TU Wien | ZID | ZIDline 8 | WLAN an der TU Wien

Wireless LAN an der TU Wien

Tilman Linneweh

Mit der zunehmenden Verbreitung von Laptops steigt die Popularität von drahtloser Kommunikation via Wireless LAN, GPRS, Bluetooth etc. Deshalb baut der Zentrale Informatikdienst derzeit auf dem Campus der Technischen Universität Wien ein Wireless LAN auf, das von allen Angehörigen der TU (Mitarbeitern und Studierenden) genutzt werden kann.

Was ist WLAN?

WLAN steht für "wireless local area network" - kabelloses Netzwerk. Der Datenaustausch zwischen dem Computer und anderen Netzwerkkomponenten erfolgt über Funk. Die einfachste Form eines WLAN besteht aus zwei Rechnern mit WLAN Netzwerkkarten und wird als "Adhoc Netzwerk" bezeichnet (siehe Abbildung 1).

wlan-abb1
Abbildung 1: Schon mit zwei oder mehr drahtlosen
Netzwerkkarten lässt sich ein einfaches Wireless LAN aufbauen.

Für die Verbindung von einem Wireless LAN mit einem drahtgebundenen LAN wird ein so genannter Accesspoint benötigt. Der Accesspoint ist eine Bridge zwischen den beiden Medien. Mit dem LAN ist er über einen Twisted-Pair Anschluss verbunden, mit dem drahtlosen Endsystem kommuniziert er über eine Antenne.

Durch Einsatz mehrerer Accesspoints kann man die gesamte Fläche, auf der der Netzzugang möglich sein soll, mit überlappenden Zellen versorgen. Dadurch können sich die Anwender mit ihren Notebooks frei bewegen, ohne den Kontakt zum LAN zu verlieren (siehe Abbildung 2).

wlan-abb2
Abbildung 2: Ein Wireless LAN mit Accesspoints

Da ein Endsystem Pakete von verschiedenen Wireless LANs gleichzeitig empfangen kann, ist im Paket-Header eines WLAN Pakets ein eindeutiger Name vorgesehen, die SSID ("Service Set Identifier"). Diese SSID besteht aus maximal 32 Buchstaben.  Damit ein Rechner an einem Wireless LAN teilnehmen kann, muss er die zugehörige SSID kennen. Da die SSID im Klartext eines Pakets mitgesendet wird, bietet die SSID aber keinen Schutz vor unberechtigtem Zugriff auf das WLAN.

Derzeit gibt es drei verschiedene Standards für Wireless LAN. 802.11b ist der älteste, verbreitetste Standard und wird derzeit im TUNET Wireless LAN verwendet. 802.11b kompatible Geräte funken mit einer brutto Geschwindigkeit von 11 MBit/s (netto ca. 5.5 MBit/s). Als Frequenz wird das 2,4 GHz Band verwendet, in dem u.a. auch Mikrowellenöfen und Bluetooth funken. Die Abstrahlenergie der Sender ist kleiner als 100mW. Zum Vergleich: Ein Handy sendet mit bis zu 2 Watt. Der Radius des vom Accesspoint abgedeckten Bereichs ist abhängig von den Gebäudestrukturen und schwankt durchschnittlich zwischen 30 und 40 Meter. Mit speziellen Richtantennen und bei Sichtkontakt lassen sich auch größere Reichweiten erzielen.

Der Frequenzbereich (2,400 bis 2,4835 GHz) für 802.11b Wireless LAN ist in Kanäle aufgeteilt.  In Europa sind 13 Kanäle zugelassen, in den USA 11.

Diese Kanäle sind allerdings nicht überlappungsfrei, so dass es zu Störungen zwischen Accesspoints auf benachbarten Kanälen kommen kann. Um diese zu vermeiden, werden idealerweise nur 3 Kanäle benutzt, z.B. 1, 6, 11 (siehe Abbildung 3).

wlan-abb3
Abbildung 3: Die Kanäle sind überlappend angeordnet

Die Accesspoints sollten nach Möglichkeit so angeordnet sein, dass es keine überlappenden Bereiche zwischen Accesspoints mit gleichem Sendekanal gibt, da dies die maximal verfügbare Bandbreite reduziert.

Durch diese Einschränkungen bezüglich der Platzierung der Accesspoints ist eine vollflächige Versorgung von Gebäuden problematisch (siehe Abbildung 4).

wlan-abb4
Abbildung 4: Kanalverteilung

Die beiden neueren Standards 802.11a und 802.11g, für die jetzt erste Geräte im Handel erhältlich sind, definieren eine höhere Geschwindigkeit von 54 MBit/s brutto (ca.  22 MBit/s netto). 802.11g benutzt ebenfalls das 2.4 GHz Band, 802.11a nutzt hingegen das derzeit noch weitgehend ungenutzte 5 GHz Band.

Der große Nachteil der neuen Standards ist die geringere Reichweite der Accesspoints.  Dadurch müssen wesentlich mehr Accesspoints pro Fläche eingesetzt werden, wodurch eine Versorgung mit 54 MBit/s erheblich teurer wird.

Sicherheit im Wireless LAN

Drahtlose Netze sind grundsätzlich leicht abhörbar. Im Gegensatz zum geswitchten Twisted-Pair Netzwerk sind im WLAN die gesendeten Daten im Umkreis des Senders zu empfangen. Die Daten machen so auch nicht vor den Gebäudegrenzen halt und sind somit unter Umständen auch auf der gegenüberliegenden Straßenseite zu empfangen. Neben dem Abhören von Daten im WLAN besteht für einen Angreifer aber auch die Möglichkeit, aktive Angriffe durchzuführen (z.B. Spam versenden, Denial Of Service, Exploits etc.). Angreifer, die von ungesicherten Wireless LANs aus agieren, sind nur schwer identifizierbar !

