In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Einführung in drahtlose LAN-Technologien - PC

Werbung 
Betriebssystem
Drahtlose LAN-Technologien und Windows XP
Whitepaper
Von Tom Fout
Microsoft Corporation
Veröffentlicht: Juli 2001
Abstract
Dieses Dokument bietet eine Einführung in die drahtlosen LAN-Technologien (Local Area Network), die derzeit
bereitgestellt werden. Darin enthalten sind eine Übersicht über drahtlose Netzwerktopologien sowie allgemeine
Terminologie, die zum Verständnis der Themen erforderlich sind. Es folgt ein Abschnitt, in dem die
verschiedenen problematischen Aspekte im Zusammenhang mit der Bereitstellung drahtloser LAN-Technologien
besprochen werden. Abschließend wird eine Reihe von Lösungen für diese Probleme sowie deren
Implementierung bzw. Umsetzung unter Windows XP erläutert.
Die im vorliegenden Dokument enthaltenen Informationen geben die zum
Zeitpunkt der Veröffentlichung aktuelle Meinung der Microsoft Corporation zu
den behandelten Themen wieder. Da Microsoft auf sich ändernde
Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens
Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten
Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT
SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI
SIE AUSDRÜCKLICH ODER KONKLUDENT.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der
entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche
Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für
irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem
gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art
und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch
Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten
Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum
besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das
Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese
Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei
denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft
eingeräumt.
© 2001 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Windows
und Windows NT sind entweder eingetragene Marken oder Marken der
Microsoft Corporation in den USA und/oder anderen Ländern.
Andere in diesem Dokument genannte Produkt- und Firmennamen können
Marken der jeweiligen Eigentümer sein.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA
7/2001
Inhalt
Mitwirkende .............................................................................................. 2
Einführung ............................................................................................... 4
Einführung in drahtlose LAN-Technologien ......................................... 5
Drahtlose LAN-Technologien im Überblick
5
Vergleich drahtloser LAN-Technologien
6
Drahtlose LAN-Technologien
7
Die Funktionsweise des Infrastrukturmodus im Überblick
9
Die Funktionsweise des Ad-hoc-Modus im Überblick
10
Aktuelle Problemstellungen drahtloser LAN-Topologien ................. 12
Sicherheitsaspekte
12
Problemstellungen durch mobile Benutzer
13
Konfigurationsaspekte
14
Lösungen für die Problemstellungen drahtloser LANs .................... 15
Sicherheit durch 802.1X
Verwenden von RADIUS zur weiteren Vereinfachung
15
16
Nahtlose Mobilität
17
Konfigurationsfreier Dienst für drahtlose Verbindungen
18
Zusammenfassung ................................................................................ 20
Weitere Informationen .......................................................................... 21
Mitwirkende
Windows XP-Whitepaper
2
Tom Fout – Microsoft Corporation
Warren Barkley – Microsoft Corporation
Mark Lee - Microsoft Corporation
Windows XP-Whitepaper
3
Einführung
Durch die Verfügbarkeit drahtloser Netzwerke und drahtloser LANs kann der
Bewegungsspielraum für Netzwerkbenutzer erweitert, verschiedene Probleme
im Zusammenhang mit fest verkabelten Netzwerken behoben und in einigen
Fällen sogar die Kosten für die Bereitstellung von Netzwerken gesenkt werden.
Mit dieser neuen Bewegungsfreiheit bringen drahtlose LANs jedoch auch eine
Reihe von Problemstellungen.
Es stehen derzeit mehrere drahtlose LAN-Lösungen mit einem
unterschiedlichen Maß an Standardisierung und Interoperabilität zur Verfügung.
HomeRF und Wi-Fi™ (IEEE 802.11b) sind zwei Lösungen, die derzeit
wegweisend in der Branche sind. Von diesen beiden Technologien ist 802.11
jene mit einer breiteren Unterstützung in der Branche. Sie ist darauf
ausgerichtet, drahtlose LAN-Anforderungen für Unternehmen, private
Netzwerke und öffentliche Einrichtungen zu erfüllen. Die Wireless Ethernet
Compatibility Alliance ist darum bemüht, die Kompatibilität mit den Standards
802.11 bereitzustellen, um die Interoperabilität mehrerer Hersteller zu
gewährleisten.
Durch die umfassende branchenweite Unterstützung von Interoperabilität und
Betriebssystemen konnten einige der Fragen, die im Zusammenhang mit der
Bereitstellung drahtloser LANs entstehen, gelöst werden. Dennoch bringt der
Einsatz drahtloser LANs neue Problemstellungen im Zusammenhang mit der
Sicherheit, dem mobilen Wechsel von Arbeitsstationen und der Konfiguration
mit sich. Im verbleibenden Dokument werden diese Problemstellungen erläutert
und einige mögliche Lösungen präsentiert. Der Schwerpunkt liegt dabei auf der
Rolle, die Windows XP bei der Bereitstellung dieser Lösungen mit
Unterstützung konfiguratonsfreier Dienste, der 802.1x-Sicherheit sowie weiterer
Innovationen spielt.
