ubuntuusers.de

Hinweis: Dies ist ein statischer Snapshot unseres Wikis vom 25. März 2013 und kann daher nicht bearbeitet werden. Der aktuelle Artikel ist unter wiki.ubuntuusers.de zu finden.
WikiWLAN

WLAN

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

wlan_64.png Wireless LAN (Wireless Local Area Network, WLAN, Kabelloses Lokales Netzwerk) bezeichnet ein "drahtloses" lokales Funknetz, wobei meistens ein Standard der IEEE_802.11-Familie gemeint ist. Ein WLAN kann auf zwei Arten (Modi) betrieben werden:

Im Infrastruktur-Modus wird eine Basisstation, häufig ein "Access Point" (AP), speziell ausgezeichnet. Er koordiniert die einzelnen Netzknoten. Im Ad-hoc-Modus ist dagegen keine Station besonders ausgezeichnet, sondern alle sind gleichwertig. Ad-hoc-Netze lassen sich schnell und ohne großen Aufwand aufbauen. Es ist nicht vorgesehen, dass Pakete weitergereicht werden. Es kann also vorkommen, dass ein physisch zentral stehender Computer das gesamte WLAN erreichen kann, ein Computer am Randbereich jedoch nur einen Teil. Es sind maximal 6 Verbindungen im Ad-hoc-Modus möglich.

Der Fokus in diesem Artikel liegt auf dem Infrastruktur-Modus: ein oder mehrere Computer nehmen Verbindung zu einem zentralen "Access Point" (AP) auf.

Um mit Ubuntu WLAN nutzen zu können, ist es zunächst nötig, die WLAN-Karte zu installieren und dann geeignet zu konfigurieren, was nie ohne eine Verschlüsselung (WPA oder besser; WEP ist unsicher!) geschehen sollte.

Hinweis:

Die ESSID sollte keine Leer- und/oder Sonderzeichen bzw. Umlaute enthalten, da dies zu Problemen beim Verbinden führen kann (auch wenn das Funknetzwerk in der Liste der verfügbaren Netzwerke aufgelistet wird!). Ebenso mögen manche Linux-Treiber keine unterdrückte bzw. versteckte ESSID (Broadcast).

Genauso problematisch ist u.U. der verwendete Funkkanal. Siehe auch Konfiguration der Kanäle 12 und 13

Verschlüsselung

Rechtliches

Achtung!

Dies ist keine Rechtsberatung, sondern eine kurze Einführung, wie die unbefugte Nutzung ungeschützter WLANs rechtlich zu bewerten sein könnte.

"Als Daten im Sinne der Norm kommt bei unverschlüsselten Netzen naturgemäß kein WEP-Schlüssel in Betracht, da ein solcher gerade keine Verwendung findet. Daher kann allenfalls auf die IP-Adresse abgestellt werden. Allerdings ist bei einem unverschlüsselten WLAN gerade keine Vorkehrung speziell zu dem Zweck getroffen worden, den Zugang Unbefugter zu erschweren oder zu verhindern. Der Router teilt dem verwendeten Client auf simple Anfrage eine IP-Adresse zu. Eine wie auch immer geartete Hürde muss der Nutzer dazu nicht überwinden, vom Einschalten seines Rechners innerhalb der Funkreichweite des Routers einmal abgesehen. Angesichts der Tatsache, dass WLAN-Geräte ab etwa 20 Euro für jedermann frei zugänglich sind, kann die Übertragung per Funk als solche ebenfalls nicht als Zugriffsschutz angesehen werden. Daher kommt bei unverschlüsselten Netzen eine Strafbarkeit aus § 202a StGB mangels besonderer Sicherung der Daten nicht in Betracht."

Quelle: Der strafrechtliche Schutz drahtloser Computernetzwerke (WLANs) {de} - Online-Zeitschrift HRSS & Rechtsprechungsdatenbank, Heft 8/2004

Hinweis:

Bisher kann man praktisch davon ausgehen, dass das reine "Schwarzsurfen" über offene WLANs nicht grundsätzlich illegal ist. Ob man damit auch vor Gericht Erfolg hat, hängt vom Einzelfall ab (Stichwort: Übertragungskosten). Zur aktuellen BGH-Entscheidung siehe nächster Abschnitt.

Urteil des Bundesgerichtshof

Am 12. Mai 2011 hat der I. Zivilsenat des Bundesgerichtshof, der u.a. für das Urheberrecht zuständig ist, ein Urteil „Zur Haftung für unzureichend gesicherten WLAN-Anschluss“ gesprochen.

