Noch vor wenigen Jahren galten Wireless-Netzwerk-Lösungen als Nischenprodukte für Spezialeinsätze. Denn geringe Übertragungsraten und unzureichende Sicherheitsfunktionen verboten ihren Einsatz als vollwertige Alternativen für verdrahtete Netzwerke überall dort, wo es auf Performance und Sicherheit ankam – also eigentlich fast überall. Diese Zeiten sind inzwischen vorbei. Nicht etwa die Forderungen nach Performance und Sicherheit haben sich geändert, sondern die Wireless-Produkte sind schneller und sicherer geworden. Der 802.11g-Standard erlaubt Übertragungsraten von bis zu 54 MBit/s. Der Verschlüsselungs- beziehungsweise Authentifizierungsindustriestandard WPA (Wifi-Protected-Access), also TKIP (Temporal-Key-Integrity-Protocol) und 802.1x, bieten für die drahtlosen Netzwerkumgebungen einen guten Grundschutz. Dem breiten Einsatz von Wireless-Lösungen steht also nichts mehr im Wege, und tatsächlich erfreut sich diese Vernetzungstechnik größter Beliebtheit. Trotzdem ist nicht alles eitel Sonnenschein. Die Geschwindigkeit sollte kein Thema sein – die Übertragungsraten dürften für die meisten Einsatzgebiete mehr als ausreichend sein. Problematisch bleibt hingegen nach wie vor die Sicherheitsfrage, nur dass die Perspektive gewechselt würde. Sicherheitsstandards, -funktionen und -features sind in aktuellen Wireless-Produkten ausreichend implementiert. Aber die meisten von ihnen machen es denen, die diese Geräte schließlich installieren, viel zu einfach, sie zu ignorieren. Dies ist der größte Kritikpunkt an den von uns getesteten Produkten. Jede Wireless-Lösung war nach dem Verkabeln des jeweiligen Access-Points, Installieren der Managementsoftware und Einschieben der Wireless-PC-Card betriebsbereit. Kaum ein Produkt stieß aber den Administrator mit der Nase auf die vorhandenen Sicherheitseinstellungen, geschweige denn zwang ihn dazu, wichtige Sicherheitsfunktionen zu konfigurieren. Das bedeutet, dass jeder beliebige freundlich oder feindlich gesinnte Benutzer, der über eine Wireless-Netzwerkkarte eine Verbindung zum Access-Point hergestellt hat, für den Zugriff auf das hinter dem Access-Point liegende LAN nur noch einen Benutzernamen und ein Passwort benötigt, falls hinter dem Access-Point nicht noch andere Sicherheitsfunktionen das Netz schützen.

Report-Card: Wireless-LANs für 802.11g

Features: Wireless-LANs für 802.11g

Zur Teilnahme am Test luden wir die Hersteller 3Com, Artem, Buffalo, Cisco, D-Link, Enterasys, Lancom, Netgear, Proxim, Sitecom, SMC und U.S.Robotics ein. Artem schickte uns gleich zwei »Onair ComPoint-XT-g« und eine PC-Card »Onair Comcard 54«. Von Buffalo erhielten wir ein Bundle bestehend aus dem »AirStation G54 Breitband Router AP« und einer »54 MBit/s 2,4 GHz Wireless CardBus Card« und von Cisco einen »Aironet 1100 Wireless Access Point (AIR-AP1121G-E-K9)« sowie einen »Aironet 802.11a/b/g Wireless Adapter«. 3Com sandte uns einen »OfficeConnect Wireless 11g Access Point« und eine »OfficeConnect Wireless 11g PC Card« und D-Link ihren Wireless-Access-Point »DWL-2000AP+« sowie einen »High-Speed 2,4GHz Wireless Cardbus-Adapter DWL-G650+«. Enterasys überließ uns freundlicherweise einen »RoamAbout AP3000« und Lancom einen »L-54ag Wireless-AP« sowie eine PC-Card »AirLancer MC-54ag«. Netgear verschickte ihren »802.11g ProSafe Wireless Access Point WG302« mit einer »Wireless-PC-Card WG511T«. Von Proxim kamen ein »ORiNOCO AP-600 Wireless Access Point« und zwei »ORiNOCO 11a/b/g ComboCard Gold«. SMC stellte uns ihren »Barricade g 2,4 GHz 54 MBit/s Wireless Cable/Broadband Router SMC2804WBR« und einen »EZ Connect 2,4 GHz 54 MBit/s Wireless Cardbus Adapter SMC2835W« zur Verfügung. U.S.Robotics schickte ihren »Wireless Turbo Multi-Function Access Point« mit einer »Wireless Turbo PC Card«.

Proxim ORiNOCO AP-600 Wireless AP

Der Access-Point (AP) von Proxim kommt in einem eleganten Gehäuse mit Abmessungen von etwa 22 x 18 cm2, geeignet für die Wandmontage oder – nach Anbringen eines Standfußes – zum Aufstellen auf Tisch oder Regal. Die seitlich am AP untergebrachten Anschlüsse für Strom- und Ethernet-Kabel schützt eine Plastikabdeckung. Die Kabel lassen sich erst einstecken oder herausziehen, wenn diese Abdeckung mit einem Handgriff entfernt wurde. Auf der Vorderseite des APs befinden sich vier Status-LEDs. Was die Hardware betrifft, ist der AP im Handumdrehen installiert: Es sind lediglich die beiden Kabel anzuschließen. Der Anschluss an die Stromversorgung kann entfallen, falls der AP via Active-Ethernet beziehungsweise Power-over-Ethernet (PoE), also über das Netzwerkkabel, mit Strom versorgt wird. Der AP-600 lässt sich in den Modi »802.11b only«, »802.11g only«, »802.11bg« und »802.11g-wifi« betreiben. Dadurch ist er auch abwärtskompatibel: ein gemischter Betrieb von 11b und 11g.

Die Managementsoftware für den AP-600 muss auf einem PC laufen, der sich im selben Subnetz befindet wie der AP, damit das Scan-Tool von Proxim den AP auch findet. In der Voreinstellung versucht der AP seine IP-Adresse per DHCP zu beziehen. Schlägt dies fehl, verwendet er eine Default-IP-Adresse. Nachdem der Administrator die Autostart-CD mit der Managementsoftware eingelegt hat, kann er eine von ihm gewünschte Sprache, darunter Deutsch, auswählen und anschließend eine der folgenden Optionen selektieren: AP-Software installieren, Solarwinds-TFTP-Server installieren, zur Proxim-Web-Site wechseln oder die Dokumentation lesen. Schade ist, dass nach Auswahl der Softwareinstallation das eigentliche Installationsprogramm dann wieder nur englisch spricht und auch die Software selbst keine anderen Sprachen kennt. Immerhin steht die Dokumentation in der ausgewählten Sprache zur Verfügung. Am Ende der AP-Software-Installation startet auf Wunsch das Scan-Tool, untersucht das angeschlossene Subnetz und listet alle gefundenen APs mit ihrer MAC-Adresse, Name, IP-Typ (statisch oder dynamisch), IP-Adresse und Subnetzmaske, Gateway-IP-Adresse, TFTP-Server-Adresse und Imagedatei-Namen auf.

