Es ist praktisch, Laptops überall im Haus ohne Kabelgewirr benutzen zu können oder einfach keine Netzwerkkabel mehr zum nächsten PC im Kinderzimmer ziehen zu müssen. Wir sagen Ihnen, was Sie für Ihr drahtloses Netz brauchen.

Drahtlose Netzwerke nach IEEE 802.11 lassen sich prinzipiell auf zwei Arten realisieren: Im Ad-Hoc-Modus funken alle Rechner direkt miteinander, müssen sich dazu aber alle gegenseitig hören können, damit es nicht zu Störungen kommt. Maximal 16 Computer lassen sich auf diese Weise zusammenfassen. Die benötigte Hardware ist sehr überschaubar, faktisch bleibt es bei einer WLAN-Karte pro Rechner.

Im Access-Point-Mode (AP-Mode), auch “Managed Infrastructure” genannt, dienen einer oder mehrere Access Points als Sternpunkt: Alle drahtlosen Rechner funken den Access Point an, und dieser verteilt die Daten an die Empfänger. Daher braucht ein Rechner nur Verbindung zum nächsten Access Point, um am drahtlosen Netz teilhaben zu können. Die Funktion eines Access Points ist mit einem Switch im Ethernet zu vergleichen. Noch vor zwei Jahren konnten Access Points tatsächlich nur Daten von einer WLAN-Karte zur anderen schaufeln, inzwischen gibt es die Geräte mit eingebauter Netzwerk-Schnittstelle, integriertem Ethernet-Switch oder sogar DSL-Router.

Dämpfung

Die Hardware-Kosten eines AP-Netzes sind ungleich höher als die eines Ad-Hoc-Netzes: Jeder drahtlose Rechner muss mit einer WLAN-Karte bestückt werden, zudem fallen Kosten für den Access Point oder Access-Router in vielfacher Höhe an. Bei großen oder gut abgeschirmten Häusern kann es gar nötig sein, mehrere Access Points gleichzeitig einzusetzen.

Je weiter zwei WLAN-Rechner auseinander liegen und je mehr Wände oder Gebäude zwischen ihnen sind, desto schlechter und langsamer wird die Verbindung – bis sie irgend wann ganz zusammen bricht. Dabei spielen selbst Temperatur, Luftfeuchtigkeit und Wetter eine Rolle, auf eine wenig aussagekräftige Entfernungsmessung haben wir deshalb verzichtet. Grundsätzlich sollten Access Points an hoch gelegenen, freien Standorten in der Mitte des Versorgungsgebiets untergebracht werden.

Trügerische Sicherheit

Bei Wireless LAN kann prinzipiell jeder mithören und sich in das Netz einbuchen, der sich in der Nähe des Grundstücks befindet. Um Missbrauch zu verhindern, wurde daher der Verschlüsselungsstandard WEP (Wireless Equivalent Privacy) eingeführt. Anfangs wurden 40 Bit lange Schlüssel verwendet (WEP-40), heute findet man fast kein Gerät mehr, das nicht mit 128 Bit langen Schlüsseln (WEP-128) arbeitet. Bei WEP-128 werden allerdings 24 Bit für den so genannten Initialization Vector (IV) mitgezählt, der einfach bei jedem Paket um eins erhöht wird – damit stehen tatsächlich nur 104 Bit für den geheimen Schlüssel zur Verfügung.

Trotzdem sollten Sie in jedem Fall WEP-128 einsetzen, um zumindest unbedarfte Störer abzuhalten. Bei der Wahl des Schlüssels ist mit Bedacht vorzugehen: Die Bitfolge sollte möglichst zufällig erzeugt werden, für WEP-128 benötigen Sie insgesamt 13 Bytes (104 Bit). Keinesfalls sollten Sie etwa bei einem Windows-Client ein Passwort als WEP-Schlüssel angeben. Das Passwort wird nicht direkt als Schlüssel gesetzt, sondern bei WEP-40 auf 24 Bit zusammengeschrumpft, was 16,8 Millionen Möglichkeiten entspricht. Ein Notebook mit einem 1-GHz-Prozessor kann etwa 170.000 Schlüssel pro Sekunde durchprobieren – bis das Netzwerk geknackt ist, vergehen nur wenige Minuten. Besser ist es, die 40 respektive 104 Bit zufällig erzeugen zu lassen. Folgender Aufruf liefert Ihnen 14 Bytes in hexadezimaler Notation, von denen Sie sich 13 aussuchen und als WEP-128-Schlüssel verwenden:

dd if=/dev/urandom bs=14 count=1 | hexdump | cut -c 9-

Gesichtskontrolle

Eine weitere Hürde für Angreifer ist das Anlegen einer Access Conrol List (ACL) im Access Point – im Test bietet nur der Elito-Epox EWL-R410 dieses Feature. Damit dürfen sich nicht alle Karten, sondern nur die mit der eingetragenen Hardware-Adresse (MAC-Adresse) beim Access Point anmelden.

