Richtig vernetzt

WiFiImmer mehr Häuser entstehen in Manheim-neu und immer mehr Manheimer ziehen in den neuen Ort. In der heutigen Zeit leben wir mit Notebooks, Smartphones und Tablets – und alle wollen natürlich möglichst im ganzen Haus und idealerweise auch im Garten per WLAN ins Netz. Was dank unserer hervorragenden Infrastruktur und schnellen Anbindung auch richtig Spaß macht.

Ein paar Dinge gibt es, die jeder Bauherr (und Mieter) beachten kann und sollte – damit die Übertragungsqualität und die Performance optimal sind. Wenn ich durch Manheim gehe oder fahre entdecke ich viele WLAN-Netze, die scheinbar nie eine individuelle Konfiguration erfahren haben … und nicht immer sind die Herstellervorgaben ideal.

Mit dem Namen fängt es an

Ein erstes Indiz für Equipment, welches nahezu auf Hersteller-Default belassen wurde, sind die massenhaft auftretenden Namen wie „UC12345“ oder „FritzBox4711“. Schön, wenn man ein neues Gerät in sein Netz bringen will und im allgemeinen Unitymedia-Standard-WiFi-Geknubbel erst einmal sein Netzwerk identifizieren muss. Warum nicht also seinem WLAN gleich einen schönen Namen geben. Und das nicht nur aus ästhetischen Gründen.

Hinter den typischen Hersteller-Defaultnamen vermuten subversive Elemente oder neugierige Jugendliche gerne auch vielleicht nicht geänderte Standardpassworte. Zwar haben viele namhafte Hersteller inzwischen nachgebessert und vergeben nun individuelle Passworte, die auf die Box aufgedruckt sind – aber eben nicht alle. Nicht nur, dass mit ungeänderten Standardeinstellungen der eigene Anschluss durch andere genutzt werden kann (dazu später noch mehr) – nein, man kann ggfs. auch direkt in die Einstellungen des Routers gehen. Dort ist das Ändern des Passwortes, so dass der rechtmäßige Besitzer sich nicht mehr einloggen kann, noch eher die harmlosere Variante. In der heutigen Zeit, wo immer mehr Telefonanschlüsse über das IP-Netz laufen, kann sich der Eindringling einen eigenen Zugang einrichten und so von jedem Punkt der Welt aus Telefongespräche über den Anschluss abwickeln – dem Eigentümer des Routers wird es dann schwerfallen, der Telefongesellschaft nachzuweisen, dass er diese Gespräche nicht geführt hat.

Es gibt aber noch ein paar Dinge, die gleich mit erledigt werden sollten, wenn man seinen Router schon umkonfiguriert.

Die richtige Ausleuchtung

Es ist sehr unwahrscheinlich, dass man das ganze Haus mit einem einzigen WLAN-Router vernünftig versorgen kann, so dass man vom Keller bis ins Schlafzimmer sein Netz vernünftig nutzen kann. Viele Router bieten die Möglichkeit, die Sendeleistung zu erhöhen – einige Open-Source-Systeme wie DD-WRT oder Tomato sogar über das eigentlich erlaubte Maß hinaus. Dies ist keinesfalls eine erstrebenswerte Lösung!

Dafür gibt es einen relativ einfachen Grund: Im Unterschied zu einem Radiosender ist ein WLAN-System darauf angewiesen, dass die Kommunikation beidseitig erfolgt, nämlich vom Router zum Endgerät und vom Endgerät zurück zum Router. Endgeräte können die eigene Sendeleistung anhängig von der Empfangsfeldstärke des Router-Signals verringern, um z.B. Akku zu sparen. Wenn nun der Router extrem „laut“ ist, dreht das Tablet seine Leistung ggfs. zu weit zurück, so dass der Router die Daten vom Endgerät nur noch schlecht empfängt. Und um gleich einmal mit einem Vorurteil aufzuräumen: Auch bei einem reinen Download wird jedes einzelne Paket vom Endgerät bestätigt – auch hier ist es also wichtig, dass die Verbindung vom Endgerät zum Router hin bestens funktioniert.