Zu diesem Zeitpunkt bereits, also ohne irgendeine Konfigurationseinstellung vorgenommen zu haben, war es uns im Test nach Installation der Orinoco-PC-Card möglich, eine Verbindung mit dem AP herzustellen. Nach Eingabe von Benutzername und Passwort konnten wir auf unsere Windows-Domäne zugreifen. Wenn ein Angreifer nach dem AP nicht noch eine Firewall oder andere Sicherheitsmechanismen vor sich hat, müsste er mit einer Wireless-Karte lediglich ein wenig mit Benutzernamen und Passworten experimentieren, um Zugriff zu erhalten. Dieses Problem zeigte sich unverändert auch beim Test der APs der anderen Hersteller. Ganz besonders die Konfiguration der Sicherheitsfunktionen ist also dringend geboten. Andernfalls verwenden die APs die – in Hackerkreisen vielleicht gut bekannten – Standardvoreinstellungen und verzichten auf Verschlüsselung sowie besondere Authentifikation.

Den AP-600 konfiguriert der Administrator via HTTP, Befehlszeile oder SNMP. Am einfachsten geschieht es natürlich über HTTP und mit einem Web-Browser. Bei der Grundkonfiguration über die Webschnittstelle greift ein Assistent dem Administrator unter die Arme. Aber die Schnittstelle lässt sich auch ohne Assistentenhilfe leicht bedienen, denn sie ist übersichtlich und logisch gestaltet. Administratoren sollten nun zuerst die SSID (Service-Set-ID) ändern und sich dann um die Sicherheitseinstellungen kümmern. Der AP-600 unterstützt WEP-Verschlüsselung mit 64-, 128- und 152-Bit-Schlüsseln. Der Administrator kann bis zu vier Schlüssel konfigurieren, von denen er einen als aktiven Schlüssel festlegt – wie auch bei allen anderen APs. Für die Client-Authentifizierung und dynamische Wireless-Key-Distribution stehen die Standard-WPA- und 802.1x-Protokolle zur Verfügung. Der AP bietet zwei auf WPA basierende (WPA und WPA-PSK) sowie zwei mit 802.1x arbeitende Sicherheitsmodi (802.1x und gemischt, WEP und 802.1x) an. Für die Authentifizierung von WPA-, 802.1x- oder WEP-Clients muss mindestens ein Radius-Server arbeiten. Die WEP-Clients müssen Encryption-Keys erhalten, falls der Administrator mit dem gemischten Modus arbeitet. Möchte er WPA-PSK (Pre-shared-Key) verwenden, dann muss er die entsprechenden Pre-shared-Keys auf den Clients manuell konfigurieren, weil sie im Gegensatz zu den anderen Methoden nicht automatisch verteilt werden. WPA-PSK verwendet diese Schlüssel, um daraus die eigentlichen Schlüssel für die Übertragung abzuleiten. Netze mit schlecht gewähltem Pre-shared-Key können aber einem Offline-Dictionary-Angriff zum Opfer fallen. Durch Einstellung des Re-Keying-Intervalls legt der Administrator fest, in welchen Zeitabständen die Schlüssel geändert werden. Das Intervall kann auf 15 Minuten bleiben, ohne dass dies die Performance beeinträchtigt. Beim Einsatz von WPA stießen wird im Test auf das Problem, dass sich der AP zwar dafür konfigurieren ließ, die Orinoco-C-Card aber nur hardwaremäßig dafür vorbereitet war. Ein Download der aktuellsten Orinoco-PC-Card-Software löste dieses Problem.

Eine weitere Schutzmaßnahme, von der Administratoren Gebrauch machen sollten, sind die MAC-Access-Control-Lists (ACL). Dahinter verbirgt sich eine Liste der MAC-Adressen von Clients, die mit dem AP kommunizieren dürfen. Es lassen sich auch MAC-Adressen konfigurieren, denen der AP dann grundsätzlich den Zugang verwehrt. So wie für Wireless-Clients eine Zugriffssteuerung über MAC-Adressen erfolgen kann, lässt sich der Managementzugriff auf den AP von LAN-Clients aus über IP-Adressen steuern. Wird der AP-600 nicht als öffentlicher AP eingesetzt, empfiehlt es sich, ihn als geschlossenes System zu konfigurieren: Nur Clients mit dem richtigen Netzwerknamen erhalten Netzzugang. Schließlich bietet die Proxim-Lösung noch konfigurierbare Protokoll- und Portfilter sowie ein Alarmsystem. Dieses arbeitet zwar standardmäßig. Der Administrator muss dafür aber noch die Ziele (Hosts, Server) konfigurieren.

Der AP-600 unterstützt für komplexe Netzwerke das Spanning-Tree-Protokoll inklusive Schutz vor Datenüberflutung. Für die Segmentierung großer Netzwerke lassen sich ohne Aufwand VLANs einrichten. Im AP ist ein DHCP-Server implementiert. Seine eigene IP-Adresse bezieht der AP ebenfalls via DHCP, oder er verwendet eine vom Administrator fest konfigurierte. Für den schnellen Test der Connectivity zwischen dem AP und dem Netzwerk-Backbone ist in der Webschnittstelle ein entsprechendes Tool implementiert. Die Webschnittstelle bietet dem Administrator eine Statusübersicht, die auch eine Übersicht über alle generierten Alarme enthält. Unter der Überschrift »Monitoring« findet der Administrator viele Echtzeitinformationen beziehungsweise Statistiken, darunter Versionsinformationen, ICMP- und IAPP-Informationen (Inter-Access-Point-Protocol), die IP-ARP-Tabelle, Radius- und Schnittstelleninformationen.

Die Orinoco-11a/b/g-Combocard lässt sich für WEP-Verschlüsselung, 802.1x-Authentifikation und WPA konfigurieren. Wer WPA verwenden will, muss sich zuvor allerdings eine aktuelle Softwareversion aus dem Internet herunterladen. Das Setup der Karte funktionierte im Test völlig problemlos und ohne Reboot des Computers – Software installieren, Karte reinschieben, und fertig ist die Installation. Die PC-Card-Software ist ebenso einfach zu bedienen wie die AP-Managementsoftware. Das Client-Utility zeigt dem Benutzer die Signalstärke, einige Statistiken und den Gerätestatus an. Profile mit unterschiedlichen Netzwerk- und Sicherheitseinstellungen sind schnell konfiguriert.

Cisco Aironet 1100 Wireless Access Point

Ciscos Aeronet-1100 zeigt sich als ein sehr leistungsfähiger AP für 802.11b und 802.11g, der sich mit seiner reichhaltigen Ausstattung und Integrationsfähigkeit sehr gut für den Einsatz in großen Netzwerkumgebungen eignet. Das Gerät kann auf einem Tisch aufgestellt oder an die Wand geschraubt und dort zusätzlich mit einem Schloss vor Diebstahl geschützt werden. Das Gehäuse enthält drei leider nicht beschriftete Status-LEDs, einen Ethernet-Port und einen Port für den Anschluss des Netzteils. Optional erhält der AP den Strom über den Cisco-Aeronet-Power-Injector.