Windows XP-Whitepaper
4
Einführung in drahtlose LAN-Technologien
Drahtlose LAN-Technologien im Überblick
Drahtlose Hochgeschwindigkeits-LANs bieten alle Vorteile von verkabelten
Netzwerken, ohne die Einschränkung, an einen bestimmten Standort oder an
Leitungen angebunden zu sein. Dies ist für unzählige Szenarien von Interesse,
u. a. für Szenarien wie dem folgenden:
Drahtlose Verbindungen können eine verkabelte Infrastruktur in Situationen
erweitern oder ersetzen, in denen das Verlegen von Kabeln kostenintensiv oder
nicht erlaubt ist. Temporäre Installationen sind ein Beispiel für Situationen, in
denen ein drahtloses Netzwerk angemessen oder sogar notwendig sein
könnte. So ist die Verkabelung bei einigen Gebäudetypen oder durch
Gebäudevorschriften eventuell verboten, wodurch drahtlose Netzwerke als
Alternative an Bedeutung gewinnen.
Und schließlich wirkt sich auch die Tendenz, neue Leitungen vermeiden zu
wollen, und der Trend zu Netzwerken über Telefonleitungen und sogar über die
Stromversorgung, als Katalysator für private Netzwerke und den Arbeitsplatz zu
Hause aus.
Für den zunehmend mobilen Benutzer bieten sich drahtlose LANs als ideale
Lösung an. Der tragbare Zugang zu drahtlosen Netzwerken ist über
Laptopcomputer und drahtlose NICs möglich. Dadurch kann sich der Benutzer
an unterschiedlichste Standorte begeben, von Konferenzräumen, Fluren,
Eingangshallen, Kantinen bis hin zu Schulungsräumen usw., und dennoch
Zugang zu den Daten im Netzwerk haben. Ohne den drahtlosen Zugang
müsste der Benutzer hinderliche Kabel mit sich tragen und ständig auf der
Suche nach einem Netzwerkanschluss sein.
Über das Unternehmensgelände hinaus kann der Zugang zum Internet und zu
Websites von Unternehmen über öffentliche, drahtlose Netzwerke an Orten mit
hohem Publikumsverkehr bereitgestellt werden. Flughäfen, Restaurants,
Bahnhöfe und öffentliche Plätze in den Städten können durch diesen Dienst
aufgewertet werden. Wenn ein Mitarbeiter auf Reisen seinen Zielort erreicht
und sich mit einem Kunden in dessen Unternehmen trifft, könnten ihm über das
lokale drahtlose Netzwerk begrenzte Zugangsmöglichkeiten bereitgestellt
werden. Das Netzwerk kann den Benutzer eines anderen Unternehmens
erkennen und eine vom lokalen Firmennetzwerk unabhängige Verbindung
herstellen, die dem Besucher dennoch den Zugang zum Internet ermöglicht.
Bei all diesen Szenarien sollte betont werden, dass die heutigen,
standardbasierten drahtlosen LANs bei hoher Geschwindigkeit arbeiten Geschwindigkeiten, die noch vor wenigen Jahren für verkabelte Netzwerke als
führend galten. In der Regel stehen Benutzern Zugangsgeschwindigkeiten von
Windows XP-Whitepaper
5
mehr als 11 MB/s oder eine ca. 30 bis 100-fach höhere Geschwindigkeit als
Standard-DFÜ- oder drahtlose WAN-Technologien zur Verfügung. Diese
Bandbreite ist Garant für die umfassende Zufriedenheit von Benutzern im
Umgang mit einer Vielzahl von Anwendungen oder Diensten über den PC oder
mobile Geräte. Zudem sorgt die kontinuierliche Weiterentwicklung dieser
drahtlosen Standards zu einer erhöhten Bandbreite, bei Geschwindigkeiten von
22 MB.
Viele Anbieter infrastruktureller Dienste führen die Verkabelung öffentlicher
Einrichtungen weltweit aus. Im Laufe des kommenden Jahres werden die
meisten Flughäfen, Konferenzzentren und zahlreiche Hotels Besuchern und
Gästen den Zugang auf der Grundlage des Standards 802.11b bereitstellen
können.
Vergleich drahtloser LAN-Technologien
Derzeit finden zwei drahtlose LAN-Lösungen eine weit verbreitete Anwendung.
Zu diesen Lösungen gehören die IEEE 802.11-Standards, vor allem 802.11b,
und die von der Arbeitsgruppe HomeRF vorgeschlagene Lösung. Diese beiden
Lösungen können nicht kombiniert oder zusammen mit anderen drahtlosen
LAN-Lösungen eingesetzt werden. Während HomeRF ausschließlich für private
Netzwerke zu Hause konzipiert wurde, richtet sich 802.11b sowohl an
Privathaushalte als auch an Unternehmen kleinerer und mittlerer Größe sowie
große Unternehmen und wird zunehmend auch in öffentlichen Einrichtungen
mit drahtlosen Netzwerken eingesetzt. Mehrere bekannte Hersteller von
Laptopcomputern planen die Lieferung ihrer Geräte mit internen 802.11bgestützten NICs oder liefern bereits entsprechende Geräte.. Hier sehen Sie
einen Vergleich zwischen den beiden Lösungen:
IEEE 802.11b
HomeRF
Unterstützung in der
Industrie
Status
Cisco, Lucent, 3Com
WECA
wird geliefert
Bereich
Geschwindigkeit
Verwendung
ca. 15 - 100 m
11 Mbit/s
privat, kleines Büro,
Firmengelände,
Unternehmen
$75 - $150 pro Karte
Kosten
Sicherheit
Anbieter
Öffentliche
Zugangsmöglichkeiten
WEP/802.1x
Mehr als 75
Mehr als 350
Apple, Compaq,
Arbeitsgruppe HomeRF
wird geliefert (bei
niedriger
Geschwindigkeit)
50 m
1, 2, 10 Mbit/s
Privat
$85-$129
NWID/Verschlüsselung
Weniger als 30
Keine
Windows XP-Whitepaper
6
Marktanteil drahtloser
NICs
72%
21%
Microsoft hält den Standard 802.11 für eine viel versprechende und robuste
Lösung, die sich für den Einsatz in den unterschiedlichsten Umgebungen
eignet. Im übrigen Dokument wird in erster Linie die Technologie 802.11
erläutert.
