Lade Inhalt...

WLAN. Logische Integration in die IT-Infrastruktur und Abläufe der WLAN-Kommunikation

Hausarbeit 2016 31 Seiten

Informatik - IT-Security

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis V

Abbildungsverzeichnis VI

1. Einleitung

2. Komponenten und deren Funktion im Bereich WLAN
2.1. Service Set Identifier
2.2. Preshared Key
2.3. WLAN Client
2.4. Internet-Gateway / Router
2.5. Access Point
2.6. WLAN Controller
2.7. IEEE

3. Logische Integrationsmöglichkeiten in die IT-Infrastruktur

4. Funktionsweise eines WLAN-Hotspots

5. Technische Hintergründe
5.1. Funktionsweise einer WLAN-Übertragung
5.2. Vergleich des 2,4- und 5GHz Frequenzbandes
5.3. Beacons und Passives Scanning
5.4. Probe Request und Response - Aktives Scanning
5.5. Einwahl in ein WLAN
5.6. WLAN-Verschlüsselung - Die Entstehung von WPA
5.7. 802.1x - WPA(2) Enterprise
5.8. Roaming
5.9. Inter Access Point Protocol

6. Fazit

7. Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1- Ausgabe ipconfig /all auf einem Windows 10 Gerät

Abbildung 2 - WLAN Access Point der Firma LANCOM Systems

Abbildung 3 - Variante 1, mit Einzeichnung der Broadcast-Domänen

Abbildung 4 - Routing-Tabelle des Access Points

Abbildung 5 - Routing-Tabelle des Internet-Gateway-Routers

Abbildung 6 - Variante 2, Variante 1 mit VLAN umgebaut

Abbildung 7 - Variante 3, Variante 2 mit WLAN-Controller

Abbildung 8 - Hotspotoberfläche, LANCOM Public Spot

Abbildung 9 - von iOS beim betreten des WLANs geöffneter Weblink

Abbildung 10 - Tracelog einer Hotspot Einwahl bei einem WLC mit aktivierter Hotspot Option (Public Spot Option)

Abbildung 11 - Hiddenstation Problem

Abbildung 12 - Zeitlicher Verlauf der Datenübertragung mit RTS/CTS-Mechanismus (Rech, 2012, p. 176)

Abbildung 13 - 802.1x mit RADIUS-Server

Abbildung 14 - Roamingeinstellungen eines WLAN Access Points der Firma LANCOM- Systems

1. Einleitung

„WLAN ist wie Voodoo“. Dies ist eine Aussage, die oft von Technikern zu hören, ist, die regelmäßig mit WLAN-Szenarien (Wireless Local Area Network) in Kundenprojekten zu tun haben. Der Hintergrund ist, dass die Technik heute so weit fortgeschritten ist, dass sie sehr einfach zu benutzen ist und eine weitergehende Auseinandersetzung damit von Seiten des Anwenders, aber auch des Technikers, nicht notwendig ist. Die WLAN-Geräte werden aufgestellt, grob konfiguriert und verrichten danach in den meisten Fällen ihren Job. Wenn Störungen auftreten oder die Performance gering ist, wird zwar noch akzeptiert, dass das Medium aufgrund zu vieler Clients oder Störquellen überlastet ist, aber warum dies beim WLAN so schnell passieren kann, bleibt dem Anwender / Techniker verborgen. Auch an der Implementierung von WLAN-Umgebungen, die über eine einzelnes ausgestrahltes WLAN hinausgehen, stellen sich für Techniker oft als zuvor nicht eingeplante Schwierigkeit heraus. Mangels Erfahrung werden Feinheiten in IP basierten Netzwerkstrukturen nicht verstanden, was zu einem erheblich höheren Zeitaufwand bei der Integration einer WLAN-Infrastruktur in ein schon bestehendes Unternehmensnetzwerk führt oder zu Kompromissen verleitet die nicht notwendig sind. Dieses Grundverständnis, „was da eigentlich passiert“, sowohl bei der WLAN Kommunikation selber, aber auch bei der Integration einer WLAN Struktur in ein Unternehmensnetzwerk, ist Gegenstand dieser Seminararbeit.

Hierfür werden zu Beginn viel genutzte Begriffe aufgegriffen und kurz erläutert. Daraufhin werden drei Varianten vorgestellt, wie WLAN Access Points in ein Unternehmen integriert werden können. Nach einer Erklärung wie die WLANKommunikation im Allgemeinen funktioniert, wird auf einzelne technische Aspekte der WLAN-Einwahl eingegangen inklusive einer kurzen Erläuterung der möglichen Absicherungsmethoden eines WLANs.