Die Inbetriebnahme des Aeronet-1100 ist eine sehr einfache Angelegenheit: Der Administrator verbindet den AP über den Ethernet-Port mit einem Ethernet- oder Fast-Ethernet-Hub oder Switch und schließt das Netzteil an. Irgendwelche Managementsoftware braucht er nicht zu installieren. Der Zugriff für die Konfiguration und Verwaltung des APs kann sofort per Telnet und Web-Browser erfolgen – jedenfalls dann, wenn der AP im Netzwerk einen DHCP-Server findet, von dem er seine IP-Adresse bezieht. Steht kein DHCP zur Verfügung, verwendet der AP eine Default-IP-Adresse. In diesem Fall erhält der AP zunächst über eine lokale Verbindung seine Konfiguration. Dazu verbindet der Administrator einfach einen Ethernet-fähigen PC über gewöhnliches Kategorie-5-Kabel mit dem AP.

Administratoren, die mit Cisco-Produkten groß geworden sind, werden mit Telnet und Ciscos IOS-Befehlszeilenschnittstelle bestens vertraut sein. Wir bevorzugten jedoch die Webschnittstelle, die wir für wirklich gelungen, übersichtlich und leicht benutzbar halten. Die Webschnittstelle stellt zwar keine Assistenten oder Wizards zur Verfügung, um die Konfiguration zu vereinfachen. Aber sie enthält die zwei Seiten Express-Setup und Security-Express, auf denen die wichtigsten Einstellungen übersichtlich zusammengefasst sind. Selbst Administratoren, die sich nur um diese beiden Seiten kümmern, gelangen sehr schnell zu einem sicheren AP. Allerdings schöpfen sie so nicht das gesamte Leistungspotenzial des Aironet-1100 aus. Beim Express-Setup stellt der Administrator den AP-Namen und die IP-Parameter des APs ein und legt dessen Rolle als Access-Point-Root oder Repeater fest. Die Seite Security-Express dient zur Konfiguration von bis zu 16 SSIDs mit unterschiedlichen VLAN- und Sicherheitseinstellungen. Der Administrator kann auf dieser Seite unter den Verschlüsselungs- beziehungsweise Authentifikationsoptionen wie statische WEP-Schlüssel, EAP-Authentifikation oder WPA wählen. Die beiden letzteren Optionen erfordern die Konfiguration einer Radius-Server-Adresse und eines Radius-Server-Secrets. Der Administrator kann auswählen, welche SSID er für Broadcasts verwenden will, falls überhaupt eine. Die Sicherheitsoptionen hören damit noch nicht auf, weitere sind lediglich nicht auf dieser Seite einstellbar.

Ein interessantes Sicherheitsfeature, das wir bei den anderen APs in diesem Test nicht finden konnten, ist die Möglichkeit, den AP selbst als Radius-Server einzurichten – entweder als eigenständiges System oder als Backup-Authentifikations-Server. Allerdings beschränkt sich diese Option auf maximal 50 LEAP-fähige Wireless-Clients. Falls sonst kein Radius-Server existiert, ermöglicht dies so trotzdem den Einsatz von 802.1x und WPA. Mit Ciscos IOS-Release 12.2(15)IA ist außerdem Backup-MAC-Adress-Authentifikation für bis zu 50 Adressen möglich. Um Informationen und administrative Kontrolle über Authentifikationsprozesse zu erhalten, lässt sich TACACS+ konfigurieren. Das System validiert zentral Administratoren, die auf den AP zuzugreifen versuchen. Weitere Sicherheitsoptionen des APs sind unter anderem Zugriffssteuerung über MAC-Adressen (lokale MAC-Adressenliste oder per Authentifikationsserver), verschiedene Timer, MAC-Filter, IP-Adressen-, -Port- und -Protokollfilter, Ethertype-Filter und Zugriffssteuerung für Administratorzugriffe. Konfigurieren Administratoren Wireless-Domain-Services (WDS), dann lassen sich falsche oder gefälschte (rogue) Access-Points entdecken. WDS unterstützt außerdem ein sich selbst heilendes Wireless-LAN: Fällt ein AP aus, dann erhöhen benachbarte APs ihre Übertragungsleistung, um die Lücke zu überbrücken. APs können in einem Scanning-only-Modus betrieben werden, um falsche APs aufzuspüren und um den Verkehr im WLAN zu überwachen. Ein Betrieb als Standby-Access-Point ist ebenfalls möglich. Ein als Standby-AP konfigurierter AP überwacht einen anderen (aktiven) AP und übernimmt bei dessen Ausfall dessen Rolle. Einige dieser Funktionen konnten wir nicht ausprobieren, weil wir nur einen Access-Point zur Verfügung hatten.

Der Aironet-1100 unterstützt Quality-of-Service (QoS) zur Priorisierung von Verkehr aus dem Ethernet zum AP. Mobilen Clients, die keine IP-Software installiert haben, stellt der AP Proxy-Mobile-IP-Dienste zur Verfügung. Seit dem IOS-Release 12.2(13)JA lässt sich der AP für die stellvertretende Beantwortung von ARP-Queries für Clients konfigurieren. In älteren Releases leitete der AP die ARP-Queries an die Clients weiter, die dann selbst mit ihren MAC-Adressen antworteten. Die Pflege eines ARP-Caches auf dem AP vermeidet nun die Übertragung dieser Abfragen über die Funkverbindung, was wiederum die Batterien von Clients schont.

Das Setup der Aironet-802.11a/b/g-Wireless-PC-Card verlief problemlos. Die zur Karte gehörende Software bietet eine Statusanzeige, ein Profilmanagement zur Erzeugung und Pflege verschiedener Profile für unterschiedliche WLANs und Diagnosefunktionen. Die Software ähnelt der von Lancom. Allerdings scheint die Aironet-PC-Card lediglich Windows-2000 und Windows-XP zu unterstützen – jedenfalls funktionierte die Software (und die Treiber) nur mit diesen Betriebssystemen, was in der kurzen Installationsanleitung auch so vermerkt ist. Auch auf Ciscos Web-Site ließ sich Software für andere Betriebssysteme nicht entdecken.

3Com OfficeConnect Wireless 11g Access Point

Der AP von 3Com besitzt das typische Design der Office-Connect-Produkte und eignet sich eher dazu, irgendwo aufgestellt zu werden. Zwar ist das Gehäuse des Geräts für eine Wandmontage vorbereitet. Wer sich aber dazu entschließt, den AP an die Wand zu schrauben, wird die drei Status-LEDs, die sich bei der Tischaufstellung auf der Gerätevorderseite befinden, nur noch schwer sehen können. Rückseitig verfügt der AP über Strom- und Ethernet-Anschluss. Der AP kommuniziert mit Computern, die eine 802.11b- oder 802.11g-Karte installiert haben.

