Testreihe WLAN-Controller: Cisco 2106
Außenstellen unter zentraler Kontrolle
WLAN-Controller sollen das Management von großen WLANs vereinfachen und sicherer machen. Mittlerweile existiert eine ganze Reihe von Produkten, die jeweils auf unterschiedliche Anwendungsbereiche zugeschnitten sind. LANline testet in lockerer Folge Controller unterschiedlicher Hersteller und zeigt, wo deren Stärken und Schwächen liegen. Den Auftakt macht Cisco mit dem WLAN-Controller 2106.
Drahtlosen Netzwerken haftet nach wie vor der Makel der Unsicherheit an. Funkwellen machen nicht
vor Mauern und Grundstücksgrenzen halt. Wer sich an der richtigen Stelle mit einem Notebook
positioniert, hat – theoretisch – Zugang zum Funknetz. Nun sind die Zeiten der unsicheren
WEP-Verschlüsselung (Wired Equivalent Privacy) als einzigem inhärenten WLAN-Schutz schon lang
vorbei. Mit WPA (Wi-Fi Protected Access) und 802.1X-Authentifizierung stehen wirkungsvolle
Mechanismen zur Verfügung, um ein WLAN in puncto Sicherheit nicht schlechter zu stellen als ein
drahtgebundenes Netz. Nur umsetzen muss sie der Administrator, und dies fällt schon bei mehr als
einer Handvoll Access Points (APs) nicht leicht. Jeden einzelnen AP per Hand zu konfigurieren, zu
überwachen und bei jeder Änderungen erneut "anzufassen" – dies ist mit dem Tagesgeschäft in der
IT-Abteilung nicht zu vereinbaren. Die Lösung versprechen WLAN-Controller zusammen mit den speziell
darauf abgestimmten Access Points. Der Controller dient als zentrale Instanz, übernimmt die
Konfiguration, Überwachung und das Reporting. Der Administrator benötigt nur noch eine IP-Adresse
im Netz, über die er sein WLAN im Griff hat.
Doch die WLAN-Controller der diversen Hersteller setzen durchaus unterschiedliche Schwerpunkte:
Manche sind mehr für die aktive Abwehr von Angreifern ausgelegt, bei anderen geht es eher um die
Einbindung in die Sicherheitsstruktur des Unternehmens. Mindestens genauso unterschiedlich sind die
Bedienungskonzepte, die Palette reicht von sehr übersichtlich und auch für Teilzeitadministratoren
beherrschbar bis hin zu extrem komplex. Jedes Produkt hat natürlich seine Daseinsberechtigung, der
Anwender entscheidet, was am besten passt. Um potenziellen Interessenten Hilfestellung bei der
Auswahl zu liefern, testet die LANline in lockerer Folge WLAN-Controller verschiedener Hersteller.
Es geht dabei weniger um absolute metrische Daten wie den maximalen Durchsatz als darum, eine
Übersicht der Stärken und Schwächen des Produkts zu geben. Denn während ein Anwender nicht ohne
schlagkräftiges Intrusion-Detection-System (IDS) im Controller leben will, legt der nächste
überhaupt keinen Wert auf diesen Aspekt, da bereits ein IDS vorhanden ist. Den Anfang macht der
neue Cisco-2106-WLAN-Controller. Das Gerät ist vor allem für kleine Firmen und Zweigstellen
konzipiert, kann bis zu sechs Access Points steuern und fügt sich auf Wunsch in die übergeordneten
Management-Tools von Cisco ein.
Es lebe die Konsole
Der überraschend kleine Cisco-2106WLAN-Controller – er weist in etwa die Grundfläche einer
DVD-Verpackung auf – bietet an der Front für jeden seiner acht 10/100-MBit/s-Ethernet-Ports eine
Link- und eine Activity-LED. Zwei der Ports versorgen Geräte mit Power over Ethernet. Zusätzlich
finden sich an der Vorderseite vier weitere Status-LEDs sowie ein USB-Port. Letzterer ist
allerdings – wie auch die beiden USB-Anschlüsse auf der Rückseite – in der aktuellen Version ohne
Funktion. Dies bedeutet, für die Grundkonfiguration einen PC mit seriellem Port zu finden, was
heute gar nicht mehr so einfach ist, oder einen USB-/Seriell-Adapter parat zu haben, um mit dem
beigelegten Managementkabel und einer Terminal-Emulation auf die Konsole zuzugreifen.
