ein lokales Netzwerk über Funk.
Allgemein
WLAN wird in Funktnetzwerken unter dem Standard IEEE 802.11 standardisiert.
IEEE -> Institute of Electrical and Electronics Engineers -> Institut der Elektrik- und Elektronik Ingenieure -> Institut welches Standards in der Elektronik festlegt
Das Grundsätzliche Frequenzband für WLAN liegt zwischen unter 1 GHz bis 60 GHz. Die Standards hierin sind 2,4 GHz, 5 GHz und 6 GHz.
| Frequenzbereich | 2,4 GHz | 5 GHz | 6 GHz | 60 GHz |
|---|---|---|---|---|
| Frequenzen | 2,3995 bis 2,4845 GHz | 5,150 bis 5,350 GHz 5,470 bis 5,725 GHz | 5,925 bis 6,425 GHz | 57,0 bis 66,0 GHz |
| Reichweite | innerhalb eines Wohnhauses | begrenzt auf eine Wohnung oder Stockwerk | begrenzt auf eine Wohnung oder Stockwerk | begrenzt auf einen Raum |
| Kanalbreite | 20 und 40 MHz | 20, 40, 80, 160 MHz | 20, 40, 80, 160 MHz | 2 GHz |
| Nutzung | stark überfüllt | gering | zukünftig | selten |
2,4 GHz
Im Frequenzbereich von 2,4 GHz, das auch als ISM-Frequenzband (Industrial, Scientific, Medicine) bezeichnet wird, befinden sich allerdings auch andere Funksignale als nur WLAN.
Innerhalb der Frequenz von 2,4 GHz gibt es 13 Kanäle, diese Kanäle mit je 5 MHz sind eng aneinandergereiht und überlappen sich.
| Kanal | Trägerfrequenz | Frequenzbereich |
|---|---|---|
| 1 | 2412 MHz | 2399,5 – 2424,5 MHz |
| 2 | 2417 MHz | 2404,5 – 2429,5 MHz |
| 3 | 2422 MHz | 2409,5 – 2434,5 MHz |
| 4 | 2427 MHz | 2414,5 – 2439,5 MHz |
| 5 | 2432 MHz | 2419,5 – 2444,5 MHz |
| 6 | 2437 MHz | 2424,5 – 2449,5 MHz |
| 7 | 2442 MHz | 2429,5 – 2454,5 MHz |
| 8 | 2447 MHz | 2434,5 – 2459,5 MHz |
| 9 | 2452 MHz | 2439,5 – 2464,5 MHz |
| 10 | 2457 MHz | 2444,5 – 2469,5 MHz |
| 11 | 2462 MHz | 2449,5 – 2474,5 MHz |
| 12 | 2467 MHz | 2454,5 – 2479,5 MHz |
| 13 | 2472 MHz | 2459,5 – 2484,5 MHz |
5 GHz
Das 5 GHz Frequenzband ist eine Erweiterung zum 2,4 GHz und hat das Ziel die WLAN-Geschwindigkeit zu beschleunigen.
In Europa werden die Frequenzen von 5,15 bis 5,35 GHz mit den Kanälen von 36 bis 64 und von Frequenzen 5,5 bis 5,7 GHz mit den Kanälen von 100 bis 140 verwendet.
Durch die höheren Frequenzen, ist zwar der Datendurchsatz erhöht, allerdings ist die Reichweite damit niedriger.
6 GHz
Da 6 GHz noch höhere Frequenzen nutzt, als 5 GHz ist auch hier der Datendurchsatz erhöht, allerdings auch die Reichweite niedrieger. Diese ist sogar so niedrig, dass diese für Mobilfunk ungeeignet ist.
