Test: Airwave Management Platform 3.3.0
Viele Access Points zentral im Griff
Wer 20, 100 oder 1000 Access Points im sicheren, kontinuierlichen Betrieb halten muss, sieht sich einer nicht gerade einfachen Aufgabe gegenüber. Kommen die Geräte auch noch von unterschiedlichen Herstellern, ist eine zusätzliche Verwaltungsunterstützung unumgänglich. Die kalifornische Firma Airwave verspricht, für diesen harten Job das richtige Werkzeug auf Linux-Basis anbieten zu können.
Administratoren größerer WLAN-Installationen sehen sich einer Flut täglicher Fragestellungen
ausgesetzt, die sich ohne eine zentrale Verwaltungsmöglichkeit nur mühsam bewältigen lassen.
Existieren Sicherheitslücken durch Access Points, die aufgrund fehlerhafter Konfiguration keine
Zugangsauthentifizierung durchführen? Sorgen unautorisierte Access Points ("Rogue APs") für
unkontrollierten Zugriff auf die Netzinfrastruktur? Existiert ein Ungleichgewicht der
WLAN-Client-Verteilung auf Access Points, das zu Performance-Engpässen führt? Sind alle Access
Points auf dem gewünschten Firmware-Stand?
Bei der Lösung dieser und weiterer Verwaltungsaufgaben unterstützt den Funknetzverantwortlichen
die Airwave Management Platform (AMP). AMP verfolgt dabei einen weitgehend herstellerneutralen
Ansatz und erlaubt nicht nur eine rein passive Überwachung von Access Points, sondern auch deren
aktive, zentral gesteuerte Konfiguration bis hin zu automatisierten Firmware-Updates, um definierte
Unternehmensrichtlinien für den WLAN-Betrieb umzusetzen.
Das Herz der Airwave Management Platform schlägt in Form eines dedizierten Verwaltungsservers
auf Linux-Basis (Fedora 3, eine von Red Hat gesponserte freie Linux-Distribution).
WLAN-Administratoren greifen auf den AMP-Server für ihre tägliche Arbeit über ein übersichtliches,
SSL-gesichertes Web-Interface zu. Die Grundinstallation von AMP, das die gesamte Festplatte des
Servers in Anspruch nimmt, gestaltet sich in den meisten Fällen auch für Administratoren mit
Windows-Schwerpunkt als problemlos. Ein textbasierendes Installationsprogramm führt durch die
Hardwareerkennung und Basiskonfiguration. Nur wenige, dokumentierte Konsolenkommandos sind
erforderlich. Allerdings beinhaltet die zugrunde liegende Linux-Distribution bei allzu neuen
Hardwarekomponenten durchaus manche "Stolpersteine". Unsere Testinstallation basierte zum Beispiel
auf einem Dell Dimension 8400 mit Intel ICH6 SATA-Controller, der standardmäßig im so genannten
AHCI-Modus (Advanced Host Controlling Interface) betrieben wird. Damit auch Fedora 3 angeschlossene
Festplatten erkennt, ist im BIOS der alternative ATA-Modus zu wählen. Im Zweifelsfall sollte der
Anwender vor dem Einsatz von AMP die Unterstützung aller verwendeter Hardwarekomponenten durch
Fedora 3 sicherstellen. Damit die Linux-Basis auch im laufenden Betrieb auf dem aktuellen
Sicherheitsstand bleibt, unterstützt Airwave den normalen Online-Update-Mechanismus von Fedora
namens "YUM". Der Update-Download nach der Erstinstallation von AMP 3.3.0 in unserem Labor umfasste
zum Beispiel gleich erstaunliche 114 MByte.
Zentrale Verwaltung mit Höhen und Tiefen
Abhängig vom unterstützten Gerätemodell erfolgt der Verwaltungszugriff auf die Access Points
über SNMP, Telnet oder SSH. Um Access Points unter das Management von AMP zu bekommen, lassen sich
ganze Netzwerksegmente automatisch via SNMP oder HTTP nach geeigneten Geräten scannen. Auf diese
kann AMP nur zugreifen, wenn entsprechende Anmeldekennungen bekannt sind. Die Suche nach neuen
Geräten erfolgt auf Wunsch auch regelmäßig zu definierten Zeiten. Von AMP verwaltete Access Points
lassen sich in Konfigurationsgruppen zusammenfassen. Die zugeordneten APs können alle dort vorrätig
gehaltenen Einstellungen wie Funkmodul-, Sicherheits- (inklusive Listen berechtigter MAC-Adressen)
und VLAN-Konfiguration automatisch übernehmen. Auf dem AMP-Server hinterlegte Firmware-Versionen
werden bei Bedarf via TFTP oder HTTP auf die Geräte übertragen. Lediglich individuelle
AP-Einstellungen wie zu verwendender Funkkanal oder vorgegebene IP-Adresse muss der Administrator
prinzipbedingt für jedes Gerät einzeln definieren. Mit einem Mausklick lässt sich bei Bedarf der
Funkbetrieb aller Access Points einer Gruppe deaktivieren.