Der Schwerpunkt dieser Seminararbeit liegt zum einen in der Darstellung verschiedener WLAN-Integrationsmöglichkeiten für Unternehmen und zum anderen in der Erläuterung einzelner Abläufe bei der WLAN-Kommunikation.

2. Komponenten und deren Funktion im Bereich WLAN

Im Laufe dieser Seminararbeit werden bestimmte Begriffe regelmäßig auftreten. Diese werden innerhalb dieses Kapitels erläutert.

2.1. Service Set Identifier

Der Service Set Identifier auch SSID genannt, ist der bis zu 32 Byte lange „WLAN- Name“. Dieser erscheint, wenn ein WLAN-Client nach WLANs sucht. In Szenarien mit vielen Access Points kann die gleiche SSID von mehreren Geräten ausgestrahlt werden. Zusätzlich ist es möglich, anhand des SSID Namens eine Segmentierung vorzunehmen, also Clients den Zugriff auf unterschiedliche IP-Netzwerke zu geben (vgl. Rech, 2012, p. 52).

2.2. Preshared Key

Eine Methode das WLAN abzusichern ist die Verwendung eines Preshared Keys (PSK) Dieser wird bei der Einwahl in das WLAN eingeben. Da diese Methode bei der Umsetzung besonders einfach ist, wird diese bei vielen Heimroutern mit WLAN Funktion verwendet. Wie der Begriff Preshared schon aussagt, muss der Key dem Benutzer vor der Anmeldung mitgeteilt worden sein (vgl. Rech, 2012, p. 512).

2.3. WLAN Client

Im Laufe der Seminararbeit wird oft von Clients beziehungsweise WLAN-Clients gesprochen. Diese sind die Stationen, welche sich bei einem Access Point im WLAN einwählen. Hiermit sind Computer, Smartphones und andere WLAN fähige Geräte gemeint.

2.4. Internet-Gateway / Router

Als Internet-Gateway wird ein Hop im Netzwerk bezeichnet, über den ein Client in einem IP basierten Netzwerk auf das Internet zugreifen kann. Die Rede ist in der Regel von einem Router, der unterschiedliche Netze miteinander verbindet. Mit dieser Routing- Funktion sind manche Access Points ebenfalls ausgestattet. Das Internet-Gateway kann zusätzlich eine Firewall enthalten, welche anhand von Firewall-Regeln den Zugriff auf die Netze steuert (vgl. Rech, 2012, pp. 66-67).

Die IP-Adresse des Gateway-Routers kann auf Windowsgeräten beispielsweise durch die Eingabe ipconfig /all herausgefunden werden. Alle Anfragen für das Internet werden an die IP des Standardgateways gesendet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1- Ausgabe ipconfig /all auf einem Windows 10 Gerät

2.5. Access Point

Access Points haben den Hauptzweck, ein WLAN auszustrahlen. Sie dienen quasi als Medienwandler zwischen Wireless-LAN und dem Ethernet, was auch bridgen genannt wird. Je nach Aufbau und verwendeten Access Point, ist es möglich, den Clients den Access Point als Internet-Gateway zuzuweisen. Hierfür ist es mitunter notwendig, dass der Access Point die Routing-Funktion implementiert hat. Dabei wird das WLAN- Netzwerk in eine andere Broadcast-Domäne verschoben, damit die dort befindlichen Clients keinen weiteren oder nur begrenzten Kontakt mit dem eigentlichen Firmennetz haben (vgl. Rech, 2012, pp. 395-405).

Ein Beispiel hierzu ist die erste Variante des Kapitels WLAN - Logische Einbindung in die IT-Infrastruktur.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 - WLAN Access Point der Firma LANCOM Systems

2.6. WLAN Controller

Ein WLAN-Controller (WLC) hat die Hauptaufgabe Access Points zentral zu verwalten. Das Ziel des WLCs ist die Vereinfachung des Verwaltungsaufwands, indem alle Access Points zentral verwaltet und konfiguriert werden können (vgl. Rech, 2012, pp. 406-407).

Herstellerabhängig gibt es auch Router, welche neben Ihrer Funktion als Gateway- Router, für unter anderem den Internetzugriff, auch eine WLAN-Controller Funktion implementiert haben. Dies lässt sich beispielsweise bei bestimmten Router-Modellen des Hersteller LANCOM Systems nachrüsten (vgl. LANCOM Systems GmbH, 2016).

2.7. IEEE

In Kapitel 5.6 WLAN-Verschlüsselung - Die Entstehung von WPA wird das „Institute of Electrical and Electronical Engineers“ genannt. Hierbei handelt es sich um ein Konsortium bestehend aus Ingenieuren, welche aus Firmen aus der Netzwerkbranche stammen. Aus diesem entstanden ist der Begriff 802., welcher bei vielen Standard- Bezeichnungen im Netzwerkbereich oft anzutreffen ist. Der Name rührt aus dem Gründungsdatum des Netzwerkprojekts des IEEE, welches im Februar 1980 gegründet wurde (vgl. Rech, 2012, pp. 4-5).