Aber auch dieser Mechanismus kann relativ leicht umgangen werden, da man bei bestimmten Kartentreibern (teilweise aber nur durch Patches) die MAC-Adresse der Karte ändern kann. Der Angreifer muss also nur eine “freigeschaltete” Karte belauschen und die MAC-Adresse übernehmen.

Wir haben eine Auswahl aktueller Wireless-LAN-Produkte getestet. Eine genaue Beschreibung der Treiber-Installation finden Sie im Artikel “Treibersafari” ab Seite 34, dort ist auch die Konfiguration der Karten beschrieben.

Actiontec Wireless USB Adapter 802UI3

Der Wireless USB Adapter von Actiontec eignet sich besonders für Desktops oder Server: Für den Einbau des üblichen PCI-Adapters für Notebook-Karten müsste man einen wertvollen PCI-Slot opfern, und die Abstrahlung der Notebook-Wireless-Karte wäre unter dem Tisch oder in der Ecke alles andere als optimal. Der USB-Adapter von Actiontec hingegen kann mit einer USB-Verlängerung bis zu sechs Meter vom letzten USB-Hub entfernt mit seiner Wandhalterung aufgehängt werden. Wer nicht bohren möchte, kann auch die mitgelieferten selbstklebenden Klett-Platten anbringen.

Der USB-Adapter hat nur die Größe einer Standard-PC-Card und eine Dicke von knapp einem Zentimeter und wird über ein spezielles Kabel an den USB-Port angeschlossen. Das Gerät beherrscht IEEE 802.11b mit 128 Bit Verschlüsselung und wird vom Modul prism2_usb aus dem “Next-Generation”-Treiberpaket (siehe Seite 34) unterstützt.

Beim Einsatz des USB-Adapters gibt es eine Klippe: Wird nur das Modul prism2_usb aber nicht das Modul usbcore entfernt und dann der USB-Adapter abgezogen, hängt sich der Kernel unweigerlich auf. Auch darf das prism2_usb-Modul nicht entfernt und dann neu geladen werden, ohne dass auch usbcore neu geladen wird. Für die Praxis bedeutet das: Erst das Gerät entfernen und dann den Treiber entladen – also genau anders herum als üblich.

Im stationären Betrieb ist die Treiberbesonderheit kein Problem, hier dürfte der USB-Adapter nur selten abgezogen werden. Im Artikel “Treibersafari” ab Seite 34 finden Sie die Beschreibung, wie Sie den Actiontec-Wireless-Adapter in die Boot-Skripte integrieren, ohne Kernel-Lockups zu riskieren.

Mit rund 90 Euro kostet der Actiontec-Adapter nur etwa die Hälfte einer Notebook-WLAN-Karte mit PCI-Adapter, ist aber deutlich flexibler im Einsatz bei Desktops oder Servern. Deshalb bekommt er die Empfehlung der Redaktion.

Elito-Epox PC-Card/PCI-Adapter EWL-PCA

Soll eine Notebook-WLAN-Karte im PC betrieben werden, ist dazu ein entsprechender PC-Card-Adapter für den PCI-Bus erforderlich. Dabei wird schlicht ein in Notebooks üblicher CardBus-Controller nachgerüstet, im Beispiel des EWL-PCA von Elito-Epox für rund 75 Euro ist das ein Ricoh RL5c475. Die Inbetriebnahme ist unter Linux völlig unproblematisch, die PCMCIA Card Services unterstützen fast alle gebräuchlichen Chipsätze. Ist das pcmcia-Paket noch nicht installiert, müssen Sie das nachholen. Weitere Einrichtungen sind nicht nötig, eine eingesteckte PC-Card (egal ob Wireless LAN oder etwa ein Compact-Flash-Modul auf einer Adapter-Karte) wird wie in einem Notebook erkannt und eingerichtet.

