WLAN-Controller, Teil 7: Netgear WFS709TP
Wireless mit Wachhund
Ein WLAN-Controller erleichtert Konfiguration und Überwachung in drahtlosen Netzen mit mehreren Access Points. Mit Netgears WFS709TP hat der Administrator zudem eine schlagkräftige Waffe gegen unbefugte Zugriffe zur Hand. LANline setzt mit dieser Lösung für kleinere Unternehmen die Testreihe WLAN-Controller fort.
Netgear bietet WLAN-Komponenten nicht nur für den Consumer-Bereich, auch für kleine und mittlere Unternehmen sind zahlreiche WLAN-Router und Access Points (APs) im Programm. Da liegt es nahe, dass auch eine Lösung zur zentralen Verwaltung von Access Points das Produktportfolio abrundet. Bei Netgear ist dies der WLAN-Controller WFS709TP. Das eine Höheneinheit flache 19-Zoll-Gerät kann bis zu 16 APs verwalten und deren Dienste zentral für die Clients zur Verfügung stellen. An seiner Frontseite sind acht 10/100-Ports angebracht, der neunte dient als Uplink zum Unternehmensnetz und beherrscht 10/100/1000 MBit/s. Alle neun Ports können Endgeräte mit Power-over-Ethernet (PoE) versorgen, sogar eine Cisco-kompatible PoE-Variante lässt sich vom Administrator in der Benutzeroberfläche freischalten.
Als passende Access Points bietet Netgear zwei "dünne" Geräte an, die nur in Verbindung mit dem Controller funktionieren: Der WAGL102 und der WGL102 beherrschen 802.11a/b/g beziehungsweise -b/g. Wer will, kann auch aus den normalen Netgear-APs WAG102 und WG102 durch einen Firmware-Reflash "dünne" Exemplare erzeugen - der Vorgang ist allerdings irreversibel. Eine Erweiterung auf 802.11n wird es wohl für den WFS709TP nicht geben. Grund ist die Architektur des Systems, die - anders als bei manchen Vergleichslösungen - alle Daten durch den Controller schleust. Bei den hohen Datenraten, die 802.11n theoretisch erreichen kann, würde sich dieser Controller zum "Nadelöhr" entwickeln. Netgear arbeitet nach eigenen Angaben an einer neuen Lösung, die die Verwaltung der Sicherheitseinstellungen und den Gastzugang übernehmen wird, die Nutzlast der Datenpakete soll jedoch durch die Access Points direkt in das LAN eingespeist werden. Zum Test standen als APs vier WAGL102 zur Verfügung, die wir im LANline-Testlabor direkt mit vier Switch-Ports des WFS709TP verbanden. DHCP- und DNS-Dienste stellte die vorhandene Testumgebung bereit, auch ein externer RADIUS-Server stand für Authentifizierungsaufgaben zur Verfügung.
Geduld notwendig
Auch wenn der WLAN-Controller vorkonfiguriert ausgeliefert wurde, ließen wir es uns nicht nehmen, das Gerät auf "Factory Defaults" zurückzusetzen und ganz von vorn anzufangen. Die Standard-IP-Adresse lautet 192.168.0.250, die Anmeldedaten im Auslieferungszustand heißen "admin/password". Beim Erstzugriff startet ein Wizard, der die üblichen Angaben wie IP-Adresse und Netzwerkmaske abfragt. Nach einem Neustart steht das Gerät unter der richtigen Adresse bereit. Generell ist dies ein sehr einfacher Ablauf, der durchaus positiv zu bewerten ist. Etwas umständlich lässt sich allerdings die Konfiguration des DHCP-Servers an: Die APs wollen erst dann mit dem Controller zusammenarbeiten, wenn sie passende Adressen aus dem Subnetzbereich erhalten haben. Dazu muss entweder der Controller selbst Adressen bereitstellen oder die Anfragen an den DHCP-Server im LAN weitergeben. Dies funktioniert aber nur, wenn ein entsprechendes Häkchen in der Benutzeroberfläche gesetzt ist.
