Test: Aruba 200 Mobility Controller
WLAN-Sicherheit aus einem Guss
Wireless LANs zu schützen, ist keine leichte Aufgabe. Intrusion-Prevention-Systeme mit speziellen WLAN-Funktionen unterstützen den Administrator dabei. Arubas Mobility Controller 200 stellt zusammen mit Access Points von Aruba WLAN-Dienste zur Verfügung und will Angriffe abwehren.
Wenn auch die drahtlose Netzwerkverbindung aus vielen Büros nicht mehr wegzudenken ist – so
richtig wohl ist den meisten Administratoren dabei vermutlich nicht: Funkwellen lassen sich nicht
von Mauern und Türen abhalten. Dies gilt sowohl für ausgehende Signale als auch für den umgekehrten
Weg ins Unternehmen hinein. So erlauben viele Firmen ihren Mitarbeitern den WLAN-Zugang nur per
IPSec-VPN und schränken unter Umständen die nutzbaren Dienste und Ressourcen ein. Allerdings dürfte
ein solches Vorgehen den meisten Mitarbeitern schnell die Lust am drahtlosen Netzwerk nehmen und
läuft der Idee des ungehinderten Kommunizierens entgegen. Zudem ist es aufwändig und damit teuer,
VPNs für jedes Notebook zu verwalten.
Abhilfe versprechen spezielle WLAN-Controller, die das drahtlose Netzwerk mit allen Aspekten und
ohne jeden Spielraum kontrollieren. In der Regel sind dazu auch zugehörige Access Points notwendig.
Mittlerweile bringen immer mehr dieser Controller auch Intrusion-Detection- oder
Intrusion-Prevention-Funktionen mit. Damit ist das WLAN nicht nur passiv unter Kont-rolle, das
System kann auch aktiv gegen Angreifer vorgehen. Von Aruba Networks ist eine ganze Reihe solcher
Geräte unter dem Oberbegriff "Mobility Controller" erhältlich. Der Aruba 200 ist das jüngste Kind
dieser Produktfamilie und speziell für kleine Firmen oder Zweigstellen konzipiert. Er kann sechs
der hauseigenen Aruba-Access-Points und bis zu hundert Benutzer verwalten. Das Gerät besitzt noch
nicht einmal die Grundfläche eines DIN-A4-Blatts und wird über ein externes Netzteil versorgt.
Daher kommt es ohne Lüfter aus und eignet sich für jede Umgebung – gleichgültig, ob Büro oder
Serverraum.
Lufthoheit sichern
Arubas WLAN-Konzept stellt eine Rundumlösung dar: Zum Mobility Controller gehören die passenden
Access Points (APs), der Hersteller hat eine ganze Palette im Angebot. Die meisten Geräte lassen
sich über Power over Ethernet mit Strom versorgen, andere Modelle sind für den Desktop konzipiert
und verfügen über ein Steckernetzteil. Zusätzlich existieren Zugangs-Controller für drahtgebundenes
Ethernet, sodass auch normale Arbeitsplätze von den Sicherheitsfunktionen des Controllers
profitieren können. Im Test kamen zwei Aruba-AP-65-Systeme für 802.11a/b/g und ein AP-60 für
802.11a zum Einsatz. Im Prinzip kann der Anwender auch vorhandene Access Points von anderen
Herstellern verwenden: Ihre Funktion bleibt jedoch auf die Bereitstellung des reinen WLAN-Zugangs
beschränkt. Die Aruba-Access-Points leisten erheblich mehr und werden als so genannte "Dumb"
Devices ausschließlich über den Mobility Controller konfiguriert und verwaltet. Der Administrator
muss die Aruba-APs lediglich mit dem Netzwerk verbinden und mit Strom versorgen. Wie der Controller
basieren auch die APs auf einem angepassten und gehärteten Linux im Flash-Speicher. Für den
Funkkontakt sorgen Atheros-Chipsätze.
Ein Aruba-AP hat zwei Rollen, die er normalerweise parallel ausführt: Zum einen ist er
klassischer Access Point, der den Anwendern mit drahtlosen Netzwerkkarten Zugang zum LAN gewährt.
Zum anderen übernimmt er eine ganze Reihe von passiven Monitoring- und Überwachungsaufgaben – in
seiner freien Zeit gewissermaßen. Je nachdem, wie stark der AP mit dem Beantworten von
Client-Anfragen beschäftigt ist, bleibt ihm mehr oder weniger Zeit für die Monitoring-Aufgaben.
