Wireless LAN #

Da wir beim letzten LUG-Treffen über das Thema WLAN diskutiert haben und das wir alle viel zu wenig WLAN-Karten haben, habe ich nochmals ein wenig Forschung betrieben und möchte meinen Wissensstand hier niederschreiben. Erweiterungen sind jederzeit gewünscht. -- ThomasBayen

Informationen #

Es gibt eine grosse Menge an Listen und Hilfeseiten zum Thema, die eigentlich alle nicht wirklich helfen. Im Nachhinein kann ich als Startpunkt erstmal das Linux-WLAN-HOWTO empfehlen. Dies ist eine nach meiner Erfahrung recht gute Übersicht über alle Treiberbestrebungen unter Linux.

In unserem Wiki gibt es die folgenden Seiten zum Thema:

Weitere Links zum Theme #

  • WLAN Hardware listet unterstützte Hardware auf.
  • LinuxWiki
  • Wer Wardriving machen will, also "fremde" Netze aufspüren und abhören will, muss die Karte dazu in einen monitor-Modus bringen. Dies unterstützen nicht alle Treiber. Wer sowas will, schaut mal bei den wardriving-Tools Kismet oder Wellenreiter nach.
Erste Antwort von Kai auf "welche Karte" /Welche gehen?

Media-Markt in Krefeld hat umgebaut und dabei an einem Montag Sonderangebote gehabt. Eines davon ist sehr interessant:

 11 Mbit - 802.11b Kompatibel
 SIEMENS I - Gate 11Mbit

Eine PCMCIA-Funknetzkarte mit PRISM Chipsatz laut schriftlicher Aussage des Media Marktes und ich zitiere wörtlich

 " ... auch für Linux Betriebssystem geeignet, für WIN98/ME/2000/XP und Linux."

Dieser Link: WLAN Hardware listet unterstützte Hardware auf.

  • Die Firmware 0.7 funktioniert prinzipiell, allerdings wird WEP unter Linux nicht unterstuetzt. Der PCI Adapter ist offenbar baugleich mit SMC2602W, die PCMCIA Card mit der SMC2632W. Da auf der Siemens Site keine entsprechende Firmware angeboten wird, habe ich mir das Firmwareupdate 8c3 besorgt und (unter Windows) geflasht. Mit der Firmware 0.8 klappt auch WEP einwandfrei. - HeinzHayduk
  • ThomasBayen hat Dank HeinzHayduk und http://www.smc-europe.com seine Karte auch geupdatet. Dabei ist wichtig, das man die Karte erst normal, d.h. mit dem Siemens-Treiber unter Windows installiert. Danach lädt man dann das Update-Tool herunter und startet es. Meine Firmware ist jetzt die 8.3. Nun WEPpt die Karte auch!
  • Zum Thema Flashen ist die Seite von Junsun unbedingt zu empfehlen. Dort bekommt man verschiedene Firmware-Stände (z.B. STA 1.7.1, den man für WPA braucht). Nach meiner Erfahrung ist für einen Linuxer das hostap-util prism2_srec die einfachste und sicherste aller Möglichkeiten: kein Windoze reboot nötig! Je nach Karten-Hardware braucht man Firmware-Dateien mit bestimmtem zweitem Buchstaben, etwa '1' für die I-GATE Karten (also für STA 1.7.1 dann: S1010701.HEX zum Flashen, oder R1010701.HEX für temporäres Laden ins Karten-RAM). Doch keine Angst: prism2_srec flasht nur, wenn man beim Compile ein zusätzliches #define gesetzt hat, und wenn das Image auch wirklich zur Karte passt.

Access Point #

Nachdem ich beim ersten Anlauf in jugendlichem Wahnsinn eine PCMCIA und eine PCI-Karte gekauft hatte, um einen Rechner als Access Point zu benutzen, wollte ich diesmal die ganze Sache einfach nur ans Laufen bringen. Also habe ich einen Belkin Wireless Access Point F5D6130 gekauft (DM 129,- - eine PCMCIA-Karte mit PCI-Adapter ist auch nicht günstiger). Das Ding wird ins LAN gesteckt und Fertig! Der Verbindungsaufbau ging sofort! :-)

Zur Konfiguration des Gerätes (für Verschlüsselung etc.) liegt natürlich nur eine Windows-CD bei. Dieses Programm kann irgendwo im LAN oder WLAN installiert sein. Allerdings habe ich voller Erstaunen auch ein Konfigurationsprogramm unter Linux im Debian-Paket ap-utils entdeckt. Der AP ist wohl baugleich mit einigen anderen Atmel-basierten APs (z.B. Linksys). Und dieses Tool kann wesentlich mehr als das Windows-Tool. So ist es auch möglich, die Sendeleistung heraufzusetzen(!).

