Een draadloos netwerk onder OS/2

> OS/2 net index <
> OS/2 firewall index <



Een draadloos netwerk

Soorten draadloze netwerken

De Ad-Hoc modus

Infrastructuur modus

Draadloze netwerkkaarten voor OS/2

Ervaringen met 802.11b wlan kaarten onder OS/2

Willibald Meyer's Genmac Wrapper

Een draadloze ethernetbrug

Het netwerk uitbreiden via het lichtnet

De Asus 54 Mbps Pocket Wireless Access Point (WL-330G)

Linksys Wireless-G Ethernet Bridge model WET54G v2


Beveiliging van draadloze netwerken

Radiotransmissie: zenders en ontvangers

Versleuteling in de hardware

Wired Equivalent Privacy (WEP)

WiFi Protected Access (WPA)

Aanvullende wlan beveiligingsmethoden


Het gebruik van firewalls en viruscanners op het WLAN

Draadloze privacy en performance

Welke interface is nog veilig?

Het grote verschil tussen een virusscanner en een firewall

Een personal firewall voor het WLAN

Referenties


Een draadloos netwerk

> Top <

Een draadloos netwerk heeft zeker zijn voordelen. Zowel thuis als op het werk. Op mijn werk was het een verademing om met een draadloos met het bedrijfsnetwerk verbonden notebook door het kantoor te kunnen wandelen. Als ik een vraag die een klant mij stelde niet wist te beantwoorden, liep ik met mijn laptop, mobieltje en headset naar de juiste persoon. Ondertussen onderhield ik me met de klant en vertelde ik hem wat ik deed. Als je zo online bent hoef je de klant niet los te laten. Dat werkt beter dan doorverbinden en de klant opnieuw zijn verhaal te laten doen.

Ook thuis doen zich situaties voor waarbij je denkt: "Hee, moet je dat eens zien" . Dan is het prettig als je laptop draadloos met het netwerk verbonden is. En je computer zo kunt verplaatsen zonder last te hebben van kabels. Maar ook om andere redenen is een draadloze verbinding prettig. Bijvoorbeeld om met het internet te verbonden te kunnen zijn waar je maar wilt : in je tuin, op je bed, bij de buren of in een voor wlan geschikt gemaakt café of hotel.

Maar toen mijn huis verbouwd werd zorgde ik niet alleen voor een telefoon- en centrale antenne inrichting (CAI) verbinding tussen de meterkast en mijn hobbykamer, maar ook voor een vaste ethernetverbinding. En daar heb ik geen spijt van. Een "backbone" van vaste verbindingen is sneller, veiliger en betrouwbarer dan iedere radioverbinding. Mijn linux server verhuisde van zolder naar de nieuwe hobbykamer en de patchkabels die ik provisorisch langs de trappen had aangelegd had konden verdwijnen. Als ik nu een verbinding met de zolder aanleg, gebeurt dat draadloos.

Soorten draadloze netwerken

> Top <

Draadloze netwerken werken in tegenstelling tot bedrade netwerken (lichtnet-,telefoon-, ethernet-, glasvezelkabels) met elektromagnetische golven die door de ether gaan. De belangrijkste standaarden van draadloze verbindingen die met OS/2 samenwerken zijn:

  1. Infrarode (IR) verbindingen volgens de Infrared Data Association (IrDA) standaard (ww.irda.org). Hiermee kunt u op korte afstand apparaten met elkaar verbinden (afstandsbediening TV, Irda apparaten voor laptops). IrDA was de eerste standaard voor Personal Area Networks (PANs) waarmee u bijv. het adressenbestand van een notebook met de Personal Digital Asssitant (PDA) kunt synchroniseren. Omdat de zenders en ontvangers elkaars infrarode lichtsignalen moeten zien kan IrDA communicatie onversleuteld lopen. De snelheid varieert in de praktijk van 9600 bps tot 4 Mbps, afhankelijk van de afstand en het gebruikte protocol.

  2. Bluetooth werd in 1994 door mobiele telefoonfabrikant Ericsson ontwikkeld. Ericsson wilde mobieltjes draadloos aan andere apparaten koppelen (telefoons, headsets, PDAs, computers). In 1998 werd de Bluetooth Special Interest Group (SIG) opgericht om van BlueTooth een open standaard te maken om in allerlei apparaten in te bouwen. Deze apparaten vormen kleine "personal" area netwerken (piconet, PAN) volgens een point to point of point to multipoint protocol. Omdat dit ook op straat gebeurt bevat Bluetooth authentificatie en encryptie. Zonder speciale antennes is het bereik van Bluetooth kort (enige meters) en het energieverbruik is laag. De doorvoersnelheid is met 1 Mbps voldoende voor draadloze hoofdtelefoons, toetsenborden en muizen.

  3. Radiogolven zoals gedefinieerd in de IEEE 802.11 standaarden van het Amerikaanse Institute of Electrical and Electronics Engineers (www.ieee.org). Het IEEE bepaalt de standaarden, maar de Wi-Fi Alliance (www.wi-fi.org) onder leiding van Microsoft certificeert de implementaties. Een Wireless Fidelity praktijktest moet garanderen dat wifi gecertificeerde apparaten met elkaar samenwerken. In de praktijk is dit vooral afhankelijk van de firmware en de stuurbestanden. Maar omdat geen enkele wifi hardwareleverancier stuurbestanden voor OS/2 schrijft, laat staan voor OS/2 laat certificeren, zegt het wifi predicaat ons niets. Eigenlijk mag u alleen van WLAN ethernetbruggen met hun eigen besturingssoftware in het EPROM universele draadloze betrouwbaarheid verwachten.

Vanaf Warp 4 (1996) had OS/2 IrDA voorzieningen. IBM bracht updates van deze drivers uit voor haar Thinkpads. In 2002 kwam een oude IBM IrDA broncode beschikbaar. Op Hobbes vindt u de hierop gebaseerde Generic UART Infrared drivers and Tools for OS/2 (versie 2.2) van Olivier Stein (irdd22.exe) die het ook met enige niet IBM apparaten zou moeten doen. Zie Steins WarpStock presentatie voor de mogelijkheden (Using IRda devices with OS/2).

Maar IrDA raakt duidelijk uit de mode ten gunste van Bluetooth. OS/2 mist echter een OS/2 Bluetooth stack om OS/2 programmatuur met Bluetooth apparaten te laten samenwerken. Microsofts Bluetooth muizen en toetsenborden werken dus niet onder OS/2. Misschien dat enkele Bluetooth standaard apparaten het met een Bluetooth USB adapter doen (niet getest), maar Bluetooth zelf wordt niet door OS/2 ondersteund.

En hoe zit het met wifi? Daar gaat dit artikel over. Kort samengevat komt het er op neer dat de leveranciers van wifi apparatuur (PCI, PCMIA, Cardbus en USB netwerkaarten) zich sinds 2003 slechts op Windows, MAC en soms Linux gebruiker hebben gericht. Ze hebben geen aandacht meer voor OS/2.

Uit de tijd dat IBM OS/2 op Thinkpads ondersteunde zijn er nog enkele stuurbestanden voor verouderde IEEE 802.11b WLAN kaarten met WEP versleuteling beschikbaar, maar OS/2 stuurbestanden voor USB Wlan sticks of de 802.11g WLAN kaarten met de veel veiliger WiFi Protected Access (WPA) encryptie worden node gemist. Wel zijn er enige projecten van OS/2 ontwikkelaars die in hun vrije tijd generieke stuurbestanden voor bepaalde chips en/of interfaces voor Windows stuurbestanden schrijven. Het meest belovend is Willibald Meyer's alfa GenMac NDISWrapper, die een OS/2 interface voor Windows stuurbestanden biedt. Maar wifi gecertificeerd zijn ze niet en u moet geluk hebben als ze werken.

Betekent dit dat u onder OS/2 van veilig draadloos netwerken moet afzien? Nee, want de laatste tijd kwamen draadloze ethernetbruggen op de markt voor spelconsoles en printers die wel over een ethernetpoort beschikten, maar natuurlijk niet over een Windows besturingssysteem. Deze Wlan bruggen werden daarom mini-computers met eigen stuurbestanden die onder hun eigen besturingssysteem worden geladen. De stuurbestanden werken dus alleen in het apparaat zelf. Het probleem van redelijke drivers voor XP, maar buggy of geen stuurbestanden voor andere besturingssystemen is daarmee definitief verholpen. U hoeft alleen maar een goed ondersteunde ethernetkaart te hebben. Maar die zijn voor OS/2 alom te verkrijgen.

De draadloze ethernetbruggen en routers die een OS/2 of Linux gebruiker zal waarderen, worden via een eigen webserver opgewaardeerd en geconfigureerd. Omdat ze na configuratie verplaatsbaar blijven kunt u ze voor ieder apparaat met een werkende ethernetadapter inzetten.

Wifi kaarten

> Top <

Er zijn twee manieren waarop draadloze netwerkkaarten met elkaar kunnen communiceren: Ad-Hoc modus en Infrastructuur. Beiden spelen zich op de netwerklaag af. Voor daadwerkelijke communicatie moet u natuurlijk ook de programmatuur van de hogere netwerklagen (NetBIOS, TCP/IP, NetBIOS via TCP/IP) installeren en correct instellen.