Daher kann die Administratien einen Access Point auch zum dedizierten "Air-Monitor" erklären. Als
Zugangspunkt steht dieser zwar nicht mehr zur Verfügung, übt aber einen weiter gehenden, aktiven
Einfluss auf das WLAN aus. Der zentrale Aruba 200 schützt dabei nicht nur die Kommunikation,
sondern kann auch Schritte zur Abwehr entdeckter "Mithörer" ergreifen: beispielsweise um zu
verhindern, dass sich Clients mit einem fremden Access Point verbinden, der in der Nähe installiert
ist. In diesem Fall unterbindet der Air-Monitor die ungewünschte Kommunikation durch einen
gezielten Mini-DoS-Angriff (Denial of Service).
Grundsätzlich hat der Mobility Controller zwei Aufgaben: Er schützt den Zugang zum LAN durch
Authentifizierung und Verschlüsselung sowie eine Firewall. Darüber hinaus sucht er nach störenden
(Interfering) und unerlaubten (Rogue) Access Points. Interfering APs liegen im Empfangsbereich der
Aruba-Air-Monitore, sind jedoch mit einem anderen (fremden) Netz verbunden. Ein Rogue AP besitzt
hingegen eine Verbindung zum LAN des Unternehmens. Dies kann zwei Ursachen haben: Die häufigste
dürfte ein eigenverantwortlich mitgebrachter Access Point eines Mitarbeiters sein, der in seinem
Büro für drahtlosen Netzwerkzugang sorgen will, ohne den offiziellen Weg über die IT-Abteilung zu
nehmen. Die Absicht ist zwar harmlos, die Wirkung kann aber verheerend sein, denn so entsteht ein
weit offenes Tor im Rücken aller Abwehrmaßnahmen des Netzwerks. Andererseits besteht auch die
Möglichkeit, dass ein Angreifer innerhalb des Unternehmens versucht, Notebooks zum Anmelden am
Rogue AP zu verleiten, um dann dort die Kommunikation mitschneiden zu können. Welcher Grund auch
immer vorliegt, Rogue Access Points müssen schnellstmöglich gefunden und außer Gefecht gesetzt
werden.
Aller Anfang ist schwer
Wenn man den Aruba 200 in Betrieb nimmt, ist zunächst ein PC mit Terminal-Emulation gefordert:
Die ersten Schritte sind nur über die serielle Konsole konfigurierbar. Dabei hat Aruba nicht das
übliche, neunpolige Sub-D-Format als Anschluss gewählt, sondern eine RJ45-Buchse. Da dem Testgerät
kein passendes Kabel beilag, konnten wir gleich erfolgreich die Kompatibilität mit
Standard-DB9-zu-RJ45-Kabeln testen. Nach dem Booten fragt der Controller einige Eckdaten ab, über
die sich die Administration vorab Gedanken machen sollte. Ein "Quick-Start Guide" erklärt die
Parameter und beschreibt anhand eines Beispielszenarios die Rollen der einzelnen Komponenten. Dazu
zählt die Verteilung von VLAN-IDs, die aber beim Aruba 200 schnell abgehandelt ist: Das Gerät
besitzt nur eine 10/100-MBit/s-Schnittstelle zum externen (Wireless-)Netzwerk sowie einen
Gigabit-Ethernet-Port für die Verbindung mit dem internen LAN.
Abgesehen von den ersten Schritten erfolgt die Administration des Controllers über HTTP oder
HTTPS via Browser. Obwohl Aruba den Internet Explorer empfiehlt, zeigten sich im Test mit
verschiedenen Firefox-Versionen keine Probleme. Bevorzugt der Anwender doch den Internet Explorer,
muss das "XML4 Activex Control" von Microsoft installiert sein. Der Admin-Login funktioniert
übrigens "concurrent", also gleichzeitig von mehreren Arbeitsplätzen aus.
Da das Gerät für kleinere Firmen konzipiert ist, dürfte meist nur ein einziger Controller zum
Einsatz kommen, er übernimmt daher die "Master"-Rolle. Dennoch kann der Aruba 200 mit weiteren
Controllern zusammenarbeiten – entweder als Master oder als Client. Die Verbindung zwischen den
Geräten erfolgt über einen IPSec-VPN-Tunnel, Aruba hat dafür ein eigenes Menü vorgesehen und die
notwendigen Einstellungen, vor allem im Zusammenhang mit NAT-Traversal ausführlich beschrieben.
Entsprechendes gilt auch für den Fall, dass die Access Points nicht an das lokale Netz
angeschlossen, sondern entfernt aufgestellt sind. Dann verbinden sich die APs über eine unsichere
Leitung – in der Regel das Internet – mit dem Controller. Auch dafür hat Aruba eine
Tunneling-Funktion vorgesehen.