Die Hardware-mäßige Installation ist mit dem Anschließen der Kabel schon erledigt. Software muss der Administrator nicht installieren. Für die Konfiguration kann er mit einem Web-Browser auf den AP zugreifen. Auf der mitgelieferten CD-ROM kommt ein nützliches Discovery-Programm mit. Es listet alle im ausgewählten Netzwerksegment installierten Office-connect-APs mit Produkt-Code, Produktnamen, IP-Adresse und Seriennummer auf. Standardmäßig bezieht auch der 3Com-AP seine IP-Adresse per DHCP. Ist kein DHCP-Server verfügbar, verwendet der AP eine Default-IP-Adresse aus dem 169.254-Adressbereich. Verlässt der Administrator die Discovery-Applikation, startet automatisch der Web-Browser und präsentiert den Anmeldedialog. Nach erfolgreicher Anmeldung

– mit dem Default-Passwort – startet die AP-Erstkonfiguration. In deren Verlauf stellt der Administrator das Land, den AP-Modus (Access-Point oder Client-Bridge-Modus), das Administratorkennwort, den IP-Adressierungsmodus (DHCP, manuell oder manuell mit aktiviertem DHCP-Server), den Wireless-Kanal und die SSID ein. Der Administrator wird hier von der Anwendung also zwangsläufig durch einige Konfigurationseinstellungen geführt. Die hier einzustellenden Parameter sind zwar nicht unwichtig, machen den AP aber nicht wirklich sicher. Lieber hätten wir gesehen, dass die Grundkonfiguration an dieser Stelle noch nicht endet, sondern den Administrator auch zur Konfiguration wichtiger Sicherheitseinstellungen, beispielsweise der WEP-Verschlüsselung, führt. Dann würde jeder Administrator zumindest mit der Nase auf diese Einstellungen gestoßen. Überlegt er dann noch immer und ignoriert diese Einstellungen einfach, trägt er letztendlich selbst die Schuld. So aber ist es wieder einmal viel zu einfach, wichtige Sicherheitseinstellungen zu vernachlässigen. Auch die kurze Installationsanleitung sagt übrigens nichts weiter zur Sicherheit – nach dem Schritt der Grundkonfiguration geht es in dem Heftchen gleich mit dem Anschluss der Wireless-Clients an den AP weiter. Das probierten wir auch sofort aus, und zwar zuerst mit der Proxim-PC-Card, die noch im Notebook steckte. Sofort hatten wir eine Verbindung zu unseren Servern. Natürlich funktionierte nach einem Kartenaustausch auch die 3Com-Karte sofort.

Die Sicherheitsfeatures des 3Com-APs sind nicht ganz so umfangreich wie beim Angebot von Proxim. Per Web-Browser kann der Administrator WEP-Verschlüsselung mit 40/64- oder 128-Bit-Schlüsseln konfigurieren. Wieder lassen sich vier verschiedene Schlüssel eingeben, von denen dann einer eingeschaltet wird. Für die Schlüsselgenerierung stehen verschiedene Methoden zur Verfügung: die manuelle Hex-Key-Eingabe, 3Com-Encryption-String, ASCII oder Passphrase. Der AP unterstützt auch WPA. Bei WPA-PSK erlaubt der AP die Eingabe direkt als Hex-Schlüssel oder als Passphrase. Im Enterprise-Modus erfolgt eine Authentifikation via 802.1x und EAP – dies erfordert einen Radius-Server. Die Office-Connect-Wireless-11g-PC-Card und -Software unterstützt WPA sofort – ohne Herunterladen eines Updates. Aber die PC-Card verlangt für die Unterstützung von WPA und 802.1x zwingend Windows-XP. Der Administrator kann den AP so konfigurieren, dass er allen Wireless-Clients Zugriff erlaubt oder nur autorisierten Clients. Clients autorisiert der Administrator, indem er sie aus der Liste automatisch entdeckter Wireless-Clients selektiert. Alternativ kann er die MAC-Adressen zu autorisierender Clients manuell eingegeben.

Als ein interessantes Detail verwaltet der AP Profile für die Clients, die er auf die Clients laden kann. Das bedeutet, dass auf den Clients keine Profilkonfiguration erforderlich ist. Der AP stellt dem Administrator die üblichen Logs und Statistiken zur Verfügung.

Die Installation der 3Com-Wireless-Officeconnect-11g-PC-Card ist einfach: Software installieren und Karte reinschieben. Allerdings verlangt die 3Com-Lösung zwischendurch einen Neustart des Computers, was die Sache ein wenig verzögert. Der 3Com-Card-Manager zur Verwaltung der PC-Card erlaubt eine Profilkonfiguration mit verschiedenen Netzwerk- und Sicherheitseinstellungen. Das Tool bietet eine Link-Informationsanzeige inklusive Link-/Signalstärkeninformation, Adapterinformationen und eine Site-Browse-Funktion zum Entdecken von WLANs.

SMC Barricade g 2,4 GHz 54 MBit/s Wireless Cable/Broadband Router

Der Barricade-g-Broadband-Router, kurz Barricade, fällt als Gerät ein bißchen aus dem Rahmen. Er besitzt nicht nur ein Access-Point, sondern bringt gleichzeitig einen 4-Port-10/100-MBit/s-Ethernet-Switch und einen vollwertigen Breitband-Router mit. Dieser bindet die angeschlossenen Arbeitsstationen und bis zu 253 Wireless-Clients via Kabelmodem- oder DSL-Verbindung ans Internet an. Trotz dieses weiten Funktionsumfangs ist der Barricade kaum größer als der 3Com-AP. Im Test konzentrierten wir uns auf die Wireless-Features des Barricade.

Das Setup des Barricade ist angesichts des vollständigen Funktionsumfangs natürlich einwenig aufwändiger als bei den anderen, reinen AP-Produkten. Trotzdem erledigt es sich relativ schnell. Netzwerk-Arbeitstationen schließt der Administrator über Standard-Ethernet-Kabel direkt an die vier 10/100-MBit/s-Ethernet-Ports an, oder er integriert den Barricade in die vorhandene Netzwerkinfrastruktur, indem er ihn über einen dieser Ports mit einem Hub oder Switch verbindet. Beide Varianten testeten wir erfolgreich. Ist bereits eine Netzwerkinfrastruktur vorhanden, wird die Konfiguration des Systems ein wenig komplizierter. Im Gegensatz zu den meisten anderen APs holt sich der Barricade seine IP-Adresse nicht von einem DHCP-Server, sondern verwendet grundsätzlich die Default-Adresse 192.168.2.1. Deshalb muss der Administrator zuerst einen Computer umkonfigurieren, damit er sich mit dem Barricade verbinden und über die Webschnittstelle die Netzwerkeinstellungen des Barricade ändern kann. Der Barricade lässt sich nur mit einer festen IP-Adresse konfigurieren. Er kann sich seine IP-Adresse also nicht von einem DHCP-Server holen, stellt aber andererseits einen DHCP-Server für die verbundenen LAN- und Wireless-Clients zur Verfügung.