Viel schlimmer ist eine zu hohe Sendeleistung am Router im Randbereich des Empfangs: Vielleicht sieht das Endgerät den Router jetzt im Dachgeschoss mit einem Balken und versucht verzweifelt, sich einzubuchen: Aber die Sendeleistung des Engerätes ist ja eben nicht „gepimpt“ und die Verbindung ist bestenfalls sehr schlecht, da die Daten vom Gerät zum Router eben nur sehr schlecht ankommen. Als netter Nebeneffekt „verseucht“ man auch gleich seine gesamte Nachbarschaft mit nutzlosem Signal und schwächt sowohl die Performance seines eigenen Netzes als auch ggfs. das der umliegenden Häuser.

Wenn also ein einzelner Router für das ganze Haus/Grundstück nicht ausreicht, muss Verstärkung her.

WLAN-Erweiterung

Hierzu gibt es zwei Möglichkeiten: Im Fachhandel gibt es WLAN-Repeater, welche das Signal des Routers aufnehmen und quasi wieder aussenden. Dies funktioniert in beide Richtungen, hat aber den entscheidenen Nachteil, dass dadurch die Performance des Netzes halbiert wird. Darüber hinaus müssen die Repeater prinzipbedingt auf dem gleichen Funkkanal arbeiten wie der Router selbst – im Überlappungsbereich führt dies zwangsläufig zu Interferenzen, welche die Performance weiter belasten.

Deutlich besser ist es, hier einen zweiten WLAN-Accesspoint zu kaufen (ab ca. 30 Euro) und diesen an geeigneter Stelle aufzustellen, z.B. den Router im Erdgeschoss und den zweiten Accesspoint im Dachgeschoss. Die Verbindung des Accesspoint mit dem Router erfolgt über die (hoffentlich vorhandene) Netzwerkverkabelung.

Hierbei gilt folgende Regel für den oder die weiteren Accesspoints:

  • Es darf nicht der gleiche Funkkanal verwendet werden, auf dem der Router schon funkt
  • Der WLAN-Name (SSID) muss bei allen Stationen absolut identisch sein
  • Das Verschlüsselungspasswort muss bei allen Stationen ebenfalls identisch sein

Funkkanäle und Bandbreiten

In Europa stehen 13 Funkkanäle im 2.4GHz-Bereich zur Verfügung, dies ist immer noch der am Weitesten verbreitete Standard, welchen alle gängigen WLAN-fähigen Geräte unterstützen. Darüber hinaus gibt es noch den neueren Bereich bei 5GHz, welcher mehr Bandbreite und mehr Kanäle bietet, jedoch eine deutlich reduzierte Reichweite hat.

WLAN-Netz in 1-6-11-Konfiguration. Dazwischen das Nachbarnetz (blau), welches augenscheinlich einen Repeater verwendet.

WLAN-Netz in 1-6-11-Konfiguration. Dazwischen das Nachbarnetz (blau), welches augenscheinlich einen Repeater verwendet.

Die Kanäle haben einen Abstand von 5MHz voneinander – da ein WLAN-Signal aber mindestens eine Bandbreite von 20MHz hat, benötigt eine WLAN-Station immer 4 Kanäle „in der Breite“. Daraus ergibt sich, dass für den 802.11b/g-Standard nur 3 Kanäle ohne Überlappung genutzt werden können: Die Kanäle 1, 6 und 11. Dies ist auch die Idealverteilung, wenn man mehr als 2 WLAN-Stationen in seinem Netz betreibt.

Der Standard 802.11n verspricht mehr Bandbreite in der Nutzung, hat aber mit 40MHz die doppelte Bandbreite und benötigt so pro Station schon 8 Kanäle. Unter Nutzung der Randbereiche gibt es hier nur die überlappungsfreien Kanäle 3 und 11, und mit zwei Stationen „befunkt“ man schon den kompletten WLAN-Bereich. Da die Sendeleistung der Geräte hier auf die doppelte Bandbreite verteilt werden muss, sinkt dabei folglich auch die Reichweite. Da die höhere Bandbreite jedoch in den seltensten Fällen wirklich benötigt wird, empfehle ich hier die Nutzung der 20MHz-Bandbreite – performancehungrige Geräte im Medienbereich gehören sowieso ans Kabel und nicht ins WLAN.