Etwas kurios könnte die nächste Installation einer Linux-Distribution oder von Windows verlaufen – ist ein CardBus-Controller im Rechner, wird er für ein Notebook gehalten, was bei SuSE zu einer leicht veränderten KDE-Oberfläche mit Batterieanzeige führt.

3Com X-Jack Wireless LAN Card

Die 3Com 3CRWE62092A Wireless LAN Card mit X-Jack-Antenne ist die kleinste Karte im Testfeld. Ihr Clou ist die Antenne, die einfach eingeschoben werden kann. Damit ist die 3Com X-Jack, wie sie wegen der komplizierten Modellbezeichnung genannt wird, genauso groß wie eine Standard-Typ-II-Karte. Wie alle anderen Probanden unterstützt sie IEEE 802.11b mit 128-Bit-Schlüsseln.

Der Vorteil liegt auf der Hand: Beim Transport in Koffer oder Laptop-Tasche braucht die Karte nicht heraus genommen zu werden, vielmehr funktioniert sie auch mit eingeschobener Antenne – wenn auch deutlich schlechter als im ausgefahrenen Zustand.

Beim Einschieben der Antenne sollten Sie aber unbedingt darauf achten, nicht zu verkannten – die Deckelbleche der Karte sind nur nach außen entgratet, auf der Innenseite wirken sie wie ein Hobel und schälen die Antenne regelrecht, die Kunststoff-Späne und Riefen sind in Abbildung 1 deutlich zu sehen.

Abbildung 1: Zigarrenschneider inklusive: Oberes und unteres Deckblech wurden nicht richtig entgratet und schälen die Antenne förmlich – deutlich sind die Späne und Riefen zu sehen

Die 3Com-Karte verwendet den Poldhu-Chipsatz, die Treiber-Installation ist ab Seite 34 ausführlich beschrieben. Die WLAN-Karte kostet je nach Händler etwa 115 bis 150 Euro, eine gute Preisrecherche lohnt also – dennoch ist sie damit etwa 20 Prozent teurer als die Konkurrenz. Durch ihre äußerst praktische (und patentierte) Antenne sticht sie deutlich aus dem Testfeld heraus – im Laptop-Alltag fast unverzichtbar. Dafür bekommt auch 3Com die Empfehlung der Redaktion.

Allnet ALL0192 Wireless LAN Card

Als einzige Karte war die Allnet ALL0192 mit einem Prism-3-Chipsatz bestückt, für den das “Next-Generation”-Treiberpaket benötigt wird – die Inbetriebnahme verlief problemlos. Ebenfalls konkurrenzlos im Test bietet Sie zwei LEDs auf der Oberseite, eine für die Stromversorgung und eine für den Status des Links – so blinkt die LED im Access-Point-Modus, wenn es keinen Access-Point in Reichweite gibt. Sie ist ein robustes Arbeitspferd und mit rund 105 Euro auch nicht teuer.

Elito-Epox Wireless LAN Card EWL-C11

Zu den verlässlichen Arbeitspferden gehört auch die Elito-Epox EWL-C11 für etwa 100 Euro. Anders als die Allnet ALL0192 hat die Epox-Karte nur eine LED, die aber keine Link-Informationen hergibt. Bemerkenswert sind die Rillen auf der Antennen-Abdeckung: Man kann gut von oben und unten zupacken, das Material macht einen sehr stabilen Eindruck – die Konkurrenz möchte lieber an den Seiten angefasst werden, um die Antenne nicht zu beschädigen. Die EWL-C11 verwendet den Prism-2.5-Chipsatz und benötigt ebenfalls die “Next-Generation”-Treiber.

Elito-Epox Wireless-Access-Router EWL-R410

Der EWL-R410 von Elito Epox ist ein Kombination aus DSL-Router, 4-Port-Switch, Wireless Access Point und Modem-Zugang. Das über 300 Euro teure Gerät reicht also aus, um mit einem drahtlos angebundenen Laptop ohne zwischengeschalteten Rechner über DSL oder externes Modem im Internet zu surfen. Dank der Netzwerkanschlüsse am EWL-R410 können zudem bis zu vier Computer oder Netzwerk-Drucker angeschlossen werden, je nach Konfiguration verbindet der Access-Router sogar nahtlos das drahtgebundene Netz mit dem drahtlosen – oder arbeitet als Masquerader zwischen beiden.