Unsere Testumgebung umfasste die von AMP offiziell unterstützten AP-Modelle Proxim AP-4000 und
AP-2000, Avaya AP-3 (baugleich mit Proxim AP-2000) sowie – aus deutscher Entwicklung – Funkwerk
(ehemals Artem) W1000 und Lancom L-54ag. Die beiden Proxim-Geräte verfügten jeweils über zwei
Funkzellen für 802.11g und 802.11a, während die übrigen Geräte unter 802.11g betrieben wurden. Alle
fünf APs wurden von AMP nach kurzer Zeit korrekt im Netz erkannt und ließen sich anschließend mit
wenigen Mausklicks verschiedenen Verwaltungsgruppen zuweisen. Bei der Übernahme der
Gruppeneinstellungen zeigte sich allerdings schon in unserer kleinen AP-Auswahl, dass Airwave
durchaus Schwerpunkte in der spezifischen Herstellerunterstützung setzt und die
Verwaltungsmöglichkeiten von Modell zu Modell stark variieren.
Während die Vertreter von Proxim und Avaya von AMP wunschgemäß und beeindruckend leicht mit
korrekten Sicherheitsvorgaben (gemeinsame SSID, WPA mit 802.1x-Authentifizierung gegen
Radius-Server etc.) und aktueller Firmware versorgt wurden, konnte der AP von Funkwerk lediglich
den Firmware-Vorgaben folgen. Die WPA-Konfiguration dieses Modells beherrscht AMP in der Version
3.3.0 noch nicht. Folgerichtig wurde die Gerätekonfiguration in der AP-Übersicht auch korrekt als "
bad" markiert. Der Administrator wird zumindest darauf aufmerksam, dass er über den nativen
Verwaltungsweg den Access Point auf den richtigen Konfigurationspfad bringen muss. Der Support des
Lancom-Geräts durch Airwave beschränkt sich gar auf minimale Überwachungsdaten. Aktive
Verwaltungseingriffe werden derzeit nicht unterstützt. Irritierend am gebotenen Informationsstand
über das Lancom-Gerät ist zudem, dass AMP trotz der wenigen verfügbaren Daten, zu denen nicht
einmal der aktive Funkkanal zählt, die Konfiguration als "good" eingestuft hat (Bild 1).
Probleme im Detail bereitete aber auch die Unterstützung des Doppelfunkers Proxim AP-4000. Seine
beiden Funkzellen wurden von AMP zwar korrekt erkannt, doch beharrte das System hartnäckig darauf,
dass die Konfiguration als "bad" einzustufen ist: Der ausgelesene 802.11a-Funkkanal des Moduls
entsprach nicht dem in Airwave vordefinierten. Eine Angleichung war auch manuell nicht möglich, da
sich die Kanalauswahlmöglichkeit für die Regulationsdomäne "Germany" in AMP nicht mit der des
Access Points deckt. Leider bietet keine der beiden Seiten die Wahl zwischen allen 19 in
Deutschland freigegebenen Kanälen. Auch ein vom Airwave-Support bereitgestellter Patch konnte das
Problem in unserem Testzeitraum nicht beseitigen.
Die Airwave Management Platform gibt nicht nur einen Überblick über den Status der verwalteten
Access Points, sondern auch über die Aktivität der WLAN-Clients im Gesamtsystem. AMP zeichnet zu
jedem Client – durchaus diskussionswürdige – Daten in einer Sitzungshistorie auf. Zu den gebotenen
Informationen zählen Access Point des Zugangs, Zeitpunkt, Sitzungslänge, übertragenes Datenvolumen
und Signalqualität. Standardmäßig identifiziert AMP die Clients über ihre MAC-Adresse. Liefern
Access Points beziehungsweise Router und Switches via SNMP-Abfrage der ARP-Tabelle (getestet mit
einem Managed Switch D-Link DES-3526) die passende IP-Adresse zur Mac-Adresse, wird auch diese
verzeichnet. Im Zusammenspiel mit Accounting-Informationen eines verfügbaren Radius-Servers (soll
laut Airwave mit "Free-Radius" und "Radiator" funktionieren) wird aus der WLAN-Client-Historie
durch Ergänzung des Anmeldenamens gar eine Aufzeichnung des Benutzerverhaltens, aus der sich
fragmentarisch nachvollziehen lässt, wer wann im Unternehmen wo unterwegs war. Spätestens an diesem
Punkt sind Einwände des zuständigen Datenschutzbeauftragten zumindest in Deutschland
vorprogrammiert.
Aus den kontinuierlich in der internen Datenbank (Postgre-SQL) gesammelten Informationen
generiert AMP tägliche Reports zur Auswertung der Access-Point-Auslastung, Inventurlisten und
Benutzersitzungen. Die Reports lassen sich leicht in Excel übernehmen beziehungsweise per Mail
zustellen. In Kürze soll auch eine automatische Zusammenfassung aller Daten und
Konfigurationseinstellungen in komprimierten Archivdateien realisierbar sein, die sich via HTTP von
bestehenden Back-up-Systemen einsammeln lassen.
