computerwoche.de

Archiv

Mehr Sicherheit und Roaming für künftige Funknetze

Neue WLAN-Standards reifen langsam

15.11.2002
MÜNCHEN (CW) - Mit der Beliebtheit und Verbreitung der Wireless LANs steigen die Ansprüche der User an die Funktionalität derselben. Die Standardisierungsgremien versprechen nun, das Gros der Benutzerwünsche bis Mitte 2003 in Form von entsprechenden Spezifikationen zu erfüllen.

Die Wireless LANs (WLANs) scheinen ein Opfer ihres eigenen Erfolgs zu werden. Während die Funknetze ihren Siegeszug in Unternehmen und Hotspots beschleunigen, hinken die Standardisierungsgremien mit der Lösung offener Fragen etwa zu Sicherheit und Roaming hinterher.

Um den Wünschen der Anwender entgegenzukommen und gleichzeitig die Benutzung der WLANs zu vereinfachen, arbeiten die Gremien des IEEE an einer wahren Buchstabensuppe. Die bislang zur Definition von Wireless LANs gebräuchlichen Spezifikationen 802.11a (Funknetze mit 54 Mbit/s im Fünf-Gigaghertz-Bereich) sowie 802.11b (WLANs mit 11 Mbit/s, die im 2,4-Gigahertz- Spektrum funken) sollen um die Varianten E, F, G und I ergänzt werden. Mit diesen Erweiterungen soll in den Funknetzen mehr Sicherheit Einzug halten, eine Quality of Service (QoS) für Video- und Sprachapplikationen garantiert sowie ein Roaming zwischen verschiedenen Netzen realisiert werden.

Mit der Interoperabilität zu anderen Funknetzstandards wie GSM, 3G oder dem europäischen Hiperlan 2 befasst sich zudem die erst kürzlich gegründete Wireless Internetworking Group (WIG). Ziel der Untersuchungen ist, so Al Petrick, Vice Chairman der IEEE 802.11 Working Group, Mechanismen zu entwickeln, die ein unterbrechungsfreies Roaming zwischen den verschiedenen drahtlosen Funk- und Datendiensten erlauben.

Während sich die Arbeit der WIG erst in der Eruierungsphase befindet, ist das 802.11i-Gremium, das sich dem Thema Sicherheit widmet, bereits weiter. Produkte, die dem 802.11i-Standard entsprechen, dürften wohl in der zweiten Jahreshälfte 2003 auf den Markt kommen. Der entsprechende Spezifikationsentwurf sieht vor, dass künftiges WLAN-Equipment drei Algorithmen zur Verschlüsselung des Datenverkehrs unterstützt: das Temporal Key Integrity Protocol (TKIP), das Wireless Robust Authenticated Protocol (WRAP) sowie das Counter with Cipher Block Chaining Message Authentication Code Protocol (CCMP). Ferner dürfte die 802.11i-Definition Bestandteile des IEEE-Standards 802.1x beinhalten, um die Zugangskontrolle zu einem Funknetz verbindlich zu regeln.

Ebenfalls kurz vor der Verabschiedung im November steht die G-Variante der 802.11-Spezifikation. Dieser Standard definiert - ähnlich wie 802.11a - ein schnelleres Wireless LAN, das Übertragungsraten von bis zu 54 Mbit/s liefern soll. Im Gegensatz zum A-Standard nutzt die G-Variante jedoch das 2,4-Gigahertz-Frequenzband, also den Bereich, in dem die heute gebräuchlichen WLANs funken. Mit ersten Produkten rechnet Vice Chairman Petrick in der zweiten Jahreshälfte 2003. Allerdings ist mit 54 Mbit/s noch nicht das letzte Wort in Sachen WLAN-Geschwindigkeit gesprochen. Nach der Verabschiedung des G-Standards, so die Erwartung Petricks, werden die Experten wohl die Arbeit in der High Rate Study Group aufnehmen, um bereits einen Nachfolger für den Standard 802.11a zu erarbeiten, der im Fünf-Gigahertz-Band Geschwindigkeiten weit über 54 Mbit/s realisieren soll.

