WLAN-Grundlagen#
WLAN (Wireless Local Area Network) ermöglicht drahtlose Netzwerkkommunikation auf Basis des IEEE 802.11-Standards. Es arbeitet auf OSI-Schicht 1 (Physical) und 2 (Data Link).
IEEE 802.11 Standards im Überblick#
| Standard | Jahr | Frequenz | Max. Brutto-Bandbreite | Reichweite (innen) | Alltagsname |
|---|---|---|---|---|---|
| 802.11b | 1999 | 2,4 GHz | 11 Mbit/s | ~30 m | – |
| 802.11g | 2003 | 2,4 GHz | 54 Mbit/s | ~30 m | – |
| 802.11a | 1999 | 5 GHz | 54 Mbit/s | ~15 m | – |
| 802.11n | 2009 | 2,4 / 5 GHz | 600 Mbit/s | ~70 m | Wi-Fi 4 |
| 802.11ac | 2013 | 5 GHz | 6,9 Gbit/s | ~35 m | Wi-Fi 5 |
| 802.11ax | 2019 | 2,4 / 5 / 6 GHz | 9,6 Gbit/s | ~30 m | Wi-Fi 6 |
| 802.11be | 2024 | 2,4 / 5 / 6 GHz | 46 Gbit/s | – | Wi-Fi 7 |
Prüfungsrelevant: 802.11n (Wi-Fi 4), 802.11ac (Wi-Fi 5), 802.11ax (Wi-Fi 6) kennen und zuordnen können.
Frequenzbänder: 2,4 GHz vs. 5 GHz#
| 2,4 GHz | 5 GHz | |
|---|---|---|
| Reichweite | ✅ Größer (Wände besser durchdringbar) | ❌ Geringer |
| Geschwindigkeit | ❌ Geringer | ✅ Höher |
| Kanalanzahl (DE) | 13 Kanäle (nur 3 überlappungsfrei) | 19+ Kanäle (alle überlappungsfrei) |
| Störanfälligkeit | ❌ Hoch (Mikrowellen, Bluetooth, Nachbarn) | ✅ Gering |
| Gerätekompatibilität | ✅ Sehr hoch (alle Geräte) | 🟡 Mittel |
| Einsatz | Große Flächen, ältere Geräte | Hohe Dichte, hohe Bandbreite |
Kanäle im 2,4-GHz-Band#
Im 2,4-GHz-Band gibt es in Deutschland 13 Kanäle mit je 20 MHz Breite – aber die Kanäle überlappen sich stark. Nur Kanäle 1, 6 und 11 sind überlappungsfrei:
Kanal: 1 2 3 4 5 6 7 8 9 10 11 12 13
[====|====|====|====|====]
[====|====|====|====|====]
[====|====|====|====|====]
↑ Kanal 1 ↑ Kanal 6 ↑ Kanal 11Merke: Bei mehreren APs im selben Bereich → überlappungsfreie Kanäle (1, 6, 11) verwenden!
WLAN-Komponenten#
Access Point (AP)#
- Verbindet WLAN-Clients mit dem kabelgebundenen Netzwerk
- Erzeugt ein BSS (Basic Service Set) mit einer SSID
- Betriebsmodi:
- Infrastructure Mode: AP verbindet Clients mit dem LAN (Normalfall)
- Ad-hoc Mode: Direkte Gerät-zu-Gerät-Verbindung ohne AP
Repeater / WLAN-Extender#
- Empfängt das WLAN-Signal und sendet es verstärkt weiter
- Erweitert die Reichweite, halbiert aber die Bandbreite (empfängt und sendet auf demselben Kanal)
- Besser: Mesh-System (dedizierter Backhaul-Kanal)
WLAN-Controller#
- Zentrales Management mehrerer APs (Enterprise-Umgebung)
- Ermöglicht einheitliche Konfiguration, Roaming, Lastverteilung
SSID & Roaming#
- SSID (Service Set Identifier): Name des WLAN-Netzwerks (max. 32 Zeichen)
- BSSID: MAC-Adresse des Access Points
- ESSID: Mehrere APs mit gleicher SSID → ein logisches Netz (Roaming möglich)
- Hidden SSID: SSID wird nicht gesendet → kein echter Sicherheitsgewinn, da SSID trotzdem sichtbar ist
Roaming: Client wechselt automatisch zwischen APs mit gleicher SSID – funktioniert nahtlos, wenn APs überlappende Zellen haben (15–20% Überlappung empfohlen).
WLAN-Sicherheit#
Verschlüsselungsstandards im Vergleich#
| Standard | Jahr | Verschlüsselung | Sicherheit | Status |
|---|---|---|---|---|
| WEP | 1997 | RC4 (40/104 Bit) | ❌ Kompromittiert | Nie verwenden! |
| WPA | 2003 | TKIP (RC4-basiert) | ❌ Schwach | Veraltet |
| WPA2 | 2004 | AES-CCMP | ✅ Sicher | Aktueller Standard |
| WPA3 | 2018 | AES-GCMP + SAE | ✅ Sehr sicher | Empfohlen |
WPA2 mit AES ist der Mindeststandard – WEP und WPA sind gebrochen und dürfen nicht mehr eingesetzt werden!
