WLAN und Antenne

[Fabianus]

Hallo!

 

Nachdem hier in letzter Zeit häufiger Computer-Fragen gestellt worden sind, will ich auch einmal:

 

Und zwar geht es darum, welche Reichweite eine WLAN-Verbindung (IEEE 802.11b / WiFi) üblicherweise hat. Ich verwende eine (ältere) ORiNOCO GoldCard, und wie der AccessPoint technisch beschaffen ist, weiß ich leider nicht. Auf jeden Fall ist er etwa 300m Luftlinie von meiner bescheidenen Bleibe entfernt in einem Gebäude installiert und eigentlich für Verbindungen innerhalb dieses Gebäudes gedacht. Auch besteht dorthin keine freie Sicht (ein größeres Gebäude ist im Weg).

Wie zu erwarten, bekomme ich keinerlei Verbindung zum AP. Doch würde eine externe Antenne an der WLAN-Karte (etwa eine solche) mir weiterhelfen? Oder gibt es noch andere Möglichkeiten? Internet mit 11MBit/s statt 64kBit/s wäre schon toll.

 

Auch Antworten von Nicht-Katholen sind willkommen ;-)

 

Fabianus

bearbeitet 1. März 2005 von Fabianus

[sylle]

Die Angabe der Reichweiten ist m.E. weit übertrieben. Im Klartext: Ich kann mir nicht vorstellen, dass 300m unter normalen Umständen (direkter Luftweg zum AP) nicht möglich sind.

Es gibt aber bei conrad o.ä. sowohl Antennen als auch Sendeantennen, die die Reichweite erhöhen.

Möglicherweise klappt es damit.

[Elrond]

Wie Sylle schon sagte, die 300m kannst Du vergessen und ohne externe Antenne wird es nicht funktionieren.

 

Wenn ein grosses Gebaeude im Weg ist und Du nur Reflexionen auffangen kannst, sind die Chancen nicht sehr gut. Speziell wenn das Gebaeude, an dem reflektiert wird, keine glatte Oberflaeche hat. Probieren geht aber ueber studieren.

 

Schau mal bei www.wimo.de, die machen nur Antennen und Zubehoer und haben eine ganz gute telefonische Beratung. Ich habe da meine WLAN Antenne her und ueberbruecke damit 428m, allerdings mit freier Sicht auf die Gegenstelle.

[Caveman]

Was noch bedenken ist, dass die WLAN-Verschlüsselung geknackt worden ist. Wer früher unverschlüsselt gesendet hat ,war selbst schuld, aber jetzt macht es keinen Unterschied mehr.

 

Für kommerzielle Zwecke würde ich es daher niemals verwenden (ich kenne min. einen Arzt, der WLAN in seiner Praxis einsetzt: GRAUS!).

[Ute]

Wir haben WLAN zuhause. Vom Access Point bis zum PC meines Mannes sind es etwa 13 m, allerdings diagonal durch's Haus. Eine Wand wird senkrecht durchschnitten, die nächste sehr schräg (viel Weg!)und ein Kleiderschrank steht auch noch davor. Dann noch eine weitere Wand ziemlich senkrecht. Das merkt man sehr an der Geschwindigkeit.

 

Hab auch noch keine Lösung.

 

Aber da erscheinen mit deine 300 m mit Gebäude dazwischen ziemlich aussichtslos.

[Elrond]

Was noch bedenken ist, dass die WLAN-Verschlüsselung geknackt worden ist. Wer früher unverschlüsselt gesendet hat ,war selbst schuld, aber jetzt macht es keinen Unterschied mehr.

 

Für kommerzielle Zwecke würde ich es daher niemals verwenden (ich kenne min. einen Arzt, der WLAN in seiner Praxis einsetzt: GRAUS!).

Aber das bezieht sich hauptsaechlich auf WEP, mit WPA und einem sehr langen und gut gewaehlten PreShared Key sollte es wenigstens ein bisschen besser sein.

 

Aber ein VPN waere natuerlich besser.

[Rinf]

Was noch bedenken ist, dass die WLAN-Verschlüsselung geknackt worden ist. Wer früher unverschlüsselt gesendet hat ,war selbst schuld, aber jetzt macht es keinen Unterschied mehr.

 

Für kommerzielle Zwecke würde ich es daher niemals verwenden (ich kenne min. einen Arzt, der WLAN in seiner Praxis einsetzt: GRAUS!).