Das Urteil in Auszügen:

Privatpersonen können auf Unterlassung, nicht dagegen auf Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend gesicherter WLAN-Anschluss von unberechtigten Dritten für Urheberrechtsverletzungen im Internet genutzt wird.

[…]Auch privaten Anschlussinhabern obliegt aber eine Pflicht zu prüfen, ob ihr WLAN-Anschluss durch angemessene Sicherungsmaßnahmen vor der Gefahr geschützt ist, von unberechtigten Dritten zur Begehung von Urheberrechtsverletzungen missbraucht zu werden. Dem privaten Betreiber eines WLAN-Netzes kann jedoch nicht zugemutet werden, ihre Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden. Ihre Prüfpflicht bezieht sich daher auf die Einhaltung der im Zeitpunkt der Installation des Routers für den privaten Bereich marktüblichen Sicherungen.

Diese Pflicht hatte der Beklagte nach Auffassung des Bundesgerichtshofs verletzt. Er hatte es bei den werksseitigen Standardsicherheitseinstellungen des WLAN-Routers belassen und das Passwort nicht durch ein persönliches, ausreichend langes und sicheres Passwort ersetzt. Ein solcher Passwortschutz war auch für private WLAN-Nutzer bereits im Jahre 2006 üblich und zumutbar. Er lag im vitalen Eigeninteresse aller berechtigten Nutzer und war mit keinen Mehrkosten verbunden.

Der Beklagte haftet deshalb nach den Rechtsgrundsätzen der sog. Störerhaftung auf Unterlassung und auf Erstattung der Abmahnkosten (nach geltendem, im Streitfall aber noch nicht anwendbaren Recht fallen insofern maximal 100 € an).[…]

BGH, Az.: I ZR 121/08 - Sommer unseres Lebens {de}

Quelle: Pressemitteilung Nr. 101/10 des Bundesgerichtshofs vom 12. Mai 2011 {de}

Zur korrekten Absicherung eines WLAN-Anschlusses gibt es eine umfangreiche Anleitung bei TecChannel. {de}

Praktische Umsetzung

WPA (Wi-Fi Protected Access) und WPA2 können einen sogenannten "pre-shared-key" (PSK, manchmal auch WPA_PSK genannt) zur Absicherung verwenden. Dies sollte man in einem Heimnetz nutzen, da andere Authentifizierungsmechanismen wie RADIUS in einem Heimnetz eher selten sind und von typischen Heim-Accesspoints häufig gar nicht unterstützt werden.

Der PSK ist ein Schlüssel, der einmalig manuell (vom Benutzer) zwischen den beteiligten Geräten ausgetauscht ("shared") werden muss. Da es sich dabei um ein Passwort handelt, welches man sich nicht zu merken braucht, sollte er die maximale Länge (63 ASCII Zeichen) haben und aus zufälligen Zeichen bestehen, damit er nicht per Brute-Force- oder Wörterbuchattacke knackbar ist. Einen solchen Schlüssel erzeugt man am besten mit einem guten Schlüsselgenerator.

Ein guter Schlüsselgenerator ist das Programm pwgen (benötigt das Paket pwgen [2]). Mit dem Konsolenbefehl [1]

pwgen -c -n -s 63 1 

erhält man einen geeigneten Schlüssel. Dieser Schlüssel muss auf dem WPA(2)-PSK-fähigen Access-Point (typischerweise der Router im Heimnetz) eingestellt werden und außerdem natürlich jedem einzelnen Client bekannt sein.

Einige der nachfolgend aufgeführten Einrichtungsverfahren legen den Schlüssel im Klartext, in einer Datei auf der Festplatte, ab. Für solche Verfahren empfiehlt es sich, den 63 ASCII-Zeichen-Schlüssel noch in Hexadezimalform umzuwandeln. Die Berechnung erfolgt mittels wpa_passphrase. Dem Befehl wird die SSID des Access-Points und der mit pwgen erzeugte Schlüssel übergeben. Beispiel:

wpa_passphrase MeineSSID MeinSchluessel 

ergibt:

# reading passphrase from stdin
meinschluessel
network={
        ssid="MeineSSID"
        #psk="MeinSchluessel"
        psk=626d3fc95a3efe75acaebf1388ed167a90e59390efab91a5841242e49bc62b3a
}

Hinweis:

Möchte man seinen Schlüssel nicht wie hier vorgeschlagen in HEX umwandeln, kann man auch einfach den Klartext-Schlüssel in Anführungszeichen gesetzt eintragen (wie in der mit # auskommentierten Zeile im Beispiel oben).