Ein fabrikneuer Controller startet automatisch mit dem Konfigurations-Wizard, der textbasierend
durch die wichtigsten Einstellungen führt. Davon existieren etliche, 20 Parameter benötigt der
Controller, bis er den Startvorgang zu Ende führt. Der Ablauf ist im beigelegten Quick-Start Guide
beschrieben, auch die Parameter haben jeweils ein paar Sätze zur Erklärung abbekommen. Wer sich
allerdings ohne Cisco-WLAN-Erfahrung an die Installation macht, sollte im Vorfeld unbedingt die
Dokumentation im Internet (http://
www.cisco.com/en/US/docs/wireless/controller/4.1/configuration/guide/ccfig41.html) durchlesen,
damit die Konzepte klar sind. So muss der Anwender beispielsweise eine virtuelle Gateway-Adresse
auswählen, über die alle Layer-3-Sicherheitsfunktionen wie Webauthentifizierung und
VPN-Terminierung laufen. Ebenfalls wichtig: Wenn der Administrator den im 2106 eingebauten
DHCP-Server nicht für die Zuteilung von IP-Adressen nutzen, sondern einen bereits vorhandenen
DHCP-Server verwenden will, muss dessen Serveroption 241 des Adressbereichs auf die IP-Adresse des
WLAN-Controllers verweisen. Fehlt dieser Verweis im DHCP-Antwortpaket, finden die APs den
Controller nicht. Wie sich dies bei verschiedenen DHCP-Servern – zum Beispiel dem Windows Server
2003, der im Test verwendet wurde – konfigurieren lässt, steht ebenfalls in der Dokumentation.
Herr über die Access Points
An die acht Ports des 2106 lassen sich die Access Points direkt anschließen, das ist besonders
bei den beiden PoE-Anschlüssen praktisch. Ciscos APs sind fast immer PoE-fähig – vor allem die
aktuellen Modelle. Die Access Points nehmen aber auch dann Verbindungen mit dem Controller auf,
wenn sie über weitere Switches oder Hubs mit dem Netzwerk verbunden sind. Im Test kamen ein
Aironet-1242AG- und vier Aironet-1131c-Access-Points (jeweils a/b/g) von Cisco zum Einsatz. Die APs
werden ursprünglich autonom mit eigenem Webserver ausgeliefert und lassen sich für den Einsatz mit
einem WLAN-Controller über ein Firmware-Downgrade umrüsten. Das dazu notwendige Image mit
zugehörigem Tool steht auf der Website zum Download bereit.
Da die Kommunikation zwischen Controller und APs verschlüsselt abläuft und über Zertifikate
gesichert wird, ist es wichtig, auf die korrekte Zuordnung von Controller und AP zu achten. Im Test
ließen sich zunächst zwei der fünf Access Points nicht mit dem Controller verbinden, selbst wenn
die am AP angeschlossene Konsole anzeigte, dass das Gerät bootete und den Controller fand. Des
Rätsels Lösung waren nicht zum Controller passende Zertifikate, die der Cisco-Support wieder in
Ordnung brachte.
Wie bei vielen anderen Herstellern arbeiten die WLAN-Controller von Cisco nur mit den eigenen
Access Points zusammen, sodass eine breite Palette von verfügbaren Geräten wichtig ist. Die
1130-AP-Serie ist vor allem für Büroumgebungen geeignet. Die flachen weißen Geräte mit dem großen,
mehrfarbigen Leuchtkreis in der Mitte besitzen keine externe Antenne und fallen in Büros nicht auf.
Für Indoor-Industrieumgebungen sind hingegen die APs der 1240-Reihe besser geeignet. Dort lassen
sich externe Antennen anschließen, und das Gehäuse verfügt über mehrere Befestigungsoptionen. Cisco
bietet auch Outdoor-Ausführungen der APs an und stellte vor kurzem die ersten Access Points mit
802.11n-Technik vor.
Vieles läuft automatisch
Sobald sich die APs mit dem Controller verbunden haben, kann der Administrator Einzelgeräte
weitgehend unbeachtet lassen: Die Einrichtung und das Monitoring laufen zentral über den 2106
WLAN-Controller, auch Software-Updates verteilt der Controller automatisch. Allerdings ist die
zentrale Konfiguration per Template nur mit der kostenpflichtigen Zusatzsoftware Wireless Control
System (WCS) möglich, auf die noch genauer eingegangen wird. In kleineren Installationen ist diese
Manko jedoch verschmerzbar. Im Normalfall ist an den APs ohnehin nur wenig zu konfigurieren. Zwar
lassen sich – Cisco-typisch – ein paar Dutzend Parameter pro Access Point einstellen, etwa für die
Abstrahlleistung, die RF-Daten oder beispielsweise für die Kanalvergabe.
