Glaubt man den Marketing-Versprechen einiger Hersteller, so ist der Aufbau eines funkbasierenden Netzes ein Kinderspiel. Vorbei scheinen die Zeiten, in denen sich IT-Administratoren die Köpfe über strukturierte Verkabelungen zerbrachen. Sie installieren nur noch einen Access Point, und per Plug and Play steht das Netz. Tatsächlich trifft dieses Wunschbild allerdings höchstens im privaten Umfeld zu, wenn nur wenige Endgeräte über einen Zugangspunkt via Funk-LAN vernetzt werden. Größere WLAN-Installationen in Unternehmen fordern dagegen eine ebenso sorgfältige Planung wie klassische Kabel-LANs, wenn die Pluspunkte der drahtlosen Technik wie Kostenvorteile oder Mobilität gewährleistet werden sollen, ohne dass die Sicherheit zu wünschen übrig lässt.
Netzhersteller Enterasys Networks rechnet etwa vor, dass eine traditionelle LAN-Verkabelung für 120 Mitarbeiter etwas über 50000 Euro kostet, während eine drahtlose Infrastruktur nur mit 40000 Euro das Budget belastet. Datu müssen aber bei der Planung einige Besonderheiten des Mediums WLAN berücksichtigt werden.
Dies fängt bereits bei der Frage an, welche Bandbreite der LAN-Benutzer im Funknetz erhalten soll. Auf den ersten Blick ist das ein triviales Problem, sind doch sowohl Anwender wie auch Systemverwalter in geswitchten LANs daran gewöhnt, dass ihnen 10, 100 Mbit/s oder gar 1 Gbit/s dediziert zur Verfügung stehen. In einem Wireless LAN müssen sich aber die Benutzer einer Funkzelle die zur Verfügung stehende Bandbreite teilen. So entpuppen sich 11 Mbit/s, wie sie das heute weit verbreitete WLAN-Equipment gemäß IEEE- Standard 802.11b offeriert, schnell als Nadelöhr, wenn mehrere User über den gleichen Access Point auf Server zugreifen. Benötigen die Anwender höhere Bandbreiten, empfehlen sich Geräte, die der IEEE-Spezifikation 802.11 a oder g entsprechen und mit Transferraten von bis zu 54 Mbit/s aufwarten. Hier, so eine statistische Faustregel einiger Hersteller, erhält der einzelne Benutzer, wenn er sich mit drei anderen einen Access Point teilt, eine durchschnittliche Transferrate von 25 Mbit/s.
Sind diese höheren Bandbreiten gefordert, steht der IT-Verantwortliche vor der grundsätzlichen Entscheidung, ob a- oder g-Technik verwendet wird. Neben regulatorischen Besonderheiten seitens der Regulierungsbehörde spricht für 802.11g die Rückwärtskompatibilität zum weit verbreiteten b-Standard. Zusätzlich sind jedoch noch funktechnische Aspekte zu beachten. Während b und g nämlich im 2,4-Gigahertz-Bereich übertragen, den auch Mikrowellen, Bluetooth und zahlreiche andere Geräte verwenden, nutzt 802.11a das störungsärmere 5-Gigahertz-Band. Dieser physikalische Unterschied hat für die Planung eines WLAN noch eine weitere Konsequenz: Vereinfacht ausgedrückt, ist die Reichweite eines mit 5 Gigahertz funkenden Access Point deutlich geringer als bei b und g, weshalb mehr solche Zugangspunkte benötigt werden. Dies treibt wiederum die Kosten eines WLAN-Projekts in die Höhe. Auf der anderen Seite skaliert ein solches Netz besser, da sich in den kleineren Funkzellen in der Regel weniger Benutzer aufhalten, die sich die verfügbare Bandbreite teilen müssen.