Sobald der Controller selbst einsatzbereit ist, geht es an das Verteilen der
Access-Point-Einstellungen. Dabei hilft es, sich das grundlegende Prinzip vor Augen zu führen: Da
die APs keine eigene Benutzeroberfläche besitzen, werden die Parameter für ein drahtloses Netzwerk
global gesetzt. Ob SSID, Verschlüsselung oder Authentifizierung: Alles gilt zunächst für alle
Aruba-Access-Points. Zum Provisioning der APs benötigt der Administrator lediglich deren eindeutige
Bezeichnung, die sich typischerweise aus Gebäudenummer, Stockwerk und laufender Nummer
zusammensetzt. Bei Aufstellung in einem entfernten Netz kommt noch ein Pre-Shared Key für IPSec
hinzu. IPSec ist übrigens nicht unbedingt notwendig: Die Aruba-APs verbinden sich automatisch über
einen GRE-Tunnel (Generic Routing Encapsulation) mit dem Controller, was keine spezielle
Konfiguration erfordert. Muss der AP die Verbindung über DSL selbstständig aufbauen, lassen sich
auch PPPoE-Einwahldaten vergeben. Zudem kann die Administration mehr als eine SSID einsetzen – auch
in Verbindung mit völlig unterschiedlichen Sicherheitseinstellungen. Soll eine zusätzliche SSID an
alle APs verteilt werden, genügt wiederum die globale Konfiguration.
Etwas verwirrend wird es erst, wenn man detaillierter konfigurieren will und beispielsweise
innerhalb einer SSID nur 802.11a verfügbar sein soll. Dann müssen die einzelnen Access Points über
ihre eindeutige Bezeichnung angewählt, und die gewünschten Funktionen ein- oder ausgeschaltet
werden. Dies gilt auch, wenn der Administrator einzelne Access Points zu dedizierten Air-Monitoren
umwandeln will. Die Benutzeroberfläche des Controllers hilft dabei nicht unbedingt weiter: Die
Menüs sind teilweise inkonsequent benannt, und der Konfigurationsablauf ist nicht immer logisch. Es
nimmt jedenfalls mehr Zeit in Anspruch, das Konzept zu verstehen, als die Umgebung tatsächlich zu
konfigurieren. Lästig fanden wir die lange Antwortzeit der grafischen Benutzeroberfläche. Bei jedem
Klick auf eine neue Funktion vergingen zwischen drei und fünf Sekunden, bis das neue Bild aufgebaut
war. Gerade bei der Erstkonfiguration sind solche Zwangspausen mehr als störend.
Sind das WLAN fertig geplant und die zugehörige Konfiguration an die Access Points verteilt,
geht es an die Abschottung. Der Aruba 200 unterstützt eine Vielzahl von Authentifizierungs- und
Autorisierungslösungen. Diese beginnen bei WEP und WPA2 in Kombination mit PSK oder 802.1X und
umfassen auch zwei verschiedenen "Zwangsportale" (Captive Portals) sowie Anforderungen an
VPN-Nutzung und MAC-Adresse zur Anmeldung. Die Benutzerdaten können von einem Radius-Server kommen,
aus einer LDAP- oder der internen Datenbank des Controllers. Getestet wurde die Anbindung an das
Active Directory der Labordomäne. Der Dialog zur Konfiguration ist bis auf die Einträge für "Base
DN" und "Key Attribute" selbsterklärend. Mit "DN" ist der "Distinguished Name" eines Benutzers mit
Admin-Rechten gemeint. Letztere benötigt der Controller, um beim Anmeldeversuch eines Benutzers in
der ADS-Datenbank nach dessen Kontoinformationen zu suchen. Das "Key Attribute" bezieht sich auf
das bei Active Directory übliche Attribut "sAMAccountName". Eine detaillierte Anleitung für die
Konfiguration bei ADS, Openldap und anderen LDAP-Datenbanken gibt Aruba auf Nachfrage heraus.
Für sehr kleine Netze mit nur wenigen Benutzern genügt eventuell auch die interne Datenbank, in
der sich Benutzername, Passwort und eine Rolle für die Berechtigungen an der Firewall zuweisen
lassen. Auch mit der Anmeldung über die interne Datenbank gab es im Test keine Schwierigkeiten.
Die Zugangskontrolle über ein Captive Portal empfiehlt sich dann, wenn die Administration
externen Mitarbeitern oder Besuchern vorübergehenden Zugriff auf das eigene Netzwerk gewähren will.
Der Hersteller liefert zwei Musterseiten mit, die der Anwender mit eigenen Texten modifizieren
kann. Komplett selbst entworfene Portale lassen sich auf den Controller hoch laden. Das Guest
Captive Portal weist neben den Feldern für Benutzername und Passwort ein Eingabefeld für die
E-Mail-Adresse des Besuchers auf. Hat er die Nutzungsrichtlinien akzeptiert, genügt die
Mail-Adresse für den eingeschränkten Netzwerkzugang. Aruba hat zudem eine spezielle
Administrationsrolle im Controller eingebaut, die temporäre Netzwerkzugänge erstellen darf – zum
Beispiel für die Sekretärin im Empfangsbereich. Noch ein Tipp für den Administrator: Wenn nicht der
DHCP-Server des Controllers, sondern ein anderer DHCP-Server im LAN die IP-Adressen verteilen soll,
ist dessen Adresse als "DHCP-Helper" den VLANs zuzuweisen. Andernfalls bleibt der Client
ausgesperrt, noch bevor er sich über das Cap-tive Portal authentifizieren kann.