Die grafische Web-Oberfläche des Netgear-Controllers steht zwar durchaus auf einer Stufe etwa mit den "Kollegen" von D-Link oder Extricom. Sie reagiert aber - unabhängig vom verwendeten Browser - sehr träge, was gerade bei der Erstkonfiguration nervt. Außerdem unterstützt der Controller sehr viel mehr Funktionen als auf den ersten Blick erkennbar, wobei die Aufteilung der Einstellungen auf die einzelnen Menübereiche teilweise recht willkürlich erscheint. Um ein Beispiel zu nennen: Der Eintrag "Force Station Deauthentication for Policy Enforcement? befindet sich im Untermenü "Advanced" des "RF-Managements". Im Bereich "Security" wäre er erheblich besser aufgehoben. So mussten wir trotz intensiver Beschäftigung mit dem Controller gelegentlich immer wieder langwierig nach bereits bekannten Funktionen suchen, die aber nicht dort zu finden waren, wo sie logisch gepasst hätten. Dass das englische Handbuch eigentlich durchgehend dort mit Erklärungen aufhört, wo Hilfe notwendig wäre, erleichtert ebenfalls nicht gerade die Arbeit. Im Test kamen übrigens die Browser Firefox 3.0.8 sowie Internet Explorer 7 und 8 (unter Windows 7 Beta) jeweils ohne Probleme zum Einsatz - lediglich Javascript ist zwingend erforderlich.
Schnellstart mit Basic-Modus
Immerhin ist die Grundkonfiguration über einen "Basic Mode" sehr einfach durchführbar: Dieser Modus blendet etwa drei Viertel aller Funktionen aus und fasst zugleich andere Einstellungen zusammen. Das Ergebnis stellt eine schlanke Suboberfläche dar, über die der Administrator innerhalb von fünf Minuten sein WLAN samt Authentifizierung mit wenigen Klicks zusammenstellen kann. Hier erhält der WFS709TP auch die besten Noten: Ob Captive-Portal, Guest-Registrierung über die E-Mail-Adresse oder RADIUS-Authentifizierung - alle Varianten lassen sich sehr einfach und praktisch mit Funktionsgarantie konfigurieren. Ähnlich bequem hat dies im LANline-Test bis jetzt nur Ruckus hinbekommen.
Der eingebaute RADIUS-Server hilft kleineren Firmen beim Aufsetzen einer anspruchsvollen Sicherheitslösung ohne zusätzliche Komponenten. Im Test funktionierte auch die RADIUS-Authentifizierung mit dem Windows-XP-Standard-Client fehlerfrei, was bei Vergleichslösungen durchaus nicht immer der Fall war. Dazu wählt der Benutzer beim Client in den Einstellungen der entsprechenden SSID "Geschütztes EAP(PEAP)" sowie bei dessen Eigenschaften "Sicheres Kennwort". Im "Konfigurieren"-Dialog ist der Haken bei "Automatisch mit Windows-Credentials anmelden" herauszunehmen. Ab der nächsten Verbindungsaufnahme mit der SSID wird eine Aufforderung mit Feldern für User/Password/Domain angezeigt, die sich durch Einträge des internen oder eines externen RADIUS-Servers bestätigen lassen.
Praktisch ist auch die Möglichkeit, Administrationsrollen mit unterschiedlichen Rechten zu konfigurieren. So kann dann beispielsweise die Sekretärin in der Lobby selbstständig Zugangscodes für Besucher ausstellen, die sich anschließend per Guest-Portal anmelden. Allerdings sollte sich der Administrator schon vor dem Setup das grundlegende Konzept seines WLANs überlegen und dieses mit der Art und Weise abgleichen, die Netgear für die Umsetzung vorsieht. Beispielsweise lässt sich jede SSID mit eigenen Parametern für Verschlüsselung, Authentifizierung und VLAN ausstatten, auch Kanalwahl und die Funkmodule a/b/g lassen sich frei zuordnen. Die gewünschten APs pro SSID hingegen legt der Administrator über die VLAN-Einstellungen fest. Jeder Port des Switches besitzt eine VLAN-Nummer, und APs, die am entsprechenden Port eingesteckt sind, bieten die zur VLAN-ID passende SSID an.