Die Ausgabe von wpa_passphrase ist direkt mit wpa_supplicant verwendbar. Es muss lediglich noch die verwendete Verschlüsselung hinzugefügt werden.

Achtung!

Der Schlüssel sollte keine sprachspezifischen Sonderzeichen enthalten. Zeichen wie ö ü ä ß § (siehe ASCII-Zeichentabelle) können dazu führen, dass sich ein WLAN-Client, aufgrund von unterschiedlicher Kodierung, nicht anmelden kann. Zeichen wie ! $ % & / ( ) = ? ; : , . _ - * + sind hingegen unbedenklich und können (und sollten) verwendet werden, ebenso Großbuchstaben und Zahlen.

Es kann nötig sein, den Artikel WLAN-Sonderzeichen zu beachten.

Wiki/Icons/box.png

Installation

  • Installation - Zunächst muss die WLAN-Karte erkannt werden. Dazu muss man (unter Umständen) den Treiber für die WLAN-Karte einrichten.

  • Linux Wireless - Treiber-Projekt für diverse WLAN Chipsätze.

  • NdisWrapper - Wenn es keine passenden Treiber für Linux gibt, kann man auf den NdisWrapper zurückgreifen und damit Windows-Treiber für die Karte verwenden. Hier wird erklärt, was der NdisWrapper ist und wie man ihn einsetzen kann, um seine WLAN-Karte zum Laufen zu bringen.

  • Karten - Eine Tabelle von WLAN-Karten, die mit Ubuntu funktionieren. Zum Teil auch mit Links zu gesonderten Installationsanleitungen.

  • Chipsätze - Eine Liste von Chipsätzen, die unter Ubuntu laufen (interessant, falls man NoName-Karten verwendet).

  • Linux-backports-modules - Seit Ubuntu 8.10 Intrepid Ibex gibt es ein Meta-Paket, um die Hardware-Unterstützung für Ubuntu-Versionen nach deren Veröffentlichung weiter zu verbessern. Allerdings werden hiermit nicht nur die WLAN-Treiber aktualisiert, sondern auch weitere Kernelmodule {en} .

Hinweis:

Bevor man die Konfiguration/Verschlüsselung in Angriff nimmt, sollte man unbedingt unter "System -> Systemverwaltung/Administration -> Hardware-Treiber" überprüfen, ob die WLAN-Hardware treibermäßig läuft. Hier liegt die Ursache für die meisten Probleme. Selbst wenn das Netzwerkgerät unter "System -> Systemverwaltung/Administration -> Netzwerk" oder im Network-Manager bzw. über lspci/lsusb oder iwconfig angezeigt wird, bedeutet es nicht, dass der Treiber wirklich läuft. Ein kurzer Test ohne Verschlüsselung hilft hier.

Wiki/Icons/networksettings.png

Konfiguration

Nach einer erfolgreichen Installation und Erkennen der WLAN-Karte muss diese konfiguriert werden. Das bedeutet im Regelfall, es soll eine Verbindung mit einem Router bzw. Access Point hergestellt werden, so dass man darüber Internetzugang bekommt. Dazu muss man wissen, welche Art von Verschlüsselung der Router anbietet. Im Groben sind dies "WPA-Verschlüsselung", "WEP-Verschlüsselung" und "keine Verschlüsselung". Es wird dringend davon abgeraten, auf Verschlüsselung zu verzichten (siehe Abschnitt Rechtliches). Die WEP-Verschlüsselung ist unsicher (das Verfahren lässt sich leicht aushebeln) und sollte nur genutzt werden, wenn der Router oder die eigene WLAN-Karte definitiv keine WPA-Verschlüsselung unterstützt.

Für ein optimal funktionierendes WLAN (welches schon beim Bootprozess eine Verbindung herstellt und nicht erst nach der grafischen Anmeldung) wird empfohlen, die Verbindung mittels wpa supplicant zu konfigurieren. Hier eine Liste aller Möglichkeiten:

Wiki/Icons/background.png

Mit Hilfe einer grafischen Oberfläche

  • Network-Manager kann Verbindungen zu allen Arten von Netzwerken herstellen (auch LAN)

  • Wicd ist eine grafische Oberfläche für den wpa supplicant und eine Alternative zum NetworkManager.

