Funknetze für mittelständische Unternehmen –:
WLAN-Controller: Mehr ist nicht immer besser

von Werner Veith (werner.veith@networkcomputing.de)

Share
14.02.2008

Umfangreiche Wireless-LAN-Lösungen für große Firmen sind nicht unbedingt das, was der Mittelstand braucht. Mittlerweile haben Hersteller auch für diesen Systeme im Programm.

(Fortsetzung des Artikels von Seite 1)

Meistens sind Infrastrukturprodukte für Wireless-LANs eine komplexe Angelegenheit. Dies zeigt sich auch in einer Umfrage von Forrester. Danach nutzten nur 50 Prozent der Unternehmen mit weniger als 100 Mitarbeitern drahtlose Netze. Bei einer Größe zwischen 500 und 1000 Angestellten waren es rund 70 Prozent. Ist das IT-Personal schon mit der Betreuung von Netzwerk, Rechnern und Applikationen voll ausgelastet, steht ein WLAN nicht sehr hoch auf der Prioritätenliste. Auf der anderen Seite kommt aber von den Mitarbeitern der Wunsch nach Mobilität. Dies gilt insbesondere, wenn sie bereits zu Hause oder unterwegs Funknetze verwenden. Da tauchen dann auch selbst installierte und damit illegale Access-Points (AP) im Unternehmen auf. Diese gefährden dann die Netzwerksicherheit.

Die Diskussion um WLANs wird mit dem kommenden Standard 802.11n intensiver, der eine deutlich größere Bandbreite und Reichweite bringt. Allerdings sollten Unternehmen bedenken, dass in den meisten Fällen 802.11a/g vollkommen ausreicht. Außerdem lohnt es sich, bei 11n auf Geräte der zweiten oder dritten Generation zu warten. Dies zeigt sich bei Power-over-Ethernet (PoE). Zu Beginn war Pre-11n-APs der Stromverbrauch zu hoch, um in allen Fällen den AP über eine Ethernet-Leitung zu versorgen. Jetzt gibt es erste Produkte, bei denen dies möglich ist. Zum Zeitpunkt des Tests hatte nur Bluesocket einen Pre-11n-AP im Programm. Da 11n deutlich größere Bandbreiten verwendet, sollten die Unternehmen mit dem Hersteller über die Möglichkeiten eines Upgrades des Controllers reden.

Auch wenn gerade auch für kleinere Unternehmen der Preis eine besondere Rolle spielt, sollten diese in der Regel keine günstigen Consumer-Lösungen wählen. Diesen fehlen meist wichtige Funktionen für den Unternehmenseinsatz. Dies sind beispielsweise verschiedene SSIDs (Service-Set-ID, Name des Funknetzes) für die Verknüpfung mit unterschiedlichen VLANs. Weiter gehört dazu die Unterstützung von 802.11i, was die Authentifizierung per 802.1x und den Einsatz eines Radius-Servers erlaubt. Außerdem geht es um ein zentrales Management der APs. Hier haben sich auf breiter Basis Architekturen mit Wireless-Controllern durchgesetzt. In einem Test wollte Network Computing daher wissen, wie es mit solchen Lösungen für kleine und mittelständische Unternehmen aussieht. Daran haben schließlich Bluesocket, D-Link, Motorola, Netgear und Ruckus Wireless teilgenommen. Bluesocket und Motorola bieten schon länger WLANs für große Unternehmen an. Netgear hat eine OEM-Version des 800-Controller-Serie für Zweigstellen von Aruba im Programm. Auf der anderen Seite entwickelte Ruckus ihren WLAN-Controller komplett selbst. 3Com und D-Link wiederum verwenden Controller- und AP-Software von Nexthop Technologies mit eigener Hardware. Jeder Ansatz hat seine Vorzüge. Ursprünglich für große Unternehmen entwickelt, bieten solche Lösungen viele Einstellungsmöglichkeiten. Dies hat sicher seine Vorteile. Im Test zeigte sich jedoch, dass dies das IT-Personal überfordern kann, wenn es gerade mit WLAN beginnt.