In Europa existiert insgesamt 500 MHz Bandbreite (5.925 – 6.425 MHz)
WLAN-Standards
| Standard | Generation | Beschreibung |
|---|---|---|
| 802.11 | WLAN 1 | Protokoll und Übertragungsverfahren für drahtlose Netze, 1997 zunächst nur für 2 MBit/s bei 2,4 GHz definiert. Bei 2,4 GHz mit 22 MHz Kanalbreite |
| 802.11a | WLAN mit bis zu 54 MBit/s im 5 GHz Bereich, 12 nicht-überlappende Kanäle, Modulation: Orthogonal Frequency Division Multiplexing (OFDM). | |
| 802.11b | WLAN 2 | WLAN mit bis zu 11 MBit/s im 2,4GHz Bereich, 3 nicht-überlappende Kanäle. Bei 2,4 GHz mit 20 MHz Kanalbreite |
| 802.11c | Wireless Bridging zwischen Access Points. Spezifiziert das MAC-Layer-Bridging gemäß IEEE 802.1d. | |
| 802.11d | Beinhaltet länderspezifische Anpassungen an die jeweilige regulatorischen und gesetzlichen Bestimmungen, wie etwa die Wahl der Funkkanäle. Wurde zuerst für den US-Markt entwickelt. Es wurden mit dieser Erweiterung regionale Besonderheiten, z. B. auch der Frequenzbereich berücksichtigt. | |
| 802.11e | Erweitert WLAN um Quality of Service (QoS) – Priorisierung von Datenpaketen, z. B. für Multimedia-Anwendungen und Streaming. | |
| 802.11f | Regelt die Interoperabilität zwischen Basisstationen. Ermöglicht Roaming zwischen Access Points verschiedener Hersteller. | |
| 802.11g | WLAN 3 | 54-Mbit/s-WLAN im 2,4-GHz-Band, Modulation OFDM. Bei 2,4 GHz mit 20 und 40 MHz Kanalbreite |
| 802.11h | Ergänzungen zum 802.11a für Europa mit DFS (Dynamic Frequency Selection) und TPC (Transmit Power Control). | |
| 802.11i | Verschlüsselung mit AES. Authentifizierung nach IEEE 802.1x (Ergänzend/Aufbauend auf WEP und WPA). | |
| 802.11j | Japanische Variante von 802.11a für das 5-GHz-Band. | |
| 802.11k | Stellt Informationen über Funk- und Netzwerkaktivitäten zu Verfügung. Bessere Messung/Auswertung/Verwaltung der Funkparameter (z. B. Signalstärke). Soll unter anderem ortsbezogene Dienste ermöglichen (Location Based Services). | |
| 802.11m | Zusammenfassung früherer Ergänzungen, Bereinigung von Fehlern aus vorausgegangenen Spezifikationen (Maintenance). | |
| 802.11n | WLAN 4 | WLAN mit bis zu 600 MBit/s. Bei 5 GHz mit 20 und 40 MHz Kanalbreite |
| 802.11o | Soll die Priorisierung von Sprache im WLAN gegenüber dem Datenverkehr definieren. | |
| 802.11p | Drahtloser Funkzugriff von Fahrzeugen aus (pWLAN). | |
| 802.11q | Unterstützt Virtual LANs (VLAN). | |
| 802.11r | Spezifiziert das Fast Roaming beim Wechsel zwischen Access Points. Interessant im Zusammenhang mit VoIP, um Gesprächsunterbrechungen zu vermeiden. | |
| 802.11s | Regelt den Aufbau von Wireless Mesh Networks. | |
| 802.11t | Wireless Performance Prediction (WPP), legt unter anderem Testverfahren fest. | |
| 802.11u | Behandelt das Zusammenspiel mit anderen nicht 802-konformen Netzen, wie etwa den zellularen Handy-Netzen. | |
| 802.11v | Wireless-Network-Management. | |
| 802.11w | Protected Management Frames. | |
| 802.11z | Ermöglicht Direkt-Verbindungen zwischen zwei WLAN-Clients, die über einen Access Point verbunden sind. | |
| 802.11aa | Erweitert das für Voice-over-WLAN eingeführte QoS in IEEE 802.11e um Funktionen für die Videoübertragung (Video Transport Stream, VTS). | |
| 802.11ac | WLAN 5 | Gigabit-WLAN. Beschleunigung durch Optimierung des Übertragungsprotokolls. Führt im günstigsten Fall zu einer doppelt so schnellen Übertragungsrate. Bei 5 GHz mit 80 und 160 MHz Kanalbreite |
| 802.11ad | Gigabit-WLAN für schnelle Punkt-zu-Punkt-Verbindungen. | |