De Ad-Hoc modus

> Top <

Een ad-hoc netwerk heeft veel weg van een NetBIOS werkgroep: De netwerkkaart werkt dan als een independent basic service set (IBSS), die onafhankelijk van een centrale domein controller, in WLAN termen een Access Point of basisstation, optreedt. Net als bij het NetBIOS werkgroep herkennen de leden elkaar aan hun naam: de Service Set Identifier (SSID), die ze elkaar aldoor toeroepen. En net al bij een netBIOS werkgroep gaat het om een evenknienetwerk, waarbij de deelnemers (peers) op gelijke voet van elkaar staan. Het levert veel rumoer in de ether op, want een bericht aan piet@ssid wordt aan alle werkgroepleden gezonden.

Ad-hoc modus is handig om op ieder moment (ad-hoc) peer-to-peer communicatie op te starten. Breng met laptops uitgeruste groepsleden bijeen, zet hun WLAN kaart in de Ad-hoc modus, spreek een gezamenlijke SSID en encryptiemethode af en je kunt meteen aan de slag. Een deelnemer kan zijn mappen aanbieden, een ander een printerdienst, terwijl een derde deelnemer via een dial-up verbinding op het internet aangesloten kan zijn. De laatste zou met netwerkadresvertaling (Injoy) als IP router naar het internet kunnen optreden, maar typerend is dit niet.

Kenmerkend voor een ad-hoc netwerk is de gelijkwaardigheid en de flexibiliteit: ieder draadloos netwerkstation kan rechtstreeks met ieder ander draadloos station communiceren. Als de communicatie onversleuteld is, kan zelfs iedereen aanschuiven. De SSID is immers zo uit de ether te plukken (scannen). Een eventueel Acces Point treedt slechts als versterker van radiosignalen (repeater) op, wat handig is als de werkgroepleden wat verder uit elkaar staan. De meeste Access Points zullen in Ad-Hoc modus geen signalen van wlan kaarten naar het bedrade netwerk doorsturen. Maar wie een in Ad-Hoc modus werkende ethernetbrug met AP aan een bedrade router of ADSL modem hangt, zal wel met die default route vanaf het WLAN het internet op kunnen gaan.

Aldus geeft de Ad-hoc modus de groepsleden veel vrijheid om te improviseren. Veel meer dan een netwerkbeheerder lief is. Hij zal de wlan-tools waarmee u de draadloze kaart van infrastructuur naar Ad-hoc modus om kunt zetten (vaak met een radioscanner erbij) liever niet aan gewone gebruikers beschikbaar stellen. Systeembeheerders houden niet van peer-to-peer netwerken. En zeker niet van het draadloze type waarbij iedereen via de ether (!) werkgroepjes kan vormen voor iedereen (ALL) of zich verbinden kan met wie maar in de buurt is (ANY).

Om die reden en ook om op te kunnen schalen is de Infrastructuur modus bedacht. Hier verloopt alle communicatie via een centraal toegangspunt (Access Point), waar de beheerder het netwerkverkeer beter kan controleren.

Infrastructuur modus

> Top <

Als de draadloze ethernetkaarten en het toegangspunt in infrastructuur modus staan, zal alle draadloze communicatie via het basisstation (Acces Point, AP) verlopen. Van een directe communicatie tussen wlan kaarten zoals in de ad-hoc modus is geen sprake. Als de client op wlan1 met de client op wlan2 wil communiceren stuurt hij het bericht eerst naar het AP waarmee het verbonden is. Afhankelijk van de op het basisstation gehanteerde regels stuurt het basisstation het verzoek aan wlankaart 2 door of niet.

Een Acces Point fungeert in de infrastructuur modus tevens als een brug tussen het bedrade en onbedrade netwerk. In het onderstaand voorbeeld van een WLAN Access Point en router kunnen de wlan kaarten 1-3 via het AP niet alleen met elkaar, maar ook via een switch (opnieuw brugtechnologie) met de netwerkkaarten 1 t/m 4 en via de router en een modem met het internet verbonden zijn.


lan 1, 2, 3, 4


wlan 1 ------>

wlan 2 ------>

wlan 3 ------>

| | | |

WLAN AP - switch - router - WAN

(basisstation)



<-- modem------- internet

De kern van een dergelijke opzet wordt al geleverd door een draadloze router met Access Point en switch van 50 euro . De router zit evenals het toegangspunt voor draadloze verbindingen op dezelfde switch als de vier bedrade LAN poorten. Maar zo'n alles-in-een SOHO (Small Office Home Office) oplossing moet u wel goed beveiligen. Want de buitenwereld zit nu niet alleen meer achter de WAN interface van uw router, maar kan via het Access Point van het WLAN direct toegang krijgen tot alle LAN stations inclusief de router.

Draadloze netwerkkaarten voor OS/2

> Top <

Hoewel OS/2 op het gebied van klassieke 10/100 Mbit ethernetkaarten nog volop meedoet, slaan we wat wlan kaarten betreft een slecht figuur. Dat heeft vooral te maken met hardware fabrikanten die slechts Windows stuurbestanden schrijven. Maar ook met onszelf, omdat we niet massaal de weinige producten met OS/2 ondersteuning kopen. Maar de OS/2 en Linux eenlingen hebben ook de weinig duurzame markt tegen. Hardware leveranciers proberen zich van elkaar te onderscheiden. Tegen de tijd dat een open source driver verschijnt, is het product al weer intern "verbetert" of van de markt verdwenen. U treft het woord Linux of OS/2 dan ook zelden aan op de doos. En als er Linux ondersteuning op de driver cd zit gaat het vaak om een closed source module voor een verouderde Redhat kernel.

Staan we binnen dit commerciële aanbodgeweld machteloos? Nee. We kunnen ten minste nog de goede kaarten aan hun vruchtbaarheid voor OS/2 herkennen en bekend maken. De OS/2 minded IT student Jonas Buys heeft op zijn OS/2 Warp Compatible Hardware List Web Page veel informatie verzameld over OS/2 compatibele WLAN kaarten. Een overzicht staat op: http://www.os2warp.be/index2.php?name=wifidevs. Hebt u hardware die onder OS/2 werkt, maak er dan melding van.

De wlan kaarten die met OS/2 samenwerken zijn maar op een paar chipsets gebaseerd die vanaf 2000 op de markt verschenen (Intersils prism en orinoco chipsets). Een Intersil ontwikkelaar schreef open source code voor de linux kernel. Dit maakte het mogelijk om OS/2 stuurbestanden van IEEE 802.11b WLAN kaarten met deze chips te ontwikkelen. Maar met de volgende generatie 54G kaarten kwam de ontwikkeling van OS/2 drivers stil te staan. In feite is IEEE 802.11g pas in 2004 bekrachtigd na druk van het wifi (wireless fidelity) consortium o.l.v. Microsoft.

De snelste PCMCIA en Cardbus wifi kaarten waarvoor OS/2 drivers beschikbaar zijn behoren tot het 802.11 b segment. Deze kaarten versturen in theorie tot 11 Megabits per seconde via de radiogolven. In de praktijk wordt 2-4 MBps gehaald.

De snellere en stabielere 54 MBps IEEE 802.11g specificatie is nu de standaard. Deze kaarten halen in de praktijk 16-5 Mbps. Dat is twee keer zo langzaam dan een bedrade 100 Mbps cardbus ethernetkaart die op 35 Mbps komt, maar sneller dan vaste 10 Mbps systemen die doorgaans 7 Mbps halen.

802.11g kaarten kunnen naar lagere snelheden overschakelen om met 802.11b kaarten te communiceren, maar ze worden nog door geen enkel OS/2 stuurbestand ondersteund. Voor Linux zijn er drivers in ontwikkeling voor een paar chipsets die zelden op de doos vermeld staan.

Ervaringen met 802.11b wlan kaarten onder OS/2

> Top <

Aan de hand van de informatie van Jonas Buys ben ik op zoek gegaan naar een wlan kaart met een prism chip. Ik kwam uit op de Senao Long Range Wireless PC Card (NL-2511CD PLUS EXT2 MERCURY) met een prism 2.5 chip. Het apparaat heeft twee antennes en was vanwege zijn hoge zendvermogen eigenlijk voor de export bedoeld. Het is een 802.11b buskaart die alleen met een setup programma en stuurbestanden voor Windows kwam.

Maar de buskaart werd oor IBM's PC Card Director Software (cardbus.exe bij eCS en Software Choice) herkend. Dat was belangrijk want de Service Manager wijst de bronnen toe.

De netwerkinterface zelf was aan de praat te krijgen met de generieke bèta OS/2 prism driver van Jonas Buys. Met Netwerk Adapters and Protocollen (MPTS) kunt u de kaart (Generic PRISM driver for PCMIA) toevoegen. De parameters die bij het opstarten gebruikt gaan worden (SSID, encryptie) kunt u via het Edit menu van de kaart in MPTS instellen. In feite wordt dan het bestand \IBMCOM\Protocol.ini bewerkt onder het kopje [GENPRISM_nif].