Drahtlose LAN-Technologien
Drahtlose LANs werden mithilfe zweier grundlegender Topologien erstellt. Die
Bezeichnungen für diese Topologien sind vielfältig - von verwaltet und nicht
verwaltet, über hostbasiert und Peer-to-Peer bis hin zu Infrastruktur und Adhoc. In diesem Dokument werden die Begriffe Infrastruktur und Ad-hoc
verwendet. Diese beiden Begriffe verweisen im Wesentlichen auf dieselben
grundlegenden topologischen Unterscheidungen.
Eine infrastrukturelle Topologie erweitert ein vorhandenes verkabeltes LAN auf
drahtlose Geräte durch Bereitstellen einer Basisstation, die als Zugriffspunkt
bezeichnet wird. Der Zugriffspunkt verbindet das drahtlose und das verkabelte
LAN und fungiert als zentraler Controller für das drahtlose LAN. Der
Zugriffspunkt koordiniert die Übertragung und den Empfang von mehreren
drahtlosen Geräten innerhalb eines bestimmten Bereichs. Der Bereich und die
Anzahl der Geräte hängen vom drahtlosen Standard sowie vom Produkt des
Anbieters ab. Im Infrastrukturmodus kann es mehrere Zugriffspunkte innerhalb
eines weitreichenden Bereichs oder nur einen einzelnen Zugriffspunkt
innerhalb eines kleinen Bereichs geben, wie etwa eines Privathaushalts oder
eines kleinen Gebäudes.
Windows XP-Whitepaper
7
Desktop
Printer
Existing LAN...
Access Point
Server
Desktop
Infrastructure Mode
Network
Tablet
Laptop
Abbildung 1: Netzwerk im Infrastrukturmodus
Eine Ad-hoc-Topologie ist eine Topologie, in der ein LAN ausschließlich durch
die drahtlosen Geräte erstellt wird, ohne zentralen Controller oder
Zugriffspunkt. Jedes Gerät kommuniziert nicht über den zentralen Controller,
sondern direkt mit anderen Geräten im Netzwerk Dies empfiehlt sich vor allem
an Orten mit kleinen Gruppen aus Computern, die keinen Zugang zu anderen
Netzwerken benötigen. Ein Privathaushalt ohne verkabeltes Netzwerk oder ein
Windows XP-Whitepaper
8
Konferenzraum, in dem sich Teams regelmäßig zum Gedankenaustausch
treffen, sind Beispiele für den möglichen Einsatz von drahtlosen Ad-hocNetzwerken.
Desktop
AD HOC Network
Tablet
Laptop
Abbildung 2: Ein Ad-hoc-Netzwerk
Bei einer Kombination mit moderner Peer-to-Peer-Software und intelligenten
Lösungen können diese drahtlosen Ad-hoc-Netzwerke beispielsweise
Benutzern unterwegs die Zusammenarbeit, das Spielen mit mehreren
Teilnehmern, die Übertragung von Dateien oder sonstige drahtlose Formen der
Kommunikation untereinander über PCs oder Smartgeräte ermöglichen.
Die Funktionsweise des Infrastrukturmodus im Überblick
Der Laptopcomputer oder das Smartgerät (in der Terminologie drahtloser LANNetzwerke als „Station“ bezeichnet) muss die verfügbaren Zugriffspunkte und
Netzwerke zuerst erkennen. Dazu wird die Existenz von Signalrahmen von
Zugriffspunkten, die sich selbst ankündigen, überprüft oder aktiv mithilfe von
Testrahmen nach einem bestimmten Netzwerk gesucht.
Die Station wählt ein Netzwerk aus den verfügbaren aus und durchläuft einen
Authentifizierungsvorgang für den Zugriffspunkt. Nachdem sich Zugriffspunkt
und Station gegenseitig überprüft haben, beginnt der Zuordnungsvorgang.
Bei der Zuordnung können Zugriffspunkt und Station Informationen und
Funktionen austauschen. Der Zugriffspunkt kann diese Informationen
verwenden und gemeinsam mit anderen Zugriffspunkten im Netzwerk nutzen,
um Angaben über den aktuellen Standort der Station im Netzwerk zu
verbreiten. Erst nach Abschluss der Zuordnung kann die Station Rahmen im
Netzwerk übertragen oder empfangen.
Windows XP-Whitepaper
9
Im Infrastrukturmodus durchläuft der gesamte Netzwerkverkehr von drahtlosen
Stationen einen Zugriffspunkt, um das Ziel im verkabelten oder drahtlosen LAN
zu erreichen.