Die Konfiguration des EWL-R410 erfolgt einfach und komfortabel über das Web-Frontend (Abbildung 2). Als Besonderheit lässt sich neben dem DSL- oder Netzwerk-Zugang ein serielles Modem einbinden, über das bei Ausfall von DSL die Internet-Verbindung hergestellt wird. Schade nur, dass es das Web-Frontend nur in Englisch gibt.

Abbildung 2: Das Web-Frontend des Elito-Epox EWL-R410 lässt sehr weit reichende Einstellungen zu, wirkt aber trotzdem übersichtlich. Leider ist es nicht in Deutsch abrufbar

Zur Absicherung verfügt der Access-Router über eine Liste erlaubter oder verbotener Hardware-Adressen und 128-Bit-Verschlüsselung. Die Hardware-Adresse lässt sich zwar auch fälschen, stellt aber eine zusätzliche Hürde für einen Angreifer dar.

Insgesamt macht der Elito-Epox EWL-R410 einen sehr ausgereiften Eindruck. Uns gefiel besonders die Idee, bei Ausfall von Netzwerk oder DSL über ein externes Modem eine Ersatzverbindung aufzubauen – ohne Eingriff eines Administrators, versteht sich. Das englische Web-Frontend ist der einzige Kritikpunkt.

IEI NAS-101RW Wireless NAS Access Router

Als Weltneuheit erreichte uns kurz vor Redaktionsschluss noch der NAS-101RW von IEI Electronics. Das Gerät kommt der viel beschworenen “eierlegenden Wollmilchsau” sehr nahe: Es vereint 4-Port-Switch, Wireless Access Point, DSL-Router, Netzwerk-Bridge und Netzwerk-Speicherlaufwerk in einem überaus kompakten Gehäuse. Damit kann der NAS-101RW die Aufgaben eines Servers in einem kleinen Netzwerk vollständig übernehmen.

Die Konfiguration erfolgt wie beim Elito-Epox EWL-R410 über ein Web-Frontend (Abbildung 3), das in verschiedenen Sprachen – darunter Deutsch – angeboten wird. Die Konfiguration kann wahlweise durch die Beantwortung von zehn Fragen oder fein detailliert über ein komplexes Menü erfolgen. Statusabfragen und Netzwerkgrundkonfiguration können zudem über das Display und die Knöpfe an der Front vorgenommen werden.

Abbildung 3: Das Web-Frontend des NAS-101RW ist nicht nur übersichtlich gestaltet, sondern auch in Deutsch verfügbar. Richtig konfiguriert ersetzt das Multi-Talent einen ganzen Server

Das Netzwerk-Laufwerk kann auf verschiedene Benutzergruppen aufgeteilt und an Windows-Rechner, Macs, Novell- und natürlich auch Linux-Clients per NFS, HTTP und FTP verteilt werden. Dafür bringt der NAS-101RW sogar eine komplette Benutzerverwaltung mit. Unter der Haube werkelt übrigens ein Embedded Linux.

Als Schutz gegen Eindringlinge bietet der NAS-101RW allerdings nur die 128-Bit-Verschlüsselung, eine Liste mit erlaubten Hardware-Adressen gibt es nicht. Der Zugriff auf das Web-Frontend ist aber deutlich restriktiver gehandhabt als beim R410 von Elito-Epox, ohne Passwort geht fast nichts.

Der NAS-101RW überzeugt durch die sehr leichte Konfiguration und das ausgereifte Web-Frontend. Negativ fielen uns nur die zwei Lüfter sowie der stolze Preis von über 1000 Euro auf. Dennoch, in kleinen Netzen ist der NAS-101RW durchaus eine Alternative zum herkömmlichen und deutlich wartungsintensiveren Server. Das Gerät kann in Deutschland über Unicon Networks (http://www.unicon-networks.de) bezogen werden.

Fazit

Drahtlose Netze gibt es heute in allen Formen und Größen, die Anschaffungskosten variieren zwischen 200 Euro für zwei einfache WLAN-Karten bis hin zu 1500 Euro für einen Access Point mit Netzwerk-Laufwerken und einer Hand voll WLAN-Karten. Auch ein langsamer Einstieg ist ohne Weiteres möglich: Man beginnt zum Beispiel mit zwei WLAN-Karten an Desktop und Notebook und erweitert dann um einen Access Point oder Access-Router, bis schließlich alle Rechner im Haus drahtlos kommunizieren. Dank IEEE 802.11b vertragen sich alle Geräte problemlos miteinander.