  • wpa_gui ist ebenfalls eine grafische Oberfläche für wpa_supplicant und somit auch eine Alternative zu Wicd und dem NetworkManager

Wiki/Icons/terminal.png

Mit Hilfe des Terminals

  • wpa supplicant - wenn keine Konfiguration über die grafischen Tools möglich/gewollt ist

  • wireless-tools - Bietet generelle Informationen über das WLAN (z.B. verfügbare Netze) und erlaubt, per WEP verschlüsselte oder unverschlüsselte Verbindungen aufzubauen.

  • /etc/network/interfaces - Die wichtigste Konfigurationsdatei für das Netzwerk (ob LAN oder WLAN). In diesem Artikel wird ihr Inhalt erläutert.

  • ceni {de} - Netzwerkmanager für die Konsole. Das Programm stammt aus der Distribution aptosid {en} (früher Sidux) und ist nicht in Ubuntu enthalten. Voraussetzung ist die Installation der Pakete libcurses-perl, libio-pty-perl, libio-stty-perl, libexpect-perl und libcurses-ui-perl. Ein Fremdpaket für Debian kann von jedem aptosid-Spiegelserver {de} aus dem Ordner pool/main/c/ceni/ heruntergeladen und installiert werden.

    Hinweis!

    Fremdpakete können das System gefährden.

    Praktisch ist in diesem Zusammenhang auch das ebenfalls konsolenbasierte Programm wavemon {en}, das aus dem Paketquellen von Ubuntu installiert werden kann und bei der Beurteilung des richtigen Kanals hilft.

Konfiguration der Kanäle 12 und 13

Achtung!

Der folgende Weg über die Optionen der Kernelmodule funktioniert ab Ubuntu 9.04 nicht mehr. Die Regulation der Kanäle wurde verändert, siehe auch Jaunty Release Notes {en} .

Wenn die unten angegeben Optionen gesetzt sind, wird das WLAN nicht mehr funktionieren. Stattdessen ist nun der Befehl sudo iw reg set DE zu benutzen. Das Paket iw ist ggf. zu installieren.

Einige WLAN-Treiber sind standardmäßig auf die US-amerikanische WLAN-Regulierung eingestellt. Konkret äußert sich das darin, dass nur die Kanäle 1-11 genutzt werden können. In der EU sind jedoch auch die Kanäle 12 und 13 erlaubt, in Japan zusätzlich noch Kanal 14. Welche Kanäle die Karte in Moment unterstützt, findet man mit wireless-tools heraus.

iwlist chan 

Die Regulierungsdomain wird je nach Kernelversion von verschiedenen Modulen gesteuert:

  • Beim Kerneln ab 2.6.27 (Ubuntu 8.10 Intrepid Ibex) ist dies cfg80211

  • Bei Benutzung der linux-backports-modules dagegen lbm_cw_cfg80211

  • Bei Kernel vor 2.6.27 (Ubuntu 8.04 Hardy Heron) jedoch mac80211

Bei den beiden zuerst genannten Modulen muss die Option ieee80211_regdom=EU übergeben werden. Es gibt statt EU auch noch andere mögliche regdoms, etwa JP für Japan.

Beim Modul mac80211 (Ubuntu 8.04 Hardy Heron) setzt ieee80211_regdom=64, eine internationale Standarddomain mit den Kanälen 1-14, während EU nicht funktioniert.

Es gibt auch noch Treiber (z.B. compat-wireless-2.6.38.2-2-ns für das Modul ath9_htc), die in der Voreinstellung nur county=CN (China) bieten, bei denen die Kanäle 12 und 13 wieder nicht verwendet werden können. Mit iw reg ... ist hier nichts auszurichten. In der Datei /var/log/messages gibt es dann Einträge wie diese:

cfg80211: Calling CRDA for country: CN

Hierfür muss man zusätzlich das Paket wireless-crda installieren, dann bekommt das Modul die korrekte Info entweder vom Router oder PC. Die Kontrolle erfolgt über den Befehl:

sudo iw reg get 
country DE:
		(2400 - 2483 @ 40), (N/A, 20)
		(5150 - 5350 @ 40), (N/A, 20), NO-OUTDOOR, DFS
		(5470 - 5725 @ 40), (N/A, 26), NO-OUTDOOR, DFS

WLAN-Sondertasten

Bei manchen Notebooks muss man sich unter Umständen auch mit Extra-Tasten zum Ein- bzw. Ausschalten des WLAN-Adapters beschäftigen. Hier helfen die Artikel:

hoffentlich weiter.

ubuntuusers.local › WikiWLAN