Mit Switching die Administration vereinfachen

Das WLAN lernt denken

13.06.2003
MÜNCHEN (CW) - Die Vorzüge der Wireless LANs (WLANs) liegen auf der Hand: Sie reduzieren Infrastrukturkosten und erhöhen die Mobilität der Anwender. Diese Vorteile können sich bei größeren unternehmensweiten Installationen jedoch schnell ins Gegenteil verkehren, wenn Sicherheit und Netz-Management zu einem fast unlösbaren Problem anwachsen. Einen Ausweg aus diesem Dilemma eröffnet das Wireless-LAN-Switching.

Mit der wachsenden Verbreitung der WLANs und den sinkenden Preisen der zugehörigen Produkte steigt für Unternehmen die Gefahr, dass die Sicherheit ihrer Netze kompromittiert wird. Eine Erfahrung, die auch Tom Dillion, IT-Manager für Mobile und Wireless der Hotelkette Hilton, machte, als er eines der Hotels besuchte: Statt der sechs autorisierten Access Points fand er mit Hilfe einer Sniffer-Software 15 Funkknoten - also neun illegale WLAN-Zugriffspunkte, welche die Integrität eines Netzes gefährden.

Durch die zunehmende Verbreitung von Notebooks mit serienmäßiger WLAN-Konnektivität stellt sich zudem ein anderes Problem häufiger. Ohne böse Absicht der Benutzer fungieren nämlich schlecht konfigurierte Notebooks, wenn sie an das festverdrahtete Unternehmensnetz angeschlossen sind, oft als Access Points.

Die Sicherheit ist jedoch nur ein kritischer Punkt, der beim unternehmensweiten Einsatz von WLANs zu beachten ist. Bei größeren Funkinstallationen droht außerdem die Gefahr, dass statt der angestrebten sinkenden Netzkosten ein Teuerungseffekt eintritt. Der Grund: Die Konfiguration und Administration eines Access Point, die an einem einzelnen Gerät schnell erledigt ist, gerät in Summe zur zeitintensiven und kostentreibenden Angelegenheit.

Diese Schwierigkeiten wurden in klassischen, kabelgebundenen Netzen unter anderem durch das automatische, regelbasierte Switching auf Netzebene 2 und 3 gelöst. In erweiterter Form versucht die Industrie nun, diesen Ansatz als Wireless-LAN-Switching in den Funknetzen ebenfalls zu verwirklichen. Hierzu wird eine zentrale, intelligente Box im Netz installiert. An diese sind dann die Access Points als eher "dumme" Endgeräte angebunden. Allerdings gibt es einen gravierenden Unterschied: In den traditionellen Netzen muss ein Switch den Benutzer nicht unbedingt kennen, da sein Rechner fest per Kabel mit dem Netz verbunden und somit etwa anhand seiner IP-Adresse eindeutig identifzierbar ist. "In einem Funknetz ist es dagegen unabdingbar, den Benutzer zu kennen, bevor er Zugriff auf das Netz erhält", konkretisiert Keerti Melkote, Mitbegründer von Aruba Wireless Networks, die Unterschiede zwischen einem klassischen Switch und dem WLAN-Switching.

Die ersten Unternehmen, die sich dieser Thematik schwerpunktmäßig annahmen, waren unter anderem Startups wie Airespace, Airflow Networks, Aruba Wireless Networks, Trapez Networks, Vivato sowie spezialisierte Firmen wie Symbol Technologies. Mittlerweile haben sich mit Hewlett-Packard (HP), Nortel Networks, Extreme Networks oder Proxim auch die großen Netzprodukte-Anbieter das WLAN-Switching auf ihre Fahnen geschrieben. Lediglich Netzgigant Cisco fehlt noch unter den Switching-Propagandisten. Branchenkenner spekulieren deshalb bereits darüber, welches Startup-Unternehmen CEO John Chambers demnächst kaufen wird.

Funknetze zentral administrieren

Analysten wie Joshua Johnson von der Synergy Research Group begrüßen die Switching-Entwicklung. In den Augen der Marktbeobachter spricht für das WLAN-Switching vor allem die Möglichkeit, die Administrationskosten zu senken, wenn ein Systembetreuer die Access Points nicht mehr einzeln konfigurieren muss, sondern diese Arbeit zentral über einen WLAN-Switch bewerkstelligen kann. Auch IDC-Analyst Abner Germanow ist vom WLAN-Switching überzeugt: "Das Grundprinzip dahinter ist, dass ein IT-Verantwortlicher das Wireless LAN genauso zentral zu managen vermag wie ein Kabelnetz."

