manage-it-Blog

NEU: manage it als
E-Paper  7-8 2010

Sichere WLANs durch herstellerunabhängiges Betriebsmanagement

Verlässliche Hochleistungsnetze

Mit jeder Weiterentwicklung der WLAN-Technologie, mit jeder weiteren Implementierung von WLANs entstehen auch neue Herausforderungen, die es zu bewältigen gilt. In dieser Situation gewinnt das Betriebsmanagement des Netzes gegenüber dem Gerätemanagement erheblich an Bedeutung.

rahtlose Netzwerktechnologien (WLANs) haben sich sehr schnell entwickelt. Dadurch können Anwender heute mit Methoden auf Unternehmensdaten zugreifen, die ihnen nie zuvor zur Verfügung standen. Im Gesundheitswesen sehen Klinikmitarbeiter am Bett der Patienten dessen Akte ein, was die Behandlung beschleunigt. Im Einzelhandel haben die Angestellten stets Zugriff auf Lagerinformationen oder können Bestellungen entgegennehmen, ohne jemals hinter einer Ladenkasse stehen zu müssen. Und drei Viertel der Angestellten von Microsoft greifen drahtlos aufs Unternehmensnetz zu. 70 Prozent von ihnen sparen wöchentlich durch den mobilen Datenzugriff fünf Stunden wertvolle Arbeitszeit.

Drei wichtige historische Epochen lassen sich bisher in der Entwicklung von WLANs identifizieren. Jede von ihnen stellte das IT-Management vor spezifische Herausforderungen.

2004-2007: Von »fetten« zu »schlanken« Access Points

Die ersten Anwender von WLANs bauten Infrastrukturen, deren Basis verteilte, alleinstehende Access Points (APs) bildeten. Noch bis 2007 arbeitete die Mehrzahl aller installierten APs unabhängig (»fette«, also funktionsreiche APs). Dieser AP-Typ verband sich mit der Ethernet-Infrastruktur und jedes Gerät handhabte alle Aspekte der Kommunikation eigenständig – von der Verarbeitung der Netzdaten und dem Frequenzmanagement bis hin zu Verschlüsselung und Authentisierung. Inzwischen wurden moderne, zentralisierte WLAN-Architekturen entwickelt. Hier werden APs regelbasiert von einem zentralen Switch aus gesteuert und verwaltet (»schlanke« APs). Das erschwert es zunehmend, Argumente für die weniger sicheren und skalierbaren, komplexeren und teureren überkommenen Implementierungen von »fetten« APs zu finden. Wegen ihrer großen Verbreitung sind jedoch derzeit die Netze aus »fetten« APs ein Problem für die IT-Administratoren. Sie würden gern zu den kostengünstigeren und einfacher zu verwaltenden WLANs aus »schlanken« APs migrieren. Schließlich gibt es auf dem ganzen Markt keinen Elementemanager, der gleichzeitig das komplette Management »fetter« und »schlanker« APs übernehmen könnte. Das gilt sogar dann, wenn »fette« und »schlanke« APs vom selben Hersteller stammen. Organisationen, die ihre alte WLAN-Infrastruktur aus »fetten« APs nicht einfach herausreißen und komplett ersetzen möchten, stehen vor fundamentalen Problemen: Die Kosten für den Betrieb der existierenden Geräte steigen, die Garantie eines sicheren Betriebs von Netzen aus unterschiedlichen Systemen und die Erstellung von Compliance-Berichten sind schwierig.

Die Betriebskosten der überkommenen WLANs steigen wegen der mangelnden Integration zwischen all den Komponenten, die Betriebssicherheit und die Verfügbarkeit von Anwendungen sicherstellen. In WLANs aus »fetten« APs muss jeder AP unabhängig von allen anderen verwaltet werden. Das macht die Administration kompliziert – besonders, wenn dafür ein Elementemanager im Einsatz ist, der typischerweise für kleine Frühphasen-Implementierungen von WLANs entwickelt wurde. Je mehr Anwender und Applikationen das WLAN verwenden, desto wichtiger werden Eigenschaften wie Authentisierung, Sicherung und Schutz gegen Eindringlinge. Für jede dieser Fähigkeiten und die Systeme, die sie ermöglichen, braucht man eigene Elementemanager, was wiederum die Betriebskosten steigert.

Komplexität selbst schafft ebenfalls Risiken. Die Gefahr von Fehlkonfigurationen steigt erheblich, wenn in WLANs zusätzlich zu einem Elementemanager für ein neueres Netzwerk »schlanker« APs weitere Elementemanager arbeiten (für die bereits existierenden »fetten« APs, Firewalls, Authentisierung, Intrusion Detection). Das Netz wird unter Umständen verletzlicher, was wiederum von Angreifern ausgenutzt werden kann.

