Suchen

Netzwerk-Grundlagen – Switched Wireless Local Area Networks (WLAN)

Planung, Aufbau und Absicherung von Controller-basierten Wireless LANs

Seite: 2/4

Firma zum Thema

Voice over WLAN – QoS & Security

Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale geliefert werden.

Der IEEE 802.11e Standard beschreibt einige Erweiterungen, um diese Merkmale in einer WLAN Umgebung zu ermöglichen. Einige Unterfunktionen dieses Wireless Standards werden als Wi-Fi Multimedia (WMM) vermarktet.

Bildergalerie
Bildergalerie mit 10 Bildern

WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den Kanalzugriff (Medium Access Control; MAC) sind in IEEE 802.11 zwei Verfahren spezifiziert worden: Die Distributed Coordination Function (DCF) ist ein verteilter, zufallsgesteuerter Zugriffsmechanismus (Carrier Sense Multiple Access with Collision Avoidance, kurz: CSMA/CA), der einen Best-Effort-Dienst liefert.

Die Point Coordination Function (PCF) ist ein zentral gesteuerter Mechanismus, bei dem die beteiligten Stationen in regelmäßigen Abständen durch einen Master (typischerweise ein Access Point) per Polling ein Senderecht erhalten. Auf diese Weise kann für die beteiligten Stationen eine gewisse Bandbreite zugesichert werden. Die Implementierung der DCF ist in IEEE 802.11 zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional klassifiziert.

Daher wundert es nicht, dass in allen bekannten Implementierungen lediglich DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared Medium wie Wireless LAN arbeitet, ist bei dieser Technik jedoch keine Bandbreitengarantie möglich – die Latenzzeit kann stark schwanken (Jitter) was für VoIP sehr negative Auswirkungen auf die Sprachqualität hat.

Aus den genannten Gründen verwenden die meisten VoWLAN-Phone Hersteller eine Kombination aus standardbasierten und proprietären Mechanismen, um ein schnelles Handover von AP zu AP zu ermöglichen. Das Ziel dieses Roaming-Vorganges ist es, ein für den Enduser nicht merkbares Wechseln der Funkzelle zu ermöglichen. Bei den heute am meisten verwendeten Codecs G.711 und G.729 beträgt die maximal akzeptable Roamingzeit ca. 50ms.

Als Roaming-Vorbereitung eines VoWLAN-Clients ist es nötig, dass dieser die APs in seinem Sendebereich kennt. Um dies umzusetzen, senden die Clients Probe-Requests. Manche VoWLAN-Clients können so konfiguriert werden, dass nur bestimmte Kanäle (1, 6, 11) gescannt oder spezielle Elemente in den AP Becons verwendet werden, um die Scangeschwindigkeit zu verbessern. Ebenso können manche Endgeräte so eingestellt werden, dass sie das Scannen erst bei Erreichen eines bestimmten Schwellenwerts beginnen. Dieser liegt meist bei -65 bis -70dBm. Derartige Funktionen verbessern die Akkulaufzeiten und sorgen für ein schnelleres Roaming. Siehe hierzu auch Abbildung 1.

Eine der größten Hürden in Bezug auf schnelles Roaming beim Ausrollen von VoWLAN-Lösungen sind die Verschlüsselungstechniken. Das beste Roamingverhalten wird bei unverschlüsseltem Verkehr oder einer WEP-Verschlüsselung mit unter 8ms erreicht. Dieser Wert umfasst die Zeitspanne vom letzten erfolgreich gesendeten Paket auf dem alten AP bis zu dem ersten erfolgreich gesendeten Paket auf dem neuen AP (siehe hierzu auch Abbildung 2).

Durch die Einführung von 802.11i wurde die Sicherheit in WLAN-Netzen speziell bei auf 802.1x-basierende Implementierungen drastisch erhöht, allerdings auf Kosten eines schnellen Roamingvorgangs. Durch die Einbeziehung eines RADIUS-Servers bei diesem Standard innerhalb jedes Authentifizierungsvorgangs werden die Roamingzeiten auf 50-200ms erhöht.

Selbst unter besten Voraussetzungen mit einem lokalen, nicht unter Last stehenden RADIUS-Server werden sehr schnell die gewünschten 50ms überschritten. Dies wird durch den Einsatz von WPA-PSK umgangen. Beide dazugehörigen Standards, WPA-PSK und WPA2-PSK, erreichen fast ein ähnliches Sicherheitsniveau wie die 802.1x-Implementierung, jedoch ohne Einbeziehung einer RADIUS-Abfrage.