Ik ga hier nu niet verder op in: ik verwijs liever naar de artikelen in VOICE over de ARtem ComCard wireless network card om er op te wijzen dat ook de door OS/2 ondersteunde netwerkkaarten nog veel wlan problemen kennen. En om eerlijk te zijn: Ik werd er gek van. Want het niet kunnen verbinden gebeurde niet alleen onder OS/2, maar ook onder Linux en Windows. En ook met een andere 802.11b buskaart zodat ik het vermoeden kreeg dat er wat met de WEP encryptie van mijn 54 G USR AP-router aan de hand was. Dat bleek later ook het geval toen ik een ander AP gebruikte: het wifi predicaat en een goede naam zeggen niet alles in een door Microsoft gedomineerde wereld.

Had ik het wlan op het ene besturingssysteem aan de praat dan het wilde het onder het andere besturingssysteem weer niet. En had ik het ingesteld, dan ging het na een reboot weer mis. Ik kreeg op het laatst het idee dat iedereen van mijn netwerk gebruik kon maken, behalve mij. En toen pas begon ik te begrijpen waarom zoveel WLANs onbeveiligd blijven. Want als het niet werkt moet je eerst alle beveiliging uitzetten (m.n. de encryptie en filters), een betrouwbare verbinding aanmaken met default waarden en pas als die er is kun je weer stap- voor-stap beveiligen. Anders kom je er nooit achter waar het spaak loopt. Maar deze methode vergt engelengeduld als je op je laptop ook OS/2 en en Linux hebt staan, die weer andere niet wifi gecertificeerde benaderingen kennen.

Een paar zaken wil ik toch kwijt: Het bleek onder OS/2 niet mogelijk om zowel een vaste ethernetkaart als een wlan cardbus netwerkkaart actief te hebben. Dan doen beiden het niet. Om die reden is het gebruik van een script dat de bedrade interface (lan0) afsluit en de andere als lan0 of lan1 activeert nodig. Maar gelukkig hoeft u hiervoor niet steeds te rebooten. Want op http://wlan.netlabs.org is het goed gedocumenteerde Wireless Lan Monitor utility beschikbaar waarmee u uw wlan kaart on the fly kunt configureren. Als u WEP encryptie gebruikt kunt u hiermee voor een WEP Open System ook nieuwe sleutels genereren.

Sla goede configuraties ook op. Ik maakte gebruik van een netwerk_opslaan_als.cmd dat als parameter (%1) die een mapnaam met essentiële configuratiebestanden accepteert.

@echo off
if "%1"=="" goto fout
f:
cd \
cd backup
md %1
copy c:\ibmcom\protocol.ini f:\backup\%1
copy c:\ibmlan\ibmlan.ini f:\backup\%1
copy c:\MPTN\BIN\SETUP.CMD f:\backup\%1
copy c:\config.sys f:\backup\%1
Echo Bestanden naar f:\backup\%1 gekopieerd
exit
:fout
echo Voer een naam voor de map in f:\backup in. 

Maar u begrijpt het al: enthousiast werd ik niet. Er ging teveel fout. Ik kan me voorstellen dat het beter gaat als je een wireless LAN kit (router, kaarten) koopt van dezelfde fabrikant en dan alleen voor Windows, maar dat is niet wat ik wil. Ik besloot het op een andere boeg te gooien en voor een wlan ethernet bridge te gaan. Zo'n extern apparaat kan met een RJ-45 netwerkkabel op een gewone ethernetkaart worden aangesloten. Je configureert hem maar een keer en dat is voor zijn eigen stuurbestanden. Zodat je niet met het probleem zit dat wat met moeite onder Windows werkt, onder OS/2 of Linux weer ellende geven. Omdat ik voor ethernetbrug slechts de stuurbestanden van een ethernetkaart nodig heb (zelden een probleem onder OS/2 of Linux), kon ik hiermee ieder draadloos netwerk opgaan.

Willibald Meyers Genmac Wrapper

Op 7-11-2005 kwam de lang verwachte Genmac Wrapper 1.0.0 van ISDN PM auteur Willibald Meyers vrij. Waar gaat het om? En wat is eigenlijk een wrapper? Een wrapper is een softwarelaag die andere software verpakt. Het komt van to wrap = omwikkelen, verpakken. Deze verpakking zorgt voor compatibiliteit met andere software en/of nieuwe functionaliteit. Bijvoorbeeld extra hulp, beveiliging en configuratie. De General Mac Wrapper doet beide: ze maakt het mogelijk om Windows stuurbestanden onder OS/2 te gebruiken en te configureren. Onder Linux bestaat een soortgelijk project: NdisWrapper.

Willibald Meyer heeft ervaring opgedaan met het GenMAC Driver Project: een poging om een algemeen OS/2 stuurbestand te krijgen voor netwerkkaarten die volgens Microsofts en 3COMs Network Driver Interface 5 Specificatie (NDIS 5.0) zijn geschreven. NDIS 5 biedt veel meer mogelijkheden dan de voor 16 bits DOS en verouderde hardware ontworpen NDIS 2 specificatie. Maar OS/2's Multi-Protocol Transport Services (MPTS) heeft NDIS 2 stuur - informatiebestanden (resp. *.os2 en *.nif uit F:\IBMCOM\MACS) nodig om met PROTMAN.OS2 de netwerkprotocollen aan de netwerkkaarten te binden. Er moest dus een vertaalslag tussen de beide NDIS protocollen geleverd worden, waarbij functies die OS/2 niet leveren kan moesten worden uitgeschakeld of op een andere manier moesten worden uitgevoerd.

De GenMac Wrapper gaat echter veel verder. Ze gebruikt de originele Windows stuur- (*.sys) en informatiebestanden (*.inf) van een hardwarefabrikant om de basale chipsetfuncties aan te spreken. En die worden weer door de GenMac Wrapper als een NDIS 2 stuurbestand aan MPTS gepresenteerd. In hun NDIS 2 verpakking zullen veel van de Windows driver functies worden genegeerd. Maar hierdoor kunnen wel de basale functies (gigabyte, B/G wlan) van meerdere netwerkkaarten met dezelfde chipset (en dat zijn er veel) door één Windows stuurbestand worden aangesproken. Iets dat onder het Windows drivermodel (iedere COM poort zijn eigen subvendor specifiek inf- modembestand) niet lukt.

De GenMAC wrapper en zijn model Windows stuurbestanden zijn van netlabs te downloaden: ftp://ftp.netlabs.org/pub/genmac/genmac100.zip. De GenMac wrapper ondersteunt (mini)PCI kaarten, maar nog geen PCMIA en USB.

De volgende chipsets voor populaire WLAN kaarten en ethernetkaarten worden herkend aan hun vendor PCI device-id. De met * gelabelde chips hebben volgens http://pciids.sourceforge.net/pci.ids meerdere subvendor device id's.

Vendor id (hex)

Device id (hex)

Chipnaam in Craig Hart's PCI.exe

Chipnaam in pci.ids

IEEE

10b7

9200

3Com 3C90xC PCI

3Com Corporation 3c905C-TX/TX-M [Tornado] *

802.3

10b7

1700

3Com/SKNet Gigabit

Marvell Technology Group Ltd. 3c940 10/100/1000Base-T [Marvell] *

802.3ab

11ab

4320

3Com/SKNet Gigabit

Marvell Technology Group Ltd. 88E8001 Gigabit Ethernet Controller *

802.3ab

1148

4320

3Com/SKNet Gigabit

Marvell Technology Group Ltd. SK-98xx V2.0 Gigabit Ethernet Adapter *

802.3ab

1814

0101

ASUS Wlan RT2400

Wireless PCI Adpator RT2400 / RT2460

802.11b

8086

4220

Intel 2200 Wlan

Intel PRO/Wireless 2200BG

802.11b/g

8086

1043

Intel 2100 Wlan

PRO/Wireless LAN 2100 3B Mini PCI Adapter *

802.11b

168c

0012

Atheros Wlan

Atheros Communications, Inc. AR5211 802.11ab NIC

802.11b

168c

0013

Atheros Wlan

Atheros Communications, AR5212 802.11abg NIC *

802.11b

168c

1014

Atheros Wlan

Atheros Communications, AR5212 802.11abg NIC

802.11b

14e4

4320

Broadcom B/G

Broadcom Corporation BCM4306 802.11b/g Wireless LAN Controller *

802.11b/g

14e4

4318

Broadcom B/G

Broadcom Corporation BCM4318 [AirForce One 54g] 802.11g Wireless LAN Controller *

802.11b/g

14e4

165d

Broadcom Gigabit

Broadcom Corporation NetXtreme BCM5705M Gigabit Ethernet *

802.3ab

14e4

4401

Broadcom 10/100

Broadcom Corporation BCM4401 100Base-T *

802.3

14e4

170c

Broadcom 10/100

Broadcom Corporation BCM4401-B0 100Base-TX *

802.3

104c

9066

Dlink DWL-G520+

Texas Instruments ACX 111 54Mbps Wireless Interface *

802.11g

10de

0066

nForce 2 10/100

nVidia Corporation nForce2 Ethernet Controller

802.3

10de

00d6

nForce 3 10/100

nVidia Corporation nForce3 Ethernet

802.3

10de

0057

nForce 4 10/100/1000

nVidia Corporation CK804 Ethernet Controller *

802.3ab

10ec

8169

Rtl 8169 GigaBit

Realtek Semiconductor Co., Ltd. RTL-8169 Gigabit Ethernet *

802.3ab

10ec

8180

Rtl 8180 Wlan

Realtek Semiconductor Co., Ltd. RTL8180L 802.11b MAC

802.11b


Voor details over deze tabel: Werken met Craig Hart's PCI+AGP bus sniffer in de OS/2 hardware sectie:


Belangrijk is welke chipset uw PCI kaart heeft. Om dat te achterhalen kunt u een recente OS/2 port van Craig Hart's PCI+AGP bus sniffer gebruiken. Als PCI.exe (of "grafische" interface pci_moz.cmd) het volgende laat zien, dan is de voor de chip unieke PCI Device ID 10EC:8139 (hex:hex).