Tatsächlich werden Elementemanager vor allem dafür entwickelt, Softwareaktualisierungen zu konfigurieren und sie an die verwalteten Komponenten zu verteilen. Weil sie sich nur schwer mit anderen Netzelementen integrieren lassen, können sie auch kaum umfassende Berichte generieren und Trendanalysen erstellen. Das war allerdings in der Frühzeit der WLAN-Nutzung, als die drahtlosen Infrastrukturen vor allem mehr Komfort bedeuteten, auch nicht besonders wichtig.

Heute aber, wo WLANs die Kerninfrastruktur von Organisationen bilden, müssen Managementtools ein Produkte übergreifendes Reporting sicherstellen, langfristige Trendanalysen liefern und aussagekräftige Compliance-Berichte erstellen.

2007-2009: Vom Erweiterungs- zum Kernnetz

Ein Netzwerk nützt den Anwendern nur dann etwas, wenn es verlässlich und mit ausreichender Leistung verfügbar ist. Wann und wo drahtgebundene Netzwerke genutzt werden, ist vorhersehbar. Bei WLANs, in denen Anwender zu unterschiedlichen Tageszeiten in einem bestimmten Areal arbeiten und gemeinsam einen oder mehrere APs nutzen, die von nur einem einzigen LAN-Switch unterstützt werden, trifft das nicht zu. Mobile Anwender bringen ohne Ankündigung neue und manchmal verzögerungssensitive oder bandbreitenhungrige Anwendungen ins Netz und erwarten, dass sie funktionieren. Positive Erfahrungen führen unweigerlich zu einem weiteren Anstieg der Nutzung. Demzufolge sind historische Trendanalysen für eine sinnvolle Kapazitätsplanung unverzichtbar. Sie fassen unterschiedliche Daten zusammen: Verteilung und Wachstum des drahtlosen Datenverkehrs, sein Einfluss auf die verkabelte Infrastruktur im Hintergrund, Authentisierung, Verschlüsselung und Gesamtleistung des Netzes hinsichtlich Verzerrung und Verzögerung, die beide Echtzeitverkehr wie Sprache oder Video beeinflussen. Nur herstellerunabhängige Betriebsmanagementplattformen für heterogene WLAN-Infrastrukturen können das leisten.

Compliance-Berichte (in Echtzeit und historisch) sind eine in der Praxis anerkannte Methode (Best Practise). Vielen Branchen sind sie zudem gesetzlich vorgeschrieben. Im Gesundheitswesen würde jeder unerlaubte Zugriff auf Patientendaten das Image der betroffenen Organisation erheblich schädigen. Netze müssen deshalb nicht nur sicher sein – man muss sie auch so einschätzen. Sie müssen ihre Sicherheit also beweisen. Dazu gibt es strenge Gesetze für den Schutz persönlicher Daten, ganz besonders in Deutschland.

Alle Einzelhandelsunternehmen, auch in Deutschland, die Transaktionen mit Kredit- und Lastschriftkarten erlauben, müssen sich nach dem Datensicherheitsstandard PCI richten. Dessen neueste Version (V1.2), die ab 1. Januar 2009 gilt, fokussiert besonders die Sicherheit drahtloser Systeme. Alle Einzelhändler sind für die Sicherheit drahtloser Systeme verantwortlich (ob sie selbst ein WLAN betreiben oder nicht!). Einzelhandelsunternehmen wurden schon mit Geldbußen in Höhe vieler Millionen Dollar belegt, wenn sie ihre WLANs nicht vor unerwünschten Eindringlingen schützen konnten und das zum Verlust von Kreditkarten- und persönlichen Daten führte.

Offene Systeme für das Management von heterogenen WLANs fassen sicherheitsrelevante Daten verschiedener Systeme zusammen. Sie liefern sowohl eine Bedrohungsanalyse in Echtzeit als auch historische Daten. Mit deren Hilfe können Organisationen ihr Netz effizient vor Eindringversuchen sichern und auch beweisen, dass es sicher ist.

Für große Organisationen ist Netzwerksicherheit ein besonders herausforderndes Thema. Das durchschnittliche Fortune-1000-Unternehmen hat über 500 Niederlassungen. Das verkabelte Netz solcher Unternehmen vor Eindringversuchen aus dem WLAN zu schützen, ist eine der wichtigsten Aufgaben der IT/IS-Abteilung oder sollte es zumindest sein.