Doch die Default-Werte zusammen mit den vielen Automatikfunktionen dürften in den meisten Fällen
ausreichend sein. So passt das System die Leistungsabgabe ebenso automatisch an wie die
Kanalbelegung, die Roaming-Übergabe oder die Reservierung von Bandbreite für Voice oder Video.
Praktisch ist ebenfalls, dass die Access Points im Gegensatz zu manchen anderen Lösungen mehrere
Funktionen gleichzeitig ausführen können: WLAN-Zugang gewähren, Rogue Access Points aufspüren und
Clients von der Verbindung mit solchen APs abhalten. Auf Wunsch lassen sich die Access Points aber
auch dediziert auf eine Funktion einstellen – dann kann ein AP beispielsweise sogar Paketdaten an
einen Airopeek-Protokollanalysator von Softwarehersteller Wildpackets weiterleiten.
Trotz mancher Automatismen ist die Konfiguration des Cisco-2106-WLAN-Controllers dennoch kein "
Spaziergang". Das grundlegende Setup über die Konsole ist nur ein Vorgeschmack auf das, was auf den
Anwender wartet, sobald er per HTTPS und Browser zum ersten Mal Kontakt mit der grafischen
Oberfläche aufnimmt. Dort existiert kein Wizard, der die weiteren Schritte vereinfachen würde. Der
Administrator muss sich zunächst sehr intensiv mit dem Controller beschäftigen. Doch es darf
Entwarnung gegeben werden: Was trotz der – auf den ersten Blick recht verwirrenden –
Funktionsvielfalt Voraussetzung ist, um einen gesicherten Zugang, beim 2106 "WLAN" genannt, für die
Benutzer einzurichten, ist letztlich überraschend einfach realisierbar.
Genügend Zeit einplanen
Der Controller bietet dafür die ganze Palette von Sicherungsmaßnahmen an – beginnend bei
statischem WEP über WEP mit 802.1X und CKIP (Cisco Key Integrity Protocol) bis hin zu WPA oder
WPA2. Mehrere WLANs, die sich dem Benutzer als getrennte SSIDs (Service Set Identifiers)
präsentieren, sind parallel mit demselben Controller und den gleichen APs realisierbar. Auch die
Zwangsumleitung auf ein Webportal ist bei Cisco möglich – wenn auch etwas versteckt innerhalb des "
Layer 3 Security-Tabs". Vorausgesetzt, die peripheren Sicherheitsinstanzen wie etwa ein
Radius-Server sind bereits installiert, lässt sich das WLAN innerhalb von 30 Minuten in Betrieb
nehmen.
Die nahezu unüberschaubare Menge an weiteren Knöpfen und Reglern ist für die Optimierung und für
das Einbinden des Controllers in ein übergeordnetes Cisco Netzwerk wichtig. Der Profi wird dies zu
schätzen wissen, sofern er alle Optionen, die hinter den Menüs versteckt sind, findet und versteht.
So ist es beispielsweise möglich, Gastzugänge an jedem Access Point, gleichgültig wo er sich
befindet, über einen verschlüsselten Tunnel beispielsweise zu einem Controller in der DMZ
(demilitarisierte Zone) zu leiten. Die IP-Pakete des Gasts kommen dann zu keinem Zeitpunkt
unverschlüsselt mit dem internen LAN in Berührung: ein interessanter Ansatz in größeren Netzen, bei
denen Sicherheit sehr ernst genommen wird. Es bleibt nur zu hoffen, dass der Administrator diese
Funktion unter dem Namen "Mobility Anchor" auch tatsächlich findet.
Blick ins Funknetz
Einmal eingerichtet erfüllt der 2106-WLAN-Controller seine Arbeit tadellos. Der Wechsel von
einem Access Point zu einem anderen innerhalb eines WLANs funktioniert glatt und ohne
Verbindungsabbrüche, die Authentifizierung arbeitet sehr zuverlässig. Auch die Statusanzeige des
Controllers über die Vorgänge im Funkbereich ist informativ, Rogue Access Points werden schnell
angezeigt. Bei der Differenzierung hätte sich Cisco allerdings etwas mehr Mühe geben können: So
gilt jeder fremde AP als "Rogue", unabhängig davon, ob er eine Verbindung zum eigenen LAN hat, also
zum Beispiel von einem unwissenden Mitarbeiter angeschlossen wurde, oder ob er außerhalb des LANs
agiert und etwa einem benachbarten Netzwerk angehört.