Bus 0 (PCI), Device Number 12, Device Function 0
Vendor 10ECh Realtek Semiconductor
Device 8139h RT8139 (A/B/C/813x) Fast Ethernet Adapter

Het eerste hexidecimale getal (10ECh) is het door de Peripheral Component Interconnect Special Interest Group (PCI-SIG) aan de chipsetfabrikant toegekende unieke Vendor ID en het tweede hexidecimale getal (8139h) is het Device ID dat door de fabrikant aan zijn chipset is toegekend. De ze combinatie identificeert de Realtek 8139 chip.

Hexadecimale getallen als 10ECh worden ook wel als 0x10ec of 0x10EC geschreven (Zie: wiki). Uit de tabel blijkt dat alleen de 8169 en 8180 chips van Realtek (Rtl) ondersteund worden. De in de tabel vermelde RT2400 is van Ralink Technology. De naamgeving is verwarrend en het wordt nog verwarrender als het ene bedrijf chiptechnologie van het andere bedrijf overneemt. Windows gebruikers zitten er niet mee: ze krijgen de stuurbestanden uit de doos van de fabrikant of via Windows update, maar OS/2 en Linux gebruikers moeten ook hexidecimaal (sic) op hun tellen passen.

Succesvolle chips worden in meerdere producten gebruikt. Chipsets als de 11ab:4320 SK-98xx V2.0 Gigabit Ethernet Adapter worden door de chipfabrikanten aan moederbord fabrikanten (subvendors) verkocht. Ze krijgen dan naast het Vendor ID en het Device ID van de chipmaker een Subsystem Vendor ID van de adapter of moederbord fabrikant en een nieuw Subsystem Device ID.


U kunt in http://pciids.sourceforge.net/pci.ids (een lang tekstbestand!) soms nagaan in welke eindproducten de chipsets kunnen voorkomen. Helaas geven maar weinig hardwarefebrikanten (betrouwbare) hun chipset gegevens vrij op de doos.

# Syntax:
# vendor-id  vendor_name
#     device-id  device_name
#             subvendor-id subdevice-id  subsystem_name

11ab  Marvell Technology Group Ltd.
      4320  88E8001 Gigabit Ethernet Controller

              1019 0f38  Marvell 88E8001 Gigabit Ethernet Controller (ECS)
              1019 8001  Marvell 88E8001 Gigabit Ethernet Controller (ECS)
              1043 173c  Marvell 88E8001 Gigabit Ethernet Controller (Asus)
              1043 811a  Marvell 88E8001 Gigabit Ethernet Controller (Asus)
              105b 0c19  Marvell 88E8001 Gigabit Ethernet Controller (Foxconn)
              10b8 b452  EZ Card 1000 (SMC9452TXV.2)
              11ab 0121  Marvell RDK-8001
              11ab 0321  Marvell RDK-8003
              11ab 1021  Marvell RDK-8010
              11ab 5021  Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Controller (64 bit)
              11ab 9521  Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Controller (32 bit)
              1458 e000  Marvell 88E8001 Gigabit Ethernet Controller (Gigabyte)
              147b 1406  Marvell 88E8001 Gigabit Ethernet Controller (Abit)
              15d4 0047  Marvell 88E8001 Gigabit Ethernet Controller (Iwill)
              1695 9025  Marvell 88E8001 Gigabit Ethernet Controller (Epox)
              17f2 1c03  Marvell 88E8001 Gigabit Ethernet Controller (Albatron)
              270f 2803  Marvell 88E8001 Gigabit Ethernet Controller (Chaintech)

Bijvoorbeeld: EPoX Computer Co., Ltd. (Vendor ID 1695) bouwt de Marvell 88E8001 Gigabit Ethernet Controller (device id 11ab:4320) in zijn moederbord in als subvendor:subdevice-id 1695:9025. Maar omdat het om dezelfde chip gaat zouden ze wel eens met dezelfde drivers kunnen werken. Als u ten minste kunt afzien van de troelala van de fabrikant. Want OS/2 en Linux stuurnbestanden werken zonder medewerking van de fabrikant nogal basaal.

Als u eenmaal geschikte hardware blijkt te hebben is de installatie niet moeilijk. Een install.cmd past de config.sys aan en kopieert de bestanden naar de bootdrive.

Generic MAC Wrapper Driver - Copyright Willibald Meyer 2005
Installation for Generic MAC Wrapper Driver - Copyright C.Langanke 2005

GenMac installation directory: F:\genmac
MPTS MAC driver directory : F:\IBMCOM\macs

- unlock helper executable
- copying files to install dir
- copying driver files to MPTS
- copying description files to MPTS
- updating system configuration
modified F:\config.sys, created backup F:\config.019

Please configure the driver corresponding to your hardware within MPTS.
After that, in order to load the new or updated driver(s),
REBOOT YOUR SYSTEM.

U kunt daarna de netwerkkaart in MPTS.exe configureren. Vergeet bij WLAN kaarten niet de parameters als SSID en encryptiesleutels te configureren: Stuurbestand selecteren / Edit. Zorg voor het binden van de netwerkprotocollen aan unieke logische adapernummers als u meerdere netwerkkaarten door elkaar gebruikt. En controleer bij NetBIOS via TCP/IP na het afsluiten van MPTS de net1, net2 kwesties in \imbmlan\protocol.ini.

De installatie plaatst een hulpprogramma in config.sys.

RUN=C:\GENMAC\DRIVER\HELPERW.EXE

Deze ook met detach te starten demon is de interface naar hulpprogramma's als scan en ssid in \genmac\bin. Scan wordt gebruikt om de omgeving op hotspots te scannen. Met ssid stelt u WEP sleutels in. U mag verwachten dat er via het NetLABs WLAN project meer bijkomen (http://wlan.netlabs.org). Christian Langanke paste zijn Wireless LAN Monitor er al op aan. Met de hulpprogramma's kunt u de TCP/IP configuratie, SSID's, en de WEP encryptie instellen. Bijvoorbeeld met een WLAN activatie script, dat een vaste ethernetkaart op lan 0 deactiveert en daarna de TCP/IP interface van de wlan kaart opstart.

REM Vaste ethernetkaart op lan0 uitschakelen
ifconfig lan0 down
ifconfig lan0 delete

REM DHCP Monitor starten
start dhcpmon

REM 10 hex (o-9, a-f) tekens voor WEP 64, 26 hex tekens voor WEP 128
\genmac\bin\ssid -wep 0x1234567890123456
REM  WLAN adapter instellen voor SSID = TOPGEHEIM
\genmac\bin\ssid -ssid TOPGEHEIM

REM Oude routes en ARP tabel wissen
route -fh
arp -f

REM DHCP opstarten voor WLAN kaart op lan1.
dhcpstrt -i lan1

Conclusie: Willibald Meyer's Genmac Wrapper is een buitengewoon interessante ontwikkeling. De mogelijkheid om Windows stuurbestanden als OS/2 stuurbestanden te presenteren maakt ons minder afhankelijk van de op Microsoft gerichte waan van de dag van de hardwareleveranciers. Helaas wordt PCMCIA nog niet ondersteund, wel de al vaak in de moederborden geïntegreerde Mini PCI kaarten. Maar wat ik vooral mis is de ondersteuning van WPA-PSK encryptie van de 802.11g kaarten. Voor WPA kan een OS/2 gebruiker alleen nog bij een draadloze ethernetbrug terecht.



Een draadloze ethernetbrug

> Top <

Een bridge (brug) is een elektronisch apparaat dat twee LAN segmenten met elkaar verbindt. Hij vangt alle frames op ieder netwerksegment op, controleert ze op hun integriteit en kopieert de voor het andere netwerksegment bestemde frames naar de bijbehorende netwerkinterface. Dubieuze ruissignalen en niet voor het andere LAN segment bestemde frames worden weggeworpen. Dankzij deze filterfunctie zijn grote ether-netwerken (WANs) mogelijk. Want ethernetkaarten sturen hun frames naar alle op hun kabels (werkgroep) aangesloten computers. Of het nu voor hen bestemd is of niet. Deze ethernet broadcasting levert in grote door repeaters en hubs verbonden netwerken botsingen, ruis en verspilling van bandbreedte op. Om dit te voorkomen gebruiken switches de brugtechniek om de frames beter te verdelen (switched LAN). Zo'n switched LAN houdt zelf (dynamisch) bij welke netwerkkaart(en) er achter iedere poort zit(ten). Deze techniek is inmiddels ook standaard op de breedband routers waar werkstations achter de LAN poorten hangen. Hierdoor kunnen thuisgebruikers bandbreedte verslindende activiteiten ontplooien die op bedrijfsnetwerken verboden zijn (multimedia afspelen, DVD images verplaatsen).