Zu den wichtigsten Bedrohungen im Unternehmensnetz gehören nicht angemeldete APs. Sie werden von schlecht informierten Anwendern in bester Absicht installiert, weil diese die Risiken eigener WLANs im Unternehmensnetz nicht kennen. Eine weitere Gefahr sind zufällige Fehlkonfigurationen von Rechnern, bei denen gelegentlich aus Versehen eine Bridge-Verbindung zwischen dem WLAN-Port und dem Port des verkabelten Netzes hergestellt wird. Solche Bedrohungen lassen sich einfach durch die Installation eines Wireless Intrusion Detection Systems (WIDS) entschärfen. Jeder WIDS-Anwender sollte Informationen über Eindringversuche und die autorisierte Nutzung des hausinternen WLAN korrelieren können. Besonders schwierig ist das, wenn die Nutzerdaten vom Client bis in den Netzkern verschlüsselt übertragen werden, wie es ja eigentlich sein sollte. Es gibt WID-Systeme in zwei Varianten – als Overlay-Schicht oder integriert in das WLAN. In der Praxis erweist sich die integrierte Lösung als wesentlich einfacher (und deshalb auch sicherer). Ein herstellerunabhängiges Betriebsmanagementsystem für heterogene Netzkomponenten kann sogar dann noch Korrelationen zwischen Ereignissen herstellen, wenn WIDS und WLAN von unterschiedlichen Herstellern stammen.

2008-2011: Die Migration zu verlässlichen 802.11n-Hochleistungsnetzwerken

Die aktuelle Entwicklung bei WLANs basiert auf der Einrichtung komplett drahtloser Arbeitsplätze. Sie wurde durch 802.11n möglich. Heute arbeiten um die 8 Prozent aller drahtlosen APs mit 802.11n und Erwartungen zufolge wird der Anteil der verkauften 802.11n-APs bis Ende 2008 auf 18 Prozent steigen [1]. Innerhalb der nächsten drei bis vier Jahre wird nahezu jede Implementierung von WLANs auf 802.11n basieren. Für Organisationen liegen darin große Chancen und Herausforderungen.

802.11n bietet mehr Durchsatz (etwa die fünf- bis sechsfache Bandbreite bestehender WLANs) und eine stark verbesserte Signalabdeckung. Verbesserungen bei Leistung und Zuverlässigkeit sind weitgehend darauf zurückzuführen, dass die MIMO-Technologie (Mutiple In – Multiple Out) in den Standard einbezogen wurde. MIMO vergrößert die Reichweite des drahtlosen .11n-Signals und verbessert so Empfang und Durchsatz enorm. Doch die größere Abdeckung hat auch einen unerfreulichen Nebeneffekt: Die Wahrscheinlichkeit dafür steigt, dass die Daten abgehorcht werden oder dass Interferenzen auftreten.

Interferenz in drahtlosen Netzen kann man einfach dadurch begegnen, dass man den Kanal wechselt (eine automatisierte Funktion in modernen, zentralisiert gesteuerten WLANs). Doch das höhere Abhörrisiko von außerhalb des Firmengebäudes oder Firmengeländes bleibt. Deswegen ist es umso wichtiger, WIDS zusammen mit dem WLAN zu implementieren, so dass Eindringversuche automatisch identifiziert und abgeblockt werden.

Mit 802.11n entsteht auch ein neuer Bedrohungsvektor: der nicht mehr detektierbare unangemeldete 802.11n-AP. In ein Netzwerk ohne Monitore für die 802.11n-Luftschnittstelle können besonders leicht undetektierbare und unangemeldete 802.11n-APs eingebracht werden. Angestellte, die es nicht besser wissen, installieren sie und die vorhandenen 802.11a/b/g-Monitore registrieren sie nicht. Für Organisationen, deren WLAN-Lieferanten keine 802.11n-Lösung anbieten, die sich in die bestehende WLAN-Infrastruktur integrieren lässt, kann das problematisch sein: Soll man die Bedrohung durch nicht registrierte APs einfach ignorieren, oder sollen risikoreduzierende Systeme eines neuen Herstellers ins Netz eingebaut werden, für die man aber einen zusätzlichen Elementemanager braucht?

Betriebsmanagementsysteme für heterogene WLAN-Umgebungen sind ein sicherer Hafen in Zeiten der schnellen technischen Weiterentwicklung und Veränderung. Sie ermöglichen es Organisationen, ihr WLAN organisch weiterzuentwickeln, ohne alte Implementierungen komplett zu entfernen und durch neue zu ersetzen und bieten einen einheitlichen Managementzugriff, umfassendes Reporting und übergreifende Fehleranalyse. Besonders Organisationen, die überkommene oder wenig integrierte WLAN-Umgebungen betreiben, können davon profitieren.

Roger Hockaday

____________________________________

Roger Hockaday ist Director of Marketing EMEA bei Aruba Networks

[1] Dell’Oro Group 2008

Copyright © 2003-2010  ap Verlag GmbH