Nach dem LAN-Setup ist der Barricade wie andere Systeme auch völlig offen für den Wireless-Zugriff. Administratoren sollten also schnell einige Sicherheitsfeatures einschalten. Zwar stellt die ansonsten sehr übersichtliche und bedienerfreundliche Webschnittstelle einen Setup-Assistenten zur Verfügung, doch der unterstützt lediglich Einstellungen der Zeitzone, der Breitbandparameter und der IP-Adresse-Parameter. Zu den Wireless-Sicherheitseinstellungen gelangt der Administrator über »Advanced Setup« und »Wireless«. Auf der ersten Seite lässt sich das Wireless-Modul des Barricade komplett ausschalten (standardmäßig ist es eingeschaltet) – eine Option, die sämtliche Zugriffe von Wireless-Clients unterbindet. Interessanter ist die Seite »Channel and SSID«. Der Administrator konfiguriert dort die SSID, schaltet SSID-Broadcasts ein oder aus und legt den Wireless-Modus (11g-only, 11b-only oder gemischt), die Übertragungsrate (»auto« funktionierte im Test einwandfrei) und den zu verwendenden Kanal (1 bis 13 oder automatisch) fest. Auf der Seite »Security« geht es dann spezifisch um die Wireless-Sicherheitseinstellungen. Der Barricade unterstützt WEP-Verschlüsselung mit 40/64-Bit- und 128-Bit-Schlüsseln sowie WPA. Zur Generierung der vier WEP-Schlüssel stehen die Methoden »manueller Hex-Schlüssel«, ASCII und Passphrase zur Verfügung. WPA-PSK erlaubt die direkte Eingabe oder Verwendung einer Passphrase. Steht ein Radius-Server zur Verfügung, lässt sich auch der 802.1x-Modus verwenden – in diesem Fall sind einige Radius-spezifische Parameter sowie die Reauthentifizierungsperiode zu konfigurieren.

Der Barricade enthält eine Firewall, die im Test jedoch nicht wie von uns erhofft funktionierte. Die Firewall erlaubt beispielsweise das Setup einer MAC-Filter-Tabelle mit bis zu 32 MAC-Adressen von Clients, denen der Zugriff auf das (lokale) Netzwerk gestattet werden soll. Nach dem Einschalten dieser MAC-Zugriffssteuerung und der Konfiguration einer Hand voll zugelassener MAC-Adressen erhielt ein Wireless-Client, dessen MAC-Adresse nicht in der Tabelle eingetragen war, zwar vom Barricade keine Antworten mehr auf einen Ping. Der Client konnte aber weiter auf unsere Server im Netzwerk zugreifen. Die Firewall erlaubt es ferner, basierend auf IP-Adressen zu filtern. Alles, was wir hier einstellten, hatte aber nicht die geringsten Auswirkungen auf den Wireless-Teil des Barricade. Über die Firewall kann der Administrator gut steuern, welche PCs – wireless oder verdrahtet – wann und wie auf das Internet zugreifen dürfen. Ferner bietet die Firewall Intrusion-Detection und schützt das Netzwerk vor Zugriffen aus dem Internet. Aber sie verwehrt anscheinend keinem Wireless-Computer den Zugriff auf das LAN – jedenfalls haben wir keine geeignete Konfiguration finden können. Was die Wireless-Sicherheit betrifft, sieht es beim Barricade also nicht besonders gut aus.

Der Administratorzugriff auf den Barricade lässt sich mit einem Passwort schützen und das Remote-Management auf einzelne IP-Adressen oder einen IP-Adressen-Bereich begrenzen oder auch ganz ausschalten. Die Webschnittstelle des Barricade bedient sich einfach und bietet einige gute Werkzeuge, beispielsweise für Backups und Restores der Routereinstellungen, für das Zurücksetzen des Systems auf die Werkseinstellungen und für System-Upgrades.

Die Installation der EZ-Connect-g-Karte auf einem IBM Thinkpad unter Windows-Me funktionierte fast problemlos. Wir mussten das System zwei Mal neu booten. Laut Handbuch sollte es mit einem Neustart getan sein. Die Karte band sich aber nicht an TCP/IP. Also stellten wir TCP/IP manuell auf der Karte ein. Dies quittierte Windows mit einer netten Aufforderung zum Neustart. Die Karte funktionierte schließlich einwandfrei. Mit der Karte liefert SMC Software, die Wireless-APs automatisch entdeckt und dem Anwender Link- sowie IP-Informationen zur Verfügung stellt. Der Benutzer kann mehrere Profile konfigurieren und zur Kommunikation verwenden.

U.S. Robotics 802.11g Wireless Turbo Multi-Function Access Point

Der Wireless-Turbo-Multi-Function-Access-Point von U.S.Robotics ist ein sehr flexibel einsetzbarer AP. Das Gerät arbeitet als Access-Point für Wireless-Clients, als Wireless-Bridge zum Verbinden von zwei Netzwerken, als Wireless-Multi-Bridge zum Verbinden mehrerer Netzwerke, als Wireless-Client, der sämtlichen Ethernet-Geräten (Linux-PCs, Drucker etc.) drahtlosen Zugriff ermöglicht, und als Repeater zur Erhöhung der Reichweite drahtloser Netzwerke. Zudem lassen sich an die Ethernet-Schnittstelle des APs nicht nur Ethernet-Hubs oder -Switches, sondern auch Kabel- oder DSL-Modems mit Routing-Fähigkeiten sowie Bridges und Router anschließen. Da uns nur ein Wireless-Turbo-AP zur Verfügung stand, konnten wir die Bridging- und Repeater-Fähigkeiten des Geräts nicht testen.

Der AP steckt in einem schlichten, schwarzen Gehäuse, das auf der Frontseite eine Power-LED, eine Netzwerk-TX/RX und eine Warn-LED besitzt. Auf der Rückseite gibt es eine 10/100-MBit/s-Ethernet-Schnittstelle, eine serielle Schnittstelle, den Stromanschluss und eine Reset-Taste. Das Warn-LED des APs kann ganz interessant sein, wenn sich der AP stets im Blickfeld eines Administrators befindet. Denn das LED leuchtet auf, wenn ein nicht autorisierter Benutzer versucht, den AP zu verwenden.

