Grundlagen moderner Netzwerktechnologien im Überblick – Teil 63 Wireless LANs nach IEEE 802.11b – PCF, Authentisierung & Geheimhaltung

Autor / Redakteur: Dr. Franz-Joachim Kauffels / Dipl.-Ing. (FH) Andreas Donner

Der Eintritt in ein Funknetz, der in IEEE 802.11b auch über das langsame, alternative Zugriffsverfahren PCF möglich ist, ist mit einer Authentisierung verbunden und im Standard stehen zudem Funktionen für verschlüsselten Datenverkehr (WEP) zur Verfügung. Mittlerweile weiß man, dass diese Funktionen allesamt zu schwach für einen Datenschutz im professionellen Sinne sind. Dennoch sollen sie hier nicht unerwähnt bleiben.

Eine Verschlüsselung soll die Sicherheit in drahtlosen Netzen sicherstellen
Eine Verschlüsselung soll die Sicherheit in drahtlosen Netzen sicherstellen
( Archiv: Vogel Business Media )

Die optionale, auf Priorisierung basierende PCF liefert einen Frame Transfer ohne Wettbewerb um das gemeinsam zu nutzende Übertragungsmedium. Für diesen Modus muss es einen zentralen Point Coordinator geben, der im Access Point sitzt und die Übertragung der Frames kontrolliert.

Alle Stationen gehorchen dem Point Coordinator und setzen ihre NAV-Werte zu Beginn einer wettbewerbsfreien Übertragungsperiode. Stationen können außerdem optional auf einen wettbewerbsfreien Poll Frame (CF-Poll) antworten. Zu Beginn der wettbewerbsfreien Periode bekommt der Point Coordinator die Möglichkeit, die Kontrolle über das Übertragungsmedium zu übernehmen.

Bildergalerie

Der Point Coordinator folgt dem PIFS-Intervall als Grundlage für den Zugang zum Medium. Er kann während der wettbewerbsfreien Periode immer die Kontrolle behalten, da er immer nur eine kürzere Zeit warten muss als Stationen, die mit der DCF arbeiten. Der Point Coordinator hört das Medium zu Beginn jeder wettbewerbsfreien Periode ab. Wenn das Medium nach dem PIFS-Intervall unbeschäftigt ist, sendet der Point Coordinator einen Beacon Frame, der ein CF-Parameter-Set-Element enthält.

Wenn Stationen den Beacon erhalten, updaten sie ihren NAV mit dem CFPMaxDuration-Wert, den sie im CF-Parameter-Set gefunden haben. Dieser Wert kommuniziert die Länge der wettbewerbsfreien Periode an alle Stationen und hindert Stationen daran, die Kontrolle des Mediums vor dem Ende der wettbewerbsfreien Periode zu erlangen. Nach dem Aussenden des Beacon Frames überträgt der Point Coordinator einen der folgenden Frames, nachdem er wenigstens ein SIFS-Intervall gewartet hat: Daten-Frame, CF-Poll-Frame, Daten+CF-Poll-Frame oder CF-End-Frame.

Ein Datenframe wird vom Point Coordinator des Access Points (AP) an eine bestimmte Station geschickt. Wenn der Point Coordinator keinen ACK-Frame vom Empfänger erhält, kann er den Frame nach Ablauf des PIFS-Intervalls innerhalb der wettbewerbsfreien Periode nochmals aussenden. Ein Point Coordinator kann individuelle, Broadcast und Multicast-Frames an alle Stationen schicken, auch an solche, die zurzeit im Power-Safe-Modus vor sich hindösen.

Den CF-Poll-Frame schickt der Point Coordinator an eine spezielle Station und erlaubt ihr damit, einen einzelnen Frame an ein beliebiges Ziel zu senden. Wenn die angepollte Station nichts zu senden hat, muss sie dennoch einen Null Frame senden. Erhält die sendende Station keine positive Empfangsbestätigung, darf sie dennoch das Paket nicht einfach nochmals senden, bis sie vom Point Coordinator wieder angepollt wird. Wenn die empfangende Station nicht im wettbewerbsfreien Modus angepollt werden kann, wird sie den Empfang des Paketes nach den Regeln des Zugriffs mit der Distributed Coordination Function quittieren.

Mit dem Daten+CF-Poll-Frame schickt der Point Coordinator einer Station Daten, pollt sie gleichzeitig an und erlaubt ihr, einen Frame im wettbewerbsfreien Modus auszusenden. Das ist eine Form von Piggybacking, die den Overhead im System reduziert.

Der CF-End-Frame zeigt das Ende der wettbewerbsfreien Periode an und wird ausgesendet, wenn die CFPDurRemaining-Zeit abläuft oder wenn der Point Coordinator keine Pakete mehr zu senden und keine Stationen mehr anzupollen hat.

Stationen haben in puncto Polling mehrere Optionen. Eine Station kann den Wunsch, angepollt zu werden, im CF-Pollable-Subfeld innerhalb des Capability-Information-Feldes eines Association-Request-Frames angeben. Eine Station kann ihre Anpollbarkeit durch den Reassociation-Request-Frame ändern. Der Point Coordinator verwaltet eine Polling Liste für entsprechende Stationen, die während der wettbewerbsfreien Periode angepollt werden dürfen.