3. Logische Integrationsmöglichkeiten in die IT-Infrastruktur

Es sind mehrere Szenarien denkbar, wie sich eine WLAN-Struktur aufbauen lässt. Dabei wird im Rahmen dieser Seminararbeit auf drei unterschiedliche Aufbaumöglichkeiten eingegangen sowie deren Vorund Nachteile erläutert.

Gerade für große Szenarien macht es wenig Sinn die Konfiguration jedes einzelnen Access Points manuell vorzunehmen. Dies bedeutet für den Administrator einen erheblichen Aufwand bei der späteren Betreuung des Szenarios, insbesondere bei steigenden Anforderungen, wie beispielsweise das dazu schalten einer weiteren SSID. Je nach Aufbau des Szenarios muss nicht nur die Konfiguration der Access Points, sondern auch die Konfiguration des nächsten Gateways angepasst werden, beispielweise durch das eintragen von Rückrouten.

Schnell kommt der Punkt, an dem die Verwendung eines zentralen WLAN-Controllers notwendig ist. Dieser verwaltet alle Access Points und der Administrator braucht nur noch sogenannte Profile zu erstellen, die die gewünschte WLAN-Konfiguration wie eine SSID beinhalten und automatisch auf alle Geräte ausgerollt werden.

Der WLAN-Controller gibt dem Access Point nicht nur die auszustrahlenden SSIDs vor, sondern auch, welche physikalischen Gegebenheiten beachtet werden sollen, wie die Nutzung des Frequenzbandes und des Kanals.

Für große als auch kleinere Installationen spielt VLAN eine wichtige Rolle. In vielen Bereichen ist es notwendig, Netze voneinander zu trennen. Welche Vorteile ein mit VLAN konfiguriertes Szenario genau bietet, wird im Folgenden dargestellt.

Ein klassisches Beispiel ist die Netztrennung bei Szenarien mit einem Firmennetzwerk und einem Gastnetzwerk. Das Gastnetzwerk soll ins Internet, aber nicht auf das eigentliche Intranet zugreifen und damit die Gesamtstruktur nicht gefährden.

Im simpelsten Fall befindet sich das Gastnetzwerk auf separater Hardware und kommt getrennt am Gateway-Router an, auf dem die Zugriffsrechte in Form von Firewall-Regeln konfiguriert wurden. Sehr oft lässt sich dies aber aufgrund von Aufwandund Kostengründen nicht auf unterschiedlicher Hardware realisieren, weshalb dann auf VLAN zurückgegriffen wird.

Variante 1 - Ohne WLAN-Controller - ohne VLAN

Es wird davon ausgegangen, dass mehrere Access Points vorhanden sind. Diese werden über einen Switch an die Infrastruktur angebunden, an der sich auch ein Gateway-Router befindet. Damit befinden sich alle Geräte in der gleichen Broadcast Domäne. Von einem 192.168.91.0 /24 Netzwerk ausgehend, bedeutet das, dass wir allen Geräten eine IPAdresse aus diesem Bereich geben.

Router: 192.168.91.1

AP: 192.168.91.220, 221, 222, ...

Die Access Points haben jetzt für das Intranet (Firmennetzwerk) die Aufgabe, eine SSID bereitzustellen, deren verbundene Clients sich im Intranet befinden. Somit kann das Gerät als Medienwandler zwischen Ethernet und WLAN betrachtet werden. Dies wird auch „bridgen“ genannt.

Das Gastnetzwerk wiederrum darf sich nicht im Intranet befinden. Würde der Access Point auch hier bridgen, würden sich die Clients der Gäste ebenfalls im Intranet befinden. Dies hätte zur Folge, dass Zugriff auf Netzwerkressourcen wie Server, Firmen-PCs und anderen Geräte bestehen würde. Diese sind zwar zumeist abgesichert, aber das erste Hindernis wäre genommen.

Schaden kann dabei nicht nur durch das knacken von Server-Passwörtern oder aufzeichnen des Netzwerktraffics entstehen. Es reicht schon aus, dass ein Fremder-Client IP-Adressen verteilt (DHCP) oder sich die IP des Gateway-Routers gibt, um das gesamte Netzwerk zu stören

Also muss sich der Client in einem getrennten Netzwerk befinden. Im ersten Beispiel wird dabei nicht auf VLAN zurückgegriffen.

Der Access Point muss entsprechend für seine Gast SSID einen eigenen Adressbereich verwenden und für diesen auch die IP-Adressen verteilen. In unserem Beispiel hat das Gast-WLAN den Adressbereich 192.168.100.0/24 und der Access Point ist mit der .100.254 das Gateway für das Netz.