Bei der Netzplanung ist zudem noch eine weitere Funkeigenart zu berücksichtigen. Mit wachsender Entfernung vom Access Point sinkt die mögliche Transferrate. Am Rand einer Funkzelle steht dann nur noch eine Bandbreite von 1 Mbit/s zur Verfügung. Ist in diesen Fällen dennoch eine höhere Bandbreite gewünscht, empfehlen viele Hersteller den Einsatz von besonderer Antennen, die bei gleicher Funkleistung die Reichweite erhöhen. Der Anwender erkauft sich diesen Gewinn jedoch mit einem anderen Nachteil: Der starke Richtcharakter dieser Antennen verkleinert häufig die ausgeleuchtete Zone, so dass an anderer Stelle neue Funklöcher entstehen. Aufgrund dieser Besonderheiten empfiehlt René Kriedemann, Gründer und Senior-Berater bei der 2nd Wave WLAN-Consulting in Berlin, ein drahtloses Netz nicht nur auf dem Papier zu berechnen, sondern die realen Standorte der Access Points auszumessen.
Theorie und Praxis im Konflikt
Zumal ein anderes Phänomen ebenfalls nur mit Messversuchen aufzuspüren ist. Aufgrund von Reflexionen und Störungen - etwa durch Metallträger oder Wasserleitungen in den Wänden - kann selbst in einer theoretisch guten Ausleuchtzone die Datenkommunikation zusammenbrechen, weil sich die Funkwellen dermaßen überlagern, dass eine Netzkarte kein klares Signal mehr empfängt. Ein Problem, das laut Kriedemann mit Hilfe der "Antennen-Diversity" umgangen werden kann. Hierbei kommen zwei Antennen zum Einsatz, die in einem gewissen Abstand voneinander platziert sind. Ist etwa das Signal der ersten Antenne durch Reflexionen gestört, besteht die Chance, dass zumindest das Signal der zweiten klar beim Empfänger ankommt. Viele Hersteller verwenden diese Methode bereits an ihren Access Points.
Anwender erhöhen mit einer ausgeklügelten Anordnung der Access Points nicht nur die Verfügbarkeit und Skalierbarkeit eines WLAN, sondern auch seine Sicherheit. Wird nämlich ein Access Point nicht an den Außenwänden eines Gebäudes installiert, sondern an den Innenwänden, ist das Funksignal für potenzielle Eindringlinge außerhalb kaum zu empfangen. Gerade in modernen Bürogebäuden mit ihren häufig metallbedampften Fensterscheiben kann auf diese Weise bereits ein wirkungsvoller Grundschutz erreicht werden.
Neben optimaler Platzierung der Access Points gehört die Sicherheit zu den grundlegenden Problemen beim Aufbau eines Funknetzes. Und gerade diesem Thema wird von vielen IT-Verantwortlichen noch immer nicht die notwendige Beachtung geschenkt, wie Ende September eine Messfahrt der Integralis AG in Frankfurt am Main erneut aufzeigte. In der Bankenmetropole waren 61 Prozent der gefundenen Access Points noch nicht einmal mit den serienmäßigen Schutzverfahren verschlüsselt. Angesichts solcher Ergebnisse waren sich die Teilnehmer des von Jupitermedia in München veranstalteten "Wifi-Planet"-Kongresses einig, dass viele IT-Manager umdenken müssen. Um so mehr, als im WLAN-Umfeld die klassischen Port-gebundenen Sicherheitsmodelle der Kabel-LANs nicht mehr greifen, sondern eigens zwischen Usern und Gastbenutzern unterschieden werden.
Allerdings scheiden sich die Geister daran, wie ein WLAN in der Praxis adäquat abzusichern ist. Orientiert man sich am OSI-Modell mit seinen sieben Schichten, so sind Schutzmaßnahmen gegen ungebetene Gäste auf den Netzebenen 2 (Link), 3 (Network), 4 (Transport) und 5 (Session) denkbar.
Auf Link-Layer-Ebene greift etwa das bereits mit 802.11b eingeführte WEP (Wired Equivalent Privacy). Während das Verfahren im Consumer-Umfeld durchaus noch einen ausreichenden Schutz gewährt, gilt es aufgrund seiner grundlegenden Designsschwächen im professionellen Bereich als überholt. Hier sollte es nur noch in Verbindung mit weiteren Sicherheitsverfahren verwendet werden. Etwa mit einer Firewall, die das WLAN vom eigentlichen Unternehmensnetz trennt.
