Möglichst wenig Management-Konsolen einsetzen:
Eine Zugangsschicht für LAN- und WLAN schaffen

von Werner Veith (werner.veith@networkcomputing.de)

Share
21.06.2010

Typischerweise sind in Unternehmen meist LAN und Wireless-LAN getrennt, was Regeln, Anwendungen und Tools für Sicherheit, Gastzugang und Management anbelangt. Für weniger Kosten und mehr Sicherheit empfiehlt es sich, beide Welten zu vereinen.

Nach einer Schätzung von Gartner sollen in 2013 70 Prozent der neuen Anwender vor allem drahtlos auf das Unternehmensnetz zugreifen. Während die Nutzer zwischen drahtgebundenen und drahtlosem Zugang wechseln, bleiben Management und Sicherheit der beiden Netzwerk-Technologien getrennte Welten. HP Procurve [1] empfiehlt Unternehmen in dem White-Paper »Freeing your network infrastructure [2]« damit zu beginnen, gemeinsame Grundlagen zu schaffen. Dieses enthält entsprechende Hinweise aus einem Gartner-Newsletter. Zu den Grundlagen gehören gemeinsame Regeln und Tools für Sicherheit, Gastzugang und Netzwerk-Management. Bei Auswahl von drahtgebunden oder drahtlosen Lösungen sollten Unternehmen darauf achten, dass der Hersteller die gesamte Zugangsschicht verwalten kann.

Gemeinsame Elemente wie Sicherheit, Management und Gastzugang für Wireless-LAN und drahtgebundene Netze schaffen. (Quelle: Fotolia, Franz Pfluegl)

Bei der Sicherheit geht es darum, dass es einen einheitlichen Zugangsmechanismus gibt. Er muss den Austausch der Authentifizierungsdaten schützen und sicherstellen, dass der Nutzer tatsächlich er selbst ist. Dabei muss der Mechanismus unabhängig von dem physikalischen Zugang greifen.

Hat ein Unternehmen Wifi-Protected-Access 2 (WPA2) für Wireless-LAN implementiert, empfiehlt es sich, alle Clients über 802.1X zu authentifizieren. Das gilt dann auch für das drahtgebundene Netz.

Nachdem etwa 802.1X sicherstellt, dass sich nur authentifizierte Nutzer im Netz aufhalten, gilt es sich nun den Gästen zuzuwenden. Dies können Besucher oder Consultants sein, die zeitweise Netz-Ressourcen des Unternehmens nutzen wollen oder müssen.

Mehrere Rollen für den Gastzugang

Über eine spezielle Zugangsseite (Captive-Portal) müssen sich etwa alle Gäste für die Netznutzung anmelden. Dies lässt sich sowohl für WLAN als auch LAN einsetzen. Für eine höhere Sicherheit empfiehlt es sich, den Gästen verschiedene Rollen zuweisen.

Ein Besucher bekommt etwa nur Internetzugang, während ein Consultant auch auf bestimmte Server oder Applikationen zugreifen darf. Diesen Rollen kann der Administrator auch unterschiedliche Bandbreiten oder Zugangszeiten zuweisen.

Beim Management hängt es davon ab, wo das Unternehmen den Zugangsrand zum Netz definiert. Bei einem Wireless-LAN schließt dies die Access-Points (APs) ein, und manchmal auch die mobilen Clients. Es empfiehlt sich hier, übergreifende Regeln für LAN und WLAN zu definieren. Dies muss aber auch vom Hersteller unterstützt werden, wie dies bei Cisco, Foundry Networks oder HP der Fall ist.

Es gibt aber auch Situationen, wo sich dies nicht realisieren lässt, wenn etwa APs verschiedener Hersteller zum Einsatz kommen. Hier gibt es die Möglichkeit, über »AirWave« von Aruba die APs unter einen Hut zu bringen und so die Anzahl der Konsolen zu verringern.

Die Vereinheitlichung von Sicherheit, Gastzugang und Management lässt sich nicht unbedingt in einem Schritt realisieren. Eventuell sind auch mehrere Schritte erforderlich. Dabei können auch ein Upgrade von Software oder zusätzliche Ressourcen notwendig sein.

[1] http://www.procurve.com/
[2] https://h41268.www4.hp.com/live/index.aspx?qid=10174

Verwandte Artikel