Jegliche Anfragen stellen die Clients dem Access Point, der eine „Default-Route“ benötigt, welche aussagt, wohin Pakete für unbekannte Netze, wie beispielsweise öffentliche IPs, geroutet werden sollen. Damit schickt der Access Point alle Anfragen der Clients an den Gateway-Router, der diese ins Internet weiterleiten soll.

Da diese Anfragen nicht maskiert (NAT) werden, erhält der Gateway-Router nun Anfragen aus einem ihm nicht anliegenden und zu Anfangs unbekannten Netz. Damit die Antwortpakete aber an den richtigen Client zurückgeschickt werden können, muss der Gateway-Router eine Route zum Gastnetzwerk erhalten. Diese Rückroute, für das in unserem Beispiel 192.168.100.0/24 Netz, muss eingetragen werden und als nächsten Hop für das Netzwerk die IP des Access Points im Intranet angegeben werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 - Variante 1, mit Einzeichnung der Broadcast-Domänen

Weiterhin muss dem Access Point gesagt werden, dass alle Anfragen des Gastnetzes zwar zum Gateway dürfen, aber nicht in das Intranet. Es wird weiterhin davon ausgegangen das auf dem Access Point eine DNS-Weiterleitung zum Gateway eingetragen ist und die Gast-Clients per DHCP die IP des Access Points als Gateway-IP im Gastnetzwerk erhalten.

Bis hierhin ist die Rede von der Anbindungen eines einzelnen Access Points, der neben der Intranet SSID eine Gast SSID ausstrahlen soll. Die bisherige Konfiguration, muss nun für jeden weiteren Access Point erneut wiederholt werden. Pro Access Point wird entsprechend ein eigenes Gastnetz mit individuellem Adressbereich und Rückroute auf dem Gateway benötigt. Würde der gleiche Adressbereich verwendet werden, gäbe es Probleme mit der Rückroute. Denn es kann nur eine Adresse für einen Adressbereich hinterlegt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4 - Routing-Tabelle des Access Points

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5 - Routing-Tabelle des Internet-Gateway-Routers

Variante 2 - Ohne Controller - Mit VLAN

Um den Aufwand zu verringern empfiehlt es sich, VLANs (802.1q) zu verwenden. Hierbei werden Pakete vom Access Point zum Gateway-Router mit sogenannten Tags versehen. Anhand dieser Tags ist es möglich, die Netze, welche über das gleiche physikalische Medium gehen, voneinander zu trennen.

Beispielsweise befindet sich das Intranet im VLAN 10 und das Gast-Netzwerk im VLAN

20. Die Clients selber sind nicht VLAN fähig und bekommen hiervon nichts mit. Alle

Pakete, die der Access Point von den Clients empfängt, werden abhängig von der konfigurierten „Port-VLAN-ID“ der SSID-Schnittstelle einem VLAN zugeordnet. Mit diesem Tag versehen, werden die Pakete ins Ethernet weitergeschickt.

Im besten Fall sind die Switche ebenfalls VLAN fähig und auf diesen ist konfiguriert, auf welchen Ports welche VLANs ankommen dürfen. Nicht VLAN-fähige Switche ignorieren aber zumeist das VLAN Tag, weshalb diese auch kein Problem darstellen. Entsprechend landen die Pakete beim Gateway-Router, der anhand des VLAN Tags erkennt, welchem Netz die Pakete zuzuordnen sind.

Anhand der Firewall-Einstellungen entscheidet der Router, ob zwischen den Netzen geroutet werden darf, oder ob die Pakete ins Internet weitergeleitet werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6 - Variante 2, Variante 1 mit VLAN umgebaut

Die VLAN und WLAN Konfiguration muss nun auf jedem Access Point nur einmalig durchgeführt werden. Der Gateway-Router selber bekommt von neu hinzugekommenen Access Points nichts mehr mit. Rückrouten werden entsprechend keine mehr benötigt. Das vereinfacht die Verwaltung, Konfiguration und Erweiterung sehr.

[...]

Details

Seiten
31
Jahr
2016
ISBN (eBook)
9783668695542
ISBN (Buch)
9783668695559
Dateigröße
911 KB
Sprache
Deutsch
Katalognummer
v418190
Institution / Hochschule
FOM Essen, Hochschule für Oekonomie & Management gemeinnützige GmbH, Hochschulleitung Essen früher Fachhochschule
Note
1,0
Schlagworte
WLAN WLC WLAN-Controller Hotspot 802.11 WLAN-Übertragung

Teilen

Zurück

Titel: WLAN. Logische Integration in die IT-Infrastruktur und Abläufe der WLAN-Kommunikation