| 802.11ah | WLAN im Funkspektrum unterhalb von 1 GHz für das Internet der Dinge. | |
| 802.11ai | Beschleunigung der Client-Anmeldung im WLAN. | |
| 802.11aq | Veröffentlichung der verfügbaren Diensten im WLAN vor der Anmeldung. | |
| 802.11ax | WLAN 6 | High Efficiency WLAN Bei 2,4 GHz mit 20 und 40 MHz Kanalbreite Bei 5 GHz mit 80 und 160 MHz Kanalbreite |
| 802.11be | Extremely High Throughput (EHT) |
Übersicht: Aktuelle WLAN-Standards im Vergleich
| IEEE-Standard | IEEE 802.11n | IEEE 802.11ac | IEEE 802.11ax |
|---|---|---|---|
| Generation | WLAN 4 | WLAN 5 | WLAN 6 |
| Maximale Übertragungsrate | 600 MBit/s | 6.936 MBit/s | 9.608 MBit/s |
| Theoretische Übertragungsrate | 300 MBit/s | 867 MBit/s | 1.200 MBit/s |
| Maximale Reichweite | 100 m | 50 m | 50 m |
| Frequenzbereich | 2,4 + 5 GHz | nur für 5 GHz | 2,4 + 5 GHz + 6 GHz |
| Maximale Kanalbreite | 40 MHz | 160 MHz | 160 MHz |
SSID
Die Einzelnen WLAN-Netzwerke werden per SSID (Service Set Identifier) benannt und identifiziert. Diese gilt pro WLAN-Gerät eineindeutig und kann in der Konfiguration ausgeblendet werden, so dass Clients diese nicht automatisch sehen.
802.11 Frame
Beacons
Access Points senden regelmäßig sogenannte „Beacons“ aus, welche allgemeine Informations- und Management-Pakete mit Identifikationsdaten enthalten. Der Access Point sagt mit diesen Daten aus, dass dieser verfügbar ist für eine WLAN-Verbindung. Kennt der Client das WLAN verbindet er sich automatisch mit dem Netzwerk.
Clients die noch nicht mit dem WLAN verbunden waren, sehen trotzdem das Netzwerk unter den verfügbaren Verbindungen.
Clients müssen allerdings nicht auf ein Beacon vom Access Point warten, damit diese sich verbinden können, diese können einen sogenannten „Probe Request“ senden. Dies stellt einen Broadcast an alle in der Reichweite befindlichen Access Points dar und fragt alle SSIDs ab. Der Access Point antwortet dann mit einem „Probe Response“ mit SSID und Informationen zur Authentifizierung und Verschlüsselung der verfügbaren Netzwerke.
WLAN-Sicherheit
Unter WLAN-Sicherheit versteht man die Verschlüsselung der Netzwerkverbindung.
WEP (Wired Equivalent Privacy)
Gilt als veraltet und unsicher, sollte niemals verwendet werden!
WPA (Wi-Fi Protected Access)
Gilt als veraltet und sollte nicht mehr verwendet werden!
WPA2 (Wi-Fi Protected Access 2 / IEEE 802.11i)
Gilt als veraltet und sollte durch WPA3 ersetzt werden, aktuell noch viel im Einsatz.
WPA2 Personal Mode
Der WPA2 Personal Mode ist eine abgespeckte WPA2-Variante, die hauptsächlich in SOHO-Geräten für Privatanwender und kleine Unternehmen gedacht ist. Die Authentifizierung erfolgt mit einem Pre-Shared-Key (Passwort).
Ablauf der Authentifzierung (4-Wege-Handshake)
- Client zu AP: Authenticaton Request
- AP zu Client: Challenge Text
- Client zu AP: Challenge Response
- AP zu Client: Authentication Success/Failure
Es wird nicht das eigentliche WLAN-Passwort gespeichert, sondern einem Pre-Shared-Key (PSK) bzw. der Pairwise Master Key (PMK). Aus diesem wird der Pairwise Transient Key (PTK) abgeleitet, der dann zur Verschlüsselung verwendet wird. Der PMK kann nur durch Bruteforce gebrochen werden.
WPA2 Enterprise Mode
Der WPA2 Enterprise Mode ist mit IEEE 802.11i fast identisch. Der Unterschied ist die fehlende Funktion Fast Roaming, die für VoIP-, Audio- und Video-Anwendungen interessant ist. Mit dieser Funktion wird der Wechsel zwischen zwei Access Points (AP) schneller durchgeführt. Die Verbindung verläuft damit unterbrechungsfrei.
