TU Wien | ZID | ZIDline 8 | WLAN an der TU Wien
Tilman Linneweh
Mit der zunehmenden Verbreitung von Laptops steigt die Popularität von drahtloser Kommunikation via Wireless LAN, GPRS, Bluetooth etc. Deshalb baut der Zentrale Informatikdienst derzeit auf dem Campus der Technischen Universität Wien ein Wireless LAN auf, das von allen Angehörigen der TU (Mitarbeitern und Studierenden) genutzt werden kann.
Abbildung 1: Schon mit zwei oder mehr drahtlosen
Netzwerkkarten lässt sich ein einfaches Wireless LAN aufbauen.
Für die Verbindung von einem Wireless LAN mit einem drahtgebundenen LAN wird ein so genannter Accesspoint benötigt. Der Accesspoint ist eine Bridge zwischen den beiden Medien. Mit dem LAN ist er über einen Twisted-Pair Anschluss verbunden, mit dem drahtlosen Endsystem kommuniziert er über eine Antenne.
Durch Einsatz mehrerer Accesspoints kann man die gesamte Fläche, auf der der Netzzugang möglich sein soll, mit überlappenden Zellen versorgen. Dadurch können sich die Anwender mit ihren Notebooks frei bewegen, ohne den Kontakt zum LAN zu verlieren (siehe Abbildung 2).
Abbildung 2: Ein Wireless LAN mit Accesspoints
Da ein Endsystem Pakete von verschiedenen Wireless LANs gleichzeitig empfangen kann, ist im Paket-Header eines WLAN Pakets ein eindeutiger Name vorgesehen, die SSID ("Service Set Identifier"). Diese SSID besteht aus maximal 32 Buchstaben. Damit ein Rechner an einem Wireless LAN teilnehmen kann, muss er die zugehörige SSID kennen. Da die SSID im Klartext eines Pakets mitgesendet wird, bietet die SSID aber keinen Schutz vor unberechtigtem Zugriff auf das WLAN.
Derzeit gibt es drei verschiedene Standards für Wireless LAN. 802.11b ist der älteste, verbreitetste Standard und wird derzeit im TUNET Wireless LAN verwendet. 802.11b kompatible Geräte funken mit einer brutto Geschwindigkeit von 11 MBit/s (netto ca. 5.5 MBit/s). Als Frequenz wird das 2,4 GHz Band verwendet, in dem u.a. auch Mikrowellenöfen und Bluetooth funken. Die Abstrahlenergie der Sender ist kleiner als 100mW. Zum Vergleich: Ein Handy sendet mit bis zu 2 Watt. Der Radius des vom Accesspoint abgedeckten Bereichs ist abhängig von den Gebäudestrukturen und schwankt durchschnittlich zwischen 30 und 40 Meter. Mit speziellen Richtantennen und bei Sichtkontakt lassen sich auch größere Reichweiten erzielen.
Der Frequenzbereich (2,400 bis 2,4835 GHz) für 802.11b Wireless LAN ist in Kanäle aufgeteilt. In Europa sind 13 Kanäle zugelassen, in den USA 11.
Diese Kanäle sind allerdings nicht überlappungsfrei, so dass es zu Störungen zwischen Accesspoints auf benachbarten Kanälen kommen kann. Um diese zu vermeiden, werden idealerweise nur 3 Kanäle benutzt, z.B. 1, 6, 11 (siehe Abbildung 3).
Abbildung 3: Die Kanäle sind überlappend angeordnet
Die Accesspoints sollten nach Möglichkeit so angeordnet sein, dass es keine überlappenden Bereiche zwischen Accesspoints mit gleichem Sendekanal gibt, da dies die maximal verfügbare Bandbreite reduziert.
Durch diese Einschränkungen bezüglich der Platzierung der Accesspoints ist eine vollflächige Versorgung von Gebäuden problematisch (siehe Abbildung 4).
Abbildung 4: Kanalverteilung
Die beiden neueren Standards 802.11a und 802.11g, für die jetzt erste Geräte im Handel erhältlich sind, definieren eine höhere Geschwindigkeit von 54 MBit/s brutto (ca. 22 MBit/s netto). 802.11g benutzt ebenfalls das 2.4 GHz Band, 802.11a nutzt hingegen das derzeit noch weitgehend ungenutzte 5 GHz Band.
Der große Nachteil der neuen Standards ist die geringere Reichweite der Accesspoints. Dadurch müssen wesentlich mehr Accesspoints pro Fläche eingesetzt werden, wodurch eine Versorgung mit 54 MBit/s erheblich teurer wird.
802.11 Protokoll Header |
Initialisierungs-Vektor | Daten | Prüfsumme |
Diese Schlüssellängen sind in der heutigen Zeit zu kurz, alleine mit Brute-Force könnte der gesamte Schlüsselbereich in ca. 45 Tagen von einem herkömmlichen PC berechnet werden.
Durch die Kürze des IV werden außerdem innerhalb kürzester Zeit Pakete mit dem gleichen Schlüssel verschlüsselt. Nutzt ein Angreifer zusätzlich bekannte Schwächen im Schlüsselgenerierungsalgorithmus von herkömmlichen WLAN Karten aus, kann er den Schlüsselbereich auf 21 Bit reduzieren und so innerhalb von 20 - 40 Sekunden den Schlüssel knacken.
Des Weiteren kann ein Angreifer durch Senden von modifizierten Paketen den Accesspoint dazu bringen, Pakete wiederholt zu senden. Dadurch kommt er ohne großen Zeitaufwand an die benötigten Datenmengen, um den Schlüssel zu berechnen.
Ein weiteres Problem neben den Schwächen des WEP Algorithmus ist die Verteilung des WEP Schlüssels. Der gemeinsame Schlüssel muss auf allen Rechnern des Netzwerks installiert werden, was in größeren Netzwerken nicht praktikabel ist.
Verschiedene Hersteller haben zusätzlich proprietäre Protokolle entwickelt, die eine bessere Sicherheit als WEP Verschlüsselung bieten. Diese Protokolle sind in einem heterogenen Umfeld wie beispielsweise in Universitäten nicht geeignet, da sie meist nur mit den Produkten eines Herstellers funktionieren.
Das Universal Subscriber Gateway fängt den ersten http-Request ab und leitet den Benutzer auf eine Authentifizierungsseite weiter. Hier kann sich der Benutzer per https authentifizieren, danach wird er für den Verkehr in das TUNET und in das Internet freigeschaltet (siehe Abbildung 6).
Abbildung 6: Schematische Darstellung des TUNET WLAN
Die TCP/IP Konfiguration kann per DHCP bezogen werden. alternativ kann auch eine beliebige IP-Adresse eingestellt sein. Die Verwendung des VPN-Zugangs erfordert allerdings DHCP.
Mitarbeiter müssen das notwendige Formular http://nic.tuwien.ac.at/formulare/ansukom_dialin.pdf ausfüllen.
Im Laufe des Jahres ist die Versorgung von weiteren Bereichen geplant: Im Hauptgebäude am Karlsplatz sollen verschiedene Hörsäle und Zeichensäle versorgt werden, darunter auch der Festsaal und der Prechtlsaal. Außerdem ist WLAN-Versorgung in den Hörsälen in der Gußhausstraße, im Audimax sowie im Heinz-Zemanek-Hörsaal in der Favoritenstraße geplant.
Eine flächendeckende Versorgung ist derzeit allerdings aus Kostengründen nicht vorgesehen.