Der Point Coordinator schickt mindestens einen CF-Poll wenn es Einträge in der Liste gibt, und zwar in der Reihenfolge ansteigender AID-Werte. Während der Assoziation zu einem Access Point kann eine Station mittels des Capability-Information-Feldes verlangen, in die Polling List aufgenommen zu werden. Die Point-Coordination-Funktion arbeitet nicht routinemäßig unter Nutzung der Backoff-Zeit der Distributed Coordination Function. Daher gibt es ein Risiko für Kollisionen wenn es im gleichen PHY-Kanal überlappende Point Coordinatoren gibt. Das kann dann der Fall sein, wenn viele Access Points ein Infrastruktur-Netz bilden. Um diese Kollisionen zu minimieren, benutzt der Point Coordinator eine zufällige Backoff-Zeit, wenn er ein beschäftigtes Medium vorfindet, bevor er versucht, den initialen Beacon-Frame auszusenden.

weiter mit: Eintritt in ein Netz

Eintritt in ein Netz

Nachdem eine Station eingeschaltet wurde, muss sie zunächst wissen, ob es eine andere aktive Station oder einen Access Point gibt, die grade dem Netz beitreten möchten, bevor sie sich authentifiziert und mit einer passenden Station oder einem Access Point assoziiert.

Die Station macht dies, indem sie eine passiven oder aktiven Scanning Modus einnimmt. Nach dem Eintritt in einen BSS oder ESS erhält die Station den Service Set Identifier (SSID), eine Timing-Synchronisations-Funktion TSF, einen Timer-Wert und PHY-Setup-Parameter für den Access Point.

Beim passiven Scannen hört die Station in jeden Kanal für eine gewisse Zeit hinein, die durch den ChannelTime-Parameter definiert wird. Die Station wartet auf die Übertagung von Beacon-Frames die die SSID von dem Service Set haben, in die die Station eintreten möchte. Nachdem die Station den Beacon erkennt, kann sie einen Eintritt in das Netz mittels des Authentifizierungs- und Autorisierungsprozesses verhandeln.

Aktives Scannen umfasst die Aussendung eines Probe-Frames mit der SSID des Service Sets, dem die Station beitreten möchte. Die Station wartet nach dem Aussenden des Frames auf einen Probe-Response-Frame, der das Vorhandensein des gewünschten Service Sets bestätigt.

Manche Hersteller erlauben die Vorkonfiguration einer Nertzwerkadapterkarte in der Weise, dass immer ein bestimmter Access Point angesprochen wird, auch wenn sein Signal schwächer ist als das anderer Access Points, die offensichtlich näher sind. Dies kann sinnvoll sein, wenn man eine bestimmte Verkehrssteuerung vornehmen möchte, die den Verkehr durch bestimmte Access Points leitet.

In den meisten Fällen wird sich eine Station dann aber doch auf einen nähergelegenen Access Point mit einem stärkeren Signal einstellen, wenn sie keine Antwort vom bevorzugten Access Point bekommt. Eine Station kann auch Probe-Frames mit einer Broadcast SSDI aussenden, die alle Netze in Reichweite zu einer Antwort bewegen. Im Falle von infrastrukturbasierten Netzen wird ein Acess Point auf alle Probe-Requensts antworten. Bei unabhängigen BSS-Netzen mit einem Access Point wird die Station, die den letzten Beacon-Frame generiert hat, auf den Probe-Frame antworten.

Der Probe-Response-Frame zeigt die Anwesenheit der gewünschten Netze an und die Station kann den Eintritt in das Netz mit der Authentifikation und der Assoziationsfunktion komplettieren.

Stationen im BSS müssen mit dem Access Point in Synchronisation verbleiben, um sicherzustellen, dass alle Stationen mit den gleichen Parametern arbeiten, also z.B. das gleiche korrekte Hop-Muster benutzen und Stromsparfunktionen in der richtigen Art und Weise benutzt werden können. Um das sicherzustellen, verschickt der Access Point periodisch Beacon-Frames.

Ein Beacon-Frame enthält u.a. Informationen über die spezielle im vorliegenden Fall benutzte Bitübertragungsschicht. Der Beacon identifiziert das Frequenzsprungmuster und die Zeit, in der man sich bei einer Frequenz aufhält. So kann die Station die passende Demodulation wählen. Der Beacon-Frame enthält außerdem den Clock-Wert des Access Points. Jede Station, die den Beacon-Frame empfängt, wird diese Information dazu benutzen, ihre Clock entsprechend upzudaten, z.B. damit sie genau weiß, wann sie aus dem Döse-Modus wieder aufwachen muss, um Beacons empfangen zu können.

weiter mit: Authentifizierung und Geheimhaltung

Authentifizierung und Geheimhaltung

Wegen der offenen Broadcast-Natur eines drahtlosen LANs muss man von Anfang an bestimmte Sicherheitsfunktionen einbauen. Der IEEE 802.11-Standard sieht zwei Authentifikationsdienste vor: Open System Authentification und Shared Key.