Wesentlicher Bestandteil ist die Authentifizierung per RADIUS. (Siehe Dazu Kapitel Authentifizierung)
WPS (Wi-Fi Protected Setup)
Gilt als unsicher und sollte nicht verwendet werden!
WPA3 (Wi-Fi Protected Access 3)
Gilt als sicher und aktuell, sollte verwendet werden.
Authentifizierung
Ich werde in diesem Bereich nicht auf alle Authentifizierungsarten eingehen, sondern nur auf die drei geläufigsten.
Pre-Shared Key (PSK)
Bei der Authentifizierung mit einem Pre-Shared Key (PSK) ist im Access Point ein Passwort hinterlegt, mit dem sich alle WLAN-Clients authentifizieren müssen. Stimmt das Passwort mit dem eingestellten Passwort nicht überein, dann verweigert der Access Point die Authentifizierung des Clients. Erst wenn das Passwort korrekt ist, dann ist die Authentifizierung erfolgreich und eine Verbindung möglich.
Captive Portal
Ein Captive Portal ist eine Webseite auf die, nach der Verbindung zum WLAN, automatisch weitergeleitet wird. Hier könne sich die Benutzer per vordefinierten Benutzernamen, eindeutigen Code oder durch simples Bestätigen authentifizieren. Hierduch kann die Nutzung mit mehreren Geräten abgegrenzt und protokolliert werden.
Auf der Seite des Captive Portals lassen sich natürlich auch, im Corperate Design, Nutzungs- und Geschäftsbedingungen hinterlegen.
IEEE 802.1x
802.1x-Authenfizierung wird mittels zentraler Zugangskontrolle z.B. RADIUS gesteuert. Dieser RADIUS hat meist ein Anbindung an die zentrale Benutzerdatenbank (LDAP / Microsoft Active Directory) oder lokale User, welche dann zugelassen oder abgelehnt werden können für einzelne SSIDs.
RADIUS (Remote Authentication Dial-In User Service)
RADIUS ist ein Client-Server-Prototkoll, welches die Einwahl von Benutzern in ein Netzwerk steuert, indem es Authenfizierung, Autorisierung und Accounting prüft. (Triple-A-System)
Authentifizierung
Stellt fest um welchen Benutzer es sich handelt und ob dieser tatsächlich der ist, für den er sich ausgibt.
Meist durch eingabe Benutzername und valides Passwort
Autorisierung
Die Berechtigungen des Benutzers werden geprüft
Accounting
Zählt die Nutzung verschiedener Services (Datenvolumen/Zugriffhäufigkeit)
Funktionen von IEEE 802.1x
- Zugangskontrolle
- Authentifizierung, Autorisierung und Accounting (AAA)
- Bandbreitenzuweisung (QoS)
- Single Sign-on (SSO)
Wie funktioniert IEEE 802.1x?
Bestandteil eines Authentifizierungsverfahrens wie IEEE 802.1x ist der Supplicant (Antragsteller), der Authenticator (Beglaubigter) und ein Authentication Server, der den Antrag des Supplicant überprüft und seine Entscheidung dem Authenticator mitteilt. Der Authenticator schaltet den Zugang zum Netzwerk für den Supplicant frei oder verweigert ihn.
- Authenticator (Beglaubigter/Unterhändler): WLAN-Access-Point oder Switch mit IEEE 802.1x
- Authentication Server: RADIUS-Server, LDAP-Gateway/-Server, WLAN-Access-Point
- Supplicant (Antragsteller): WLAN-Client, LAN-Station
Anmeldungen vom Supplicant (Client) werden vom Authenticator zuerst an den Authentication Server weitergeleitet. Der entscheidet, ob der Supplicant Zugang bekommt. In Abhängigkeit einer erfolgreichen Authentifizierung wird der Zugang zum Netzwerk über einen bestimmten Port freigeschaltet. Wegen dem Bezug auf einen Port wird IEEE 802.1x auch als „Port-Based Network Access Control“ bezeichnet.