Ik heb nu twee wireless ethernet bridges in gebruik. De Asus WL-330G en de Linksys Wireless-G Ethernet Bridge model WET54G versie 2. Ze zijn met een 54 Mbps USR 8054 Wireless Router en Acccess Point verbonden. De met een NAT firewall uitgeruste US Robotics router kan naar een ADSL of kabelmodem bellen, maar ik heb hiertussen nog een (niet afgebeelde) Draytek Vigor 2200E router geplaatst die zich op een ander LAN segment bevindt. Alleen een Linux server met intrusie detectiesoftware heeft met beide netwerken contact.

Net als IP routers zijn bridges minicomputers met hun eigen cpu, wat geheugen en software in het ROM. Ze hebben hun eigen besturingssysteem en stuurbestanden. Bruggen en switches werken op een lager nivo dan een IP router: Niet met IP, maar met de ethernet frames die de vaste en draadloze ethernetkaarten delen (hun datalaag).

De voordelen van zo'n externe bridge met wifi toegangspunt zijn:

  1. Ieder systeem met een werkende ethernetkaart zal het met zo'n brug doen. PC's, MAC's, maar ook spelcomputers en printers.

  2. De apparaten hebben hun eigen software en stuurbestanden die via hun webinterface in te te stellen en op te waarderen zijn.

  3. De webinterface van de brug is zowel draadloos als bedraad te benaderen.

  4. De webinterface biedt ook toegang tot WLAN eigenschappen die de OS/2 en Linux drivers (nog) niet hebben. WEP, WPA, MAC adres cloning, het zichtbaar maken van de wifi de omgeving en een enorme flexibiliteit.

  5. Via de webinterface kunt u het draadloos netwerk veranderen zonder het thuisnetwerk overhoop te gooien.

De genoemde draadloze ethernetbruggen met wifi toegangspunt bevatten een 802.11g draadloze netwerkkaart (access point), een 10/100 ethernetinterface en het gedeelte dat hen verbindt: de brug.

De brug heeft een webserver op zijn eigen IP adres die via een UTP kabel aan de ethernetzijde of draadloos vanaf de wifi interface is te benaderen. De brug tussen het bedrade en onbedrade netwerk werkt volkomen transparant. Voor het Access Point maakt het niet uit of de frames vanaf een PC, printer of spelconsole binnenkomen zolang het MAC adres maar toegelaten wordt. De infrastructuur voor het apparaat is dan als volgt.

Apparaat met ethernetkaart Mac10

(PC client, printer, switch, hub, spelcomputer)


192.168.1.10/ 255.255.255.0

Default route is het AP van de WLAN router

Medium: UTP kabel (RJ-45)



Ethernetbrug met ethernetkaart Mac61 (maar MAC10 of MAC* met MAC spoofing)

Tevens de wifi interface


192.168.1.61/ 255.255.255.0 (http)

De brug geeft passende frames door aan Mac10, Mac61 en Mac1 (ook als zijn eigen IP adres 192.168.3.3 zou zijn!) .

Medium: radiogolven



WLAN router met 4 poorts ethernet switch <=>

Mac1 op LAN interface router en AP


---------firewall-----------

Mac2 op WAN interface met PPtP client

(onveilige interface)

LAN1

LAN2

LAN3

LAN4

--------


192.168.1.1/ 255.255.255.0 routeradres

Vier LAN poorten voor 192.168.1.0/24 ethernet aansluitingen


--------firewall--------

10.0.0.150/ 255.0.0.0 en IP adres van provider via PPTP client

Medium: UTP kabel (RJ-45)



ADSL modem

WAN interface naar internet

WAN

internet

10.0.0.138 bevat PPtP server


De ethernetbrug luistert naar alle frames die op de hem aangesloten netwerkkaarten binnenkomen. De brug kopieert ze onveranderd door naar bestemde LAN poort. Hierdoor lijkt het voor de router alsof Mac10 en Mac61 direct op de switch zijn aangesloten. Functioneel krijgen we een stervormig TCP/IP netwerk rondom de router/firewall met als default route het IP adres van Mac1. Vandaar dat we de IP adressen in hetzelfde bereik kozen. Ook voor het NetBIOS, Appletalk of IPX ligt Mac10 op hetzelfde nivo als LAN1/4. Koppelt u een hub of switch aan de brug dan worden de daarop aangesloten hosts naadloos met de overige LAN poorten verbonden.

De Asus 54 Mbps Pocket Wireless Access Point (WL-330G)

> Top <

De Asus WL-330G werd in maart 2005 door Daniela Engert in de VOICE besproken. Mijn prijs was 52 euro. Het kleine witte apparaat kan zijn voeding van een USB poort betrekken. Dit maakt hem ideaal voor gebruik op een notebook. Daarnaast beschikt hij net als de Linksys over een externe AC/DC adapter die op het lichtnet aangesloten kan worden.

De Asus WL-330G ondersteunt WEP64, WEP128 en WPA-PSK encryptie. De brug kan het MAC adres van een spelcomputer klonen.

Het apparaat kan niet alleen als WLAN client, maar ook als Access Point (AP) dienen. Dit wordt via een schakelaar op de metalen behuizing ingesteld. De rest van de configuratie gaat via de webinterface. Maar de ASP (MS HTML) producerende webinterface bleek het niet te doen met OS/2 browsers. Met de laatste firmware (p2g1123837.bin) was het probleem verholpen.

In de stand ethernet adapter kunt u ieder ethernetapparaat op een draadloos netwerk aansluiten. De condities stelt u via de webinterface in: infrastructuur of ad-hoc. Voor spelcomputers (XBox, PlayStation) zal een beroep op de MAC cloning moeten worden gedaan.

Infrastructuur is nodig om draadloos toegang te krijgen tot de infrastructuur van zowel het bedrade als het onbedrade ethernetwerk via het toegangspunt van de WLAN router.

In de Ad-Hoc Modus kunnen draadloze netwerkkaarten slechts onderling (peer-to-peer) verbindingen met elkaar opbouwen.

Infrastructuur heeft mijn voorkeur. Want de basis van mijn LAN is bedraad. Wat je met die LAN infrastuctuur kunt doen hangt natuurlijk weer af van de instellingen van de draadloze router waarmee de brug verbonden is. Als de router op het internet is aangesloten, hebt u ook internettoegang.

Zoals ik al aangaf werkte de met 4 ethernet LAN poorten uitgeruste USR8054 802.11g Wireless Turbo Router in de stand Access Point only slechts als switch en niet meer als router naar de WAN poort. Alleen het op de ingebouwde switch aangesloten bedrade LAN was beschikbaar. Pas als ik de DHCP server weer aanzette werd de WAN poort weer actief.

In de stand Access Point kunt u van alle ethernetapparatuur een draadloos toegangspunt maken. Dus ook van een ADSL of kabelmodem in de meterkast. Daarna kunt u draadloos internetten. In dit geval kunt u in het MAC filter aangeven welke draadloze netwerkkaarten van het AP gebruik mogen maken.

Voetnoten

De WL-330G werd in 2007 vervangen door de snellere ASUS (125Mbps?) Asus WL-330gE Wireless Access Point. Deze zal ongeveer 50 euro kosten.

Informatie van Asus: WL-330gE.: WL-330gE: World's Smartest Wireless Access Point. Innovative Integration of Access Point, Ethernet Adapter, Gateway and Universal Repeater



Linksys Wireless-G Ethernet Bridge model WET54G v2

> Top <

De tweede geteste ethernetbrug is de Wireless-G Ethernet Bridge van Linksys. Hij kostte zo'n 90 euro. Hij is groter dan de Asus WL-330G en moet in de buurt van een stopcontact zitten. Tenzij u er een prijzige Power on Ethernet (POE) Adapter bij koopt. Maar voor een notebook is de Asus WL-330G met zijn slimme USB voeding duidelijk mijn favoriet.

Met zijn dipoolantenne is de WET54G geschikt om grote afstanden te overbruggen. Hij zou met zichtverbinding een gemiddelde link kwaliteit van 60% over een afstand van 200 meter kunnen leveren. Bij mij thuis was hij in ieder geval in staat om meerdere muren en de twee betonnen vloeren te overbruggen met 60% link kwaliteit, wat voor de Asus duidelijk een probleem was. Ik zet de antennes dan horizontaal. Met de brugfunctie kunt u hem ook op een switch aansluiten, zodat twee werkgroepen (en/of verschillende IP bereiken) tot een geheel gesmeed worden.

De WET54G ondersteunt WEP 64, 128 en WPA-PSK, maar kan ook als radius client dienen voor WEP of WPA. RADIUS staat voor Remote Authentication Dial-In User Service. In dit client server systeem bewaakt een centrale Radius-server de verificatie, autorisatie, accounting van radius clients. Maar dit is meer iets voor grote bedrijven.

De WET54G kan niet als Acces Point te dienen. Over MAC filters beschikt hij dan ook niet. Hier hebben de firma's Linksys en grote broer Cisco Systems veel prijziger producten voor bedacht. Maar bij het overbruggen van afstanden (en betonnen muren) sloeg de WET54G geen slecht figuur.



Het netwerk uitbreiden via het lichtnet

> Top <

Er is nog een goed netwerkalternatief voor niet Windows gebruikers. Dat is gebruik te maken van de frequentiemodulatie mogelijkheden van het al in uw huis bestaande lichtnet.