Der Zugang zum Netzwerk wird mithilfe eines Protokolls zur
Trägersignalerkennung und Konfliktvermeidung verwaltet. Vor einem
Übertragungsversuch achten die Stationen für eine bestimmte Zeitdauer auf
Datenübertragungen - dies ist der Abschnitt der Trägersignalerkennung des
Protokolls. Nachdem das Netzwerk frei ist, muss die Station eine bestimmte
Zeit bis zur Übertragung abwarten. Diese Verzögerung, kombiniert mit der
Übertragung einer Bestätigung von der Empfangsstation als Hinweis auf den
erfolgreichen Empfang, bildet den Abschnitt der Konfliktvermeidung des
Protokolls. Im Infrastrukturmodus bildet entweder immer der Sender oder der
Empfänger den Zugriffspunkt.
Da einige Stationen sich eventuell nicht gegenseitig erkennen können, jedoch
beide im Bereich des Zugriffspunktes liegen, werden besondere Vorkehrungen
zur Vermeidung von Konflikten getroffen. Dazu gehört eine Art
Reservierungsaustausch, der vor dem Übertragen eines Pakets stattfinden
kann und zwar mithilfe einer Anforderung, den Austausch von Rahmen zu
senden und CTS (Clear to Send) zu aktivieren, sowie eines
Netzwerkzuweisungsvektors, der an den einzelnen Stationen im Netzwerk
verwaltet wird. Selbst wenn eine Station die Übertragung der anderen Station
nicht wahrnehmen kann, erkennt sie das CTS-Übertragungssignal (Clear to
Send) des Zugriffspunktes und kann die Übertragung während dieser Phase
vermeiden.
Der Vorgang des Wechselns von einem Zugriffspunkt zu einem anderen wird
vom Standard nicht vollständig definiert. Doch sorgen das Signalisieren und
Testen, die zum Auffinden von Zugriffspunkten verwendet werden, sowie ein
Neuzuordnungsvorgang, der der Station die Zuordnung zu einem anderen
Zugriffspunkt ermöglicht, kombiniert mit weiteren anbieterspezifischen
Protokollen zwischen Zugriffspunkten, für einen reibungslosen Übergang.
Die Synchronisierung zwischen Stationen im Netzwerk wird von den
regelmäßigen Signalrahmen, die vom Zugriffspunkt gesendet werden,
übernommen. Diese Rahmen enthalten den Zeitwert des Zugriffspunktes zum
Zeitpunkt der Übertragung und können somit verwendet werden, um
Abweichungen an der Empfangsstation zu überprüfen. Die Synchronisierung ist
aus verschiedenen Gründen erforderlich, die mit den drahtlosen Protokollen
und Modulationsschemata zusammenhängen.
Die Funktionsweise des Ad-hoc-Modus im Überblick
Nachdem das grundlegende Verfahren des Infrastrukturmodus bereits
beschrieben wurde, lässt sich der Ad-hoc-Modus einfach mit dem Fehlen des
Zugriffspunktes erklären. In diesem Netzwerk sind nur drahtlose Geräte
vertreten. Viele der zuvor von einem Zugriffspunkt übernommenen Aufgaben,
wie die Signalisierung und die Synchronisierung, werden von einer Station
ausgeführt. Einige Erweiterungen stehen in einem Ad-hoc-Netzwerk nicht zur
Windows XP-Whitepaper
10
Verfügung, wie etwa die Weitergabe von Rahmen zwischen zwei Stationen, die
sich gegenseitig nicht wahrnehmen können.
Windows XP-Whitepaper
11
Aktuelle Problemstellungen drahtloser LAN-Topologien
Bei der Einführung von Netzwerkmedien in eine Umgebung treten stets neue
Problemstellungen auf. Auch bei drahtlosen LANs hat sich dies bewahrheitet.
Einige dieser Probleme ergeben sich aus den Unterschieden zwischen
verkabelten und drahtlosen LANs. So bietet beispielsweise ein verkabeltes
Netzwerk, in dem die Daten in der Verkabelung übertragen werden, bereits ein
gewisses Maß an Sicherheit. Drahtlose Netzwerke bringen neue
Herausforderungen mit sich, da die Daten über Funkwellen per Luft übertragen
werden.
Eine weitere Problematik ergibt sich aus den speziellen Funktionen drahtloser
Netzwerke. Durch die Bewegungsfreiheit, die sich aus der Loslösung von
Kabeln ergibt, können sich Benutzer frei zwischen Räumen, Gebäuden,
Städten usw. bewegen, und sind dennoch ununterbrochen mit dem Netzwerk
verbunden.
Einige Probleme sind in Netzwerken nicht neu, verdichten sich angesichts der
steigenden Komplexität jedoch, wie etwa durch drahtlose Netzwerke. Während
beispielsweise die Netzwerkkonfiguration vereinfacht wird, werden durch
drahtlose Netzwerke zusätzliche Funktionen und Metrik hinzugefügt (teilweise
um andere Probleme zu lösen), die wiederum zu einer Zunahme der
Konfigurationsparameter führen.
Sicherheitsaspekte
Eine verkabeltes Netzwerk bietet ein bestimmtes Maß an Sicherheit, da ein
potentieller Angreifer zunächst Zugang zum Netzwerk über eine verkabelte
Verbindung und somit in der Regel Zugang zur Netzwerkkabelanlage erlangen
muss. Zusätzlich zu diesem physischen Zugang können weitere
Sicherheitsmechanismen hinzugefügt worden sein.