Roaming

Zwei oder mehr unabhängige Accesspoints haben allerdings immer noch ein Problem: Jedes Endgerät sucht erst dann nach einem alternativen Zugangspunkt, wenn das Signal schon sehr schwach ist. Wenn Ihr nun bei zwei Accesspoints vom Erdgeschoss ins Dachgeschoss geht, kann es daher sein, dass Ihr fast neben dem DG-Accesspoint steht, Euer Gerät sich aber noch „mit einem Balken“ im Erdgeschoss festkrallt – es weiss nichts von der Alternative in der Nähe. Hier hilft dann, die WLAN-Funktion des Gerätes kurz aus- und wieder einzuschalten, dann findet es beim Suchlauf normalerweise die stärkere Zugangsmöglichkeit. Die einzige elegante Lösung ist hier die Verwendung eines WLAN-Systems, welches über einen Controller verfügt und das Umbuchen der Geräte in einen stärkeren Zugang innerhalb des Netzes steuert (hierzu noch mehr).

Sicherheit

Ein WLAN-System hat grundsätzlich verschlüsselt zu sein. Hierbei sollte die WPA2-Verschlüsselung mit einem sicheren und schwer zu erratendem Passwort gewählt werden. Der alte WEP-Standard hat in der Luft nichts mehr verloren, da dieser innerhalb weniger Minuten mit entsprechendem frei zugänglichem Equipment geknackt werden kann.

Wenn sich jemand unbefugten Zugriff zum WLAN verschaffen kann (sei es durch die alte WEP-Verschlüsselung, durch Erraten des Passwortes oder gar wenn ein Funknetz unverschlüsselt betrieben wird), so ergibt sich daraus eine Reihe von ernsten potentiellen Problemen.

Erst einmal gibt es in Deutschland das Prinzip der sogenannten Störerhaftung: Der Betreiber eines WLAN-Zugangs haftet für die Benutzung, es sei denn er kann nachweisen, dass der Verstoß nicht durch ihn erfolgt ist und er alles unternommen hat, die unbefugte Nutzung zu verhindern. Was schwierig wird, wenn das Netz unverschlüsselt oder mit WEP läuft – oder das Passwort das Standardpasswort des Routers ist. Der Eindringling, der urheberrechtlich geschütztes Material über den Internetzugang verbreitet, kann also zu einem ernsten und teuren Problem werden.

Darüber hinaus befindet sich der Eindringling direkt im hausinternen Kernnetz – hinter(!) der Firewall – und kann in Ruhe auskundschaften, welche Geräte oder PC’s sich noch im Netz befinden. Dem Datendiebstahl ist so Tür und Tor geöffnet.

Zu guter Letzt kann in unverschlüsselten oder WEP-verschlüsselten Netzen der Datenverkehr mitgelesen werden. Jeglicher unverschlüsselter Datenverkehr kann so entziffert werden: Viele eMail-Zugänge übermitteln die Zugangsdaten noch immer im Klartext, alle Eingaben die man in seinem Browser in Formularfeldern tätigt (außer bei HTTPS-Verbindungen) werden ebenfalls klar lesbar übertragen.

Diese Regeln gelten natürlich auch für Besucher:

Gastzugang

Wie im letzten Abschnitt schon zu lesen war, haben im Kernnetz aus Sicherheitsgründen ausschließlich absolut vertrauenswürdige Personen etwas verloren – schon wegen der uneingeschränkten Verbindungsmöglichkeit zu allen Geräten im eigenen Netz. Aber vielleicht wollen ja auch Freunde oder die Kumpels der Kinder bei einem Besuch das WLAN nutzen.