Fremde Funker zuverlässig identifizieren
Eine sicherheitsrelevante Aufgabe in WLAN-Installationen stellt die kontinuierliche Überwachung
des Luftraums auf fremde, unautorisierte APs dar. Da der WLAN-Zuständige nicht dauernd mit mobilen
Messgeräten überall im Unternehmen präsent sein kann, ist er auf stationäre Hilfe angewiesen. Damit
ausschließlich zu diesem Zweck neben den Access Points nicht zusätzliche, kostspielige
Überwachungsgeräte erforderlich werden, sind die AP-Entwickler dazu übergegangen, entsprechende
Scan-Funktionen in ihre Firmware zu implementieren.
AMP implementiert in seinem Modul Rapids (Rogue Access Point Intrusion Detection System) mehrere
Überwachungsmöglichkeiten, um unerwünschte Funkerweiterungen des Firmennetzes aufzuspüren.
Enterprise-APs von Intel, Symbol, Proxim, Avaya und Colubris melden Rogue APs direkt an die
zentrale Sammelstelle AMP weiter. Der AMP-Server selbst durchsucht das bekannte Netz via HTTP und
SNMP, wertet SNMP-Daten aus Routern und Switches aus und weiß AP-spezifische Broadcast-Pakete
entsprechend auszuwerten. Zusätzlich lässt sich der optionale Airwave Management Client (AMC) auf
ausgewählten Desktops oder Clients zur gezielten Überwachung installieren. Die getesteten APs von
Proxim und Avaya meldeten in unserem Labor an AMP tatsächlich erstaunlich viele Funknetze aus den
umliegenden Büros und Wohnungen, selbst wenn diese nur außerhalb der normalen Arbeitszeiten
temporär aufgespannt waren.
Fazit
Airwave bietet mit AMP eine vielversprechende Lösung, um Herr über wenige dutzende bis hin zu
mehreren hundert WLAN-Access-Points zu bleiben. Insbesondere der Ansatz, die nützlichen
Verwaltungsfunktionen herstellerübergreifend auf einer offenen Linux-Betriebssystemplattform über
einen Client-unabhängigen Administrationszu-gang via Web-Interface anzubieten, kann grundsätzlich
überzeugen. Größere Installationen werden auch die hier nicht getestete Anbindungsmöglichkeit an
SNMP-basierende Netzwerkmanagementplattformen wie HP Openview oder IBM Tivoli zu schätzen wissen.
Mehrere AMP-Server lassen sich zur besseren Verwaltung unter einer "Master Console"
zusammenfassen.
In der Praxis müssen die Airwave-Entwickler allerdings noch einige Arbeit leisten, um das
Konzept auch vollends in die Praxis umzusetzen. Die Herstellerunterstützung lässt sich auf der
Basis einer verfügbaren Kompatibilitätsmatrix derzeit grob in das Lager der gut bis sehr gut
unterstützten Geräte (Avaya, Cisco Aironet, Colubris, Dell, Enterasys, HP, Proxim, Systimax und
Symbol) und den "Rest" unterteilen. Basieren WLAN-Installationen primär auf Access Points, die
diesem Rest zuzuordnen sind, sollte die Nützlichkeit des Einsatzes von AMP vor dem Kauf gut geprüft
werden. Nach Aussagen von Funkwerk und Lancom arbeiten diese Hersteller bereits an einer
weitergehenden Integration ihrer Access Points in AMP.
Funktionell verbleibt noch der Wunsch, die individuellen Konfigurationsdaten eines jeden Access
Points, die über die Verwaltungsschnittstelle von Airwave hinausgehen, ebenfalls in der
Systemdatenbank speichern zu können, um ersetzte Hardware mit möglichst wenig Aufwand wieder
eingliedern zu können. Diese Funktion existiert bereits ansatzweise für Cisco Aironet APs. Auch die
Unterstützung von 802.11a und APs mit zwei Funkzellen ist noch erweiterungsfähig.
Der offizielle Distributor, die Firma Netcor (www.netcor.de), nennt als Preise zum Beispiel für
die AMP Lite Edition (bis maximal 25 APs, inklusive Rapids, eine AMC-Lizenz sowie ein Jahr
Maintenance und Support) 5296 Euro sowie jeweils 3777 Euro für 25 weitere AP-Lizenzen. Der Preis
für eine AMP Professional Edition (ein Server für maximal 1000 APs, inklusive Rapids, 25
AMC-Lizenzen, Anbindungsmöglichkeit an Netzwerkmanagementplattformen sowie ein Jahr Maintenance und
Support) liegt bei 27.436 Euro.
Info: Airwave Tel.: 0031/13/5470034 Web: www.airwave.com
Lesen Sie mehr zum Thema