Der Anspruch der Switching-Verfechter geht jedoch über ein einfaches Management der WLAN-Infrastruktur hinaus. Sie wollen den IT-Betreuern zusätzlich ein Instrument an die Hand geben, mit dem sie ihre Funknetze sicherer gestalten können als durch die herkömmlichen Verfahren wie Wired Equivalent Privacy (WEP) oder Wifi Protected Access (WPA). So lassen sich mit Hilfe der WLAN-Switches etwa rollengestützte Sicherheitsmodelle erstellen. Diese könnten zum Beispiel festlegen, an welchen Access Points sich ein User anmelden darf. Andere Optionen wären, dass ein Benutzer nur zu bestimmten Uhrzeiten Zugriff erhält oder sensible Daten lediglich in einer spezifischen Funkzelle abgreifen darf. Umgekehrt könnten Access Points in Bereichen mit Publikumsverkehr nur zu bestimmten Zeiten aktiviert werden. Ebenso lässt sich mit den Switches die Gefahr der unerlaubt eingerichteten Access Points in den Griff bekommen. In diesem Szenario erlaubt der Switch nur dann einen Zugriff aufs Unternehmensnetz, wenn ihm die Adresse des WLAN-Knotens bekannt ist.

Einsatzpotenzial der WLAN-Switches

Stefan Mennecke von der WLAN AG in München ist von solchen Funktionen überzeugt. Der mittlerweile zur Swisscom gehörende Dienstleister hat bereits rund 100 Hotels mit Wireless LANs ausgestattet. Um dabei ein zentrales Management sowie Sicherheitslösungen zu verwirklichen, setzt Mennecke auf die Switch-gestützte WLAN-Architektur von Symbol Technologies.

Die derzeit realisierten Features vermitteln nur einen ersten Eindruck vom Einsatzpotenzial der WLAN-Switches. Mit dem für Ende 2003 erwarteten Einzug von Voice over IP im Funknetz könnten die intelligenten Boxen auch die Steuerung der Quality of Services übernehmen, um genügend Bandbreite für die Sprachübertragung zu garantieren.

Um jedoch die dringenden Management- und Sicherheitsprobleme in den Griff zu bekommen, die laut Gartner die Hauptgründe dafür sind, warum viele IT-Manager mit der Einführung von WLANs zögern, ist das WLAN-Switching nur ein Ansatz. Hersteller wie Cranite Systems, Verbier Networks, Reefedge oder Garderos verfolgen einen anderen Weg.

So setzt Cranite mit der "Wireless Wall" auf eine Softwarelösung. Diese besteht aus drei Komponenten: einem Policy Server, einem Access Controller sowie einem Programm für die Clients. Wie ein klassischer Switch agiert die Wireless Wall bereits auf der Netzebene 2 und baut hier einen verschlüsselten Tunnel zwischen Netzwerk und Client auf. Über den Access Controller in Verbindung mit dem Policy Server realisiert Granite so ein zentrales Management.

Eine ähnliche Softwarelösung offeriert auch das Münchner Siemens-Spinoff Garderos. Für diese entschied sich der belgische Service-Provider Sinfilo. Das Unternehmen hat in Belgien 72 Standorte mit WLANs ausgerüstet - darunter große Hotels und Kongresszentren sowie 38 Tankstellen. Ausschlaggebend war für Sinfilo dabei die Möglichkeit, nicht nur wie bei WLAN-Switches ein Funknetz zentral zu managen, sondern gleichzeitig auch die Netznutzung sekundengenau abzurechnen.

Eher in die Kategorie der Gateway-Lösungen fallen dagegen die hardwarebasierenden Produkte von Vernier und Reefedge. Beide Hersteller setzen mit ihren Geräten erst auf der Netzebene 3 auf und bieten somit keinen Schutz gegen Layer-2-Angriffe. Ebenso kommt bei ihnen die eigentliche Administration von Access Points zu kurz. Dafür spielen die beiden Lösungen, die aus einem Server und einem Edge Controller beziehungsweise Access Manager bestehen, ihr Potenzial auf dem Gebiet des Security-Managements aus. Hier bieten sie teilweise eine größere Flexibilität als die reinen WLAN-Switches. Zudem erleichtern etwa bei Reefedge Plugins für Management-Plattformen wie HPs Openview oder CAs Unicenter die Integration in ein unternehmensweites, einheitliches Sicherheitskonzept. Viele WLAN-Switches bieten diese Funktion nicht.

Alles eine Glaubensfrage?

Angesichts der unterschiedlichen Ansätze artet die Frage nach dem reinen WLAN-Switching oder Kombinationslösungen letztlich zu einer Glaubenssache aus. Eine Entscheidung kann wohl nur im konkreten Einzelfall getroffen werden. So verbuchen etwa die WLAN-Switches in Sachen Access-Point-Administration klar Pluspunkte, während die anderen Ansätze eher im Bereich eines flexiblen Sicherheits-Management, kombiniert mit einer eventuellen Anbindung an ein Abrechnungssystem, überzeugen können.

Ganz undogmatisch hat Dave Sankey, Director für Process- und Technology-Development bei der US-amerikanischen Handelskette Sears, das Thema hardwaregestütztes WLAN-Switching oder Softwarelösung entschieden. Sankey hat nur Interesse daran, dass die rund 10000 WLAN-fähigen Firmen-Notebooks sicher in das Unternehmensnetz kommen. Um dies zu gewährleisten, rüstet der IT-Manager die Filialen des Unternehmens mit privaten Hotspots aus und steuert die Zugangskontrolle per Software. (hi)