De HomePlug Powerline Alliance ont

De Intellons INT6000 chip is a highly integrated HomePlug AV MAC/ PHY transceiver. The INT6000 IC enables network devices and is fully certified by the HomePlug AV specification, and capable of delivering up to 200 Mbps over the power line. It offers the higher bandwidth necessary to drive next-generation ...

Dit boden als eerste de Topcom Powerlan ethernet kits die 14 Mbps en 85 Mbps moeten halen over een bereik van 200m. De kits bestaan uit twee Powerlan ethernetadapters en bijbehorende netwerkkabels. U steekt een PowerLan ethernet kastje in het stopcontact en u hebt meteen een ethernetaansluiting via uw stroomvoorziening. Het andere kastje sluit u op een switch aan. Een verbinding naar een zolder of een andere voor het WLAN moeilijk bereikbare plek is zo gemaakt. U hoeft u niet bang te zijn voor wardrivers, interferentie door muren en een 56 bit DES encryptie van uw Homeplug wachtwoord sluit de beveiliging af.

MicroLink dLAN duo (tot 14 Mbit/s) en de snellere MicroLink dLAN Highspeed Starter Kit (tot 85 Mbit/s) zijn HomePlug-adapters met Ethernet- en USB-aansluiting . Microlink biedt configuratiesoftware voor Windows, Linux en Mac. De ethernetadaper zal het met OS/2 doen. Voor de prijzen zie Kelko.





Beveiliging van draadloze netwerken

> Top <

Radiotransmissie: zenders en ontvangers

> Top <

Bij een draadloos netwerk (WLAN, wireless local area network) worden de signalen via radiogolven overgebracht. Iedere draadloze ethernetkaart bevat zowel een radiozender als een -ontvanger. De ethernetframes worden door middel van frequentiemodulatie (FM) van elektromagnetische golven door de ether verplaatst.

De "ether" van de klassieke ethernetkaart bestaat uit zijn netwerkbedrading. Slechts een fractie ervan ontsnapt uit de kabel door weerstand en inductiestromen. Maar de ether van de wlan kaart loopt door alle fysieke barrières heen. De gevreesde man in the middle die uw netwerkberichten onderschept kan nu iedere voorbijganger of de buurman zijn. Iedereen die binnen het bereik van de zender van de draadloze netwerkkaart zit en op juiste kanaal afstemt, kan nu uw data onderscheppen.

Het horizontale bereik van een standaard dipoolantenne is binnenshuis zo'n 20-40 meter. Hoe minder obstakels en stoorzenders, hoe beter. Met grotere antennes kunt u met vrij zicht een paar honderd meter overbruggen. En met hoog geplaatste richtantennes kunnen dat enige kilometers zijn. De stand van de antenne is dus belangrijk. Bij een ongunstige stand van de antenne heeft uw buurman zelfs een betere verbinding dan u.

Als bijvoorbeeld de dipoolantenne van het basisstation (Access Point, AP) rechtop in de meterkast staat kunt u de PC op zolder moeilijk bereiken. En zeker niet als die rechtboven het AP staat. Want juist boven en onder een verticaal geplaatste dipoolantenne is de ontvangst het slechtst. Daarom is het zowel voor u als de buren handiger om het basisstation centraal in het huis (1e verdieping) aan te leggen of de antenne eventueel iets horizontaal te kantelen. De buren hebben dan minder last van radiostoring en uw zender krijgt een beter verticaal bereik.

De radiogolven van het IEEE 802.11b en g WLAN bevinden zich in de 13 cm ISM band (2,4 GHz), die voor industrieële, wetenschappelijke en medische toepassingen is vrijgegeven. Deze radiogolven worden door vele materialen geabsorbeerd. Bij magnetrons is dit ook de bedoeling. Ze zenden met hoog vermogen (bijv. 800 Watt) precies op die golflengte straling uit, die water- en vetmolekulen in beweging brengt. De radiogolven worden dan omgezet in bewegingswarmte. Maar een deel lekt uit de metalen kast (kooi van Faraday) en stoort het radioverkeer.

Nu zult u zich aan het 0,1 Watt zendvermogen van een WLAN kaart niet echt kunnen opwarmen, maar feit is dat door adsorptie en verstrooiing van radiogolven het bereik van de wlan kaart binnenshuis veel lager is dan buiten. Buiten zal het kwadratisch afnemen van de stralingsintensiteit met de afstand de hoofdrol spelen. Maar binnenshuis de obstakels. Niet alleen vloeren en muren, maar ook meubels, papier en apparaten laag bij de grond. Bij het plaatsen van uw basisstation en werkplekken kunt u hier rekening mee houden. Plaats de antennes liever wat hoger en plaats unidirectionele dipoolantennes op zijn minst 15 cm van de muur en uit de buurt van spiegels. Want anders stoort hij door de weerkaatsing van zijn eigen radiogolven zichzelf. En dat levert op zijn minst verlies van bandbreedte op.

De volgende tabel kan u behulpzaam zijn:

Verstoring

Materiaal

Opmerking

Zeer veel hinder

Metaal, spiegels

Een antenne achter de metalen kast van de PC plaatsen is dus niet slim. Zeker niet als die onder een metalen buro tegen de muur staat.

Veel hinder

Papier, keramiek, beton

Beton speelt een rol bij de slechte transmissie tussen etages. Boekenkasten en archieven zijn ook een sta in de weg. Plaats het AP erboven.

Matige hinder

Water, veiligheidsglas, stenen muren, marmer, groepen mensen

Mensen bestaan voornamelijk uit water. Als u tussen het AP en de wlan kaart zit neemt de transmissie merkbaar af.

Weinig hinder

Glas, hout, cement, stucwerk, asbest, kunststof


Geen hinder

Open ruimte (tuin)

Een paar honderd meter wordt snel gehaald.

Bron: Wireless LAN Deployment Considerations from Intel.

Versleuteling in de hardware

> Top <

Vanwege het feit dat u de ether met iedereen deelt moet u uw draadloze netwerkverkeer versleutelen. Dit doet u door de encryptie van de draadloze netwerkaart in te schakelen.

Het versleutelen en ontcijferen van de frames met een gedeelde geheime sleutel kost tijd. Ook de integriteitscontrole van herstelde frames kost tijd en rekenkracht. Om die reden worden de algoritmen voor autorisatie, versleuteling en controle door chips op de wlan kaart uitgevoerd. Een software oplossing voor encryptie zou de overdracht teveel vertragen. Hierbij moet u bedenken dat een netwerkkaart veel meer I/O aankan (en vaak krijgt) dan de processor en PCI bus kunnen verstouwen.

Ook de voor het datatransport noodzakelijke foutcorrectie wordt door de kaart zelf afgehandeld. De echte ether is met al zijn dynamische elektromagnetische barrières een veel minder betrouwbaar medium dan het milieu interieur van een voor interferentie afgeschermde UTP kabel. De wlan kaarten zullen het eerst op hogere snelheden proberen, maar terugvallen op lagere modulatiefrequenties en snelheden als de overdracht door (al dan niet wandelende) muren en verstorende radiogolven (wlan buren, magnetrons) onbetrouwbaar wordt.

Wired Equivalent Privacy (WEP)

> Top <

De onder OS/2 gebruikte 11 Mbps 802.11b kaarten maken gebruik van Wireless Equivalent Privacy (WEP) versleuteling en authentificatie. WEP was bedoeld om het draadloze netwerk even veilig (equivalent private) te maken als een bedraad netwerk. Daarom z orgde WEP zowel voor autorisatie van de wlan kaart als voor encryptie van zijn dataverkeer.

In principe kan alleen een netwerkkaart met de juiste WEP sleutel de via de radiogolven verzonden versleutelde data decoderen. Zonder decodering ontvangt een aftapper slecht willekeurig geruis. De WEP encryptiesleutel kan 40, 64, 128 of 256 bits lang zijn. In feite is de geheime sleutel 24 bits korter, doordat de eerste 24 bits gebruikt worden als de RC4 initialisatievector (iv). Voor WEP128 voert u dus (128-24)/4 =26 4-bits tekens in.

Autorisatie is bij WEP een zwak en eenzijdig gebeuren. Bevoegde kaarten kunnen aan hun WEP sleutel (shared key) of aan hun MAC adres herkend worden. Maar het AP autoriseert zich niet. Hierdoor lopen buren kans dat ze via elkaars toegangspunten het internet benaderen, maar hun eigen netwerkbronnen en mailserver niet zien.

In de WEP shared key modus delen de WLAN kaarten een gemeenschappelijke WEP sleutel met het basisstation (infrastructure) of hun ad-hoc peer. De gedeelde sleutel wordt zowel voor de autorisatie van de AP client en de encryptie van de datastromen gebruikt. Het AP stuurt de WLAN kaart een versleuteld pakketje (challenge). Als de client met behulp van de gedeelde sleutel het juiste antwoord geeft (response) krijgt hij toegang. Het AP autoriseert zich niet.

Daarnaast is er nog een WEP open system modus die gebruikt kan worden op publieke hotspots. Hier mag iedere deelnemer zijn eigen WEP sleutel opgeven. De partners gebruiken hun eigen WEP sleutels om het netwerkverkeer te versleutelen. Slechts aan de hand van een MAC adres kan autorisatie plaats vinden.