Für IEEE 802.1x kann ein Port eine Buchse an einem Switch oder eine logische Assoziation sein. Denkbar ist hier die Zugangsmöglichkeit zum Netzwerk für einen WLAN-Client an einem WLAN-Access-Point. Mit IEEE 802.1x/EAP wird dem WLAN-Client zu Beginn einer Sitzung die dafür gültigen WPA2-Schlüssel mitgeteilt.
Wichtig bei WLAN, der WLAN-Access-Point muss auf WPA2-Enterprise eingestellt sein. Dabei hinterlegt man die IP-Adresse des RADIUS-Servers und ein Passwort, mit dem der RADIUS-Server und der WLAN-Access-Point ihre Kommunikation verschlüsseln und sichern.
Prinzipiell kann ein RADIUS-Server auch zur Verwaltung von Zugangsdaten dienen. Es gibt Architekturen bei denen der RADIUS-Server die Benutzer-Zugangsdaten nicht verwaltet, sondern zum Beispiel ein LDAP-Server (Verzeichnisdienst). In diesem Fall leitet der RADIUS-Server die Authentifizierung an den LDAP-Server weiter.
EAP – Extensible Authentication Protocol
Die Kommunikation zwischen Supplicant und Authenticator erfolgt über das Extensible Authentication Protocol over LAN (EAPoL). Die Kommunikation zwischen Authenticator und Authentication Server erfolgt über in RADIUS-Paketen gekapselte EAP-Pakete.
- Zuerst meldet sich der WLAN-Client (Supplicant) am WLAN-Access-Point (Authenticator) an. Beide Geräte sind entsprechend auf WPA2-Enterprise konfiguriert.
- Der Access-Point (Authenticator) fordert den Client (Supplicant) zur Authentifizierung auf. In der Regel folgt hier die Eingabe von Benutzername und Passwort durch den Nutzer.
- Der Client (Supplicant) authentisiert sich nach IEEE 802.1x.
- Der Access-Point (Authenticator) leitet die Authentifizierung an den RADIUS-Server (Authentication Server) weiter.
- Bei erfolgreicher Authentifizierung gibt der RADIUS-Server das Master Secret zurück.
- Der Access-Point generiert den Sitzungsschlüssel und teilt diesen dem Client mit.
- Durch den Sitzungsschlüssel bekommt der Client Zugriff auf das Netzwerk.
- In regelmäßigen Abständen bekommt der Client einen neuen Sitzungsschlüssel mitgeteilt.
- Damit ist weiterhin der Zugriff auf das Netzwerk durch den Client möglich.
TACACS+
TACACS+ ist ein weiteres Triple-A-Systeme-Protokoll, welches auch als Network Access Server (NAS) ähnliches eines RADIUS eingesetzt werden kann.
Im Gegensatz zum UDP-basierten RADIUS verwendet TACACS+ das verbindungsorientierte TCP auf Port 49. Eine weitere Abgrenzung zu RADIUS besteht in der Tatsache, dass die gesamte TACACS-Kommunikation verschlüsselt ist.
WLAN Topologie
Infrastruktur-Modus (Basic Service Set (BSS)
Die Typische WLAN-Topologie bestehend aus WLAN Access Point und WLAN Client. Der Access Point strahlt WLAN im Bereich seiner Antennenreichweite aus und steht somit WLAN für alle Clients innerhalb der Reichweite zur Verfügung. Alle Clients teilen sich die Übertragungsrate des Access Points auf.
Wireless Bridging (Extended Service Set (ESS)
Wenn mehrere Access Points in Form von zwei oder mehreren BSS zueinander eine Verbindung aufbauen, nennt sich dies Wireless Bridging. Damit kann die Reichweite eines WLAN erhöht werden.
Die Reichweite im Freien liegt bei guten Bedingungen zwischen 100 und 300 Metern. Reicht das nicht aus, so lässt sich mit zwei gerichteten Antennen einige Kilometer überbrücken.
IEEE 802.11c ist der Standard zur drahtlosen Kopplung zweier Netzwerk-Topologien über WLAN. Das Bridging erfolgt mit zwei Access Points. Hierbei handelt es sich dann um eine dedizierte Funkverbindung. Die Identifikation der Gegenstelle erfolgt über die MAC-Adresse. Anmeldeversuche gewöhnlicher drahtloser Endgeräte werden verweigert.