Ein Unternehmen kann die alltäglichen Aufgaben für Verwaltung und Sicherheit des WLANs an ein Systemhaus vergeben oder selbst übernehmen. Bei Letzterem wird eine einfache Bedienung besonders wichtig. Alle untersuchten Systeme konnten die Anpassung von Kanälen und Sendeleistung automatisch vornehmen. So lassen sich Interferenzen beseitigen oder Funklöcher stopfen. Für Konfiguration, Management und Monitoring besitzen alle Lösungen ein Web-Interface. Bei einigen reagierte die Anzeige auf Änderungen schneller. Dies half insbesondere, den Gesamtzustand des drahtlosen Netzes zu beurteilen. Ruckus tat sich mit einer einfachen Navigation und einer per Ziehen-und-Ablegen anpassbaren Übersichtsseite (Dashboard) hervor. Im Test gefielen auch die leistungsfähige Java-Nutzungsoberfläche bei Motorola und Workflows (Wizards) für typische Administrationsaufgaben.


WPA (Wifi-Protected-Access) und WPA2 gehören zu Standardanforderungen. WPA2 ist eine Zertifizierung der Wifi-Alliance für den Sicherheitsstandard 802.11i. Alle Produkte im Test erfüllten dies. Der bei 802.1x eingesetzte Radius-Server kann dabei auf ein Active-Directory oder LDAP-Server verweisen. Bluesocket, Motorola, Netgear und Ruckus integrieren in ihren Controller einen Radius-Server. WPA/WPA2-PSK (Preshared-Key) kommt ohne einen solchen Server aus. Allerdings ist die zu Grunde liegende Passphrase im ganzen WLAN die gleiche. Soll ein einzelner Anwender keinen Zugang mehr bekommen, muss der Administrator auf allen Clients die Daten ändern. Ruckus umgeht dies mit ihrem »Dynamic PSK«. Die Verschlüsselung entspricht WPA/WPA-PSK. Allerdings ist der Preshared-Key eindeutig für jeden Nutzer und WLAN-Client. Dort ist keine besondere Software erforderlich. Für die Einrichtung auf dem Client meldet sich der Anwender über das drahtgebundene Netz beim Controller an. Von dort lädt der Nutzer ein WLAN-Provisioning-Tool herunter. Dieses enthält die dynamisch erzeugte Passphrase. Dies funktioniert aber nur bei Windows-XP mit Sp2. Ruckus nennt dieses Vorgehen »Zero-IT Activation«. Um den Zugang zu verwehren, entfernt der Administrator die Dynamic-PSK des Users von dem Controller.

Neben den Angestellten einer Firma gibt es noch Gäste oder externe Consultants, die Zugang zum Internet oder zu bestimmten Unternehmenseiten benötigen. Ein logisch separates WLAN soll die Besucher vom Rest des Funknetzes trennen. Dies lässt sich einmal dadurch erreichen, dass das WLAN-System eine bestimmte SSID mit einem drahtgebundenen VLAN verknüpft. Bluesocket, Motorola, Netgear und Ruckus bieten zudem eine Besucherstartseite (Captive-Portal), über die sich Gäste anmelden müssen. Solange dies nicht erfolgt ist, bekommen sie auch keinen Zugang. Dies ähnelt der Authentifizierungsseite eines Public-Hotspots. Besucher geben ihre Anmeldedaten ein oder stimmen anpassbaren Netzwerk-Zugangsregeln zu. Entsprechende Accounts zu erzeugen, lässt sich auch eine Rezeption delegieren. Am besten gefiel der Gast-Service von Bluesocket. Dieser ermöglichte eine Begrenzung der Bandbreite und umfangreiche Zugangsregeln auf der Basis von Rollen.

Die Suchfunktion nach fremden Access-Points hilft etwa, illegale APs von Mitarbeitern zu finden. Dazu sucht das WLAN-System in periodischen Abständen nach Funksignalen. Alle Produkte zeigen die gefundenen APs in einer einfachen Liste an. Netgear und Ruckus integrieren zudem eine Lokalisierungsfunktion. Sie markiert etwa auf einem Stockwerksplan die ungefähre Position des erkannten Geräts. Dies erschien im Test als hilfreich. Für zusätzliche Lizenzgebühren gibt es eine ähnliche Funktion auch mit dem »BlueView Management System« von Bluesocket und der Funk-Management-Software von Motorola.

Unerwünschte APs lassen sich auch zum Schweigen bringen. Allerdings sollten solche Aktionen mit Vorsicht erfolgen. Denn die Systeme verwenden Denial-of-Service-Techniken, um Clients vom fremden AP zu trennen. Zudem können dabei auch benachbarte WLANs anderer Unternehmen betroffen sein. Nur Motorola und Ruckus bringen keine Wireless-Intrusion-Prevention-Funktion mit. Durch Partnerschaft von Motorola mit Airdefense gibt es ein System für drahtlose Intrusion-Detection und -Prevention über eine Extra-Lizenz.

wve@networkcomputing.de
Verwandte Artikel