WEP werd al in 2001 gekraakt door het versleutelde netwerkverkeer urenlang passief af te tappen om terugkerende zwakke sleutels op te sporen en te analyseren (FMS aanval). Met die sleutel is al het draadloze verkeer af te luisteren. Aangezien de hiervoor benodigde programma's van het internet te plukken zijn, is WEP's Wireless Equivalent Privacy verleden tijd.

Het sniffing programma AirSnort (http://airsnort.shmoo.com) heeft ongeveer 5-10 millioen versleutelde pakketjes nodig om iedere WEP sleutel te raden via een passieve FMS aanval. Het ontcijferen gaat snel (minuten), maar op een weinig actief netwerk kan het verzamelen van zwakke RC4 sleutels dagen tot weken duren. Om sneller aan analysemateriaal te komen genereren actieve aanvallen het voor de analyse benodigde netwerkverkeer zelf door het basisstation met afwijkende pakketjes tot zenden te dwingen. Door statistische crypto-analyse toe passen op unieke RC4 initialisatievectoren, wist ene KoreK (een alias) in 2004 met 500.000 onderschepte versleutelde pakketjes de WEP sleutel met 80% zekerheid te raden. En vanaf 5 miljoen pakketten met vrijwel zekerheid. Met een actieve op statische methoden gebaseerde Korek aanval (2004) bleek een WEP netwerk al binnen enkele minuten te kraken.

Voordat het zover is moet u de WEP encryptiesleutel verwisselen. Dit kan het best via een random sleutels genererende radius server. Want het frequent handmatig verwisselen van sleutels is natuurlijk geen doen. Maar zelfs het dagelijks het verwisselen van statische encryptiesleutels gebeurt in de praktijk al weinig. De reden is dat u het met een gedeelde sleutel over het hele netwerk moet doen en veel netwerkbeheerders al blij zijn als het draadloos netwerk nog werkt.

Het WiFi Protected Access (WPA) protocol van de meeste 802.11g kaarten is nog immuun voor passieve en actieve aanvallen. De reden is dat WPA ieder pakketje met zijn eigen unieke sleutel verstuurd. Deze is weliswaar uit de gegevens van het pakketje zelf (zeg maar zijn unieke public key) en de door zender en ontvanger gedeelde geheime Preshared Key (PSK) af te leiden, maar als de laatste goed gekozen is, maakt een aanvaller geen kans.

Omdat door allerlei problemen (slecht samenwerkende hardware, sleutelbeheer) encryptie vaak lastig uit te voeren is, blijven veel draadloze netwerken onbeschermd. Veel wlan gebruikers hebben geen idee van de techniek en zijn al blij als hun draadloze netwerk het doet.

Maar hoewel het inschakelen WEP beter is dan het afzien van encryptie (de standaardinstelling van iedere draadloze kaart of router en dus van iedere onbenul), is het geen prettige gedachte dat met sniffers uitgeruste buren en passanten na een tijdje ook uw met WEP versleutelde dataverkeer kunnen onderscheppen en ontcijferen. Het vaak verwisselen van sleutels (handmatig of met geschikte hard- en firmware met een radius server) en de verderop genoemde methoden kunnen uw draadloze netwerk veiliger maken, maar als u privacy belangrijk vindt kiest u liever WPA.

WiFi Protected Access (WPA)

> Top <

De snellere 54 Bbps 802.11 g wlan kaarten bieden gelukkig betere bescherming met het WiFi Protected Access (WPA) protocol. WPA leunt evenals WEP op het solide Rivest Cipher 4 protocol, alias Ron(Rivest)s Code. Dit had als voordeel dat de WEP hardwareleveranciers hun chips niet voor WPA hoefden te veranderen. Alleen de firmware en de stuurbestanden hadden een update nodig. Hierdoor zullen de 802.11g kaarten ook de 802.11b standaard beheersen. Maar anders dan in WEP zijn in WPA ook na langdurig afluisteren geen wederkerende patronen te herkenen. Dit komt omdat onder WPA (voor zover we nu weten) alle pakketje uniek en willekeurig versleuteld zijn. Onder WEP waren over de tijd nog patronen te herkennen in de op zich uniek versleutelde pakketjes, waar uiteindelijk de geheime WEP sleutel vanuit af te leiden was.

Een WPA-Pre-shared Key (WPA-PSK) is slechts met een woordenboekaanval te raden. Een veilige WPA-Pre-shared Key moet daarom minimaal 20 tekens en geen te raden woorden bevatten. Iedere deelnemer aan het wlan moet de WPA versleuteling ondersteunen.

Maar helaas kunnen onder OS/2 eigenlijk alleen de 802.11(i)G ethernetbruggen via WPA aan het WLAN deelnemen. Want OS/2 stuurbestanden met WPA encryptie ontbreken nog. In principe is WPA ook op de oude 802.11b kaarten toe te passen, maar de hardwareleveranciers verkopen liever nieuwe 802.11g producten, dan dat ze de oude 802.11b wlan kaarten kosteloos via een ROM en driver update laten opwaarderen.

De nog veiliger WPA2 implementaties zijn onderweg. Zowel WEP als WPA encryptiesleutels kunnen door een Radius server verspreid worden.

Aanvullende wlan beveiligingsmethoden

> Top <

Net als bij de bedrade netwerken kunt u secure shell, pptp of IpSec versleuteling toepassen, maar het opzetten van een virtueel privé netwerk (VPN) is geen simpele zaak. Bovendien voorkomt een VPN het oneigenlijk gebruik van het netwerk niet. Voor emailberichten en webtransacties kunt u PGP, Secure Sockets Layer (SSL) en HTTPS gebruik maken, maar het onversleutelde of via WEP versleutelde dataverkeer blijft een probleem. De radiogolven zijn door iedere wlan kaart in de buurt op te vangen.

Om inbraak te voorkomen bevatten draadloze 802.11 routers en bridges nog wat aanvullende trucs zoals Media Access Control (MAC) adres filters, IP adres filters, de mogelijkheid om de SSID broadcast en/of de ingebouwde DHCP server uit te zetten. Maar hackproof zijn ze niet. MAC en IP adressen zijn na te bootsen (spoofen), niet omgeroepen SSIDs zijn met gevoelige antennes op te vangen en voor internettoegang hebt u geen DHCP server nodig. In feite werkt DHCP op een draadloos netwerk vaak moeizaam. Wie een matig beveiligd netwerk wil kraken heeft slechts enige kennis van zaken en wat geduld nodig.

Toch zou ik hier wel aandacht aan besteden. De SSID omroep en de DHCP uitschakelen is wel het minimale. Want hiermee geeft u de vitale gegevens van uw netwerk meteen aan voorbijgangers prijs.

U kunt de benodigde MAC adressen opvragen met het commando arp -a(all) of netstat -p. U kunt ook gericht het MAC adres van een interface opvragen.

[F:\]arp 192.168.1.2
192.168.1.2 (192.168.1.2) -- no entry

In dit geval was de arp tabel leeg. Het IP adres was nog niet gebruikt. Maar na een succesvolle ping 192.168.1.2 ziet u de juiste waarde. Een ping naar het broadcastadres 255.255.255.255 gevolgd door arp -a levert de meeste treffers op.

Het gebruik van firewalls en viruscanners op het WLAN

> Top <

Veel handboeken geven aan dat een WLAN zonder personal firewall en virusscanner niet veilig is. Waar is dit op gebaseerd? Gelden op het WLAN andere regels dan op een gewoon LAN? En gelden die regels ook voor OS/2?

Draadloze privacy en performance

> Top <

De basis van de WLAN beveiliging bestaat uit de encryptie en de authentificatie-methode. Als die niet deugt is, hebt u een groot probleem. Bij een bedraad netwerk weet u waarmee u in verbinding staat. Maar de radiosignalen van een WLAN kaart zijn door iedereen in de omgeving van uw huis op te vangen. Bedenk dat u de computers van uw buren nooit voor 100% kunt vertrouwen. Ook al zijn het schatten van mensen; hun computers kunnen met virussen besmet of gekraakt zijn. En ook war-drivers komen soms langs.

Om die reden bedachten de WLAN ontwikkelaars versleutelings- en authentificatiemethoden die de WLAN kaarten een hoge mate van Wired Equivalent Privacy moesten geven. De in de chips en firmware van de WLAN netwerkkaarten ingebakken WEP authentificatie en de encryptie moesten garanderen dat de kaarten alleen maar zinvol konden communiceren met een andere WLAN kaarten (in ad-hoc modus) of een op een brug en/of router aangesloten basisstation (Acces Point modus) die dezelfde WEP encryptiesleutels bezaten. Maar de WEP sleutel bleek al snel te kraken. Van echte privacy was geen sprake meer. De WIFI alliantie bedacht een veiliger protocol: WiFi Protected Access (WPA).

Maar ook met een perfect ingestelde WPA encryptie en filters voor MAC adressen bent u onbedraad nog niet veiliger dan op een bedraad netwerk. WPA geeft op zijn best Wired Equivalent Privacy. Maar niet de Performance van een bedraad netwerk. Denial of Service aanvallen via de router zullen het vanwege de beperkte bandbreedte van het draadloze netwerk goed doen. Al het door een DOS aanval gegenereerd verkeer zal via het Acces Point lopen. En deze gedraagt zich eerder als een hub, dan als een bridge. Daarnaast bent u kwetsbaar voor verstoringen via de ether. Alles draadloos via Windows doen is niet alleen de wens van Bill Gates, maar ook van iedere hacker. In de toekomst moet u dus met gehackte magnetrons en andere 2,4 Ghz apparaten rekening houden. Dat laatste valt nu nog wel mee. Maar dat OS/2 stuurbestanden hoogstens WEP ondersteunen is een groot probleem. Want zonder goede authentificatie en versleuteling is het draadloze netwerk zo lek als een zeef.

