computerwoche.de

Archiv

Funknetze der nächsten Generation

Mit Switching die WLAN-Kosten senken

25.06.2004
Drahtlose Netze etablieren sich in den Unternehmen. Doch die erste Generation der Funknetze stößt in in vielen Fällen bereits an ihre Grenzen. Der Grund hierfür liegt in steigenden Nutzerzahlen, zunehmender Bandbreitenauslastung und zusätzlichen Anwendungsbereichen wie Internet, Mobile Data Capture oder VoIP-Telefonie. Das sind Faktoren, die zu neuen Anforderungen führen und den administrativen Aufwand erheblich erhöhen. Von Martin Palzer*

Sollen Wireless LANs die gestiegenen Anforderungen an ein modernes Netz meistern, muss meist eine Migration auf leistungsfähigere Systeme erfolgen. In einer klassischen Access-Point-Architektur bedeutet dies den Austausch der vorhandenen Hardware und damit größere Investitionen. Doch selbst neuere WLAN-Systeme stellen die geforderte Leistungsfähigkeit nur bedingt zur Verfügung.

Eine Alternative bietet sich für IT-Manager in der Wahl eines anderen Netzaufbaues. Switch-gestützte Wireless LANs reduzieren die Betriebskosten für ein unternehmensweites Funknetz deutlich. Zudem vereinfachen sie die Administration und erhöhen die Sicherheit, und dies billiger als bei den traditionellen Ansätzen.

Herkömmliche Access Points besitzen jeweils eigene Prozessoren, eigene Software und eigene IP-Adressen. Und jeder Access Point muss einzeln administriert werden. Eine Aufgabe, die sehr zeitaufwändig und teuer ist. Im Gegensatz dazu werden diese Funktionen beim Wireless-LAN-Switching von einem zentralen Switch übernommen.

Nach außen fungieren solche Wireless-Switch-Systeme standardkonform wie Netzwerk-Switches beziehungsweise Access Points. Die "Access Points" werden hier aber "vereinfacht": Sie empfangen nur noch die Funksignale nach 802.11 a/b/g und senden sie über Standard-Ethernet-Strukturen zum zentralen Switch. Dieser ist für die Verarbeitung der Signale und deren Weiterleitung zum Netzwerk verantwortlich. In Funktion und Design entspricht der Wireless Switch eigentlich einem normalen Netzwerk-Switch - mit dem Unterschied, dass er statt Ethernet Ports Antennen besitzt, Access Ports.

Anders als Access Points verfügen die Access Ports nur über eine kleine Firmware, so dass keine Konfiguration erforderlich ist. Die Systeme sind so sehr einfach aufzubauen und zu warten. Für die Installation müssen die Access Ports nur an ein Ethernet-Kabel angesteckt werden. Ihre Stromversorgung erfolgt über "Power over Ethernet" nach dem Standard 802.3af.

Zentrales Management

In einem Wireless Switch wird alle Intelligenz zentral vorgehalten. Netzwerkzugriff, Sicherheit, Policy-Management und Quality of Service (QoS) sind also nicht mehr in den einzelnen Access Points integriert, sondern erfolgen auf der Switch-Ebene. Ebenso werden alle Konfigurationsarbeiten zentral auf dem Switch vorgenommen. Das hat den Vorteil, dass für alle angeschlossenen Access Ports nur eine Konfiguration erstellt werden muss. Auch Software-Updates müssen nur noch an einer zentralen Stelle eingespielt werden. Ferner gestaltet sich der Schutz eines Netzes einfacher, da das Funknetz in Form des Switches nur über einen Anschluss mit der restlichen Infrastruktur verbunden ist. Sicherheitsfunktionen wie beispielsweise Verschlüsselung oder Firewalls müssen also nur noch einmal pro Switch eingerichtet werden.

Das Zusammenfassen aller zentralen Funktionen im Switch vereinfacht zudem das Management. Die Switches verfügen über ein integriertes Management, mit dem wichtige Informationen wie zum Beispiel die Anzahl der angeschlossenen "Mobile Units", Datendurchsatz und fehlgeschlagene Authentifizierungsversuche zur Verfügung stehen.

Mehr Sicherheit

Die zentrale Switch-Architektur gewährleistet auch ein schnelles und einfaches Roaming, ohne dass die sichere Verbindung unterbrochen wird oder sich der Anwender neu authentifizieren muss. Durch Preemptive Roaming wird die Auslastung der Access Ports gesteuert, um eine möglichst gleichmäßige Verteilung der Last auf die erreichbaren Antennen sicherzustellen. Gleichzeitig ist gewährleistet, dass jedem Benutzer ausreichend Bandbreite zur Verfügung steht.

Besonders in drahtlosen Netzwerken ist Sicherheit ein großes Thema, denn ohne ausreichende Schutzmaßnahmen kann hier fast jeder unbefugt auf die Daten zugreifen. Wie im verkabelten Netzwerk sind hierbei die Integration und Umsetzung der aktuellen und zukünftigen Standards wichtige Aspekte.

