WLAN-Controller: Mehr ist nicht immer besser (Fortsetzung)

WPA (Wifi-Protected-Access) und WPA2 gehören zu Standardanforderungen. WPA2 ist eine Zertifizierung der Wifi-Alliance für den Sicherheitsstandard 802.11i. Alle Produkte im Test erfüllten dies. Der bei 802.1x eingesetzte Radius-Server kann dabei auf ein Active-Directory oder LDAP-Server verweisen. Bluesocket, Motorola, Netgear und Ruckus integrieren in ihren Controller einen Radius-Server. WPA/WPA2-PSK (Preshared-Key) kommt ohne einen solchen Server aus. Allerdings ist die zu Grunde liegende Passphrase im ganzen WLAN die gleiche. Soll ein einzelner Anwender keinen Zugang mehr bekommen, muss der Administrator auf allen Clients die Daten ändern. Ruckus umgeht dies mit ihrem »Dynamic PSK«. Die Verschlüsselung entspricht WPA/WPA-PSK. Allerdings ist der Preshared-Key eindeutig für jeden Nutzer und WLAN-Client. Dort ist keine besondere Software erforderlich. Für die Einrichtung auf dem Client meldet sich der Anwender über das drahtgebundene Netz beim Controller an. Von dort lädt der Nutzer ein WLAN-Provisioning-Tool herunter. Dieses enthält die dynamisch erzeugte Passphrase. Dies funktioniert aber nur bei Windows-XP mit Sp2. Ruckus nennt dieses Vorgehen »Zero-IT Activation«. Um den Zugang zu verwehren, entfernt der Administrator die Dynamic-PSK des Users von dem Controller.

Neben den Angestellten einer Firma gibt es noch Gäste oder externe Consultants, die Zugang zum Internet oder zu bestimmten Unternehmenseiten benötigen. Ein logisch separates WLAN soll die Besucher vom Rest des Funknetzes trennen. Dies lässt sich einmal dadurch erreichen, dass das WLAN-System eine bestimmte SSID mit einem drahtgebundenen VLAN verknüpft. Bluesocket, Motorola, Netgear und Ruckus bieten zudem eine Besucherstartseite (Captive-Portal), über die sich Gäste anmelden müssen. Solange dies nicht erfolgt ist, bekommen sie auch keinen Zugang. Dies ähnelt der Authentifizierungsseite eines Public-Hotspots. Besucher geben ihre Anmeldedaten ein oder stimmen anpassbaren Netzwerk-Zugangsregeln zu. Entsprechende Accounts zu erzeugen, lässt sich auch eine Rezeption delegieren. Am besten gefiel der Gast-Service von Bluesocket. Dieser ermöglichte eine Begrenzung der Bandbreite und umfangreiche Zugangsregeln auf der Basis von Rollen.

Die Suchfunktion nach fremden Access-Points hilft etwa, illegale APs von Mitarbeitern zu finden. Dazu sucht das WLAN-System in periodischen Abständen nach Funksignalen. Alle Produkte zeigen die gefundenen APs in einer einfachen Liste an. Netgear und Ruckus integrieren zudem eine Lokalisierungsfunktion. Sie markiert etwa auf einem Stockwerksplan die ungefähre Position des erkannten Geräts. Dies erschien im Test als hilfreich. Für zusätzliche Lizenzgebühren gibt es eine ähnliche Funktion auch mit dem »BlueView Management System« von Bluesocket und der Funk-Management-Software von Motorola.

Unerwünschte APs lassen sich auch zum Schweigen bringen. Allerdings sollten solche Aktionen mit Vorsicht erfolgen. Denn die Systeme verwenden Denial-of-Service-Techniken, um Clients vom fremden AP zu trennen. Zudem können dabei auch benachbarte WLANs anderer Unternehmen betroffen sein. Nur Motorola und Ruckus bringen keine Wireless-Intrusion-Prevention-Funktion mit. Durch Partnerschaft von Motorola mit Airdefense gibt es ein System für drahtlose Intrusion-Detection und -Prevention über eine Extra-Lizenz.

wve@networkcomputing.de