Die meisten aktuellen Router bieten hierbei die Möglichkeit eines Gastzugangs. Dieser hat einen eigenen WLAN-Netznamen (SSID) und ein eigenes WLAN-Passwort, liegt aber auch in einem eigenen IP-Subnetz und ist so unabhängig vom eigenen Kernnetz: Es kann keine direkte Verbindung zu den eigenen Geräten und PC’s erfolgen. Er bietet quasi einen isolierten Netzzugang.

Wenn man das Gast-Passwort regelmäßig ändert, ist das eine relativ gute Möglichkeit, seinen Gästen einen Zugang zu bieten. Man möchte ja nicht, dass jeder, den man mal in sein Netz gelassen hat, sich jederzeit in die Nähe stellen und seinen Zugang nutzen kann. Außerdem sollte man immer noch einen Augenmerk auf eine mögliche mißbräuchliche Nutzung halten (Störerhaftung, siehe oben).

Tipp:
Auch Eure minderjährigen Kinder können durchaus – bewusst oder unbewusst – Urheberrechtsverletzungen im Internet begehen. Erst einmal kommen dann eventuelle Abmahnkosten auf Euch zu. Die einzige Chance, hier unbeschadet herauszukommen, ist die schriftlich dokumentierte Aufklärung des Nachwuchses darüber, was sie dürfen und was nicht. Es gibt hier einen entsprechenden Mustervertrag für Eure Kinder, den ich Euch nur wärmstens ans Herz legen kann!

Draht oder Funk

Es gibt Geräte, die in einem WLAN-Netz grundsätzlich nichts verloren haben und an die Netzwerkverkabelung gehören. Dazu gehören im Medienbereich alle bildverarbeitenden Geräte wie Fernseher, SAT-PVR mit Netzwerkanschuss, das NAS/Medienserver auf dem die eigene Filmsammlung liegt. Diese Geräte benötigen hohe Bandbreiten und belasten das WLAN sehr – der Netzwerkanschluss per Kabel in der entsprechenden Ecke im Wohnzimmer sollte daher Pflicht sein. WLAN sollte wirklich hauptsächlich für mobile Geräte wie Notebooks, Tablets und Smartphones verwendet werden.

Auch Online-Spieler sollten für Actionspiele oder Egoshooter die Konsole oder den PC eher per Kabel als per WLAN anbinden, da dadurch der Ping deutlich verbessert wird.

Die Kür

Wer sich ein wirklich gutes WLAN-System aufbauen möchte, dem kann ich das UniFi-System von Ubiquiti nur wärmstens ans Herz legen. Es ist controllergesteuert und benötigt hierfür einen stets laufenden PC oder Server (Windows, Mac oder Linux). Dafür bietet es Features wie ein echtes  Roaming zwischen den Accesspoints, automatische Lastverteilung sowie eine Gastnetzfunktion bis hin zum Hotspot, bei welchem ein individueller, zeitbeschränkter Zugang via Coupon und Portalseite möglich ist (wie in Hotels bekannt).

Ein Set mit drei Accesspoints ist bereits für unter 200 Euro zu haben.

 

FacebooktwittermailFacebooktwittermail

Das könnte Dich auch interessieren...

2 Antworten

  1. Schön zu lesen das es noch andere „Sicherheitsfanatiker“ wie mich gibt. Du sprichst mir aus der Seele. 😉
    Sehr guter Artikel.

  2. Marco sagt:

    Naja, das ist von Sicherheitsfanatismus leider noch weit entfernt und sind wirklich die Basics. Die Zeiten, wo sich ein normaler Netznutzer weitestgehend in Sicherheit wiegen konnte, sind definitiv vorbei.
    Meine Überwachungssysteme verzeichnen täglich im Schnitt mehr als 100 Einbruchsversuche in meine Server, und ich bin nicht gerade ein DAX-Unternehmen. Ist schon traurig – aber seine Daten sollte man auch nicht anders behandeln als sein materielles Eigentum zu Hause.

Schreibe einen Kommentar zu Marco Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte Captcha lösen: * Time limit is exhausted. Please reload CAPTCHA.