Mit den Fragen des Roamings, das besonders im Zusammenhang mit Hotspots von Bedeutung ist, befasst sich dagegen die Arbeitsgruppe F. Unter diesem Buchstaben soll eine Spezifikation erarbeitet werden, die definiert, wie Access Points verschiedener Hersteller Informationen über Clients und User-Identitäten miteinander austauschen. Auf diese Weise sollen WLAN-Nutzer künftig ohne Unterbrechung von einer Funkzelle in eine andere wechseln können. Gerade eine vernetzte Infrastruktur auf Basis von Hotspots benötigt nach Meinung von Branchenkennern ein Verfahren, bei dem sich der Benutzer nur einmal an einer Funkzelle anmeldet und dann automatisch in eine andere Zelle wechseln kann. Ferner könnte dieses einheitliche Authentifizierungsverfahren den Aufbau von zellübergreifenden Abrechnungssystemen zwischen den einzelnen Hotspot-Betreibern vereinfachen.

QoS für WLANs

Verabschiedet das IEEE dann noch den Standard 802.11e, der eine Quality of Service (QoS) für Wireless LANs einführt, hätten die Hotspots das Potenzial, den Mobilfunknetzen der Carrier Konkurrenz zu machen. Mit Hilfe der QoS wären dann nämlich mobile Funktelefone realisierbar, die Voice over IP nutzen. Darüber hinaus könnte der Standard für die gesamte Multimedia-Welt Auswirkungen haben, wenn etwa die Daten von Firewire-Endgeräten wie Digitalkameras über Wireless LAN weitertransportiert werden.

Allerdings sind diese Szenarien noch Zukunftsmusik, den selbst Petrick rechnet erst im zweiten Halbjahr 2003 mit ersten QoS-fähigen Geräten. Und diese dürften dann noch nicht der endgültigen 802.11e-Spezifikation entsprechen. Standardkonforme Geräte erwartet Petrick schließlich im ersten Quartal 2004. (hi)

Übergangslösung der Wifi-Allianz

Die Wifi-Allianz, ein Zusammenschluss namhafter Hersteller von Equipment für Wireless LANs (WLANs), will mit dem Übergangsstandard "Wifi Protected Access" (WPA) einige Sicherheitslöcher in Funk-LANs früher als die IEEE stopfen. Nach rund zwei Jahren voller Meldungen über Einbrüche in Funk-LANs hat sich nun auch bei der Wifi-Allianz die Erkenntnis durchgesetzt, dass das bislang als sicher angepriesene "Wired Equivalent Privacy Protocol" (WEP) nur einen bedingten Schutz vor ungebetenen Gästen bietet. Mit der Übergangslösung WPA will man diese Probleme nun in den Griff bekommen. Die Wifi-Allianz entschloss sich zu diesem Schritt, weil sie mit dem effizienteren Sicherheitstandard 802.11i der IEEE frühestens im September 2003 rechnet (siehe: "Neue WLAN-Standards reifen langsam"). Das eigene WPA soll dagegen mit bisherigen Wifi-Produkten zusammenarbeiten und bereits im ersten Quartal 2003 verfügbar sein.

Um die Sicherheitslücken des bisher verwendeten WEP zu schließen, sind mit WPA zwei Maßnahmen vorgesehen: das "Temporal Key Integrity Protocol" (TKIP) sowie ein überarbeiteter Authentifizierungs-mechanismus. Die Verwendung von TKIP bietet nach Angaben der Wifi-Allianz gleich drei Vorteile gegenüber dem kritisierten WEP. So werden hier, im Gegensatz zu WEP, die Schlüssel, mit denen der Funkverkehr codiert wird, mit Hilfe eines Hash-Algorithmus errechnet und zum Schutz vor Manipulationen mit einem Integritätscheck überprüft. Ferner versprechen die Hersteller ein besseres Schlüssel-Management, so dass sie nicht mehr, wie heute bei WEP üblich, manuell konfiguriert werden müssen. Zwar haben bereits in der Vergangenheit etliche Hersteller das Problem des Key-Managements in Angriff genommen, doch dabei handelte es sich um proprietäre Lösungen.

Die zweite große Neuerung bei WPA ist die Art und Weise, wie sich der Benutzer im Netz authentifiziert. In heutigen WLANs erfolgt dies über die Medium-Access-Control- (MAC-)Adresse, eine weltweit eindeutige Nummer zur Identifizierung von Netzgeräten.

Allerdings hatte diese Vorgehensweise einen Schwachpunkt: Mit Hilfe von Sniffern können Eindringlinge die erlaubten MAC-Adressen aufspüren und diese dem Netz vorgaukeln, um Zugang zu erhalten. Das nun geplante "Extensible Authentication Protocol" (EAP) beseitigt dieses Schwachstelle, da es laut Wifi-Allianz ein sicheres Public-Key-Encryption-System verwendet und so Manipulationen einen Riegel vorschiebt.