Wo der Anwender die APs am besten platziert, lässt sich per Planungs-Tool herausfinden. Der Controller gibt mittels vorher definierter Angaben zu Größe und Grundriss Empfehlungen ab, welche Positionierung theoretisch zur besten Ausleuchtung führt. Besonders genau sind die Angaben nicht, aber für den Anfang mag diese Aufstellhilfe genügen. Wie in der Testreihe üblich ermittelten wir auch den Punkt-zu-Punkt-Durchsatz zwischen einem Access Point und einem 100 Zentimeter entfernten Client. Zum Einsatz kam dabei das kostenlose Tool "testtcp", mit dem sich TCP-Durchsätze weitgehend frei Einflüssen durch andere Faktoren messen lassen. Im Mittel ließen sich dabei 12,65 MBit/s erzielen, ein FTP-Transfertest brachte es auf 13,8 MBit/s - keine Spitzenwerte, aber ausreichend für übliche Büroaufgaben.
Alter Bekannter
Der WFS709TP kann übrigens nicht nur in flachen Netzhierarchien arbeiten, sondern beherrscht auch das Routing auf Layer-3. Für das Deployment der APs hat Netgear einen Wizard eingebaut, der beide Varianten unterstützt. Damit die APs ihren Controller auch in anderen Subnetzen finden, muss der Administrator entweder im DNS-Server den Controller als "netgear-master" hinterlegen oder beim DHCP-Server die "Option 43" mit der IP-Adresse des WFS709TP besetzen. Abgesehen davon bereiten die Netgear-APs im laufenden Betrieb keine Mühe. Der Administrator kann sie zwar einzeln ansprechen und Statistikdaten abfragen, notwendig erscheint dies jedoch nicht: Die zentrale Verwaltung im Controller erwies sich im Test für Betrieb und Monitoring des WLANs als absolut Herr der Lage.
Gehäuse und Software sind zwar durchgängig mit Netgear-Logos gekennzeichnet, doch wer auch mit WLAN-Controllern anderer Anbieter vertraut ist, wird - beispielsweise an den Labels für Rogue Access Points - als tatsächlichen Hersteller Aruba erkennen, woraus Netgear letztlich kein Geheimnis macht. Im Prinzip handelt es sich um einen Aruba Mobility Controller mit einer etwas veränderten Ausstattung. Dieser war bereits Gast in der WLAN-Controller-Testreihe und damals mit seinen umfassenden Möglichkeiten zur Abwehr von WLAN-Bedrohungen positiv aufgefallen. Netgears WFS709TP steht dem in nichts nach. Mit der WLAN-Lösung lassen sich Rogues, also fremde Access Points, nicht nur aufspüren sondern auch aktiv bekämpfen. Das System unterscheidet dabei zwischen "Interfering" und "Rogue" APs. Letztere sind zwar mit dem eigenen LAN verbunden, aber nicht Bestandteil des durch Netgear kontrollierten WLANs. Ein Interfering AP hingegen besitzt keine Verbindung mit dem eigenen LAN. Alle APs in benachbarten Unternehmen und Privaträumen fallen daher in die Rubrik "Interfering". Das Aufspüren übernehmen entweder die APs in einer Nebenrolle als so genannte Air-Monitore, oder der Administrator definiert bestimmte APs, die dann dediziert als Air-Monitore fungieren.
Bei den Abwehrmaßnahmen kennt Netgear allerdings keine Gnade: Sowohl Access Points als auch Clients lassen sich - ganz einfach per Mausklick - aus dem Netz werfen und auch weiterhin fernhalten. In diesem Fall überschütten die eigenen APs das Opfer mit massenhaften Disassoziationsanfragen, also einem gezielten Mini-DoS-Angriff (Denial of Service). Der Erfolg hängt von der Position des Clients beziehungsweise des Rogue APs ab. Wenn die Air-Monitore mit voller Wucht auf das Fremdsystem einwirken können, hat dieses keine Chance. Im Test kamen beispielsweise von 100 Ping-Paketen weniger als 20 an. Bewegte sich der Client, so kam es an einigen Stellen dennoch zur Verbindung, die jedoch meist nur ein paar Sekunden anhielt. Der Administrator sollte sich also nicht blind auf die Wirksamkeit dieser Schutzmaßnahme verlassen. Das gleiche gilt auch für die Abwehr der Verbindungen mit Interfering Access Points. Auch hier lag im Test die Abwehrrate hoch - wenn auch nicht bei 100 Prozent. Selbst ohne dedizierten Air-Monitor genügten drei Access Points, um jeden Client wirkungsvoll vom AP zu trennen. Schon bei üblichen Abständen zwischen zwei Büroräumen bleiben Clients damit ausgesperrt.
