📁 Lernfeld 9

Schule/Lehrjahr 2/Lernfeld 9
Erstellt von admin am 19.06.2025 08:41
Zuletzt bearbeitet von admin am 19.06.2025 08:50

WLAN: Verbindungsaufbau und Sicherheit

Aufgaben:

  • Verbindungsaufbau im WLAN recherchieren!
    • SSID, Broadcast, CSMA/CA, Geschwindigkeiten, Timeslots
  • Sicherung von WLAN's
    • Verschlüsselung
    • Authentication (PSK, AES, RADIUS, TACAS+)

Verbindungsaufbau im WLAN

SSID (Service Set Identifier)

Die SSID ist ein eindeutiger Name, der ein drahtloses Netzwerk identifiziert. Sie kann bis zu 32 Zeichen lang sein und wird in Beacon-Frames übertragen.

Funktionen: - Netzwerkidentifikation für Clients - Trennung verschiedener WLANs in einem Bereich - Kann versteckt werden (Hidden SSID)

Arten von SSIDs: - ESSID (Extended Service Set ID): Für mehrere Access Points - BSSID (Basic Service Set ID): MAC-Adresse des Access Points

Broadcast-Verfahren

Beacon-Frames werden regelmäßig (standardmäßig alle 100ms) vom Access Point gesendet:

┌─────────────────┐    Beacon (SSID, Capabilities)    ┌──────────┐
│   Access Point  │ ──────────────────────────────► │  Client  │
└─────────────────┘                                   └──────────┘

Inhalt der Beacon-Frames: - SSID - Unterstützte Datenraten - Verschlüsselungstypen - Kanalparameter - Timestamp

CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance)

Da WLAN ein geteiltes Medium ist, wird CSMA/CA zur Kollisionsvermeidung eingesetzt:

Ablauf: 1. Carrier Sense: Prüfung, ob Medium frei ist 2. Random Backoff: Zufällige Wartezeit bei belegtem Medium 3. RTS/CTS (Optional): Request to Send / Clear to Send 4. ACK: Bestätigung der erfolgreichen Übertragung

Client A ──RTS──► AP ──CTS──► Client A ──DATA──► AP ──ACK──► Client A
                      │
                      └──CTS──► Andere Clients (warten)

Geschwindigkeiten nach IEEE-Standards und WiFi-Generationen

Standard WiFi Generation Frequenz Max. Geschwindigkeit Reale Geschwindigkeit Jahr
802.11 WiFi 0 2,4 GHz 2 Mbit/s ~1 Mbit/s 1997
802.11b WiFi 1 2,4 GHz 11 Mbit/s ~5 Mbit/s 1999
802.11a WiFi 2 5 GHz 54 Mbit/s ~25 Mbit/s 1999
802.11g WiFi 3 2,4 GHz 54 Mbit/s ~25 Mbit/s 2003
802.11n WiFi 4 2,⅘ GHz 600 Mbit/s ~300 Mbit/s 2009
802.11ac WiFi 5 5 GHz 6,93 Gbit/s ~1 Gbit/s 2013
802.11ax WiFi 6 2,⅘ GHz 9,6 Gbit/s ~2 Gbit/s 2019
802.11ax WiFi 6E 2,⅘/6 GHz 9,6 Gbit/s ~2 Gbit/s 2020
802.11be WiFi 7 2,⅘/6 GHz 46 Gbit/s ~5-10 Gbit/s 2024

Faktoren für Geschwindigkeitsreduktion: - Overhead durch Protokoll (≈50%) - Entfernung zum Access Point - Interferenzen - Anzahl gleichzeitiger Nutzer

WiFi 6/6E Verbesserungen: - OFDMA (Orthogonal Frequency Division Multiple Access) - MU-MIMO (Multi-User Multiple Input Multiple Output) - BSS Coloring (Interferenzreduktion) - Target Wake Time (Energiesparen)

WiFi 7 Neuerungen: - MLO (Multi-Link Operation) - 320 MHz Kanäle - 4K-QAM Modulation - Multi-RU (Resource Unit) Zuweisungen

Timeslots und Timing

DIFS (Distributed Inter Frame Space): - Wartezeit vor Datenübertragung: 50 μs (802.11g)

SIFS (Short Inter Frame Space): - Wartezeit für ACK/CTS: 10 μs (802.11g)

Slot Time: - Grundeinheit für Backoff-Algorithmus: 20 μs (802.11g)