WPA2/WPA3 Modi#
| Modus | Einsatz | Authentifizierung |
|---|---|---|
| Personal (PSK) | Heimnetz, kleines Büro | Pre-Shared Key (Passwort) |
| Enterprise (802.1X) | Unternehmen, Schule | RADIUS-Server + Zertifikate/Benutzername |
Weitere Sicherheitsmaßnahmen#
| Maßnahme | Beschreibung | Wirkung |
|---|---|---|
| Starkes Passwort | Mind. 12 Zeichen, komplex | ✅ Effektiv |
| WPA3 / WPA2-AES | Aktueller Verschlüsselungsstandard | ✅ Effektiv |
| SSID verstecken | Netzwerkname nicht senden | ❌ Kaum wirksam (leicht umgehbar) |
| MAC-Filter | Nur bekannte MAC-Adressen zulassen | ❌ Kaum wirksam (MAC spoofbar) |
| Gast-WLAN | Separates VLAN für Gäste | ✅ Effektiv (Netztrennung) |
| AP-Platzierung | Signal nicht unnötig nach außen | ✅ Sinnvoll |
| Firmware aktuell | Regelmäßige Updates des APs | ✅ Wichtig |
AP-Platzierung#
Eine gute AP-Platzierung ist entscheidend für Abdeckung und Sicherheit:
❌ Schlecht: ✅ Gut:
AP in der Ecke AP zentral platziert
[AP]··········· ·····[AP]·····
····· ·············
····· ·············
····· ·············
→ Asymmetrische Abdeckung → Gleichmäßige AbdeckungPlanungsregeln:
- AP zentral im Versorgungsbereich platzieren
- Hindernisse berücksichtigen: Beton/Metall schwächt Signal stark, Holz/Glas weniger
- Kanalplanung: Benachbarte APs auf überlappungsfreie Kanäle konfigurieren
- Überlappung: Ca. 15–20% zwischen Zellen für störungsfreies Roaming
- Sendeleistung anpassen: Nicht zu hoch (vermeidet unnötige Interferenzen)
WLAN-Sicherheitsprobleme#
| Angriff | Beschreibung | Schutz |
|---|---|---|
| Evil Twin | Gefälschter AP mit gleicher SSID lockt Clients an | WPA3-Enterprise, Zertifikate |
| Deauth-Angriff | Zwangsabmeldung von Clients (DoS) | 802.11w (Management Frame Protection) |
| Brute Force PSK | Passwort des WLANs erraten | Langes, komplexes Passwort |
| Man-in-the-Middle | Angreifer sitzt zwischen Client und AP | VPN, HTTPS, WPA3 |
| Wardriving | Suche nach ungesicherten WLANs | WPA2/WPA3, keine offenen WLANs |
Zusammenfassung: Wichtigste Merksätze#
- Wi-Fi 4 = 802.11n, Wi-Fi 5 = 802.11ac, Wi-Fi 6 = 802.11ax
- 2,4 GHz: Mehr Reichweite, mehr Störungen, weniger Bandbreite
- 5 GHz: Weniger Reichweite, weniger Störungen, mehr Bandbreite
- WPA2-AES = Mindeststandard; WEP/WPA = nie verwenden
- Kanal 1, 6, 11 = die drei überlappungsfreien Kanäle im 2,4-GHz-Band
- MAC-Filter und versteckte SSID = kein echter Sicherheitsgewinn
Prüfungsbeispiele#
„Ein Unternehmen möchte sein WLAN absichern. Welcher Verschlüsselungsstandard sollte mindestens verwendet werden?"
→ WPA2 mit AES – WEP und WPA sind kompromittiert und dürfen nicht eingesetzt werden.
„Ein Mitarbeiter berichtet, dass sein WLAN-Signal im Besprechungsraum sehr schwach ist, obwohl der AP nur 15 m entfernt ist. Was könnte die Ursache sein?"
→ Hindernisse (z.B. Betonwände, Metallregale) dämpfen das Signal. Lösung: AP näher platzieren, zweiten AP installieren oder auf 2,4 GHz wechseln (bessere Wanddurchdringung).
„Welche WLAN-Sicherheitsmaßnahme ist besonders wirksam, um Gäste vom internen Netzwerk zu trennen?"
→ Gast-WLAN in einem separaten VLAN – Gäste kommen ins Internet, aber nicht ins interne Netzwerk.
„Was ist der Unterschied zwischen einem Repeater und einem zweiten Access Point?"
→ Ein Repeater empfängt und re-sendet das Signal (halbiert die Bandbreite). Ein zweiter Access Point ist per Kabel ans Netzwerk angebunden (volle Bandbreite, kein Verlust) – deutlich besser.
Siehe auch#
- protokolle ports — Netzwerkprotokolle & Ports
- [[../06_it-sicherheit/verschluesselung]] — WPA2/WPA3-Verschlüsselung
- vlan routing nat — WLAN-Segmentierung mit VLANs