WLAN
2019 bringt einen schnelleren Funkstandard und bessere Verschlüsselung fürs WLAN. Die WLAN-FAQ beantwortet die wichtigsten Fragen.
WLAN-Generationen
#£Was hat es mit den Bezeichnungen Wi-Fi 4, 5, 6 … für die WLAN-Generationen auf sich?
¶¢Die neuen Namen kommen von der Wi-Fi Alliance (WFA, www.wi-fi.org). Dieser Herstellerverband hat sich Marketing und Kompatibilitätsprüfungen auf die Fahne geschrieben, damit die Marke Wi-Fi sozusagen das Wollsiegel fürs WLAN ist. Weil die Namen der offiziellen Standards schwer merk- und aussprechbar sind, sollen die WLAN-Generationen so leichter unterscheidbar werden.
Leider ist die WFA dabei etwas zu kurz gesprungen, denn sie unterschlägt einen wesentlichen Parameter für die WLAN-Performance: die Anzahl der unterstützten MIMO-Streams (Multiple Input Multiple Output), die direkt mit der Anzahl der benutzten Antennen zusammenhängt. Damit könnte man Geräte schon beim Kauf besser unterscheiden, um einen flotten Router nicht mit einem lahmen Client auszubremsen. Deshalb geben wir in c’t, wenn möglich, die Antennenzahl in Klammern an, auch wenn die WFA deklariert, dass ihre Wi-Fi-Generationsnamen nicht erweitert werden sollen.
Die Performance hängt außerdem von der Kanalbreite ab: WLAN-Geräte können – wenn das Funkband hinreichend frei ist – beispielsweise mit einem 160 statt 80 MHz breiten Signal funken. In den maximalen Linkraten der Tabelle sind die unterschiedlichen Kanalbreiten berücksichtigt.
Brutto versus Netto
#£Wieso unterscheidet c’t zwischen Brutto- und Netto-Durchsatz?
¶¢Der Bruttodurchsatz ist die Geschwindigkeit, die zwei Geräte auf dem Funkkanal ausgehandelt haben. Diese Linkrate wird bei der Übertragung einzelner WLAN-Datenpakete auch tatsächlich genutzt, sie ist also nicht „theoretisch“.
WLAN-Geräte können den Funkkanal aber nicht exklusiv und dauerhaft nutzen. Sie müssen sich an ein über Pausen gesteuertes Zugriffsprotokoll halten, damit auch andere Stationen Gelegenheit zum Senden ihrer Daten bekommen. Ferner kompensiert WLAN gelegentliche Frame-Verluste automatisch durch zeitfressende Wiederholungen. Deshalb liegt der Nettodurchsatz auf der Anwendungsebene – das was man als „Downloadgeschwindigkeit“ sieht – immer unter der Bruttorate, typischerweise bei der Hälfte.
MU-MIMO
#£Was ist MU-MIMO?
¶¢Mit Multi-User-MIMO (Multiple Input Multiple Output) kann eine WLAN-Basis über ihre Antennen verschiedene Datenströme an mehrere Clients gleichzeitig senden. Wenn beispielsweise ein 4-Stream-AP zwei Datenströme an zwei 2-Stream-Clients schicken kann, steigt der Summendurchsatz in der Funkzelle, wodurch alle gewinnen.
Bei Wi-Fi 5 (11ac) ist MU-MIMO eine Option. Bei Wi-Fi 6 (11ax) gehört es als Pflichtbestandteil zur Norm und ist auch für die Gegenrichtung definiert (mehrere Clients senden gleichzeitig an einen AP).
Mehrere Datenströme
#£Warum ist WLAN mit mehreren Datenströmen manchmal viel schneller als mit nur einem?
¶¢Das liegt an der vergleichsweise hohen Latenz: Die Round Trip Time (Ping-Zeit) liegt bei WLAN typischerweise bei 1 bis 3 Millisekunden, also deutlich höher als bei Gigabit-Ethernet (typisch 0,3 bis 0,5 ms). Bei einem TCP-Datenstrom lässt sich die „Leitung“ nicht mit Paketen „vollstopfen“, denn auch die Empfangsbestätigungen (TCP ACKs) brauchen Zeit für den Rückweg. Laufen mehrere TCP-Streams parallel, können die Adapter so mehr Frames auf die Reise schicken. Der Effekt tritt übrigens auch bei sehr schnellen LAN-Verbindungen auf.
Bei guten bis exzellenten Links können dann schon mal 70 Prozent mehr Durchsatz herauskommen. Der Effekt geht bei mäßigen bis schlechten Verbindungen deutlich zurück, weil die WLAN-Geräte dann auf niedrigere Linkraten zurückschalten müssen. Weil der Mehr-Stream-Gewinn die Ausnahme ist, betrachten und bewerten wir in unseren WLAN-Tests weiterhin das Verhalten mit einer einzelnen Übertragung als alltagsrelevanten Standardfall.
WPA3-Verschlüsselung
#£Was macht die neue WLAN-Verschlüsselung WPA3 besser als WPA2?