Zusätzlich zu den einfachen Verfahren ohne Verschlüsselung oder WEP wird jedoch bei jedem Roamingvorgang die Erzeugung von Keys vorgenommen. Dieser Vorgang führt zu einer Verzögerung von weniger als 7ms bei WPA-PAS und 5ms bei WPA2-PSK. Dies führt in der Summe zu Gesamtroamingzeiten von 13-15ms. Das ist eine erhebliche Verbesserung gegenüber Verfahren mit RADIUS-Server (siehe hierzu auch Abbildung 3).

Die Nachteile von WPA-PSK

Allerdings ergeben sich durch den Einsatz von WPA-PSK auch einige Nachteile. So ist diese Technologie, wie alle Preshared-Key-Technologien, anfällig gegenüber Wörterbuchattacken sobald ein einfacher Verschlüsselungskey gewählt wurde. Weiterhin ist das Ändern des Keys auf den Endgeräten meist mit einem Konfigurationsaufwand auf jedem Endgerät verbunden. Diese Punkte treffen für eine auf RADIUS-Abfragen basierende Technologie nicht zu. Um auch hier die zusätzlich benötigten schnellen Roamingvorgänge umsetzen zu können, die bei VoWLAN benötigt werden, wurden deshalb zwei neue Technologien entwickelt: OKC und Pre-Authentication.

Opportunistic Key Caching (OKC) verteilt den Key, den ein WLAN-Phone bei der ersten RADIUS-Abfrage (für gewöhnlich beim Einschalten) erhält, auf alle APs, die den Service beinhalten. Bei einem Roamingvorgang ist es nun nicht mehr nötig den RADIUS-Server abzufragen, da sich der passende PMK bereits auf den APs befindet. Dadurch ergeben sich Roamingzeiten wie bei der PSK-Variante mit den Security-Vorteilen einer RADIUS-Infrastruktur. Allerdings wird das Sicherheitsniveau einer vollen 802.11i Implementierung nicht erreicht, da der gleiche PMK auf alle APs verteilt und für die Authentifizierung und Verschlüsselung benutzt wird. 802.11i fordert nur jeweils einen neuen PMK per Session pro AP. Zurzeit gibt es zudem noch wenige Endgeräte die OKC unterstützen.

Pre-Authentication ist eine Lösung, die eine volle RADIUS-Abfrage an jedem AP benutzt, aber der Roaming-Vorgang ist dennoch erheblich zeitsparender. Mit Pre-Authentication führt das Endgerät eine vollwertige RADIUS-basierende Authentifizierung beim erstmaligen Verbinden mit einem AP durch. Danach scannt das Endgerät nach jedem AP mit der selben ESSID (aber anderen BSSID) in der Umgebung und nutzt seine existierende Verbindung zur Infrastruktur, um eine vollwertige RADIUS-Authentifizierung an den umgebenden APs durchzuführen bevor der Roamingvorgang stattfindet.

Der PMK wird sowohl von dem AP als auch vom Endgerät für eine spätere Benutzung vorgehalten. Bei einem Roamingvorgang wird über diesen Key ein Session-Key je AP generiert. Der Zeitaufwand hierfür ist vergleichbar mit dem bei WPA-PAK. Pre-Authentication ist anfällig gegenüber Infrastrukturen mit hoher AP-Dichte und sehr mobilen Endgeräten. Dies kann zu Situationen führen, bei denen ein Roamingvorgang stattfindet bevor die Pre-Authentication durchgeführt wurde. Die Technologie gilt als sicherer als OKC, ist aber erst auf wenigen Endgeräten verfügbar. Beim Siemens WL2 Handset bspw. werden beide Funktionen unterstützt.

Load Balancing in VoWLAN-Umgebungen

Load Balancing in VoWLAN-Umgebungen wird durch eine von mehreren Call Admission Control Funktionen (CAC) erreicht. Enterasys WLAN benutzt hierzu TSPEC, wobei ein Endgerät eine Traffic-SPECification (TSPEC) erstellt und diese an den AP sendet. Dieser reserviert die angekündigte Menge an Up- und Down-Stream Bandbreite. Die Implementierung erlaubt es, Limits für neue und bestehende Roaming-Verbindungen zu setzen. Weiterhin können Bandbreitenreservierungen in unabhängigen Klassen gemacht werden, in denen z.B. Voice eine höhere Priorität bekommt als Video. Die Implementierung beim Enterasys WLAN geht sogar soweit, dass spezielle Aktionen definiert werden können sobald die angekündigte Up- und Down-Stream Bandbreite überschritten wird, dies geschieht auf einer per SSID-Basis.

weiter mit: Lokation-Tracking in WLAN Netzen

(ID:2046203)