Ein zweiter Vorteil des APs ist natürlich, daß man ihn an einer günstigen Stelle postieren kann und dann nur ein normales Netzkabel dorthin verlegen muss. Ist die Karte in einem PC, muss man ggf. ein Antennenverlängerungskabel benutzen, was nicht nur teuer ist, sondern sich auch sehr ungünstig auf die Sendeleistung auswirkt.

Bei der Konfiguration des Access Points sollte man beachten, dass manche WLAN-Karten Kanal 13 nicht empfangen können. Ich hatte bei meiner Fritzbox den Kanal 13 eingestellt und konnte deshalb keine Verbindung aufbauen. Es hat mich sehr viel Zeit gekostet, dies als Ursache für die fehlgeschlagene Verbindung zu identifizieren. Es gibt ein Kommando, mit dem man sich die unterstützten Kanäle der Karte und des Linux-Treibers anzeigen lassen kann (leider fällt mir dieses Kommando im Moment aus dem Kopf nicht mehr ein). Welche Kanäle in welcher Region erlaubt sind, findet man hier. Daraus geht hervor, dass in den USA die Kanäle 12, 13 und 14 nicht erlaubt sind. Das ist wahrscheinlich auch der Grund dafür, dass meine Karte nur die Kanäle von 1 - 11 unterstützt. -- RR

Übrigens gibt es auch die Möglichkeit, zwei dieser APs als Bridge zwischen zwei LANs zu konfigurieren. Das ist dann die etwas teurere Lösung, bei der man allerdings gar keine Treiberprobleme mehr hat.

Die Art von Bridging ist aber nicht auf kommerzielle APs beschränkt: das Feature nennt sich WDS (Wireless distribution system) und ist seit längerem mit dem hostap-Treiber möglich. Allerdings muss man Karten mit älteren Firmwareständen hoch-Flashen.

Sicherheit #

Ich habe den AP an einem ganz eigenen Netzwerksegment, d.h. an einer eigenen Netzwerkkarte an einem Linux-Router mit entsprechender Firewall. Man sollte sich darüber im klaren sein, dass WEP grundsätzlich zu knacken ist. Ich denke, dass ich lieber eine ganz unverschlüsselte Verbindung nehme (um keine Illusion aufzubauen), um z.B. über Port 80 ins Internet zu gehen und dann über diese Verbindung ein separates VirtualPrivateNetwork mit VPNmitIPSec oder OpenVPN aufbaue, wenn ich in mein LAN will. Zugriff ins LAN ohne VPN wird dann komplett verboten. So hängt die Sicherheit dann von meinem VPN ab, was erstens erlaubt, die beste Software dafür zu wählen und zweitens normale WLAN-Sniffer stark verwirren dürfte.

Konfiguration #

Die Konfiguration der Schnittstelle mache ich wie bei LaptopNetzwerkAutokonfiguration beschrieben. So, wie der Atmel-Treiber sich installiert, wird er im PCMCIA über die "network"-Skripte installiert, d.h. es gilt alles auch für normale Ethernet-Karten gesagte. Als Gegenstelle (zur Angabe von MAC-Adresse und IP) kann man bei guessnet nicht nur den AP selber angeben (dessen IP konfiguriert werden kann) sondern auch einen Rechner wählen, der im LAN existiert, das an den AP angeschlossen ist (Der AP routet offensichtlich auch ARP-Pakete weiter, ist also eine richtige Bridge).

Die "wireless"-Skripte vom PCMCIA-System werden nur benötigt, wenn man WLAN-spezifische Parameter einstellen will. Wenn man z.B. zwei Access Points in der Reichweite hat und nicht immer beim Nachbarn (oder beim Hotspot im Breuers) landen will, sollte man in /etc/pcmcia/wireless.opts entsprechend Änderungen vornehmen, um eine ESSID auszuwählen. Manche Access Points sind hier auf "WLAN" vorkonfiguriert, man kann aber z.B. auch "LUG" einstellen. Die Telekom verwendet z.B. "T-Mobile_T-Com". In dieser Datei sollte man übrigens auch WEP usw. einstellen können.