Wenn das Netzwerk jedoch nicht auf Leitungen begrenzt ist, ist der
uneingeschränkte Zugriff für Benutzer auf das Netzwerk auch für den
potentiellen Angreifer möglich. Der Zugriff auf das Netzwerk ist nun in Fluren,
unsicheren Wartezonen und sogar außerhalb des Gebäudes möglich. In
Privathaushalten könnte sich das Netzwerk auf benachbarte Gebäude
erstrecken, falls keine geeigneten Sicherheitsmechanismen auf das Netzwerk
angewendet bzw. in unzureichendem Maße angewendet werden.
Seit seiner Einführung stellt der Standard 802.11 grundlegende
Sicherheitsmechanismen bereit, um der erweiterten Freiheit das potentielle
Risiko zu nehmen. So können beispielsweise 802.11-Zugriffspunkte (oder
Gruppen aus Zugriffspunkten) unter Verwendung einer
Dienstsatzidentifizierung (Service Set Identifier, SSID) konfiguriert werden.
Diese SSID muss der NIC bekannt sein, um dem Zugriffspunkt zugeordnet und
mit der Datenübertragung bzw. dem Empfang im Netzwerk fortfahren zu
können. Diese Sicherheit ist aus den folgenden Gründen jedoch relativ gering:
 Die SSID ist allen NICs und Zugriffspunkten bekannt
Windows XP-Whitepaper
12

Die SSID wird über Luft unverschlüsselt (sogar signalisiert vom
Zugriffspunkt) übertragen
 Ob die Zuordnung zulässig ist, wenn die SSID nicht bekannt ist, kann
lokal von der NIC bzw. dem Treiber gesteuert werden
 Dieses Schema bietet keine Verschlüsselung
Es ist möglich, dass dieses Schema noch weitere Probleme birgt, doch die
genannten Faktoren reichen bereits aus, um höchstens einige wenige
Hobbyhacker abzuhalten.
Zusätzliche Sicherheit stellen die Spezifikationen 802.11 mittels des WEPAlgorithmus (Wired Equivalent Privacy) bereit. WEP unterstützt 802.11 durch
Authentifizierungs- und Verschlüsselungsdienste. Der WEP-Algorithmus
definiert die Verwendung eines geheimen 40-Bit-Schlüssels für die
Authentifizierung und Verschlüsselung, während zahlreiche IEEE 802.11Implementierungen sogar geheime 104-Bit-Schlüssel zulassen. Dieser
Algorithmus bietet vorwiegend Schutz vor Abhören sowie physische
Sicherheitsattribute vergleichbar mit einem verkabelten Netzwerk.
Eine wesentliche Einschränkung dieses Sicherheitsmechanismus besteht
darin, dass der Standard kein Schlüsselverwaltungsprotokoll für die Verteilung
der Schlüssel definiert. Dies setzt voraus, dass die geheimen, gemeinsam
genutzten Schlüssel an die auf IEEE 802.11 basierte drahtlose Station über
einen sicheren Kanal übertragen wird, der unabhängig von IEEE 802.11 ist. Die
Problematik nimmt weiter zu, wenn die Zahl der Stationen steigt, wie etwa in
einem Firmenkomplex.
Um einen besseren Mechanismus für die Zugriffssteuerung und die Sicherheit
bereitzustellen, ist die Erweiterung der Spezifikation durch ein
Schlüsselverwaltungsprotokoll erforderlich. Der Standard 802.1x, der
nachfolgend in diesem Dokument beschrieben wird, wurde speziell zu diesem
Zweck entwickelt.
Problemstellungen durch mobile Benutzer
Wenn ein Benutzer oder eine Station von einem Zugriffspunkt zum nächsten
wechselt, muss eine Zuordnung zwischen der NIC und dem Zugriffspunkt
bestehen, damit die Netzwerkkonnektivität erhalten bleibt. Dies kann sich als
außerordentlich schwierig erweisen, wenn es sich um ein großes Netzwerk
handelt und der Benutzer Subnetzgrenzen oder Verwaltungsbereiche
überqueren muss.
Überschreitet ein Benutzer eine Subnetzgrenze, kann es sein, dass die
ursprünglich der Station zugewiesene IP-Adresse für das neue Subnetz keine
Gültigkeit mehr hat. Werden Verwaltungsbereiche überschritten, kann es
vorkommen, dass die Station aufgrund von Anmeldeberechtigungen in der
neuen Domäne nicht mehr auf das Netzwerk zugreifen kann.
Abgesehen von der Mobilität innerhalb eines Firmenkomplexes, sind auch
andere Szenarien für mobile Benutzer denkbar: Durch die Ausweitung
drahtloser Verbindungen auf Flughäfen und Restaurants zum Zugriff auf das
Windows XP-Whitepaper
13
Internet gewinnen drahtlose Netzwerke auch für Privathaushalte zunehmend
an Beliebtheit.