Die Inbetriebnahme des APs wäre eine Sache von zwei, drei Minuten, gäbe es nicht eine kleine Schwachstelle in der Dokumentation. Aber der Reihe nach: Zunächst installiert der Administrator die Konfigurationssoftware des APs auf einem Standard-Windows-PC. Dann verbindet er den AP mit einem Hub oder Switch und schließt das Netzkabel an, womit der AP auch gleich eingeschaltet wird. Seine IP-Konfiguration holt sich der AP automatisch von einem DHCP-Server. Startet der Administrator dann die Konfigurationssoftware, sollte in der Liste der verfügbaren APs der gerade in Betrieb genommene AP auftauchen. Für den selektierten AP zeigt das Tool in einem Fenster oberhalb der Auswahlliste ein paar Systeminformationen an, darunter die IP-Adresse, die MAC-Adresse, den Sicherheitsstatus, die ESSID und den aktuell verwendeten Kanal. Mit Hilfe des Konfigurationsprogramms lassen sich gleich auch einige Parameter des APs einstellen, und zwar in den Rubriken AP-Einstellungen, IP, WEP und 802.1x. Ein Tools-Menü bietet Zugriff auf die Funktionen IP-Release, IP-Renew, Reboot, Reset zu den Standardeinstellungen und Firmware-Upgrade. Nach einem Klick auf MAC-Filter-Settings steht die Konfiguration von MAC-Deny- und -Allow-Adressen bereit. Dieses Konfigurationsprogramm ist sehr übersichtlich und wirklich einfach bedienbar – und deshalb ist es uns unerklärlich, warum es nicht vollständig ist. Den kompletten Konfigurationszugriff auf den AP erhält der Administrator erst über einen Web-Browser, und genau dabei machte sich die oben erwähnte Schwachstelle der Dokumentation bemerkbar. Laut Installationsanleitung gibt es keinen Standardbenutzernamen (und kein Passwort). Trotzdem verlangte die im AP integrierte Webseite hartnäckig genau diese Information. Da die Verpackung des uns zur Verfügung gestellten Testgeräts bereits geöffnet war, als es bei uns eintraf, gingen wir zunächst davon aus, dass es zuvor schon anderswo eingesetzt worden war und mit einem Benutzernamen konfiguriert wurde. Also beschäftigten wir uns eine Weile vergeblich mit Resets. Schließlich fanden wir irgendwo auf der U.S.Robotics-Web-Site die Informationen, dass der AP doch einen vorkunfigurierten Standardbenutzer besitzt. Nach Eingabe des entsprechenden Namens durften wir uns dann endlich die AP-Support- und Installations-Webseite ansehen. Auch die Webschnittstelle zur Konfiguration und Verwaltung des APs ist übersichtlich und leicht bedienbar. Alternativ gibt es noch via Telnet den Zugriff auf den AP – auch zur Konfiguration. Einen Weg, den Telnet-Zugriff zu unterbinden, haben wir leider nicht finden können.

Der AP unterstützt 802.11b und 802.11g, sowohl einzeln als auch gemischt. Die Übertragungsrate lässt sich vom Administrator voreinstellen, oder der AP selektiert automatisch die passende Geschwindigkeit. Was die Sicherheitsfunktionen und -Features betrifft, ist der Wireless-Turbo-AP eher mittelmäßig ausgestattet: Administrator-ID und -Passwort, Unterdrückung der SSID-Broadcasts, WEP mit 64-, 128- und 256-Bit-Schlüsseln, 802.1x, MAC-Adressen-Filterung und Betrieb des APs als offenes oder Shared-Key-System. Eine Zugriffssteuerung über IP-Adressen unterstützt der AP nicht. Es gibt keinen Assistenten, der den Administrator durch die Konfiguration wichtiger (Sicherheits-)Parameter führt. Die Dokumentation ist kaum dazu geeignet, weniger erfahrene Administratoren auf sicherheitsrelevante Einstellungen aufmerksam zu machen. Der AP führt ein Logbuch der Aktivitäten und unterstützt SNMP. Im Lieferumfang des APs ist die »Norton Personal Firewall« enthalten, die wir jedoch nicht testeten.

Die Installation der 802.11g-Wireless-Turbo-PC-Card beziehungsweise der dazu notwendigen Treiber-/Utility-Software bereitete keine Schwierigkeiten (vom Neustart bei der Installation unter Windows-Me abgesehen). Das Wireless-LAN-Konfigurations-Utility der Karte bietet eine gute Statusübersicht und erlaubt natürlich die Konfiguration einiger wichtiger Systemparameter. Unter der Rubrik »Site-Survey« kann der Benutzer nach verfügbaren Netzwerken suchen und sich bei Bedarf dafür Profile konfigurieren.

Netgear 802.11 ProSafe Wireless Access Point WG302

Der WG302 von Netgear ist ein relativ großer AP, der in vier verschiedenen Betriebsmodi eingesetzt werden kann: Wireless-Access-Point, Point-to-Point-Bridge, Point-to-Multipoint-Bridge und Wireless-Repeater. In den beiden Brücken-Betriebsarten kommuniziert der AP mit einem beziehungsweise mehreren anderen Brücken-APs. Im Repeater-Modus (halb-duplex) kommuniziert der AP mit einem anderen AP im selben Betriebsmodus, um größere Entfernungen zu überbrücken. Auf der Vorderseite des APs befinden sich Status-LEDs für Power, LAN-Verbindung-/Aktivität, Ethernet-Geschwindigkeit (100-MBit/s) und 802.11g-WLAN-Aktivität. Ein Test-LED informiert den Administrator darüber, ob das Gerät gerade einen Selbsttest durchführt, Software lädt oder fehlerhaft arbeitet. Auf der Rückseite des APs befinden sich die üblichen Anschlüsse für Strom und Ethernet, ferner eine serielle Schnittstelle für Terminalverbindungen und eine Reset-Taste.

Die Inbetriebnahme des APs gestaltet sich ein bisschen komplizierter als bei den meisten anderen APs. Das Netgear-System holt sich seine IP-Informationen standardmäßig nicht per DHCP, obwohl der AP DHCP unterstützt. Auch hier muss der Administrator erst einen PC so konfigurieren, dass er per Browser auf die Standard-IP-Adresse des APs zugreifen kann. Die Webschnittstelle zur Konfiguration und Verwaltung des WG302 ist simpel und leicht bedienbar. Alternativ erlaubt der AP Zugriffe über Secure-Telnet. Dies verlangt einen Telnet-Client wie Absolute-Telnet, konfiguriert für die Nutzung von SSH1 und 3DES.

Wir haben größtenteils mit der Webschnittstelle gearbeitet. Der Administrator kann den vom AP zu verwendenden Modus, also 802.11b oder 802.11g, sowie die maximale Übertragungsrate konfigurieren. Aber die Standardeinstellung »Auto 802.11g und 802.11b« sowie die automatische Wahl der bestmöglichen Geschwindigkeit funktionieren problemlos, so dass hier eigentlich keine Eingriffe notwendig sind. Was die Sicherheit betrifft, ist der WG302 schlechter ausgestattet als die meisten anderen APs, die am Test teilgenommen haben. Der Administratorzugriff auf den AP lässt sich mit Benutzernamen und Passwort schützen. SSID-Broadcasts arbeiten standardmäßig, aber das kann der Administrator ändern. Über MAC-Adressen kann er den Netzwerkzugriff steuern. Dazu selektiert der Administrator die MAC-Adressen der Wireless-Clients, die auf das Netzwerk zugreifen dürfen. Glücklicherweise muss er die MAC-Adressen nicht unbedingt alle manuell eingeben, denn der AP zeigt sie in einer Liste der verfügbaren Wireless-Clients an. In dieser Liste wählt der Administrator dann einfach die Clients, die Zugriff erhalten sollen, mit der Maus aus. Der WG302 unterstützt darüber hinaus nur noch WEP mit 64-, 128- und 152-Bit-Schlüsseln. Die Schlüssel generiert das System nach Eingabe einer Passphrase.