Wifi-Standards im Fluss
Momentan ist der von der Wifi-Alliance verabschiedete Wifi Protected Access (WPA) mit dem verbesserten Temporal Key Integrity Protocol (TKIP) in Sachen serienmäßiger WLAN-Schutzmechanismen state of the art. Für den Einsatz in Unternehmensnetzen wartet WPA zudem mit einer interessanten Option auf: Die Benutzeridentifizierung kann über einen zentralen Radius-Server erfolgen, wie im IEEE-Standard 802.1x beschrieben.
IT-Verantwortliche sollten jedoch zwei Punkte bedenken, bevor sie im großen Stil in WPA-fähiges Equipment investieren. Die verbesserte Sicherheit stellt sich nur dann ein, wenn im Funknetz alle Geräte WPA-tauglich sind und nicht einzelne ältere Devices noch WEP verwenden. Ferner ist WPA nur eine Übergangslösung auf dem Weg zu dem für 2004 angekündigten Sicherheitsstandard 802.11i. Diesen zertifiziert die Wifi-Allianz voraussichtlich als WPA 2. Da er auf einem leistungsfähigeren Verschlüsselungsverfahren aufsetzt, müssen die Access Points über mehr Rechenkraft verfügen. Um also in einem halben Jahr nicht wieder in neue Hardware zu investieren, ist laut Thomas Boelle, Senior-Consultant bei 3Com, beim Access-Point-Kauf darauf zu achten, dass die Geräte genügend Leistungsreserven besitzen.
Der Haken bei Ipsec
Einen Ausweg aus diesem Upgrade-Problem eröffnen Security-Konzepte auf den höheren OSI-Schichten, da sie nicht von der Hardware der Access Points abhängig sind. Entsprechende Ansätze sind etwa VPNs und VLANs, die auf Ebene der Network- oder Session-Layer ansetzen. Auf den ersten Blick scheinen IP-gestützte VPNs (IPsec) auf Netzebene 3 das Ei des Kolumbus zu sein. Es handelt sich um eine bewährte, standardisierte Technik, die Betriebssysteme wie etwa Windows XP bereits von Haus aus unterstützen. Die Sache hat jedoch einen Schönheitsfehler: IPsec wurde ursprünglich für Punkt-zu-Punkt-Verbindungen konzipiert und bietet keine Schutzmaßnahmen für den Fall von Verbindungsabbrüchen. Der Anwender muss sich hier also zeitraubend neu einloggen. Ferner ist dieses Verfah-ren rechenintensiv, so dass Thin Clients oder Lowend-Mobile-Devices überfordert sind.
Für diesen Gerätetyp sind VPNs auf Ebene des Session Layer besser geeignet. Zudem warten sie gegenüber den Applikationen mit einem besseren Schutz vor Verbindungsabbrüchen auf. Aufgrund der Option, zwischen verschiedenen Übertragungsverfahren zu roamen, ist diese Variante beispielsweise im Speditionsbereich interessant, wenn etwa auf dem Ladehof ein WLAN zum Einsatz kommt und unterwegs die Kommunikation über das Mobilfunknetz erfolgt. Vorteile, die sich der Anwender dadurch erkauft, dass weniger bekannte Sicherheitsstandards verwendet werden. Die IT-Abteilung muss das eventuell fehlende Know-how dann in Form von teurer Beratungsleistung zukaufen.
Steht dagegen bei einem WLAN-Projekt die Trennung unterschiedlicher Benutzergruppen - etwa der Controlling-Abteilung vom Marketing - im Vordergrund, sind VLANs eine interessante Alternative. Wird dieser Ansatz in Verbindung mit zentralen WLAN-Switches realisiert, ist der Einsatz "dummer" Access Points" ohne eigene Intelligenz möglich. Das rechnet sich jedoch erst ab einer Installationsgröße von mehr als 30 Access Points, wie selbst Symbol Technologies als ein Verfechter dieser Idee einräumt.