WLAN-Repeater innerhalb des Wireless Bridging:
Die Reichweite von WLANs ist insbesondere in Innenräumen begrenzt. Zur Vergrößerung der Reichweite werden WLAN-Repeater eingesetzt. Hierbei reduziert sich die verfügbare Reichweite. Trotzdem ergibt sich durch den Einsatz eines WLAN-Repeaters eine verbesserte Übertragungsqualität, um größere Entfernungen oder störende Betonwände zu überwinden.
| WLAN-Repeater | Wireless Distribution System | Universal Repeater Mode |
|---|---|---|
| Funktion | Bridging zwischen Basisstationen | Repeater agiert als Client und Basisstation |
| WLAN-Kanal | gleich | konfigurierbar |
| Bandbreitenhalbierung | Ja | Nein |
| Verschlüsselung | herstellerspezifisch | WPA2, WPA3 |
| gleiche SSID notwendig | Ja | Nein |
| Handover zwischen APs | Ja | Nein |
WLAN-Mesh
Ein WLAN-Mesh ist ein flächendeckendes WLAN, bei dem sich mehrere Access Points untereinander per WLAN verbinden. Jeder Access Point fungiert dabei als autonomer Knoten, der senden und empfangen kann. Seamless-Routing sorgt dafür, dass ein Client sich mit dem Access Point verbindet, dessen Signal am stärksten zu empfangen ist.
Mangels eines herstellerübergreifenden Standards sind die meisten WLAN-Mesh-Systeme nicht kompatibel zueinander.
WLAN-Roaming
Wenn sich die Funkbereiche der Access Points gegenseitig ein klein wenig überlappen, dann kann sich der Client zwischen den Access Points bewegen, ohne dass die Netzwerkverbindung unterbrochen wird. Diese Funktionsweise bezeichnet man als Roaming. Für die Umsetzung gibt es mehrere Verfahren.
Ad-hoc (Independent Basic Service Set (IBSS))
WLAN-Geräte (Clients) verbinden sich miteinander und bauen so eine Verbindung auf, sind die Geräte zu weit auseinander, wird die Verbindung abgebrochen.
Keine sichere Verschlüsselung möglich!
Privates WLAN
Heutzutage sind in den meisten Endgeräten (Computern, Laptops und Smartphones) WLAN-Karten/Antennen intern verbaut.
Für das Ausstrahlen eines WLANs sind heutzutage auch alle gängigen Router (Fritzbox, TP-Link, Asus, usw.) mit Funk-Antennen ausgestattet.
Meist ist nur eine Grundkonfiguration am Router benötigt.
Enterprise WLAN
In den meisten Geräten sind bereits WLAN-Karten/Antennen verbaut, allerdings gibt es hier ausnahmen, wie z.B. (alte/spezielle) ThinClients oder (alte) medizinische Geräte ohne WLAN-Karten.
Im Enterprise / Business Bereich gibt es verschiedenste möglichkeiten WLAN im großen Stil bereitzustellen.
Möglichkeit 1:
Einzelne Access Points
Access Points werden einzeln Konfiguriert werden
Haben keine Management-Oberfläche
Müssen einzeln geupdated werden
Möglichkeit 2:
Access Point mit Management-Oberfläche (Eigenständig)
Access Points werden zentral über die Management-Oberfläche konfiguriert
Können zentral geupdated werden
Management-Oberfläche muss nicht dauerhaft aktiv sein, Access Points speichern die Konfiguration lokal
Möglichkeit 3:
Access Points mit Management-Oberfläche (nicht Eigentständig)
Access Point werden zentral über die Management-Oberfläche gestuert
Werden automatisiert auf dem neusten Update-Stand gehalten
Wenn die Management-Oberfläche ausfällt, ist das WLAN tot, da die Access Points keine lokale Speicherung der Konfiguration haben
Grundlegende Probleme bei WLAN
WLAN hat leider nicht die gleichen Übertragungsraten wie Kabel, somit ist es leider grundlegend ein wenig langsamer, als die Übertragung per Kabel, vor allem ist WLAN stark durch die Belegung der Funkkanäle und Störquellen beeinflussbar. Eine laufende Mikrowelle kann beispielsweise sehr stark ein WLAN-Signal verschlechtern.