Der ultimative Feinabgleich und Sicherheits-Check für professionelle Datensicherheit eines WMANs. In einem Praxis-Bericht führt ZDNet Schritt für Schritt durch die Konfiguration und erklärt alles.
Im ersten Artikel[1] der dreiteiligen Serie wurden die Vorraussetzungen für ein WMAN mit drahtloser Überbrückung erläutert. Der zweite Teil[2] erklärt welche Hardware benötigt wird und wie sie aufgestellt beziehungsweise installiert wird. In Teil drei wird die Hardware in der Außenstelle des Fallbeispiels aufgestellt, justiert und betriebsbereit gemacht. Der wichtigste Aspekt dabei ist die optimale Sicherheitseinstellung der Geräte sowie Kniffe und Tricks, damit das Netzwerk vor Angriffen geschützt ist.
Bei der Installation der Antennen müssen unbedingt die gesetzlich erlaubten Abstrahlleistungen eingehalten werden. Diese wird ermittelt aus der Ausgangsleistung des Access Points, der Dämpfung der Antennenleitungen sowie dem Signalgewinn durch die Antenne. Die mitgelieferten Zimmerantennen, die direkt an der Rückseite der WG302 zu finden sind, übersteigen auch bei voller Sendeleistung den erlaubten Wert von 100 Milliwatt ERP nicht. Anders hingegen bei den im Fallbeispiel verwendeten Richtantennen ANT24D18. Durch die hohe Signalausbeute muss hier entsprechend gedämpft werden.
Regelung der Sendeleistung
Die Access Points WG302 liefern eine Ausgangsleistung von 20 dBm. Bei direkt angeschlossener Richtantenne mit einem Gewinn von 18 dBi würde das Gesamtsignal einen theoretischen Wert von 38 dBm annehmen und damit deutlich über dem erlaubten Wert von 20 dBm liegen. Die im WG302 integrierte Funktion zur Regelung der Sendeleistung erlaubt jedoch nur grobe Schritte von 25 Prozent, so dass man in der Regel deutlich über oder unter der legalen Signalstärke liegen würde. Zudem müsste dann ein versehentliches Hochsetzen der Sendeleistung im Access Point selbst wirksam unterbunden werden. Da wir unsere Sender auf voller Leistung betreiben wollen, muss die Dämpfung zwischen Antenne und Access Point erfolgen. Am einfachsten und zuverlässigsten wird das über die Kabelverbindung realisiert. Nach untenstehender Formel ergibt sich, dass eine Leitung von mindestens 30 Meter Länge notwendig ist, um die Vorschriften einzuhalten.
Hier gilt folgende Formel, um die Dämpfung zwischen dem Wireless-Gerät und der Antenne zu berechnen:
CL = POUT + GA – LMAX [ dB ]
Erläuterung:
- POUT ist die maximale Ausgangsleistung des Wireless-Geräts in ‚dBm’, zum Beispiel 20 dBm für den WG302.
- GA ist die maximale Verstärkung der Antenne in ‚dBi’, z.B. 18 dBi für NETGEAR ANT24D18, 9 dBi für NETGEAR ANT24D9 oder 5 dBi für NETGEAR ANT24D5.
- LMAX das maximale equivalente isotropische Strahlungslimit, welches für die bestimmte Anwendung in dem jeweiligen Land zugelassen ist. In den meisten europäischen Ländern ist dies 100 mW* EIRP = 20 dBm EIRP. In manchen Ländern, insbesondere Frankreich, können auch Teile des Spektrums, der Betrieb im Freien oder der Betrieb auf bestimmten Applikationen beschränkt sein.
- CL ist der minimale Kabelverlust in ‚dB’, zum Beispiel im oben genannten Fall18 + 18 – 20 dBm = 16 dB für den ME103 und die ANT24D18. Mit unten stehender Tabelle kann die minimale Kabellänge errechnet werden, die den europäischen Richtlinien entspricht.
 |
Aufbau der Funkstrecke
Ein relativ heikler Punkt ist die exakte Ausrichtung der unidirektionalen Antennen für die geplante Funkbrücke. Im Dachgeschoss der Zentrale A wird daher die Richtantenne auf einem Stativ montiert und unmittelbar vor dem zur Außenstelle B gerichteten Fenster aufgestellt. Obwohl theoretisch Sichtverbindung besteht, ist die exakte Festlegung der Luftlinie aufgrund der hohen Entfernung nicht ganz einfach. Ein Fernglas mit starker Vergrößerung ist hier in jedem Fall eine Erleichterung. Im Fallbeispiel wird zusätzlich eine starke Laserquelle im sichtbaren Bereich verwendet, um den Laserstrahl synchron zum Funksignal auszurichten. Da der Access Point direkt neben dem Antennenstativ aufgestellt wird, bleibt das 30 Meter lange Antennenkabel aufgerollt neben dem Gerät liegen.Die übermäßige Länge der Antennenleitung erlaubt eine Positionierung des Access Points in der Nähe einer Steckdose. Sollte im ganzen Speicher kein Anschluss zur Verfügung stehen, kann das Problem der Stromversorgung bei diesen Geräten auch anders gelöst werden. Ein spezielles Netzteil, PowerDsine von Netgear, speist die für den Betrieb des WG302 notwendige Spannung in das Netzwerkkabel ein, auf das beim Access Point mitgelieferte Steckernetzteil kann somit verzichtet werden. Vorraussetzung für diese Phantomspeisung ist natürlich eine entsprechende Netzwerkkabelverbindung zwischen diesem Power over Ethernet-Netzteil (PoE) und dem Access Point.