Es wird immer wahrscheinlicher, dass ein Benutzer sein Büro verlässt, um sich
mit einem Kollegen eines anderen Unternehmens zu treffen, das auch über ein
kompatibles drahtloses Netzwerk verfügt. Auf dem Weg zu diesem Treffen hält
sich der Benutzer an einem Bahnhof, in einem Restaurant oder einem
Flughafen mit drahtlosem Zugang auf, wo es ihm möglich ist, Dateien aus
seinem Büro zu Hause abzurufen. Die Authentifizierung erweist sich für den
Benutzer vor allem dann als hilfreich, wenn er über diese Verbindung auch auf
das Firmennetzwerk zugreifen möchte. Wenn der Benutzer an seinem Ziel
eintrifft, erhält er jedoch keinen Zugang zum lokalen Firmennetzwerk. In diesem
Fall kann dem Benutzer jedoch der Zugang zum Internet in dieser fremden
Umgebung ermöglicht werden. Durch diesen Zugang kann der Benutzer dann
eine VPN-Verbindung (Virtual Private Network) zu seinem Firmennetzwerk
herstellen. Der Benutzer kann sich dann auf den Rückweg nach Hause machen
und eine Verbindung zu seinem privaten Netzwerk herstellen, um Dateien, die
er abends noch bearbeiten will, zu übertragen oder zu drucken. Der Benutzer
hat so in ein neues drahtloses Netzwerk gewechselt, das eventuell sogar im
Ad-hoc-Modus ausgeführt wird.
Im oben genannten Beispiel ergibt sich durch diese Mobilität eine Situation, die
sorgfältig durchdacht werden muss. Die Konfiguration könnte sich für den
mobilen Benutzer als problematisch erweisen, da mehrere verschiedene
Netzwerkkonfigurationen eine Schwierigkeit für die drahtlose Station des
Benutzers darstellen könnten, sofern sich diese nicht selbst konfiguriert.
Konfigurationsaspekte
Angesichts der drahtlosen Netzwerkverbindungen und der damit verbundenen
erhöhten Komplexität steigen auch die Anforderungen an die Konfiguration. So
muss eventuell z. B. die SSID des Netzwerks, zu dem eine Verbindung
hergestellt wird, konfiguriert werden. Oder eine WEP-Schlüsselfolge muss für
die Sicherheit konfiguriert werden, ggf. sogar mehrere Folgen, falls
Verbindungen zu mehreren Netzwerken hergestellt werden. Eventuell muss
eine Konfiguration für den Arbeitsplatz erstellt werden, wo das Netzwerk im
Infrastrukturmodus ausgeführt wird, sowie eine für zu Hause, da das Netzwerk
dort im Ad-hoc-Modus betrieben wird. Schließlich muss, abhängig vom
jeweiligen Standort, eine der zu verwendenden Konfigurationen ausgewählt
werden.
Windows XP-Whitepaper
14
Lösungen für die Problemstellungen drahtloser LANs
Sicherheit durch 802.1X
Um eine Sicherheitsumgebung bereitzustellen, die über die von WEP
hinausgeht, setzte sich das Netzwerkteam von Windows XP mit Vertretern von
IEEE, Netzwerkanbietern und anderen Experten zusammen, um den Standard
IEEE 802.1X zu definieren. 802.1X ist ein Standardentwurf für die
anschlussbasierte Netzwerkzugriffssteuerung, der zum Bereitstellen des
authentifizierten Zugriffs auf Ethernet-Netzwerke verwendet wird. Diese
anschlussbasierte Netzwerkzugriffssteuerung verwendet die physischen
Eigenschaften der schalterbasierten LAN-Infrastruktur zur Authentifizierung von
Geräten, die mit einem LAN-Anschluss verbunden sind. Der Zugriff auf den
Anschluss kann verhindert werden, wenn die Authentifizierung fehlschlägt.
Obwohl dieser Standard für verkabelte Ethernet-Netzwerke konzipiert wurde,
ist er auch für drahtlose 802.11-LANs gültig.
In einer drahtlosen Umgebung fungiert der Zugriffspunkt als authentifizierender
Server für den Zugriff auf das Netzwerk, wobei ein RADIUS-Server (Remote
Authentication Dial-In User Service) für die Authentifizierung der
Clientanmeldeinformationen verwendet wird. Die Kommunikation erfolgt über
einen logischen „ungesteuerten Anschluss“ oder Kanal am Zugriffspunkt, um
Anmeldeinformationen zu überprüfen und Schlüssel für den Zugang zum
Netzwerk über den logischen ungesteuerten Anschluss abzurufen. Die
Schlüssel, die für den Zugriffspunkt und den Client als Ergebnis dieses
Austauschs zur Verfügung stehen, ermöglichen die Verschlüsselung der Daten
des Clients und die Erkennung durch den Zugriffspunkt. Die Sicherheit von
802.11 wurde somit durch das Schlüsselverwaltungsprotokoll ergänzt.
In den folgenden Schritten wird der allgemeine Ansatz beschrieben, durch den
der Computer eines Benutzers für den drahtlosen Zugang zum Netzwerk
authentifiziert wird.
 Ohne gültigen Authentifizierungsschlüssel lässt ein Zugriffspunkt
keinerlei Datenübertragung zu. Nähert sich eine drahtlose Station dem
Bereich des Zugriffspunktes, sendet der Zugriffspunkt eine Abfrage an
die Station.
 Wenn die Station die Abfrage erhält, antwortet sie mit ihrer Identität.
Der Zugriffspunkt leitet die Identität der Station an einen RADIUSServer zu Authentifizierungszwecken weiter.

Der RADIUS-Server fordert dann die Anmeldeinformationen für die
Station an, wobei die Art der Informationen, die zur Bestätigung der
Identität der Station erforderlich sind, angegeben werden. Die Station
sendet ihre Anmeldeinformationen an den RADIUS-Server (über den
Windows XP-Whitepaper
15
ungesteuerten Anschluss des Zugriffspunktes).