Aber das bezieht sich hauptsaechlich auf WEP, mit WPA und einem sehr langen und gut gewaehlten PreShared Key sollte es wenigstens ein bisschen besser sein.

 

Aber ein VPN waere natuerlich besser.

Ich würde eher MAC-Filterung empfehlen, oder gibt es da irgendwelche Gegenanzeigen?

[Elrond]

Ja, jede Menge.

 

Du kannst die meisten Client-Bridges und APs davon ueberzeugen, WLAN seitig eine andere MAC Adresse zu verwenden. Dann brauchst Du nur noch ein paar Pakete aus dem Sitzungsaufbau - wenn nicht sogar mitten aus der Sitzung und Du hast die MAC Adressen der beteiligten Partner. Dann nimmst Du eine starke Antenne und spielst dem Client vor, dass Du der AP bist. Mit einer viel schwaecheren Antenne spielst Du dem eigentlich AP vor, dass Du der Client bist.

 

Schwups, eine Man-in-the-middle Attacke.

 

*vereinfachte-Edition-1.0*

[Baumfaeller]

MAC Addressen koennen gespooft werden. Ich kann meine Karte auf jede beliebige MAC Addresse einstellen. Zum Glueck wissen das die wenigsten.

 

WEP Verschluesselung ist einfach tot. Jeder, der sich heutzutage dadrauf verlaesst, ist ein Trottel. Die einfachste Loesung, wie von Elrond schon gesagt, ist ueber das WLAN einfach ein VPN laufen zu lassen (IPSec oder so aehnlich). Das verwenden wir zu Hause fuer alle wichtigen Sachen, ist aber ziemlich unpraktisch (man muss immer eine Menge Krempel installieren und konfigurieren). Fuer komfortable Verwendung (vor allem, wenn die WLAN Laptops wenig Konfiguration benoetigen sollen, also im geschaeftlichen Bereich, wo es immer zu viele Benutzer und zu wenig IT-Leute gibt), sollte man eher eine gute WLAN Verschluesselung verwenden, wie z.B. EAP, LEAP, oder 802.11x. Die sind aber manchmal teuer, benoetigen spezielle Hardware (LEAP z.B. funktioniert angeblich nur mit Cisco Krempel), und sind ziemlich schwer zu konfigurieren.

 

Fuer einen normalen Haushalt wuerde ich heutzutage MAC-Address Filtering mit 128-bit WEP verwenden. Man ist zwar nicht gegen Hacker sicher, aber zumindest findet man nicht versehentlich die Nachbarn in seinem Netz.

 

Was Antennen angeht: Mit den normalen 6cm- oder 10cm-Antennen kommt man durchaus 50m weit, aber nur in super-perfekten Situationen. Wir haben mal zum Spass unseren billigen Linksys Access Point auf das Dach unseres Hauses gestellt (wir wohnen auf einem Berggipfel, und das naechste Haus ist mehr als 500m weit weg), und wir koennen mit einem Laptop ziemlich weit in den Wald wandern, und bekommen immer noch 11 Mbit/s. Sicherheitshalber ist unser Access Point jetzt im Keller installiert. Das Problem ist, dass die Reichweite ein zweischneidiges Schwert ist. Einerseits kann man sich nicht drauf verlassen, dass man mit WLAN quer durchs Haus kommt (durch Stahlbeton-Waende kommt das Zeug kaum durch). Andererseits kann man sich drauf verlassen, dass der Hacker aus grosser Entfernung zuhoeren kann.

 

Mit einer billigen Yagi oder Dosen-Antenne auf einer Seite kann man im Prinzip auf ein paar hundert m kommen, bei voller Bandbreite. Mit guten Antennen auf beiden Seiten kann man ohne weiteres auf mehrere km kommen, bei voller Bandbreite. Wir wollen naechstens unsere ISDN-Leitung zu Hause abklemmen (weil 128 kbit/s fuer $120/Monat), und durch einen 802.11b Anschluss ueber 12km (ungefaehr 7 Meilen) Entfernung ersetzen (ungefaehr 800-1000 Mbit/s, fuer $49.95 pro Monat). Dazu braucht man aber auf unserem Ende eine Antenne, die um die $150 kostet (das amortisiert sich in ein paar Monaten).