WLAN in der Zentrale
Am zweiten Antennenausgang des WG302 wird nun ebenfalls über eine Leitung die omnidirektionale Antenne für die drahtlose Verbindung des Access Points zum Hausnetzwerk respektive dem Rechner mit Wireless Adapter angeschlossen. Da der WG302 auf voller Leistung betrieben wird und unsere kleinere Antenne ANT2405 einen Signalgewinn von 5 dBi bringt, muss eine Dämpfung erfolgen. Laut vorstehender Antennentabelle liegt die erforderliche Länge hier bei zehn Metern. Diese Länge erlaubt die günstige Positionierung der Antenne an der Zimmerdecke, um die darunter liegenden Stockwerke ausreichend mit dem Funksignal zu versorgen.
Feintuning
Zur Optimierung des lokalen Funknetzwerkes wird wieder das Tool Netstumbler verwendet. Durch die exakte Anzeige der Signalstärke (im Vergleich zu den weniger genauen, bei Windows XP integrierten Tools) kann eine genaue Positionierung der Antenne erfolgen. Gerade Stahlbetondecken absorbieren beziehungsweise reflektieren die Funkwellen, so dass nicht bei jeder Antennenposition ein optimales Signal erreicht wird. Bei Ziegel- oder gar Holzdecken geht das Funksignal fast ungehindert durch. Um die Reichweite des Wireless LANs nach außen hin zu begrenzen, kann jetzt zwischen dem Access Point und der omnidirektionalen Antenne ein längeres Kabel mit entsprechend höherer Dämpfung angeschlossen werden.
Außenmontage
Bei der Außenstelle B muss in unserem Fall die Montage der Antenne im Freien auf dem Dach erfolgen. Diese Arbeiten sollte man aus Sicherheitsgründen auf keinen Fall selbst durchführen, sondern von einem Fachbetrieb erledigen lassen, der dann auch gleich die fachgerechte Durchführung des Antennenkabels ins Gebäudeinnere vornehmen kann. Beim Aufstellen der wetterfesten Antenne ist zu beachten, dass der mitgelieferte Blitzschutz korrekt installiert wird. Es handelt sich hierbei um ein kleines Modul, welches zwischen dem Antennenausgang und der Leitung montiert und mit einem geerdeten Gegenstand wie etwa dem Antennenmast verbunden wird. Während der Installation wird darauf geachtet, dass die Antenne korrekt zur Gegenstelle in der Zentrale A ausgerichtet ist. Durch die räumliche Eingrenzung von gerade mal einem Stockwerk kann bei der Außenstelle B auf eine zweite omnidirektionale Antenne verzichtet werden, die beim WG302 mitgelieferte kurze Zimmerantenne deckt den gewünschten Bereich vollkommen ab. Um auch hier die interne Reichweite bei voller Sendeleistung einzugrenzen, kann der Zimmerantenne ein Antennenkabel mit entsprechender Länge und somit Dämpfung zwischengeschalten werden. Diese Vorgehensweise schränkt nicht nur die Möglichkeit einer Detektierung des Netzwerks und einen möglichen Angriff von außen ein, sondern reduziert auch die Strahlenbelastung innerhalb des Arbeitsbereichs.
Abschließende Tests
Nach der Optimierung der Antennenpositionen mit geeigneten Tools wie Netstumbler kann nun die Verbindung zur Gegenstelle getestet werden. Analog zu den Tests bei der Hardware-Konfiguration wird auch hier in erster Linie mit dem Ping-Befehl aus der Eingabeaufforderung gearbeitet. Der Ping sollte von beiden Endpunkten des Netzwerks jeweils stufenweise in die Gegenrichtung geschickt werden, um eventuelle Ausfälle genauer lokalisieren zu können. Die Reihenfolge sollte wie folgt aussehen:
Von der Zentrale A:
|
Für die Gegenrichtung von der Außenstelle B aus werden die Pings in der umgekehrten Reihenfolge losgeschickt.