Vorsicht bei der Abwehr
So spannend die Möglichkeit auch sein mag, in seiner Umgebung fremde Clients und Access Points "abzuschießen", sollten sich Administratoren dennoch zügeln. Solche Methoden beeinträchtigen nicht nur die gute Nachbarschaft, sondern können auch handfesten rechtlichen Ärger nach sich ziehen. Die Netgear-Dokumentation ist in dieser Hinsicht reichlich sorglos und spricht mögliche Konsequenzen nicht an. Dass die bei Netgear als "Disable" bezeichnete Abwehrfunktion im Menü in einer Reihe mit anderen Funktionen steht, die etwa lediglich eine Änderung der Anzeige des APs bewirken, wirkt wie eine geladene Waffe ohne Sicherungsbügel.
Bislang konnte jedenfalls keiner der getesteten WLAN-Controller auch nur annähernd so viel Einfluss auf andere WLAN-Geräte nehmen. Dies ist offensichtlich ein zweischneidiges Schwert, denn die Folgen einer unbedachten oder versehentlichen Handlung können erheblich sein. Dennoch zeigt Netgear, dass sich ein WLAN wirkungsvoll gegen Angreifer schützen lässt. Denn neben den Monitoring-Funktionen sind auch noch Intrusion Detection und Denial-of-Service-Erkennung eingebaut, zudem sorgt eine Firewall für einen weiteren Verteidigungswall im drahtlosen Netz.
Was die Praxistauglichkeit des System angeht, mussten wir im Test keinerlei Abstriche machen. Der WFS709TP lief nach der Erstkonfiguration problemlos und verrichtet brav seine Aufgaben. Wir hätten uns etwas mehr Komfort bei der Verwaltung der Konfigurationsdaten gewünscht, im Moment lassen sie sich vom Controller nur per FTP, TFTP oder SCP (Secure Copy Protocol) herunterladen. Der sonst übliche Download per Browser funktioniert hier nicht. Ebenfalls gewöhnungsbedürftig: Alle Änderungen werden schon nach dem Klick auf den "Apply"-Knopf des jeweiligen Fensters aktiv geschaltet. Daher ist Vorsicht bei der Konfiguration von VLAN-IDs und IP-Parametern geboten, sonst sperrt sich der Administrator selbst aus. Etwas inkonsequent erscheint dann allerdings die Forderung des Controllers, alle Änderungen dauerhaft nur über einen eigenen Klick auf den "Save Config" Button in das Flash Memory zu speichern. Immerhin: Wer eine falsche Konfiguration vorgenommen hat, findet nach einem Neustart des Controllers wieder den letzten "Save Config"-Zustand vor.
Fazit: Netgears WFS709TP ist ein grundsolider WLAN-Controller für kleine Unternehmen. Der Funktionsumfang bei Authentifizierung und Gastzugang ist mustergültig, die Abwehrmaßnahmen sind für die Zielgruppe etwas überdimensioniert. Dafür erhalten Anwender, denen 11a/b/g-Durchsätze genügen, eine sehr preisgünstige Lösung: Knapp 2.250 Euro kostet der Controller, die APs sind mit ungefähr 150 Euro pro Stück im Verhältnis preislich noch attraktiver. Angesichts der Ausstattung mit Firewall, Guest-Portal und umfangreichem Reporting, lässt sich der WFS709TP als Schnäppchen für Anwender bezeichnen, die ein All-Inclusive-Basispaket suchen.
Info: Netgear Deutschland Tel.: 089/92793-2500 Web:
Lesen Sie mehr zum Thema