Die Sicherheit eines Funknetzes wird durch eine Switching-Architektur nachhaltig verbessert. Mit standardkonformen Technologien wie 802.1q (VLAN-Tagging) kann der Switch für die Mobile Units "unsichtbar" gemacht werden und ist dadurch nicht mehr von außen attackierbar. Da der Wireless Switch als zentrale Instanz für die Authentifizierung arbeitet, können die Mobile Units roamen, ohne sich neu authentifizieren zu müssen, und User-Name und Passwort lokal zwischengespeichert werden. Über Filterregeln ist es zudem möglich, dass sich die Mobile Units untereinander nicht sehen. Ferner lassen sich so Broadcasts unterdrücken und Denial-of-Service-Attacken wie etwa "Poison ARP" verhindern.

Virtuelle Funknetze

Mit Virtual LANs (VLANs) können verschiedene Nutzergruppen in einer einzigen LAN-Infrastruktur spezifische (QoS) zugewiesen werden. So können Unternehmen beispielsweise für den Bereich "Public" oder für "Gäste" nur eine minimale oder gar keine Verschlüsselung und gleichzeitig bei Unternehmensanwendern die ausgefeilteste am Markt erhältliche Verschlüsselung einsetzen, um ihre kritischen Daten sicher zu schützen.

Wireless-LAN-Switches unterstützen dabei die heute gängigen Protokolle, soweit diese als Standards verabschiedet sind. Wired Equivalent Privacy (WEP) gewährleistet die vollständige Interoperabilität zwischen Legacy Clients in weniger kritischen Umgebungen, für kritische Anwendungen unterstützt der Wireless Switch 802.1x und Kerberos-Authentifizierung sowie Verschlüsselungsmechanismen wie beispielsweise TKIP (siehe Kasten "Sicherheit"). Zudem können je nach Anforderung sehr einfach VPN-Architekturen mit IPsec oder Wireless Transport Layer Security (WTLS) implementiert werden.

Das Konzept des intelligenten zentralen Switchs mit Access Ports anstelle von Access Points führt zu einer deutlichen Senkung der Total Cost of Ownership. Bereits Installationen mit rund zehn Access Ports sind mit einer Wireless-Switch-Architektur wesentlich günstiger als ein herkömmliches WLAN. Die teurere zentrale Komponente, der Switch, muss nur einmal gekauft werden, während die Access Ports im Preis wesentlich günstiger als "normale" Access Points sind. Je mehr Access Ports installiert sind, desto kosteneffizienter ist das System. Ein Switch kann dabei bis zu 30 Access Ports integrieren.

WLAN-Switching in der Praxis

Im Rahmen des Projekts "Neue Medien in der Hochschullehre" des Bundesministeriums für Bildung und Forschung eröffnete die Universität Potsdam vor drei Jahren zunächst 440 Studenten den drahtlosen Zugang zum Campus-Datennetz und dem Internet. Die Studenten bekommen von der Uni kostenfrei eine WLAN-Karte zur Verfügung gestellt und haben so mit ihrem Laptop überall auf dem Gelände Zugang zum Netz. Die unerwartet hohe Akzeptanz des für die Studenten kostenfreien Service stellte allerdings schnell neue Anforderungen an die Infrastruktur.

Die ursprünglich installierte konventionelle Wireless-LAN-Technik mit bis dahin 50 Access Points erwies sich als schwer administrierbar. Im Juni letzten Jahres entschied sich die Zentrale für Informationsverarbeitung deshalb, eine Switch-basierte WLAN-Architektur einzusetzen, die deutlich leichter und schneller zu verwalten ist. Die Universität Potsdam nutzt 50 Access Ports und zwei Switches. Inzwischen verwaltet die Zentralstelle für Informationsverarbeitung und Kommunikation bereits 1700 akademische Notebook-Nutzer. (hi)

*Martin Palzer ist Senior Specialist Wireless Systems bei Symbol Technologies.

Vorteile des Switching

- zentrale Administration;

- billigere Access Points;

- effizientere Netzsegmentierung, etwa durch Einrichten von Virtual LANs (VLANs);

- Quality of Services können definiert werden;

- höhere Sicherheit.

Sicherheitsverfahren

Temporal Key Integrity Protocols (TKIP), manchmal auch als Secure Server Net (SSN) bezeichnet, basieren auf dem Entwurf 802.11i. TKIP ist die Antwort der Netzbranche auf die Angreifbarkeit von WEP, das ursprünglich als Sicherheitsmechanismus für WLANs konzipiert war. Hierbei werden rotierende Schlüssel sowie ein Massage Integrity Check (MIC) verwendet, um Replay-Attacken auszuschließen. Dadurch wird es für Lauscher oder Angreifer von außen schwierig, ausreichend Informationen zu sammeln, um den WEP-Schlüssel zu knacken. Ebenso wichtig wie die Verschlüsselung ist das Management der Personen und Geräte, die Zugang zum Netzwerk erhalten. Aus diesem Grund unterstützten viele Anbieter beispielsweise Kerberos, das Extensible Authentication Protocol/Transport Layer Security (EAP/TLS), 802.1x sowie Remote Authentication Dial-in User Service (Radius). Ein gutes mobiles Sicherheitskonzept zielt zudem darauf ab, zusätzliche Upper-Level-Funktionen und selbst proprietäre Lösungen leicht zu integrieren.

Kerberos selbst ermöglicht die gegenseitige Authentifizierung. Dadurch werden "Man-in-the-Middle"-Attacken, die sonst in einer drahtlosen Umgebung möglich sind, effektiv ausgeschlossen. Außerdem bietet Kerberos eine End-to-End-Verschlüsselung. Das bedeutet, dass die Daten nur an den Endpunkten eines Netzwerkes unverschlüsselt erscheinen.