Ratgeber

WLANs richtig managen

09.09.2009 von Paul Gray
Die Herausforderung im WLAN-Betrieb ist nicht die Sicherheit, sondern das Management der drahtlosen Infrastruktur. Sie unterscheidet sich teilweise gravierend von kabelgebundenen Netzen.

Kommt das Thema WLAN zur Sprache, so haben Unternehmen meist Bedenken bezüglich der Sicherheit und der Benutzerakzeptanz. Doch die Funknetze lassen sich mit WPA2 und AES absichern, und die Anwender müssen nicht großartig überzeugt werden - schließlich muss man Fische auch nicht ins Wasser treiben. Die wirkliche Herausforderung liegt im Management der drahtlosen Infrastruktur.

Ein drahtloses Netz erfordert von Helpdesk und IT-Personal neue Fähigkeiten, die den mit der Verwaltung verkabelter Netze vertrauten Ingenieuren nicht in die Wiege gelegt sind. Sie müssen neue Methoden zur Störungsbehebung bei Anwendern und Applikationen erlernen und neue Strategien entwickeln, um eine ganz andere Art von Netzinfrastruktur zu managen.

Herausforderung WLAN-Management

Es gibt vier fundamentale Gründe, warum sich das Management eines WLANs von dem klassischer Netze unterscheidet:

  • Im Prinzip weiß niemand, wo ein Anwender gerade ist.

  • Drahtlose Netze wachsen sehr schnell. Sie beginnen klein, umfassen aber bald immer mehr Anwender und Applikationen. Sie sind also dynamisch.

  • Die Elemente-Manager der Hersteller sind dafür gemacht, ihre eigenen Komponenten zu verwalten. Als Supportwerkzeug sind sie ungeeignet.

  • Das WLAN ist bei Problemen immer schuld - sogar dann, wenn sich der Anwender mit einem falschen Netz verbunden, seine Login-Daten vergessen oder einfach die Wireless-Funktion am Laptop nicht eingeschaltet hat.

Zudem ist zu beachten, das WLANs niemals isoliert vorkommen. Access Points sind an das verkabelte Netz angebunden, Anwender authentisieren sich über getrennte 802.1x- oder Active-Directory-Infrastrukturen. Sogar diejenigen, die zu ihrem Glück nur Geräte eines Herstellers implementiert haben, müssen zur Kenntnis nehmen, dass es nicht einen einzigen Hersteller auf dem Markt gibt, der eine konsolidierte Lösung für die drahtlose und die verkabelte Infrastruktur anbietet - auch wenn die Bezeichnung auf der Verpackung etwas anderes suggeriert. Es gibt nicht ein einziges herstellerspezifisches Management-Tool, das die gesamte Infrastruktur verwalten kann. Hier bleiben als Ausweg nur Multivendor-fähige Werkzeuge. Damit diese Tools in der Praxis ihren Zweck erfüllen, sind einige Funktionen unverzichtbar.

Bereitstellung und Konfiguration von Netzwerkkomponenten

Nicht die Sicherheit ist das Problem drahtloser Infrastrukturen, sondern das Management eines reibungslosen Betriebs.

Netztechniker verlassen sich oft auf die Elemente-Manager der Hersteller, wenn sie bestimmte Komponenten konfigurieren. Ältere WLANs, von denen noch immer viele in Betrieb sind, ließen sich schwer verwalten. So mussten oft alle Geräte einzeln konfiguriert werden, weil es gleichzeitig und regelbasiert über das Netz nicht möglich war. Das Resultat waren häufig fehlerhafte Konfigurationen, die wiederum zu mehr Fehlern und zu unerwarteten Bedrohungen der Sicherheit führten. So wurden Access Points (APs) dem falschen VLAN (Virtual LAN) zugewiesen, Funkmodule nicht ordnungsgemäß konfiguriert oder die Verschlüsselung falsch aufgesetzt.

Dagegen lassen sich moderne Netzwerke in der Regel viel leichter konfigurieren. Für weiteren Druck sorgt die für Herbst erwartete, endgültige Verabschiedung des WLAN-Standards 802.11n. Wer die im Vergleich zu den a/g-Netzwerken etwa sechsmal höhere Geschwindigkeit nutzen will, kommt um eine Modernisierung seiner Infrastruktur nicht herum. Damit stellt sich zwangsläufig die Frage, ob die alte Infrastruktur in einem Schritt komplett ausgetauscht oder stattdessen versucht wird, verschiedene Gerätegenerationen parallel zu betreiben.

Monitoring und Visualisierung

Im praktischen Betrieb offenbart sich dann noch ein anderes Problem: WLAN-Helpdesks für die Netzwerkschichten 1 und 2 haben oft Schwierigkeiten damit, jeden Anwender und jedes Gerät im Detail zu erfassen.

