Problematischer VPN-Tunnel
Sind alle diese Vorbedingungen erfüllt, steht der potenzielle Hotspot/WLAN-Betreiber noch vor einer weiteren Schwierigkeit, falls das VPN in seinem Netz endet. Die hohen Rechenleistungen, die ein entsprechend groß dimensioniertes VPN erfordert, treiben seine Kosten in die Höhe. Aus dem als neue Einnahmequelle gedachten Hotspot wird nun eventuell ein Zuschussgeschäft. Ferner stellt sich aus technischer Sicht die Frage, ob es überhaupt sinnvoll und machbar ist, einen VPN-Tunnel durch ein weiteres VPN zu schleusen. Auf den ersten Blick sieht dies nach einem absurden Szenario aus. Im Alltag ist es jedoch schnell Realität, wenn der WLAN-Betreiber ein VPN einrichtet und seine externen Nutzer selbst ebenfalls ein VPN benötigen, um via Internet mit ihrem Unternehmensnetz Kontakt aufzunehmen.
Die bezüglich des VPN-Clients geäußerten Bedenken, dass einem Hotspot-Nutzer kaum die zusätzliche Installation von Software zumutbar sei, teilt man bei Madge Networks nur bedingt. Eine Einschätzung, die nicht weiter verwundert, wenn man das Security-Modell näher betrachtet, das hinter der „Smart Wireless Family“ des Unternehmens steht. Vereinfacht ausgedrückt, ist es eine Kombination aus einigen der bisher vorgestellten Methoden und verfügt über standardkonforme (IEEE 802.1x) Sicherheits-, Authentifizierungs- und Firewall-Funktioen.
Wireless Gateway
Am einfachsten lässt sich das Madge-Modell realisieren, wenn der WLAN-Nutzer einen der „Smart Wireless Adapter“ benutzt, den er etwa im Konferenzzentrum oder Hotel leihweise erhält. „Letztlich benötigt der Anwender hierbei lediglich eine CD-ROM mit einem Zertifikat, um an dem PKI-System aus der Box teilzunehmen“, so Madge-Technik-Manager Rosenbaum. Das klingt wirklich einfach. „Allerdings nur“, wie Algol-Trainer Nickenig auf einen Pferdefuß hinweist, „wenn der Anwender ein neueres Betriebssystem verwendet.“ Denn nur diese verfügen bereits über eine eingebaute 802.1x-Unterstützung, ansonsten ist die Installation von Software angesagt.
Mit einem Preshared Key arbeitet auch das Sicherheitskonzept, das Ersin Akar, Product-Manager Solutions bei D-Link in Eschborn, favorisiert. Das Unternehmen setzt auf ein Wireless Gateway, das ursprünglich von Bluesocket entwickelt wurde. Mit einem temporären Schlüssel authentifiziert sich hier der Benutzer gegenüber dem Gateway. Dieses schaut dann via LDAP in einem angeschlossenen Directory Server (beispielsweise Active Directory von Microsoft oder Novell Directory Services) nach, welche Berechtigungen der Benutzer hat. Interessant an diesem Ansatz ist ferner, dass er die gleichzeitige Verwendung von VPN-Technologien wie Ipsec oder Point-to-Point Tunneling Protocol (PPTP) und unverschlüsselte Verbindungen erlaubt. Des Weiteren ist eine Segmentierung des Netzes in VLANs realisierbar. Eine Flexibilität, die jedoch ihren