 

P.S. Ich sehe gerade, Elrond war schneller.

bearbeitet 2. März 2005 von Baumfaeller

[Elrond]

@Baumfaeller

 

Man sollte noch zwischen Authentifizierungs-Protokollen und Verschluesselung unterscheiden. LEAP (wenn ich mich nicht irre leightweight extended authentication protocoll) und auch WPA sind Authentifizierungsprotokolle, die sich um so Dinge wie Schluesselaustausch, Sitzungsaufbau etc. kuemmern, die Verschluesselung selbst ist bei WPA z.B. TKIP (Temporary Key Integrity Protocol). Der Witz dabei ist, dass der Schluessel zur Verschluesselung staendig gewechselt wird, man braucht aber ein sog. Preshared Secret (PSK) als Master-Schluessel, um weitere Schluessel fuer die Sitzung daraus generieren zu koennen. Ein schlechter Master-Key ist deshalb auch der Schwachpunkt von WPA-PSK.

 

WEP ist wirklich mausetod.

 

Ich wuerde heute fuer den Heimgebrauch ein WPA faehiges Heimnetz zusammenstellen und einen langen PSK nehmen (> 55 zufaelligen Zeichen). Der Nachteil ist, dass WPA auch vom Betriebssystem unterstuetzt werden muss. Windows XP kann das von sich aus, Windows 2000 kann man nachruesten, darunter ist es nicht moeglich. Wie es bei Linux ist, weiss ich nicht. Die meisten Geraete koennen auch schon WPA (z.B. der ganze aktuelle DLink Kram).

 

Alternative B waere IPSec, wie Baumfaeller schon sagte ... dazu nimmt man entweder einen IPSec faehigen Router (z.B. die Linksys Geraete) oder eine Software-Loesung (z.B. von Astaro). IPSec koennen die meisten Betriebssysteme sprechen. Ist aber u.U. nicht trivial einzurichten.

 

Oder Du willst in ein Netz, was schon ein IPSec Gateway hat (bei uns an der uni ist das z.B. so, da braucht man nur noch einen Client und die gesamte Sitzung ist egal ueber welche Einwahl man kommt verschluesselt) ... das waere die einfachste Loesung.

[Rinf]

MAC Addressen koennen gespooft werden.  Ich kann meine Karte auf jede beliebige MAC Addresse einstellen.  Zum Glueck wissen das die wenigsten.

Wohl wahr - jetzt weiß es (mindestens) einer mehr. Ich war bisher davon ausgegangen, dass die MAC bei der Fertigung hardwaremäßig festgelegt wird.

Na gut, dann macht das natürlich wenig Sinn, da habt Ihr wahr - wieder was gelernt.

[Baumfaeller]

Elrond hat komplett recht: EAP/LEAP/802.11x sind nur fuer die Authentizierung zustaendig. Die lassen einen einen Laptop nur einloggen, wenn es wirklich der Laptop meiner Frau oder meiner ist (wir verwenden es zu Hause nicht, daher ist das nur ein Witz). Damit ist das groesste Problem geloest: Ein Angreifer kann nicht auf unser Netz zugreifen. Solange man nicht verschluesselt, kann ein Angreifer zwar zuhoeren, aber das ist im Heimbereich weniger gefaehrlich (meinetwegen kann jeder mitlesen, wenn ich mir die Beitraege von mykath ansehe, das wuerde schlimmstenfalls die Anzahl Atheisten in unserer Gegend erhoehen). Wenn ich da was gegen haette (und im Buero haben wir da sicher erheblich was gegen), dann muss verschluesselt werden. Ich wusste nicht, dass WPA heutzutage in billigen (Hausgebrauch) Routern zu finden ist. Muss mal sehen, ob ich die Firmware in meinem alten Linksys upgraden kann.

 

Rinf: Beinahe jede Ethernet-Karte (ob drahtlos oder nicht) hat bei der Herstellung eine MAC-Addresse bekommen. Aber die ist nur der Default, und kann in den meisten Faellen per Software geaendert werden. Das ist sogar nuetzlich (manche Protokolle wollen die MAC Addresse angepasst haben, und es kann die Verwaltung vereinfachen. Manche Ethernet-Karten haben keine MAC-Addresse, und muessen sie per Software nach dem Booten bekommen (aber solche Karten findet man so gut wie nie im freien Handel, sondern nur fuer Spezialzwecke, wie Cluster).

[Fabianus]

Erstmal Danke für Eure Antworten zu meinem Problem. Ich habe mich 'mal auf wimo.de umgeschaut, da gibt es so einiges. Vielleicht rufe ich da einmal an und frage nach.

 

Ich werde kurz schreiben, falls ich eine Antenne gekauft und ausprobiert haben sollte.

 

Fabianus