Der RADIUS-Server bestätigt die Anmeldeinformationen der Station
(sofern gültig) und überträgt einen Authentifizierungsschlüssel an den
Zugriffspunkt. Der Authentifizierungsschlüssel wird so verschlüsselt,
dass er ausschließlich vom Zugriffspunkt verstanden werden kann.

Der Zugriffspunkt überträgt die entsprechenden Schlüssel mithilfe des
Authentifizierungsschlüssel an die Station, einschließlich eines
Unicastsitzungsschlüssels für diese Station und eines globalen
Sitzungsschlüssels für Multicasts.

Die Station kann in regelmäßigen Abständen zur erneuten
Authentifizierung aufgefordert werden, um die Sicherheit zu
gewährleisten.
Verwenden von RADIUS zur weiteren Vereinfachung
Dieser auf 802.1x gestützte Ansatz profitiert vom umfassenden und sich
ausweitenden Einsatz von RADIUS für die Authentifizierung. Ein RADIUSServer kann eine lokale Authentifizierungsdatenbank abfragen, falls dies im
Rahmen des Szenarios angemessen ist. Oder die Anforderung kann zur
Überprüfung an einen anderen Server weitergegeben werden. RADIUS legt
dann fest, dass der Computer für dieses Netzwerk authentifiziert werden kann,
sendet die Nachricht zurück an den Zugriffspunkt, woraufhin der Zugriffspunkt
dann die Übertragung des Datenverkehrs an das Netzwerk ermöglicht. Ein
realistisches Beispiel könnte so aussehen:
 Ein Benutzer schaltet seinen Laptopcomputer, der über eine 802.11Karte verfügt, an einem Flughafen ein,
 Der Computer erkennt vorhandene drahtlose Netzwerke, wählt ein
bevorzugtes Netzwerk aus und erstellt eine Zuordnung.
 Der Computer sendet die Anmeldeinformationen des Benutzers an den
Zugriffspunkt, um zu überprüfen, ob er für dieses Netzwerk autorisiert
ist.
 Bei diesem Benutzer handelt es sich um [email protected]. BigCo hat
den drahtlosen Zugang für alle Benutzer für Flughäfen weltweit
erworben.
 Der RADIUS-Server, der die Anforderung vom Zugriffspunkt erhält,
überprüft das Paket und erkennt, dass es von einem BigCo-Benutzer
stammt.
 Der RADIUS-Server fordert einen BigCo-Server dann auf, zu
überprüfen, ob es sich um einen realen Benutzer handelt und ob dieser
zugriffsberechtigt ist.
Windows XP-Whitepaper
16

Wenn der BigCo-Server dies bestätigt, wird der Zugriffspunkt
angewiesen, die Datenübertragung zuzulassen.
BigCo RADIUSServer
Isthisuser valid?
YES!
ISP RADIUS
Server
Allowaccess
Comm. Tower
Abbildung 3: Beispielszenario für den öffentlichen Zugang
Dieses Maß an Sicherheit wird erreicht, indem Microsoft eine 802.1XClientimplementierung unter Windows XP bereitstellt und den Windows
RADIUS-Server durch den Internetauthentifizierungsdienst (Internet
Authentication Service, IAS) so erweitert, dass auch die Authentifizierung von
drahtlosen Geräten unterstützt wird. Microsoft hat zudem mit zahlreichen
802.11-Geräteherstellern zusammengearbeitet, um für die Unterstützung dieser
Mechanismen durch NIC-Treiber und Zugriffspunktsoftware zu sorgen. Derzeit
liefern die bekanntesten Hersteller bereits Geräte, die den Standard 802.1x
unterstützen, oder stehen kurz davor.
Nahtlose Mobilität
Windows 2000 enthielt bereits Erweiterungen, um die Verfügbarkeit eines
Netzwerks zu erkennen und entsprechend zu reagieren. Diese Erweiterungen
wurden noch weiter verbessert und ergänzt, so dass Windows XP auch den
Übergangscharakter eines drahtlosen Netzwerks unterstützt.
Unter Windows 2000 wurde die Medienerkennungsfunktion (die Erkennung
eines verbundenen Netzwerks) zur Steuerung der Konfiguration des
Netzwerkstapels und zur Benachrichtigung der Benutzer, falls das Netzwerk
nicht verfügbar ist, verwendet. Unter Windows XP wird diese Funktion zur
Verbesserung des Umgangs mit der drahtlosen Mobilität eingesetzt, indem der
Wechsel an einen neuen Zugriffspunkt erkannt, die erneute Authentifizierung
zur Sicherung des autorisierten Netzwerkzugriffs erzwungen und Änderungen
des IP-Subnetzes erkannt werden, damit eine geeignete Adresse verwendet
werden kann, die den optimalen Zugang zu Ressourcen sicherstellt.
Die Konfiguration mehrerer IP-Adressen (DHCP-Zuweisung oder statische
Adressierung) ist auf einem Windows XP-System möglich, wobei automatisch
Windows XP-Whitepaper
17
die richtige Konfiguration gewählt wird. Bei der Änderung einer IP-Adresse
ermöglicht Windows XP ggf. zusätzlich eine Neukonfiguration. So können
beispielsweise QoS-Reservierungen (Quality of Service) aktualisiert und
Proxyeinstellungen für Internet Explorer erneut ermittelt werden. Über Windows
Sockets-Erweiterungen können Anwendungen, die netzwerkgestützt arbeiten
(Firewalls, Browser usw.), von Änderungen an der Netzwerkkonnektivität in
Kenntnis gesetzt werden und ihr Verhalten auf der Grundlage der Änderungen
aktualisieren. Durch die automatische Erkennung und Neukonfiguration ist es
effektiv nicht länger erforderlich, dass mobile IP als Vermittler eintreten, da die
meisten Benutzerprobleme durch das Wechseln zwischen den Netzwerken
gelöst werden.