Die Webschnittstelle stellt dem Administrator noch ein paar Verwaltungsfunktionen zur Verfügung, darunter Firmware-Upgrade, Backup und Restore der Einstellungen sowie AP-Neustart. Unter dem Punkt »Statistiken« findet der Administrator Tabellen, die Parameter wie die Anzahl der über das Ethernet und das Wireless-Netz übertragenen Pakete oder Bytes anzeigen. Eine Protokolldatei, die Aktivitäten des APs speichert, konnten wir nicht finden.

Die Installation der Netgear-Wireless-PC-Card WG511T war so einfach, wie man es sich nur wünschen kann: Treiber und Utilities von CD-ROM installieren und Karte reinschieben. Selbst unter Windows-Me forderte uns das System nicht zum Neustart des Computers auf. Die Smart-Configuration-Software der Karte bietet die gleiche Funktionalität wie die Software der meisten anderen Testprobanden: Netzwerk-Scanning, Statistiken und Profilverwaltung.

Buffalo AirStation G54 Breitband Router Access Point

Der Airstation-G54-Breitband-Router-AP von Buffalo verpackt die Grundfunktionalität eines SMC-Barricade in ein an Colani-Design erinnerndes Gehäuse. Das Gerät stellt also mehr dar als lediglich einen Access-Point: Es arbeitet als 4-Port-Ethernet-/Fast-Ethernet-Switch und Router für den Zugang zum Internet via Kabelmodem oder DSL. Eine Firewall und Intrusion-Detection-Funktionen kommen auch mit.

Wie beim Barricade konzentrierten wir uns auf die Wireless-Funktionalität des Geräts, prüften aber auch die Firewall- und Intrusion-Detection-Fähigkeiten auf ihre Auswirkungen auf Wireless-Clients.

Um die Airstation in ein bereits existierendes Netzwerk einzubinden, läuft das Setup ähnlich kompliziert ab wie beim Barricade. Das Gerät holt sich seine IP-Informationen standardmäßig nicht via DHCP. Das bedeutet, zunächst einen Computer speziell für den Zugriff auf die Airstation zu konfigurieren, um dort die IP-Adresse einstellen. Die Airstation bietet jedoch noch eine andere Möglichkeit: Sie gestattet den erstmaligen Konfigurationszugriff auch von einem Wireless-Client aus. Diesen Weg wählten wir. Nach einer unkomplizierten Installation der Wireless-Client-Software und -Karte konnten wir über den Client-Manager nach Airstations suchen lassen und dann die gewünschte – hier nur eine – selektieren. Eine Admin-Funktion gestattete die Eingabe der IP-Adresse, und anschließend ließ sich die Konfiguration der Airstation über Browser von beliebigen Computern im selben Subnetz aus fortsetzen.

Der Zugriff per Browser verlangt die Eingabe eines Benutzernamens und Passworts. Die erste Seite der in der Airstation eingebauten Web-Site bietet Zugang zu den Konfigurationsabschnitten für die Kabelmodem- und DSL-Router-Funktionen sowie zur erweiterten Konfiguration des Geräts. Die Verbindung zwischen der Airstation und dem angeschlossenen Kabelmodem oder DSL-Gerät lässt sich mit einem Mausklick testen. Die Seite stellt ferner so etwas wie Assistenten zur Verfügung, die dem Administrator bei einigen Sicherheitseinstellungen und der Konfiguration für die Unterstützung von Internet-Spielen, Netmeeting und MSN-Messenger helfen.

Wer die Airstation als reinen Router für verkabelte Computer einsetzen möchte, kann die gesamte Wireless-Funktionalität ausschalten. Die Wireless-Konfiguration umfasst ansonsten die Einstellung der üblichen Parameter, beispielsweise SSID, Wireless-Modus (802.11b, 802.11g, Auto-b-g), Basisrate oder Wireless-Kanal. Die Sicherheitsfeatures der Airstation sind umfangreich und umfassen das Unterdrücken der SSID-Broadcasts, 64- und 128-Bit-WEP- sowie TKIP- und AES-Verschlüsselung mit und ohne Unterstützung von 802.1x/EAP-Authentifikation und Wireless-MAC-Adressenfilter. Der AP führt ein Logbuch der Aktivitäten und unterstützt Syslog. Die Wireless-MAC-Filterung funktionierte im Test wie vorgesehen. Die Firewall und die Intrusion-Detection-Funktionen ließen sich im Test nur zur Steuerung der Zugriffe ins und aus dem Internet verwenden.

Die Webschnittstelle der Airstation stellt eine Menge Statistiken und Managementfunktionen zur Verfügung. Mit einem Mausklick lässt sich der AP zurücksetzen und neu starten. Die Konfigurationseinstellungen sichert eine Backuproutine in eine Konfigurationsdatei.

D-Link DWL-2000AP+

In einem riesigen Karton kam der kleinste AP des Tests in unsere Real-World Labs. Der DWL-2000AP+ präsentiert sich als reiner Wireless-AP ohne viel schmückendes Beiwerk. Das kleine Kästchen besitzt auf der Vorderseite eine Power-, eine LAN- sowie eine WLAN-Status-LED und auf der Rückseite eine 10/100-MBit/s-Autosensing-Ethernet-Schnittstelle, einen Stromanschluss und eine Reset-Taste – das ist alles, und mehr braucht es auch gar nicht. Der AP arbeitet wie viele der größeren Exemplare als Access-Point, als Access-Point-zu-Access-Point-Brücke, als Access-Point-zu-Multipoint-Brücke, als Repeater oder im Wireless-Client-Modus und unterstützt 802.11b sowie 802.11g – auch gemischt mit automatischer Erkennung.

Leider holt sich auch DWL-2000AP+ seine IP-Adresse nicht standardmäßig über DHCP, obwohl er DHCP unterstützt.. Dies erfordert wieder Zugriff über einen umkonfigurierten PC. Ohne diesen kleinen Umweg hätten wir an Setup und Bedienerfreundlichkeit überhaupt nichts auszusetzen gehabt, denn die Webschnittstelle ist sehr anwenderfreundlich gestaltet. Auf der mitgelieferten CD-ROM mit der Dokumentation des APs fanden wir noch ein Access-Point-Manager-Programm, das jedoch auf drei verschiedenen Windows-Computern (Windows-2000-Professional, Windows-Me und Windows-Server-2003) die Arbeit verweigerte. Eine Dokumentation zu diesem Programm suchten wir vergebens. Das Programm soll anscheinend installierte APs automatisch erkennen und nach Auswahl des jeweiligen APs die Konfiguration von AP-, IP-, WEP- und 802.1x-Einstellungen erlauben – aber das Programm hat unseren AP nicht gefunden. Wir nutzten also ausschließlich die Webschnittstelle. Sie stellt für die erste, schnelle Konfiguration des APs einen Assistenten zur Verfügung, der auch Sicherheitseinstellungen berücksichtigt, allerdings nur AP-Passwort und die WEP-Konfiguration. Weitere Sicherheitseinstellungen sind dann frei, also ohne Assistentenunterstützung im Browser zu konfigurieren. Neben WEP mit 64- und 128-Bit-Schlüsseln unterstützt der DWL-2000AP+ auch WPA und 802.1x sowie WPA-PSK. Außerdem speichert der AP MAC-Adressen, denen er den Zugriff auf das Netzwerk erlaubt oder verweigert. Die MAC-Adressen kann er aus der Liste der aktuell verbundenen Clients übernehmen.