WEP - Wire Equivalent Security

WEP ist der im Standard 802.11b definierte Sicherheitsmechanismus. Der Accesspoint und alle Rechner im Netzwerk benutzen einen gemeinsamen Schlüssel mit einer Schlüssellänge von 40 bzw. 104 Bit. Dieser Schlüssel wird mit einem 24 Bit Initialisierungsvektor (IV) verlängert. Der Initialisierungsvektor wird im Klartext dem Paket vorangestellt (siehe Abbildung 5).

802.11
Protokoll
Header
Initialisierungs-Vektor Daten Prüfsumme
Abbildung 5: Aufbau eines 802.11 Pakets

Diese Schlüssellängen sind in der heutigen Zeit zu kurz, alleine mit Brute-Force könnte der gesamte Schlüsselbereich in ca. 45 Tagen von einem herkömmlichen PC berechnet werden.

Durch die Kürze des IV werden außerdem innerhalb kürzester Zeit Pakete mit dem gleichen Schlüssel verschlüsselt. Nutzt ein Angreifer zusätzlich bekannte Schwächen im Schlüsselgenerierungsalgorithmus von herkömmlichen WLAN Karten aus, kann er den Schlüsselbereich auf 21 Bit reduzieren und so innerhalb von 20 - 40 Sekunden den Schlüssel knacken.

Des Weiteren kann ein Angreifer durch Senden von modifizierten Paketen den Accesspoint dazu bringen, Pakete wiederholt zu senden. Dadurch kommt er ohne großen Zeitaufwand an die benötigten Datenmengen, um den Schlüssel zu berechnen.

Ein weiteres Problem neben den Schwächen des WEP Algorithmus ist die Verteilung des WEP Schlüssels.  Der gemeinsame Schlüssel muss auf allen Rechnern des Netzwerks installiert werden, was in größeren Netzwerken nicht praktikabel ist.

Verschiedene Hersteller haben zusätzlich proprietäre Protokolle entwickelt, die eine bessere Sicherheit als WEP Verschlüsselung bieten.  Diese Protokolle sind in einem heterogenen Umfeld wie beispielsweise in Universitäten nicht geeignet, da sie meist nur mit den Produkten eines Herstellers funktionieren.

VPN - Virtual Private Network

Eine sichere alternative zur WEP Verschlüsselung ist das Virtual Private Network (VPN). Die genaue Funktionsweise des VPNs wurde ausführlich im Artikel "VPN-Zugang zum TUNET", ZIDline 7, Oktober 2002 besprochen. Benutzer des TUNET WLANs bekommen automatisch einen separaten VPN-Zugang für das Wireless LAN. Um diesen zu verwenden, ist es notwendig, sich das entsprechende Profil von der VPN-Webseite https://nic.tuwien.ac.at/tunet/vpn/download/config/vpn-mobilnetz.zip im Cisco VPN-Client zu installieren.

Universal Subscriber Gateway

An der TU erfolgt die Authentifizierung der WLAN Benutzer - genauso wie auch die Authentifizierung der TUNET-Anschlüsse in den Hörsälen - über ein Universal Subscriber Gateway (USG).

Das Universal Subscriber Gateway fängt den ersten http-Request ab und leitet den Benutzer auf eine Authentifizierungsseite weiter. Hier kann sich der Benutzer per https authentifizieren, danach wird er für den Verkehr in das TUNET und in das Internet freigeschaltet (siehe Abbildung 6).

Technische Realisierung

Im TUNET WLAN kommen hochwertige Accesspoints der Firma Cisco zum Einsatz. Die ideale Positionierung der Accesspoints im Gebäude wurde von der Fa.  Getronics vermessen.  Das Wireless LAN ist durch eine eigene Firewall vom TUNET getrennt (siehe Abbildung 6).

wlan-abb6

Abbildung 6: Schematische Darstellung des TUNET WLAN

Technische Voraussetzungen

Für die Benützung des WLANs wird eine 802.11b kompatible Netzwerkkarte benötigt. Die SSID muss auf "tunet" eingestellt sein. Im TUNET wird keine WEP Verschlüsselung verwendet, statt dessen wird der VPN-Zugang empfohlen.

Die TCP/IP Konfiguration kann per DHCP bezogen werden. alternativ kann auch eine beliebige IP-Adresse eingestellt sein. Die Verwendung des VPN-Zugangs erfordert allerdings DHCP.

Administrative Voraussetzungen

Studierende können sich unter https://nic.tuwien.ac.at/cgi-bin/komvergabe.cgi anmelden.

Mitarbeiter müssen das notwendige Formular http://nic.tuwien.ac.at/formulare/ansukom_dialin.pdf ausfüllen.

Derzeit versorgte Bereiche

Das WLAN ist bereits im Freihaus (Erdgeschoss, 1. und 2. Stock), sowie im Erdgeschoss der Bibliothek verfügbar.

Im Laufe des Jahres ist die Versorgung von weiteren Bereichen geplant:  Im Hauptgebäude am Karlsplatz sollen verschiedene Hörsäle und Zeichensäle versorgt werden, darunter auch der Festsaal und der Prechtlsaal. Außerdem ist WLAN-Versorgung in den Hörsälen in der Gußhausstraße, im Audimax sowie im Heinz-Zemanek-Hörsaal in der Favoritenstraße geplant.

Eine flächendeckende Versorgung ist derzeit allerdings aus Kostengründen nicht vorgesehen.

Weitere Informationen:

http://nic.tuwien.ac.at/tunet/wlan/



topSeitenanfang | ZIDline 8 - Juni 2003 | ZID | TU Wien