Open System ist der voreingestellte Authentifikationsdienst, der lediglich den Wunsch einer Station anzeigt, sich mit einer anderen Station oder einem Access Point zu assoziieren. Shared Key umfasst einen umfangreicheren Austausch von Frames um sicherzustellen, dass die anfragende Station authentisch ist.

Open System Authentifizierung

Eine Organisation kann ein offenes Authentifizierungssystem benutzen, wenn es nicht notwendig ist, die Identität einer sendenden Station zu validieren. Eine Station kann sich gegenüber einer anderen Station oder einem Access Point mit der Open System Authentication authentifizieren, wenn die empfangene Station dieses Verfahren mit dem MIB-Parameter aAuthenticationType anzeigt. Die Abbildungen 1 zeigt die Arbeitsweise des Verfahrens. Der Status Code im Körper des zweiten Authentifikations-Frames zeigt den Erfolg oder Misserfolg der Authentisierung an

Shared Key Authentifikation

Dieses Verfahren bietet einen wesentlich höheren Grad an Sicherheit als Open System. Eine Station, die dieses Verfahren nutzen möchte, muss WEP implementieren. Die Abbildung 2 zeigt die Arbeitsweise des Verfahrens. Der geheime Schlüssel liegt in der MIB jeder Station in einer Form vor (Write Only), in der er nur der MAC-Steuerung zugänglich gemacht wird. Der Standard sagt aber leider nichts darüber aus, wie der Schlüssel dorthin kommt.

Zunächst schickt eine Station einen Authentication-Frame an eine andere Station. Wenn eine Station einen initialen Authentication-Frame erhält, antwortet sie mit einem Authentication-Frame, der 128 Oktette „Challenge Text“ enthält, den der WEP-Dienst erzeugt. Die anfordernde Station kopiert dann diesen Text in einen Authentication-Frame, verschlüsselt diesen mit dem geheimen Schlüssel und sendet dann den Frame an die antwortende Station. Diese wird den Text entschlüsseln und ihn mit dem Challenge Text vergleichen, den sie losgeschickt hat. Wenn der empfangene entschlüsselte Text mit dem ursprünglich ausgeschickten übereinstimmt, wird die antwortende Station mit einem Authentication-Frame antworten, der eine erfolgreiche Authentifizierung anzeigt. Wenn nicht, gibt es eine Negativmeldung.

Geheimhaltung bei der Übertragung

Um eine Geheimhaltung bei der Übertragung anzubieten, die dem Sicherheitsniveau eines festverdrahteten LAN entspricht, sieht IEEE 802.11 das optionale WEP-Protokoll (Wired Equivalent Privacy) vor. WEP generiert verteilte geheime Schlüssel, die sowohl von Sendern als auch von Empfängern benutzt werden und die Informationen auf dem drahtlosen Netz vor Lauschern schützt. Das WEP ist ein symmetrisches Verschlüsselungsverfahren. Stationen können WEP alleine benutzen, aber wenn Shared Key Authentication benutzt werden soll, muss auch WEP implementiert sein.

An der sendenden Station lässt die WEP-Verschlüsselung die unverschlüsselten Daten im Frame-Body-Feld eines MAC-Frames zunächst durch einen Integritätsalgorithmus laufen, um einen Integritätswert der Länge vier Oktette erzeugt, der mit den Daten mitgeschickt und an der Zielstation ausgewertet wird, um vor unauthorisierter Modifikation der Daten z schützen.

Der WEP Prozess steckt den geheimen Schlüssel in einen Zufallsgenerator um eine Schlüsselsequenz zu erzeugen, deren Länge gleich der Summe der Länge der zu verschlüsselnden Information plus Integritätscheckwert ist. WEP verschlüsselt die Daten, indem die EXOR-Funktion zwischen der zu verschlüsselnden Information + Integritätswert und der Schlüsselsequenz ausgeführt wird.

Der Pseudo-Zufallszahlengenerator macht die Schlüsselverteilung wesentlich einfacher, da nur der geheime Schlüssel an jede Station gegeben werden muss, nicht aber die Verschlüsselungssequenz variabler Länge. Beim Empfänger verschlüsselt der WEP-Prozess den zu übertragenden Text indem er den gleichen geheimen Schlüssel benutzt, der ursprünglich zur Erzeugung der Sequenz benutzt wurde, die den Frame verschlüsselt hat. Die Station berechnet den Integritätswert und prüft, ob er dem entspricht, der mit dem Paket mitgeschickt wurde. Ergibt der Integritätscheck ein negatives Ergebnis, wird das Paket, also die MSDU, nicht an die LLC weitergereicht und es erfolgt eine Fehlermeldung an das MAC-Management

Tatsache ist aber, dass die WEP-Verschlüsselung leicht zu knacken und für eine professionelle Geheimhaltung ungeeignet ist. Da braucht man schon 3DES oder AES. Derartige Lösungen sind mittlerweile von praktisch allen Herstellern verfügbar und auch herstellerübergreifend operabel. Wir besprechen sie jedoch erst im Zusammenhang mit allgemeinen Sicherheitsbetrachtungen, weil sie nicht zum Standard 802.11b gehören.