Contention Window: - Anfangswert: 31 Slots - Verdopplung bei Kollisionen bis max. 1023 Slots

Sicherung von WLANs

Verschlüsselungsverfahren

WEP (Wired Equivalent Privacy) - VERALTET

  • Schlüssellänge: 64/128 Bit (effektiv 40/104 Bit)
  • Algorithmus: RC4
  • Schwächen: Statische Schlüssel, schwache IV-Implementierung
  • Status: Seit 2004 als unsicher eingestuft

WPA (Wi-Fi Protected Access)

  • Verschlüsselung: TKIP (Temporal Key Integrity Protocol)
  • Schlüsselmanagement: Dynamische Schlüssel
  • Authentifizierung: PSK oder 802.1X
  • Verbesserungen: IV-Erweiterung, Message Integrity Check

WPA2

  • Verschlüsselung: AES-CCMP (Advanced Encryption Standard)
  • Schlüssellänge: 128 Bit
  • Sicherheit: Militärischer Standard
  • Modi: Personal (PSK) und Enterprise (802.1X)

WPA3 (Aktueller Standard)

  • SAE (Simultaneous Authentication of Equals)
  • Forward Secrecy: Schutz alter Daten bei Kompromittierung
  • Enhanced Open: Verschlüsselung auch ohne Passwort
  • 192-Bit Sicherheit: Für Unternehmensumgebungen

Authentication-Verfahren

PSK (Pre-Shared Key)

WPA2-Personal: 

Client ←─────── PSK (Passwort) ─────────► Access Point
   │                                            │
   └──── 4-Way Handshake zur Schlüsselableitung ──┘

4-Way Handshake Ablauf: 1. AP → Client: ANonce (AP Nonce) 2. Client → AP: SNonce + MIC 3. AP → Client: GTK (Group Temporal Key) + MIC 4. Client → AP: Bestätigung

AES (Advanced Encryption Standard)

Eigenschaften: - Blockgröße: 128 Bit - Schlüssellängen: 128, 192, 256 Bit - Modi in WLAN: CCMP (Counter Mode CBC-MAC Protocol) - Sicherheit: Quantencomputer-resistent (bei 256 Bit)

RADIUS (Remote Authentication Dial-In User Service)

Architektur: 

┌─────────┐    802.1X     ┌─────────────┐    RADIUS    ┌─────────────┐
│ Client  │ ◄──────────► │ Access Point │ ◄─────────► │ RADIUS Server│
└─────────┘   (EAP)       └─────────────┘  (Port 1812) └─────────────┘
                              │                              │
                              └── Accounting ──► Port 1813 ──┘

EAP-Methoden: - EAP-TLS: Zertifikatsbasiert - EAP-TTLS: Tunneling mit TLS - EAP-PEAP: Protected EAP - EAP-FAST: Flexible Authentication via Secure Tunneling

RADIUS-Attribute: - User-Name - User-Password - NAS-IP-Address - Session-Timeout - Filter-ID

TACACS+ (Terminal Access Controller Access-Control System Plus)

Unterschiede zu RADIUS:

Merkmal RADIUS TACACS+
Port UDP 1812/1813 TCP 49
Verschlüsselung Nur Passwort Vollständig
AAA-Trennung Kombiniert Getrennt
Protokoll Standard Cisco-proprietär

TACACS+ Vorteile: - Vollständige Verschlüsselung aller Pakete - Getrennte Authentication, Authorization, Accounting - Granulare Berechtigungskontrolle - Bessere Protokollierung

Zusätzliche Sicherheitsmaßnahmen

MAC-Filterung

  • Whitelist erlaubter Geräte
  • Schwäche: MAC-Adressen sind änderbar

SSID-Hiding

  • Verstecken des Netzwerknamens
  • Schwäche: SSID in Probe-Requests sichtbar

VPN-Tunneling

  • Zusätzliche Verschlüsselungsebene
  • End-to-End Sicherheit

Quellen

  • IEEE 802.11 Standards (IEEE Computer Society)
  • RFC 2865 - Remote Authentication Dial In User Service (RADIUS)
  • RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3
  • Wi-Fi Alliance Security Specifications
  • NIST Special Publication 800-97 "Establishing Wireless Robust Security Networks"
  • Cisco TACACS+ Protocol Specification
  • BSI TR-02102 "Kryptographische Verfahren: Empfehlungen und Schlüssellängen"
  • Wi-Fi Alliance WiFi 6, WiFi 6E und WiFi 7 Spezifikationen