Hauen und Stechen
Sichere Verbindungen sind gut und schön – wie aber sieht es mit dem Abwehren von Bedrohungen
aus? Wer den Aruba 200 zum ersten Mal mit einem oder zwei Air-Monitoren startet, dürfte
interessante Einblicke in die WLAN-Netze der Nachbarschaft bekommen. So genannte Interfering Access
Points findet der Controller zuhauf, allerdings dauert das eine Weile. Bei Rogue Access Points
funktioniert die Suche schneller: Die drei Geräte im Testnetz waren nach weniger als zwei Minuten
entdeckt.
Doch der Controller soll nicht nur finden, sondern auch abwehren: Wir konfigurierten den Aruba
200 daher auf "automatisches Disassoziieren" und versuchten mit einem drahtlosen Client über den
Rogue AP ins LAN zu kommen. Dies funktionierte in der Regel nicht, der Controller blockte die
Verbindungsversuche in den meisten Fällen sehr gut ab. Allerdings hängt der Erfolg von der Position
des Clients und des Rogue APs ab. Wenn die Air-Monitore mit voller Wucht auf den AP einwirken
können, hat dieser keine Chance. Im Test kamen von 100 Ping-Paketen nur knapp 20 an. Bewegte sich
der Client im Raum, gelang immerhin an ein paar Stellen die Verbindung. Letztere hielt meist nur
ein paar Sekunden an. Der Administrator sollte sich also nicht "blind" auf diesen Mechanismus
verlassen.
Entsprechendes gilt auch für die Abwehr der Verbindungen mit Interfering Access Points. Hier lag
die Abwehrrate im Test ebenfalls hoch, aber nicht bei 100 Prozent. Allerdings fand der Controller
solche APs sehr zuverlässig, die versuchten eine gültige IP-Adresse des eigenen LAN zu spoofen.
Dies trifft auch auf die Erkennung und das Abblocken von Ad-hoc-Netzwerken zu. Die eingebaute
Signaturerkennung schlug zudem Alarm, wenn ein aktiver Netstumbler-Client durch die Räume zog. Von
Alarm "schlagen" zu sprechen, ist jedoch geschmeichelt: Zwar zeigt der Controller alle
Angriffsversuche und Access Points auf einer Summary-Seite an und kann auch sehr schöne und
detaillierte Reports erstellen – eine Benachrichtigungsfunktion, und sei es per Broadcast, fehlt
aber völlig. So versendet das System beispielsweise auch keine E-Mails an den Administrator, wenn
etwas Bedenkliches passiert. Dies sei, so die Auskunft von Aruba, Sache des Zusatzprodukts "
Mobility Management System". Letzteres bietet eine ganze Reihe weiterer Funktionen, dennoch
erscheint der Verzicht auf die Benachrichtigung im Controller als schwer wiegendes Manko.
Gut gelöst, wenn auch erst nach etwas Eingewöhnungszeit beherrschbar, ist die grafische
Darstellung der Funkumgebung: Sie basiert auf einem Grundriss und zeigt die Positionen und
Funkabdeckungen der Access Points und Air-Monitore. Der Administrator kann Zonen einrichten, die
nicht abgedeckt werden sollen oder Zonen, in denen die Abdeckung keine Rolle spielt. Die
Air-Monitore bestimmen die Position von WLAN-Access-Points und -Clients im Gebäude über
Triangulation, was im Test auf relativ kleinem Raum hinreichend genau funktionierte.
Fazit
Der Aruba 200 nimmt Administratoren nach anfänglicher Gewöhnungsphase viel Arbeit ab. Allein die
zentrale Verwaltung der APs wird jedem, der für mehr als zwei Access Points verantwortlich ist, wie
gerufen kommen. Die Authentifizierung und Autorisierung ist gut gelöst, die aktiven und passiven
Schutzfunktionen heben die Sicherheit des WLANs auf ein ganz neues Niveau. Wären nicht die
fehlenden Benachrichtigungsfunktionen und die unnötig unkomfortable Konfiguration, könnte der Aruba
200 als echter Tipp für kleine und mittlere Unternehmen gelten. Als Preis für den Mobility
Controller 200 nennt Aruba 2100 Euro einschließlich Unterstützung von sechs APs. Die im Test
verwendeten Systeme AP-60 und AP-65 kosten 354 beziehungsweise 594 Euro.
Info: Aruba Wireless Networks Tel.: 069/67733200 Web:
www.arubanetworks.com
Lesen Sie mehr zum Thema