Beim Wechseln von einem Zugriffspunkt zum nächsten müssen der Zustand
sowie weitere Informationen über die Station ebenfalls mit der Station
weitergegeben werden. Dazu gehören Informationen über den Standort der
Station für die Nachrichtenübertragung sowie andere Zuordnungsattribute.
Anstatt diese Informationen nach jedem Wechsel neu zu erstellen, kann ein
Zugriffspunkt die Informationen an den neuen Zugriffspunkt weitergeben. Die
Protokolle für die Übertragung dieser Informationen sind nicht im Standard
definiert, doch haben mehrere drahtlose LAN-Anbieter gemeinsam zu diesem
Zweck das Protokoll IAPP (Inter-Access Point Protocol) entwickelt, durch das
die Interoperabilität mehrerer Anbieter weiter verbessert wird.
Konfigurationsfreier Dienst für drahtlose Verbindungen
Microsoft arbeitete darüber hinaus mit Herstellern von 802.11-basierten NICs
zusammen, um die Mobilität weiter zu verbessern, indem der Vorgang der
Konfiguration von NICs durch die Zuordnung zu einem verfügbaren Netzwerk
automatisiert wird.
Es genügt, dass die drahtlose NIC und der zugehörige NDIS-Treiber einige
wenige neue NDIS-Objektkennungen (OIDs) unterstützen, die für die Abfrage
und das Festlegen des Geräte- und Treiberverhaltens verwendet werden. Die
NIC sucht nach verfügbaren Netzwerken und leitet diese an Windows XP
weiter. Windows XP verfügt über einen konfigurationsfreien Dienst für drahtlose
Verbindungen, der die Konfiguration der NIC für ein verfügbares Netzwerk
übernimmt. Falls zwei Netzwerke denselben Bereich abdecken, kann der
Benutzer eine bevorzugte Netzwerkreihenfolge konfigurieren. Der Computer
testet dann jedes Netzwerk in der Reihenfolge, bis ein aktives Netzwerk
gefunden wird. Es ist sogar möglich, die Zuordnung nur auf die konfigurierten,
bevorzugten Netzwerke zu beschränken.
Werden keine 802.11-gestützten Netzwerke in der Nähe erkannt, konfiguriert
Windows XP die NIC so, dass der Ad-hoc-Netzwerkmodus verwendet wird. Der
Benutzer hat die Möglichkeit, die drahtlose NIC so zu konfigurieren, dass sie
deaktiviert oder zum Ad-hoc-Modus gezwungen wird.
Windows XP-Whitepaper
18
Die Erweiterungen des konfigurationsfreien Dienstes und die
Sicherheitserweiterungen sind so integriert, dass bei einem Fehlschlagen der
Authentifizierung nach einem anderen Netzwerk gesucht und die Zuordnung
versucht wird.
Windows XP-Whitepaper
19
Zusammenfassung
Die drahtlose LAN-Technologie ist eine faszinierende Entwicklung, die sich
gerade jetzt als Lösung für Bereitstellungen in Unternehmen, in der
Öffentlichkeit und in Privathaushalten etabliert. Zur Unterstützung dieser
Bereitstellungen müssen mehrere wesentliche Probleme gelöst werden.
Microsoft und die Anbieter von 802.11-Produkten arbeiten gemeinsam an der
Lösung dieser Probleme durch die Entwicklung von Windows XP.
Windows XP-Whitepaper
20
Weitere Informationen
Die aktuellsten Informationen über Windows XP entnehmen Sie unserer
Website unter http://www.microsoft.com/windowsxp.
Aktuelle Informationen über die IEEE-Standards und vor allem über den
Standard 802.11 finden Sie unter folgender Adresse:
http://standards.ieee.org/wireless/
Windows XP-Whitepaper
21
Zugehörige Unterlagen
Einführung in die Informatik - torei
Einführung in die Informatik - torei
Als global agierender Hersteller von Antriebskomponenten für
Als global agierender Hersteller von Antriebskomponenten für
Produkte und Leistungen solvtec ® IT CAQ
Produkte und Leistungen solvtec ® IT CAQ
Systemvoraussetzungen SQL Server
Systemvoraussetzungen SQL Server
Gesucht! - TU Berlin
Gesucht! - TU Berlin
OctoWare®TN Gesundheit Kommunalhygiene - Easy
OctoWare®TN Gesundheit Kommunalhygiene - Easy
Systemvoraussetzungen standard
Systemvoraussetzungen standard
Leiter Windows Betriebs- und Engineering Team bei
Leiter Windows Betriebs- und Engineering Team bei
IT-Voraussetzung 7-1-0-x
IT-Voraussetzung 7-1-0-x
Technische Rahmenbedingungen
Technische Rahmenbedingungen
Mit neuen integrierten Funktionen C/S-KETTEN
Mit neuen integrierten Funktionen C/S-KETTEN
Vergleich Windows * Linux I
Vergleich Windows * Linux I
Herunterladen
Werbung