Wie bei WLAN-Controllern üblich, können solche APs durch gezieltes "Beschießen" mit
Disassociate-Paketen an der Verbindungsaufnahme mit internen Clients abgehalten werden – bei Cisco
heißt diese Funktion "Contain". Im Test funktionierte dies mit einer hinreichend hohen
Zuverlässigkeit. Von 100 Ping Requests zwischen Client und Rogue Access Point fielen mehr als drei
Viertel der Abwehr zum Opfer, eine korrekte Verbindung kam auf diese Weise nicht zustande.
Cisco-Clients und -Access-Points lassen sich übrigens vor dieser Art des erzwungenen
Kontaktabbruchs schützen: Mit einer Signatur der Management-Frames verwirft der Access Point jedes
Disassociation-Paket eines nicht zum eigenen Netz gehörenden APs.
Auch Ad-hoc-Netze fand der Controller im Test zuverlässig und zeigte sie entsprechend an. Dies
setzt aber mehr oder weniger die aktive Kontrolle durch den Administrator voraus. Als
Reporting-Option bietet der Controller nur die Syslog-Technik an, für alles Weitere muss der
Administrator zur bereits erwähnten WCS-Software von Cisco greifen: Das Wireless Control System
lässt sich auf einem Windows Server 2003 installieren, kann mehrere Controller verwalten und glänzt
mit einer breiten Auswahl von Reports und Alarmfunktionen.
Cisco Wireless Control System
Leider bietet ausschließlich das WCS Funktionen, die andere Hersteller bereits im Controller
integrieren, zum Beispiel das grafische Mapping der Access Points samt einer Anzeige der
WLAN-Abdeckung sowie das Orten von fremden Access Points innerhalb dieser Karten und Grundrisse.
Und selbst mit dem WCS kann der Anwender nur einen Rogue Access Point gleichzeitig aufspüren, will
er mehrere Geräte verfolgen, ist eine "Cisco Location Appliance" erforderlich. Die Arbeit mit dem
WCS gestaltet sich einfach, und das Produkt stellt eine gute Ergänzung zum Controller dar. So kann
der Anwender Grundrisse importieren, die APs darauf verteilen und die Abstrahlleistung in
Abhängigkeit von Antennenposition und räumlichen Gegebenheiten berechnen. Auch die Konfiguration
von Controllern und Access Points per Template ist damit realisierbar: ein nicht zu
unterschätzender Vorteil bei Netzen ab 20 oder 30 Access Points. Dennoch hätten einige Funktionen
des WCS auch dem 2106 gut zu Gesicht gestanden. Immerhin sind mehrere Standardsignaturen für
bestimmte Angriffsarten wie Disassociation Floods oder auch Scanning-Versuche mit dem "Hacker"-Tool
Netstumbler im WLAN-Controller eingebaut, der Administrator kann auch eigene Signaturen definieren
und hinzufügen. Die Netstumbler-Erkennung funktionierte im Test sehr gut, ein umfassender Port-Scan
mit dem Tool Nessus hingegen erschien dem WLAN-Controller 2106 hingegen unbedenklich.
Fazit
Ciscos 2106-WLAN-Controller stellt ein äußerst leistungsfähiges Werkzeug für Unternehmen dar,
die ihr WLAN sicher und gut verwaltbar aufbauen wollen. Die Funktionsfülle erlaubt einerseits die
perfekte Abstimmung auf die eigene Infrastruktur und die räumlichen Gegebenheiten, andererseits
erweist sich das Beherrschen des Controllers als Aufgabe mit einer steilen Lernkurve. Während der
Lernaufwand in der Natur der Sache liegt – viele Funktionen bedingen viele Parameter und
Einstellungen –, ist Ciscos Verzicht auf Features wie ein im Controller integriertes Mapping-Tool
bedauerlich. In größeren Netzwerken wird die Administration zwar ohnehin die WCS-Software
einsetzen, da sich bei mehr als zwei Controllern das Management per Webbrowser umständlich
gestaltet. Für ein kleines Unternehmen, dem ein 2106 als WLAN-Controller genügen würde, ist das
Fehlen solcher Features allerdings schmerzlich. Der 2106 erscheint somit nur als Teil einer
umfangreicheren WLAN-Strategie als wirklich sinnvoll. Der WLAN-Controller 2106 kostet 3250 Dollar,
für das Wireless Control System sind Preise ab 3995 Dollar zu veranschlagen, und die Access Points
der Cisco-Aironet-Serien 1130AG und 1242AG schlagen mit 699 beziehungsweise 899 Dollar zu
Buche.
Info: Cisco Tel.: 0800/1873652 Web:
www.cisco.de
Lesen Sie mehr zum Thema