Um Fehler effektiv erkennen zu können, muss der Helpdesk Informationen von Client, WLAN, verkabeltem Netz und Directory-Servern koordinieren - also die Systeme von vier verschiedenen Herstellern. Dazu kommt, dass Anwender sich in der Regel mit Login-Namen identifizieren und nur selten mit IP- oder MAC-Adresse. Directory- und Netzwerkinformationen zu korrelieren, um zu verstehen, welchen Client ein Anwender verwendet, wird zu einem essenziellen Bestandteil des Netz-Managements. Außerdem müssen die Anwender lokalisiert werden, und der Support muss feststellen können, wie sie mit dem Netz verbunden sind.

Erst nach der Lokalisierung des Anwenders kann dann die Fehleranalyse beginnen.

Fehleranalyse im WLAN

  • Befindet sich der Client in einem Funkloch, weil ein Access Point fehlerhaft arbeitet?

  • Oder liegt der Fehler in einem Versagen des verkabelten Netzes, das zum AP führt?

  • Sind auf den APs die Kanäle aktiviert, die auch der Client benötigt?

  • Handelt es sich vielleicht um ein neues Gebäude, wo es nur 802.11a/g/n gibt, obwohl der Client ein alter Barcode-Scanner ist, der nur mit dem b-Standard arbeiten kann?

  • Kann sich der Client ordnungsgemäß authentisieren? Stimmen die Einträge im Directory?

  • Ist das Netzwerk überlastet? Besteht ein Problem mit dem physikalischen Netzdesign?

  • Arbeitet das verkabelte Netz als Backbone ordnungsgemäß?

Compliance- und Sicherheits-Management

Fehlende Planung führt bei großen WLAN-Installationen schnell ins Chaos.

Manche Organisationen betreiben immer noch getrennte Systeme zum Erkennen von Eindringlingen ins verkabelte und ins drahtlose Netz (Wireless Intrusion Detection Systems, WIDS). Die Korrelation der Informationen aus diesen beiden Systemtypen ist sehr schwierig, zumal die Informationen eigentlich verschlüsselt übertragen werden sollten. In der Praxis könnte dies zu folgenden Effekten führen: Das Provision-Management-Tool erkennt beispielsweise den Austausch eines fehlerhaften Access Points. Ein davon getrenntes WIDS könnte aber Alarm geben, weil es den neuen Access Point als potenziellen Eindringling betrachtet.

In einem kleinen Netz lässt sich das Problem einfach beheben, von Hand der richtige Bezug herstellen und der Alarm abschalten. Große WLAN-Installationen können aber Tausende Access Points an vielen Standorten und in mehreren Ländern umfassen. Was zunächst als kleine Unannehmlichkeit erscheint, führt am Ende dazu, dass das Sicherheitsteam viel Zeit verschwendet.

Werden Daten aus dem Netz gestohlen, muss das Compliance- und Audit-Team einen Bericht liefern, der zeigt, dass das Netz ausreichend gesichert war. Wurde das Standard-Passwort überall geändert? Entsprechen alle Passworte den definierten Regeln? Waren alle Anwender ordnungsgemäß authentisiert und alle verkabelten Ports gesichert? Dieser Prozess lässt sich nur mit einem Betriebs-Management-System einfach abwickeln, das Daten aus verschiedenen Quellen konsolidiert auswerten kann.

Reporting und Analyse

Gerade die Vielzahl an drahtlosen Geräten erschwert das WLAN-Management.

Sobald mehr Anwender WLANs nutzen, mehr Applikationen auf WLANs laufen und sie sich über größere geografische Räume erstrecken, wird es wichtig, Verantwortlichkeiten und Rollen für den Netzbetrieb klar zu definieren. Die Kunst liegt darin, den Verantwortlichen lediglich die Daten bereitzustellen, die sie für ihre Aufgabe benötigen, ohne sie mit zu vielen Informationen außerhalb ihres Verantwortungsbereichs zu überlasten. Es ist auch wesentlich, dafür zu sorgen, dass die Freigaben für Konfigurationsänderungen ordnungsgemäß erteilt werden. Jedes Management-System sollte gewährleisten, dass nur qualifizierte Mitarbeiter solche Veränderungen vornehmen dürfen.

Last, but not least sollten Einsatzstatistiken und Trendberichte nicht vergessen werden. So lässt sich mit über Monate hinweg gesammelten Daten etwa feststellen, ob bestimmte Areale im Netzwerk komplett ungenutzt bleiben. Die dort installierten APs können dann entfernt und woanders implementiert werden. Hier spart das Netz-Management bares Geld.