¶¢WPA3 schützt den Anmeldevorgang von WLAN-Clients besser. So haben auch Angreifer, die das WLAN-Passwort kennen, keine Chance mehr, die ausgehandelten Sitzungsschlüssel zu errechnen. Das WLAN bekommt Perfect Forward Secrecy (PFS), aufgezeichneter Datenverkehr lässt sich mit finanzierbarem Aufwand nicht mehr entschlüsseln. Dennoch bleibt wichtig, ein hinreichend langes WLAN-Passwort zu verwenden. 20 bis 30 wild gemischte Zeichen sollten genügen. Ferner fordert WPA3 den Einsatz von Protected Management Frames, siehe unten.
In Firmen-WLANs mit individueller Authentifizierung (WPA3-Enterprise) steht zudem eine stärkere Verschlüsselung zur Verfügung (AES-256-GCMP/SHA384). Hotspots können Opportunistic Wireless Encryption nutzen: OWE ermöglicht verschlüsselte Verbindungen ohne Passworteingabe. Die Wi-Fi Alliance nennt diese Funktion „Enhanced Open“.
Protokollschutz mit PMF
#£Wozu ist die Option PMF in meinem WLAN-Router gut?
¶¢Protected Management Frames, kurz PMF, schützen Steuerinformationen im WLAN, beispielsweise beim An- und Abmelden. Ohne PMF können Angreifer WLAN-Clients von ihrer Basis abmelden, um sie dazu zu bewegen, sich bei einem von ihnen eingerichteten Honeypot neu anzumelden.
Wenn Ihre Basis die PMF-Option bietet, aktivieren Sie sie. Gibt es dabei eine Unterscheidung zwischen „optional“ und „erzwungen“, wählen Sie „optional“. Damit bekommen auch WLAN-Clients noch eine Verbindung, die keine PMF unterstützen. So ist zumindest ein Teil Ihrer Gadget-Flotte gegen WLAN-Entführungsversuche geschützt.
Das nächste WLAN
#£Was ist 11ax und warum soll das besser sein?
¶¢Die 2019 erschienene WLAN-Generation Wi-Fi 6 (IEEE 802.11ax) bringt zwar nochmal eine leichte Beschleunigung durch höhere Modulationsstufen (QAM1024 statt QAM256) und optional breitere Funkkanäle (160 statt 80 MHz im 5-GHz-Band). Aber daraus ergibt sich für einzelne Nutzer nur selten ein greifbarer Vorteil. Erst wenn mehrere Übertragungen zwischen Server oder NAS und Client gleichzeitig laufen, kann 11ax deutlich mehr schaffen als eine vergleichbare Wi-Fi-5-/11ac-Gerätekombination (c’t 26/2018, S. 52).
Die wichtigere Verbesserung von Wi-Fi 6 zielt auf WLAN-Funkzellen, in denen viele Clients gleichzeitig Daten übertragen, wie etwa in Hörsälen, Stadien oder Konzerthallen: Mit OFDMA (Orthogonal Frequency Division Multiple Access) kann eine WLAN-Basis mehrere Clients per MU-MIMO (siehe oben) auch dann gleichzeitig mit Daten bedienen, wenn diese Clients stark unterschiedliche Verbindungen haben. Das verbessert den Summendurchsatz in der Funkzelle. Hier könnte die von den 11ax-Entwicklern propagierte Durchsatz-Vervierfachung tatsächlich eintreten.
WLAN-Durchsatz messen
#£Wie misst c’t eigentlich die WLAN-Performance?
¶¢Wir nutzen das für verschiedene Betriebssysteme erhältliche Tool iperf3. Für Windows 10 haben wir es selbst übersetzt (ct.de/yhvy), weil die auf Cygwin oder ähnlichen unter Windows nachrüstbaren Linux-Umgebungen laufenden Versionen in unseren Versuchen keine konsistenten Werte ergaben.
iperf3 misst den maximalen TCP-Durchsatz zwischen einer Instanz, die als Server läuft (iperf3 -s) und einer Instanz als Client (iperf3 -c <Serveradresse> -w256k -t30). Standardmäßig sendet der Client an den Server, was in unserem Setup (iperf3-Server auf Mobilgerät) der Downstream ist.
Diese einzelne Messung über 30 Sekunden läuft Script-gesteuert dreimal, um mit dem Mittelwert kurzzeitige Schwankungen zu eliminieren. Außerdem betrachten wir auch die Gegenrichtung (iperf3 -c … -R). Die beiden Richtungen werden dann für das Ergebnis gemittelt, denn für den einen sind Downloads wichtiger, für den anderen Uploads.
Um das Maximum auszuloten, messen wir zunächst in unmittelbarer Nähe über 2 Meter auf Sicht und dann über 4 Meter durch eine Steinwand. Von beiden Ergebnissen nehmen wir das höhere, denn manche Gerätekombinationen kommen mit einem sehr starken Signal (2 m) schlechter zurecht als mit einem starken (4 m).
Anschließend messen wir über rund 20 Meter durch Wände, um das Verhalten auf größere Distanzen beurteilen zu können. Dabei variieren wir die Aufstellung von Basis und WLAN-Client in vier Orientierungen, um die Ausrichtungsabhängigkeit beurteilen zu können. Die dabei entstehenden Durchsätze geben wir als Bereich an. (ea@ct.de)
iperf3 für Windows:ct.de/yhvy