Weblog

Client-Authentifizierung und -Anmeldung in einem WLAN

19.06.2025 3 Min. Lesezeit

Vom PHY-Layer bis zur IP-Zuweisung

1. Physikalische Schicht (PHY): Radiofrequenz und Kanalzugang

1.1 Frequenzbänder und Modulation

Ein WLAN-Client beginnt seine Kommunikation auf der physikalischen Schicht, typischerweise im 2,4 GHz-, 5 GHz- oder 6 GHz-Band (Wi-Fi 6E). Die Auswahl des Kanals erfolgt durch Scanning, wobei der Client Beacon-Frames empfängt, die von Access Points (APs) periodisch auf jedem Kanal gesendet werden.

Die Modulationstechniken (z. B. OFDM, QAM) und Kanalbandbreiten (20/40/80/160 MHz) bestimmen die physikalische Datenrate. Die Auswahl erfolgt dynamisch basierend auf Signalqualität und un terstützten Standards (802.11a/b/g/n/ac/ax).

1.2 Scanning und AP-Auswahl

Der Client führt entweder ein passives Scanning (Empfang von Beacons) oder ein aktives Scanning (Senden von Probe Requests) durch. Die empfangenen Informationen enthalten:

  • SSID
  • BSSID (MAC-Adresse des APs)
  • unterstützte Datenraten
  • Sicherheitsinformationen (RSN-Elemente)

Basierend auf diesen Informationen wählt der Client einen geeigneten AP aus.

2. MAC-Schicht: Assoziierung und Authentifizierung

2.1 Open System Authentication

Die erste Authentifizierung auf MAC-Ebene ist in der Regel eine Open System Authentication (nicht zu verwechseln mit IEEE 802.1X). Sie besteht aus einem einfachen 2-Wege-Handshake und dient lediglich als formaler Einstiegspunkt.

2.2 Association Request/Response

Nach erfolgreicher Authentifizierung sendet der Client ein Association Request, das u. a. die unterstützten Datenraten, HT/VHT/HE-Fähigkeiten und die SSID enthält. Der AP antwortet mit einem Association Response, das die Verbindung bestätigt und ggf. Parameter wie AID (Association ID) und unterstützte Features zurückliefert.

3. Sicherheitsschicht: IEEE 802.1X, EAP und RADIUS

3.1 WPA2/WPA3 Enterprise: 802.1X-Authentifizierung

Bei Enterprise-WLANs erfolgt die Authentifizierung über IEEE 802.1X. Der AP fungiert als Authenticator, der Client als Supplicant und ein externer RADIUS-Server als Authentication Server.

Der Ablauf:

  • EAPOL-Start: Der Client initiiert den Authentifizierungsprozess.
  • EAP-Request/Identity: Der AP fordert die Identität des Clients an.
  • EAP-Response/Identity: Der Client sendet seine Identität.
  • EAP-Method Exchange: Je nach Konfiguration (z. B. EAP-TLS, PEAP, TTLS) erfolgt ein mehrstufiger Austausch zur Authentifizierung.
  • RADIUS Access-Accept: Bei erfolgreicher Authentifizierung sendet der RADIUS-Server ein Access-Accept mit VLAN-Zuweisung, QoS-Parametern etc.
  • EAP-Success: Der AP informiert den Client über den erfolgreichen Abschluss.

3.2 Schlüsselmanagement: 4-Way Handshake

Nach erfolgreicher Authentifizierung erfolgt der 4-Way Handshake, bei dem der Pairwise Transient Key (PTK) aus dem Pairwise Master Key (PMK) abgeleitet wird. Dieser Prozess stellt sicher, daß beide Seiten denselben Schlüssel verwenden, ohne ihn direkt zu übertragen.

Bei WPA3 wird zusätzlich SAE (Simultaneous Authentication of Equals) verwendet, um Forward Secrecy zu gewährleisten.

4. Netzwerkzugang: DHCP und IP-Zuweisung

4.1 DHCP Discover/Offer/Request/Ack

Nach erfolgreicher Layer-2-Authentifizierung und Schlüsselverhandlung beginnt der Client mit der IP-Zuweisung:

  • DHCP Discover (Broadcast)
  • DHCP Offer (vom DHCP-Server)
  • DHCP Request (Client akzeptiert Angebot)
  • DHCP Ack (Bestätigung durch Server)

Der Client erhält:

  • IPv4-Adresse
  • Subnetzmaske
  • Default Gateway
  • DNS-Server
  • ggf. weitere Optionen (z. B. NTP, Domain-Name)

4.2 DHCPv6 (optional)

In IPv6-Netzen kann die Adressvergabe über SLAAC (Stateless Address Autoconfiguration) oder DHCPv6 erfolgen. Auch hier sind Router Advertisements (RA) notwendig, um dem Client mitzuteilen, wie er seine Adresse konfigurieren soll.

5. Weitere Mechanismen und Optimierungen

5.1 ARP/NDP

Nach der IP-Zuweisung führt der Client typischerweise einen ARP-Request (IPv4) oder Neighbor Solicitation (IPv6) durch, um sicherzustellen, dass die Adresse nicht bereits verwendet wird.

5.2 DNS-Registrierung

In manchen Netzwerken wird der Clientname automatisch im DNS registriert (z. B. via Dynamic DNS Updates), insbesondere in verwalteten Umgebungen mit zentralem DNS.

5.3 QoS und VLAN-Zuweisung

Basierend auf den RADIUS-Attributen kann der Client in ein bestimmtes VLAN eingestuft werden. Zusätzlich können QoS-Parameter (z. B. DSCP-Werte, WMM-Klassen) angewendet werden, um den Datenverkehr zu priorisieren.

Zusammenfassung des Ablaufs

  • PHY: Scanning, Kanalwahl, Signalbewertung
  • MAC: Authentifizierung, Assoziierung
  • 802.1X: EAP/RADIUS-Authentifizierung
  • 4-Way Handshake: Schlüsselableitung und Verschlüsselung
  • DHCP: IP-Zuweisung
  • ARP/NDP/DNS: Nachbereitung und Netzwerkintegration
Themen Technikzeug
Schlagworte 802.1x DHCP EAP RADIUS Wifi
π