Unsichere WLAN-Brücken
Ich möchte zwei Kabel-LANs per WLAN koppeln. Beide WLAN-Basisstationen unterstützen WDS (Wireless Distribution System), aber wie funktioniert dabei die Verschlüsselung?
- Dr. Alfred Arnold
Ich möchte zwei Kabel-LANs per WLAN koppeln. Beide WLAN-Basisstationen unterstützen WDS (Wireless Distribution System), aber wie funktioniert dabei die Verschlüsselung?
WLAN-Basisstationen (Access Points, APs) binden zwar meist mobile Clients in ein Kabel-LAN ein, können aber auch (als Wireless Bridge) mehrere LANs miteinander verbinden oder als Repeater ein Funknetz erweitern. Diese Einsatzgebiete laufen je nach Hersteller unter verschiedenen Bezeichnungen, die gängigste ist WDS (Wireless Distribution System). WDS erscheint zwar als Begriff im WLAN-Standard 802.11, ist aber selbst bislang nicht standardisiert. Daher ist es derzeit eher Glückssache, ob Access Points verschiedener Hersteller im WDS-Modus miteinander reden.
Besonders in Sachen Sicherheit schneidet WDS schlecht ab, weil fast alle Access Points dabei auf die veraltete, inzwischen als unsicher geltende WEP-Verschlüsselung zurückfallen. WEP ist mittlerweile durch WPA und 802.11i (WPA2) ersetzt (siehe Jenseits von WEP, c't 21/04, S. 214), die im PSK-Modus (Pre-Shared Key) mit Passphrase genauso einfach zu konfigurieren sind und in vielen Fällen komplizierte IPSec- oder 802.1X/Radius-Lösungen ersetzen.
Doch nur wenige Access Points wie die von Lancom (Point-to-Multipoint ab Firmware 3.52, Point-to-Point ab 4.0) bieten im WDS-Modus WPA. Bei den anderen ist damit nicht nur die Übertragung zwischen den Basisstationen schwach verschlüsselt: Weil die Geräte nicht mehrere Verschlüsselungsmethoden parallel unterstützen, steht auch den Clients nur noch WEP statt WPA zur Verfügung.
Eine proprietäre Lösung soll bei WLAN-Geräten mit Broadcom-Chipsätzen funktionieren. So bietet beispielsweise Sveasoft gegen Support-Abo eine eigene Firmware für den verbreiteten WLAN-Router WRT54G von Linksys an. Auf Anfrage der Redaktion konnte Sveasoft aber keine Details angeben, da Broadcom die WLAN-Funktionen als vorkompiliertes Binärmodul beistellt.
Wer um WDS nicht herumkommt, sollte daher zur Zeit nur Basisstationen eines Herstellers einsetzen, die dabei auch WPA beherrschen. Alternativ verzichtet man auf eine WLAN-Verschlüsselung und lässt WLAN-Clients ausschließlich per VPN (siehe Öffentliche Verschluss-Sache, c't 9/05, S. 194) ins LAN. (ea)