Welke interface is nog veilig?

> Top <

Van oudsher wordt de interface naar het internet als onveilig beschouwd. De firewall van een breedbandrouter zal zich op zijn WAN poort richten. En zal de LAN interface wordt door netwerkadresvertaling (NAT) tegen de buitenwereld beschermd. De LAN servers althans, want clients kunnen met NAT nog steeds hun gang gaan. Ook al worden ze via kwaadaardige scripts van buitenaf bediend. Proxy-servers, personal firewalls, up-to-date virusscanners en gepatchte software, strenge scripting regels en last-but-not least een beperkt gebruikersaccount kunnen deze client gevaren indammen, evenals het gebruik van een dood gewaand besturingssysteem.

Maar iedereen die zich van een toegangspunt via het LAN bedient, zal de netwerkadresvertaling van de router omzeilen. Zo staan veel modems en vrijwel alle draadloze acces points achter de router-firewall. Een dialer die een modem opstart vormt een groot gevaar. En een draadloze indringer die met uw draadloze basisstation contact kan maken - met encryptie uit altijd, met WEP gemakkelijk en met WPA nog niet - kan onder uw account het internet op. En als u uw bronnen niet met wachtwoorden beveiligd, kan hij ook uw bestanden inzien en programma's installeren.

Een slecht beveiligd WLAN is zoiets als een vijfde colonne. En ook al zouden uw buren geen MAC adressen spoofen en WEP sleutels kraken, wie zegt dat iemand die een rootkit op hun Windows PC installeerde dat niet kan? De Franse Maginot linie bleek waardeloos nadat de Duitsers België veroverden. Hoe stel je je daar tegen verweer? Met intrusie detectie, virusscanners en firewalls.

Het instellen van een firewall en een virusscanner

> Top <

Viruscanners en firewalls doen twee dingen. Ze detecteren bepaalde gebeurtenissen en afhankelijk van de regels die ze hanteren verbieden ze het of laten ze het toe. De kracht of onmacht van dergelijke programma's bestaat uit hun onderscheidingsvermogen. Het opruimen van ongewenste bestanden of IP pakketjes is niet zozeer het probleem. De kunst is om goed van kwaad te onderscheiden. Hoe wordt dat gedaan?

Een virusscanner bepaalt aan de hand van zijn virusdefinitiebestanden de bestanden die niet getolereerd kunnen worden. De definitiebestanden bevatten stukjes code die uniek zijn voor een virus of een virusgroep (een soort dadersprofiel). Hier moet u wel op de deskundigheid van de virusdeskundigen vertrouwen. Of op het empirische feit dat er nog geen OS/2 virussen in het wild bestaan. Maar dat wil niet zeggen dat een virus vanuit Windows geen OS/2 mappen kan vernielen en besmetten. Om die reden kan een on-access scanner op het LAN of op een multiboot PC nooit kwaad. Ik heb wel geleerd Normans on-access virusscanner tijdens de omvangrijke installaties van compilers en spelen uit te zetten. Het scannen van al die code leverde me teveel vertraging op.

Maar met een personal firewall ligt het duidelijk anders. De firewall hanteert een filterset die het toegelaten en verboden IP dataverkeer beschrijft. Maar de inhoud hiervan kan de firewall ontwerper niet voor u bepalen. Hij weet niet wat u wilt. Veel Windows firewalls hebben daarom een leerstand. Deze vraagt u bij iedere schrede op het netwerk of u het toelaat of verbiedt. U moet nu zelf nadenken wat uw met uw programma's gaat doen. U kunt dit niet aan deskundigen overlaten. Hierdoor hebben personal firewalls een geweldige emancipatoire werking. Ze maken u bewust van uw verantwoordelijkheid. U moet een expliciet akkoord of niet akkoord geven, ook voor zaken waar u liever niets vanaf weet. Als het misgaat hebt u het zelf gewild.

Een personal firewall voor het WLAN

> Top <

Op een slecht beveiligd WLAN kunt u de LAN interface niet als veilig beschouwen. Als u geen netwerkdiensten aanbiedt, is er niets aan de hand, maar de bronnen die aan het LAN beschikbaar stelt, zullen ook ongeautoriseerde WLAN gebruikers ten dienste staan. Ze maken immers van een op het LAN geldig IP adres gebruik.

Globale firewallregels om het eigen netwerk beschikbaar te stellen kunt u alleen toepassen als u zeker weet (MAC adres filter, WPA encryptie) dat alleen de door u gewenste (W)LAN gebruikers toegang tot uw basisstation krijgen.

permit 192.168.1.0 255.255.255.0 192.168.1.5 255.255.255.255 tcp gt 1023 lt 9000 secure local inbound l=no f=no t=0
permit 192.168.1.5 255.255.255.255 192.168.1.0 255.255.255.0 tcp/ack lt 9000 gt 1023 secure local outbound l=no f=no t=0

U kunt dit verbeteren door de globale permit regels te wissen en alleen benadering van vaste IP adressen toe te staan. Maar helaas zijn de gebruikelijke IP adressen gemakkelijk te raden. De default waarden staan op de websites van de fabrikant te lezen.

Het beste kunt u twee subnetwerken aanleggen. Een voor uw bedrade netwerk met de LAN servers (bijv. 192.168.111.0 /24) en een voor het WLAN (hier 192.168.121.0/24). Een WLAN gebruiker die de poorten van het WLAN scant ziet uw servers dan niet. Als u er bovendien voor zorgt dat een OS/2 laptop de route naar het bedrade netwerk wel kent, zal het een indringer veel meer tijd kosten dan u om uw netwerktopologie te achterhalen.

route add -net 192.168.111.0 192.168.121.254 -netmask 255.255.255.0 -hopcount

Laptops kunnen m.i. het beste als clients van een bedraad netwerk optreden. Ik geef hen een vast IP adres dat ik in de permit regels van mijn packet filters opneem. Als u zonder DHCP kunt, schakel het dan uit. Het geeft op het WLAN teveel gegevens prijs. Gebruikt u DHCP om bij zich anderen aan te melden dan kunt u gebruik maken van het filterset in : Een minimale firewal voor een hotspot via DHCP . Het werkt natuurlijk ook op een bedraad netwerk. Maar zet wel weer het NetBIOS uit!

De grootste WLAN valkuil is wel het NetBIOS, omdat dit ethernetprotocol op het internet als veilig geldt. Dit omdat de NetBIOS frames geen IP routers passeren. Maar het NetBIOS passeert wel de ethernetbruggen van het basisstation tussen het bedrade en onbedrade deel van het LAN. Het WLAN gedraagt zich immers als een klassieke NetBIOS werkgroep. Uw IP firewall heeft hier geen vat op. NetBIOS shares zijn dus gewoon op het WLAN te zien voor degenen die de moeite nemen om het NetBIOS protocol op Windows XP te installeren en "net view" te draaien. Gebruik op het WLAN daarom liever NetBIOS via TCP/IP in combinatie met wachtwoorden en een firewall.

Loggen

Ook OS/2 gebruikers moeten de boodschap van de learning modus van de Windows firewalls ter harte nemen: Bezint eer ge begint. U moet weten wat u opstart en waarom u dat doet. U moet weten hoe uw netwerk in elkaar steekt en bedenken dat er op de achtergrond van alles gebeuren kan.

De beste manier om dit te weten te komen is het veelvuldig gebruik van netstat (wat draait er) en het leren lezen van logbestanden. Zo kunt u met de syslog daemon de berichten van routers en basisstations opvangen. Sommige routers kunnen hun logbestanden naar uw emaildres versturen, zodat u ook weet wat er in uw afwezigheid gebeurd.

Logbestanden zijn onmisbaar bij het opsporen van fouten. En ze vertellen u wie wat doet op het LAN.

Daarnaast kunt u de OS/2 firewall opstarten om uw IP dataverkeer te loggen. Aan de hand hiervan kunt u summiere firewallregels (beter iets dan niets) opstellen. Bekende en gewenste verbindingen kunt u toestaan, maar twijfelgevallen niet.

Referenties

> Top <

OS/2 WLAN with ASUS WL330g Pocket Access Point

OS/2 and WiFi WLAN

OS/2 and Wireless "g"

netlabs.org: WLAN Project

OS/2 Wireless mailing list

(In)Security of the WEP algorithm.

RC4 Page : De beschrijving van de tekortkomingen van WEP door Fluhrer, Mantin en Shamir (FMS aanval).

The Feds can own your WLAN too : Wardrivers van de FBI konden in drie minuten een WEP sleutel kraken (Korek aanval).

Wireless LAN Security Articles, Links, Whitepapers (802.11) (Wireless LAN Security & Wardriving - 802.11)

Jeff Duntemann's Wardriving FAQ

Wireless LAN Security & Wardriving / 802.11 Security

OS/2 Wireless Users mailing list

Homeplug (stopcontact) netwerk

HomePlug (wiki)

Home - HomePlug Powerline Alliance





> Top <