Stealth Modus
Nachdem die Verbindung des Netzwerks erfolgreich getestet und die entsprechenden Geräte angeschlossen wurden, wird ein weiteres Sicherheits-Feature aktiviert, um Unbefugten mit herkömmlichen Wireless-Anwendungen das Aufspüren des Netzwerks zu erschweren. Dazu wird die Übermittlung der SSID abgeschaltet. Da die von uns benutzte SSID "RSHM" bereits während der Installation öffentlich gesendet wurde und damit potentiellen Angreifern bekannt sein könnte, wird diese entsprechend abgeändert. Weil jedoch während dieser Änderung die Richtfunkstrecke zusammenbricht, muss die Konfiguration von beiden Seiten, also von der Zentrale A und der Außenstelle B, erfolgen. Das Problem lässt sich aber auch umgehen, wenn zuerst die SSID der Gegenstelle geändert wird und danach die SSID des lokalen Access Points. Hierbei ist unbedingt die Reihenfolge einzuhalten, um sich nicht sprichwörtlich den Ast abzusägen, auf dem man sitzt. Neben der eigentlichen Verbindung der beiden Netzwerke von Zentrale und Außenstelle miteinander, ist der gemeinsame Internetzugang über einen einzigen Breitbandanschluss ein gewünschtes Feature. Gute Konnektivität, hohe Bandbreite und bestmögliche Sicherheit sind die Hauptanforderungen, die es hier zu bewerkstelligen gibt. Komfortabel und mit entsprechenden Security-Optionen ausgestattet ist der Router WGT624 von Netgear, der in das Netzwerk mit eingebunden wird. Wie eingangs erwähnt, ist in der Zentrale A ein T-DSL-Anschluss mit Flatrate vorhanden.
Integrierter Switch
Auf der Rückseite des WGT624 findet sich neben dem Anschluss für DSL auch noch vier weitere Fast Ethernet-Ports. Somit kann der Router als kleiner Switch im Netzwerk dienen. Die im WGT624 integrierte Wireless Access Point Funktion wird in dieser Konstellation nicht benötigt und daher abgeschaltet.
Einrichtung
Der Router wird über eine Ethernet-Verbindung mit dem Arbeitsplatzrechner in der Zentrale verbunden, der auch zur Einrichtung der Access Points gedient hat. Werkseitig ist dem Router die IP-Adresse 192.168.0.1 zugewiesen mit der Subnet Mask 255.255.255.0. Das integrierte Web-Interface erlaubt auch hier die bequeme Programmierung über den Browser. Die Anmeldung verlangt wie bei den meisten anderen Geräten von Netgear als Login admin sowie das Passwort password. Wie gehabt sollte das Passwort als erstes einmal geändert werden. Wichtig ist auch die Deaktivierung der DHCP-Funktion, die bei Routern im Lieferzustand für gewöhnlich immer eingeschaltet ist.
 DHCP wird in unserem Netzwerk nicht benötigt und daher deaktiviert. |
Im folgenden Schritt werden nun die T-Online-Zugangsdaten in folgender Reihenfolge in das Feld Login eingetragen:
- AAAAAAAAAAAATTTTTTTTTTTTMMMM@t-online.de
Das A steht für die 12 Ziffern Ihrer Anschlusskennung, das T für die zugehörige T-Online-Nummer und das M für den 4-stelligen Mitbenutzer-Suffix. Dahinter folgt die Zeichenkette @t-online.de Sollte Ihre T-Online-Nummer aus weniger als 12 Ziffern bestehen, folgt vor dem Mitbenutzer-Suffix das Zeichen #. Der Syntax sieht in diesem Fall wie folgt aus: - AAAAAAAAAAAATTTTTTTTTTT#MMMM@t-online.de
Im Feld Password darunter wird das Kennwort für Ihren Internetzugang eingetragen.
Windows-Einstellungen
In den meisten Fällen versucht der Explorer, beim Start einen Verbindungsaufbau zum Internetprovider herzustellen. Da bei der Benutzung des Routers diese Anmeldung nicht mehr funktioniert, müssen folgende Änderungen im Menü "Extras/Internetoptionen" durchgeführt werden: Unter der Registerkarte "Verbindungen" ist die Einstellung "Keine Verbindung wählen" zu aktivieren. Hier finden sich auch die LAN-Einstellungen, bei denen weder die automatische Suche noch ein Proxyserver aktiviert sein darf.
 Mit diesen Einstellungen wird die Verbindung zum Internet über den Router aufgebaut. |
Fazit
Bei der hier vorgestellten Konstellation betragen die Kosten für die Funkbrücke rund 800 Euro. Allerdings sind somit die Vorraussetzungen für künftige Erweiterungen wie weitere Außenstellen, optionales VPN sowie gar eine Implementierung von Hotspots geschaffen. Sich dieses Netzwerk nur deshalb zuzulegen um einen einzigen DSL-Anschluss einzusparen, rechnet sich somit kaum. Dafür ist die schnelle Datenübertragung insbesondere bei hohem Volumen gewährleistet. Gerade kleine und mittelständische Unternehmen werden diese Anbindung zu Außenstellen, freien Mitarbeitern oder Geschäftspartnern zu schätzen wissen.
Lesen Sie auch Teil I[1] und Teil II[2] der dreiteiligen Serie "Drahtlos quer durch die Stadt: WMAN in der Praxis"[3].
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/