Im Prinzip habe ich aus obiger Erwägung den Access Point und die Karte gar nicht konfiguriert. Das bedeutet, ich habe eine unverschlüsselte Standard-Verbindung. Daraus ergeben sich folgende Eigenschaften:

  • Kein Ärger mit der WEP-Unterstützung der Treiber und keine vorgegaukelte, falsche Sicherheit
  • Der AP muss an ein eigenes Netzwerksegment (DMZ) angeschlossen werden und nicht in das normale LAN!
  • Beide(!) Seiten der Verbindung sollten eine Firewall besitzen. (D.h. sie müssen ebensogut abgesichert sein wie jeder Rechner, der sich z.B. direkt ins Internet einwählt)
  • Auf beiden Seiten werden Clients für ein VirtualPrivateNetwork installiert, über die dann die eigentliche Verbindung ins LAN aufgebaut wird.
  • Die Firewall am Access Point lässt keine Pakete durch, die nicht mit dem VPN zusammenhängen

WEP #

Wenn man denn WEP doch einsetzen möchte, dann natürlich nur mit 128 Bits (genauer: 104). Gegenüber der VPN-Lösung ist der Aufwand sehr viel geringer, und man kann sogar Windoze-Clients zulassen. Hierzu ein Tipp: Um nicht mit Hex-Keys arbeiten zu müssen, kann man bei Windoze-Treibern häufig eine Passphrase eingeben und sich daraus einen Hexkey erzeugen lassen (so was wie MD5-Hash). Das nwepgen-Programm aus dem linux-wlan-ng Utilitypaket verwendet dabei den gleichen Algorithmus wie die (Nessus-kompatiblen) Windozetreiber, so dass man in Linux und Windoze die gleiche Passphrase verwenden kann. Allerdings klappt das nur mit 40-Bit Schlüssellänge :-( falls man nicht den Patchhttp://lists.linux-wlan.com/pipermail/linux-wlan-devel/2002-February/000873.html einspielt, siehe auch mein Hinweis in Linux-Communityhttp://www.linux-community.de/Neues/story?storyid=11647. (Leider passt der Patch wegen Formatierung nicht richtig, also ist Handarbeit angesagt...) Aber dann kann man aus einer gemeinsamen Passphrase die gleichen WEP128 Keys erzeugen. Interoperabilität Win/Lin ist auch eine Form von Gastfreundlichkeit. - Martin

Einstellen von WEP-Keys #

Wer sich mit einem Debian-System an einem WEP-geschützten Acces Point anmelden will, kann seine WEP-Parameter am einfachsten in der Datei /etc/network/interfaces einstellen, in der bekanntlich auch alle anderen Parameter für die Interfaces angegeben werden. Hier kann man zum Beispiel folgendes schreiben:

  iface eth1 inet dhcp
        WIRELESS_ESSID MEINAP
        WIRELESS_KEY 1234-5678-9abcd-ef01-2345-6789-ab
        up /etc/init.d/openvpn start
        down /etc/init.d/openvpn stop

Erweiterung für Gastfreundlichkeit #

Obiges Setup hat den Vorteil, daß es sich relativ problem- und risikolos so erweitern läßt, daß man auch "Gäste" bedienen kann bzw. sich für "ungefährliche" Dinge gar nicht am VPN einloggen braucht.

  • Auf dem Rechner, an dem der AP hängt, sollte ein DHCP-Server laufen, der die Anmeldung neuer Rechner übernimmt.
  • Die Firewall kann Pakete, die nicht ins LAN (sondern ins Internet) gehen, weiterrouten und so Zugang ins Internet für "Gäste" gestatten (evtl. nur Port 80)
  • Wenn man nur ins Internet möchte, besteht so gar keine Notwendigkeit, das VPN aufzubauen. So bietet man evtl. weniger Angriffsfläche für Entschlüsselungsversuche

Ad-Hoc modes #

Es gibt zwei verschieden Ad-Hoc modes. Zum einen den alten Ad-Hoc Demo Mode (auch bekannt als Lucent Mode) und den neuen IBSS Ad-Hoc Mode. Beide Ad-Hoc modes sind inkompatibel und funktionieren nicht miteinander. Wer also eine alte WLan-Karte hat oder eine alte Firmware, kann Probleme bekommen wenn er an ein Netz im Ad-Hoc Modus betreiben will. -- DocX

Ich dachte, dieses Thema kann man weitgehend vernachlässigen. Wie weit ist das Problem denn praktisch verbreitet? Wie alt muss eine Karte sein, damit es gefährlich wird??? -- ThomasBayen

Funkstrecken #

Zum Thema "längere Funkstrecken" gibt es im Netz einige interessante Erfahrungsberichte, z.B. http://www.pl-berichte.de/t_netzwerk/wlan-selbstgemacht/wlan-selbstgemacht.html

Tags:  Netzwerk, Notebook

Add new attachment

Only authorized users are allowed to upload new attachments.
« This page (revision-14) was last changed on 02-Aug-2015 22:59 by Peter Hormanns