Den DWL-2000AP+ vervollständigt ein eigener DHCP-Server. Das Gerät unterstützt SNMP mit bis zu drei Trap-Zielen. Eine einfache Statusübersicht ist vorhanden, ebenso eine Logdatei mit Syslog-Unterstützung.

Die Installation der Karte DWL-G650+ beziehungsweise der Treiber- und Verwaltungssoftware funktionierte problemlos. Die Software bietet die üblichen Funktionen, also Profilverwaltung, Verschlüsselungseinstellung, Anzeige der Signalstärke oder Suchen nach WLANs. Zwei Dinge sind uns aufgefallen: Während sich WEP auf dem AP mit einer Schlüssellänge von maximal 128 Bit konfigurieren lässt, unterstützt die DWL-G650+ WEP-Schlüssel mit 256 Bit. Der AP unterstützt wiederum WPA und WPA-PSK, während die Karte von WPA noch nichts gehört hat. Die Beschreibung der Karte auf der D-Link-Web-Site sagt zwar, dass die Karte WPA unterstützt, aber unsere tat es nicht. Neuere Firmware oder Treibersoftware, als die wir hatten, stand auf der Web-Site auch nicht zur Verfügung. Vielleicht meint die Beschreibung der Karte ja, dass die Hardware schon könnte, wenn es die Software (von D-Link) schon gäbe? Mit WEP und 128-Bit-Schlüsseln klappte jedenfalls alles bestens. Übrigens sagten die technischen Spezifikationen in der AP-Dokumentation auch etwas von 256-Bit-WEP-Schlüsseln – nur einstellen ließen sie sich nicht.

ARtem Onair ComPoint-XT-g

Das Design des Compoint erinnerte uns ein bisschen an einen Maikäfer – aber auf solche Äußerlichkeiten kommt es nicht an. Wichtiger ist, dass wir den Compoint-XT-g für einen grundsoliden AP halten, der eine Menge Funktionen zur Verfügung stellt. Der AP ist am besten aufgehoben, wenn er an die Wand geschraubt wird – Befestigungsmaterial einschließlich Dübeln wird gleich mitgeliefert. Steht der AP einfach auf dem Tisch, sind die drei Status-LEDs für Systemstatus, Funkaktivität und Kabelaktivität möglicherweise nicht gut im Blickfeld. Andererseits könnten wir selbst ganz gut mit lediglich einer LED leben, die Auskunft darüber gibt, ob ein Gerät betriebsbereit ist. Aber wahrscheinlich sind da viele Administratoren anderer Auffassung. An Anschlüssen existieren zwei 10/100-MBit/s-Autosensing-Ethernet-Schnittstellen (eine davon optional mit Power-over-Ethernet), eine serielle Schnittstelle und ein Anschluss für das Netzteil. Leider fanden wir in der Dokumentation keinen Hinweis auf die Funktion der seriellen Schnittstelle. Der AP unterstützt 802.11b und 802.11g. Er arbeitet in verschiedenen Konfigurationen, beispielsweise als Single-Access-Point, als zweifacher Access-Point, als Komponente für die Einrichtung eines Wireless-Backbones (erfordert einen zweiten AP), als Repeater oder als zweifache Point-to-Point-Bridge. Auch an den Sicherheitsfunktionen des Compoints lässt sich nichts aussetzen. WEP-Verschlüsselung mit 64- oder 128-Bit-Schlüsseln ist natürlich dabei, ferner »WEPplus« (Weak-Key-Avoidance), WPA, 802.1x, Zugriffssteuerung mit drei verschiedenen, durch Passwort geschützte Benutzerebenen, MAC-Adressen-Filterung und Protokollfilter. Optional kann der Administrator dann noch den mitgelieferten Security-Manager installieren, der eine zentral gesteuerte, mit Netzwerken oder Domänen arbeitende Zugriffssteuerung implementiert, erlaubte und verweigerte Zugriffe protokolliert und einige Berichte liefert. Negativ fiel auf, dass es eine Weile dauern kann, bis im Security-Manager durchgeführte Änderungen wirksam werden. Standardmäßig aktualisiert das System die Datenbank alle 20 Minuten. VLAN-Unterstützung (bis zu 32), ein eingebauter DHCP-Server, SNMP, Statistiken und Logging runden das Funktionsangebot des Compoints ab.

Mit seinem Leistungsvermögen hätte der Compoint leicht unsere höchste Bewertung erhalten, wenn da nicht die Managementschnittstelle gewesen wäre – oder genauer gesagt die Schnittstellen. Es ist nicht etwa so, dass wir zentralen Managementzugriff oder Remote-Zugriff vermissen würden. Mit einer Webschnittstelle, einer Telnet-Schnittstelle und der Möglichkeit, den AP auch via SNMP zu konfigurieren, bleiben da keine Wünsche offen. Aber die zur Verfügung stehenden Schnittstellen sind spartanisch, nicht intuitiv bedienbar und keineswegs zeitgemäß. Selbst die Webschnittstelle sieht wie eine adaptierte Telnet-Anwendung aus. Aber es lassen sich wenigstens Teile der Konfiguration sowie Firmware-Upgrades, Konfigurationssicherungen und -wiederherstellungen, AP-Neustarts und Resets mit dem komfortablen Compoint-Manager durchführen. Dieses Tool erkennt die installierten APs automatisch und stellt sie in einer Liste zur Verfügung. Nach Auswahl des gewünschten APs startet dann die Telnet- oder Webschnittstelle direkt aus dem Compoint-Manager heraus.

Bis auf das Stolpern durch die Telnet- oder Webschnittstelle verlief das Setup des APs völlig unproblematisch. Der AP holte sich seine IP-Informationen automatisch per DHCP, und nach Installation des Compoint-Managers tauchte er auch sofort in der Liste der vorhandenen APs auf. Die Installation der PC-Card beziehungsweise der dazu gehörenden Treiber-/Verwaltungssoftware bereitete ebenfalls keine Schwierigkeiten. Die Funktionen der Software beschränken sich auf die Suche nach WLANs und einer einfachen Profilverwaltung. Andere PC-Card-Client-Programme liefern mehr Informationen und sind bunter, aber der Artem-Onair-Client-Manager bietet durchaus alles Notwendige.

Lancom L-54ag Wireless

Der L-54ag ist ein relativ großer und robust aussehender AP, der auf der Vorderseite über Status-LEDs für Power, WLAN-Link, WLAN-Verkehr, LAN-Link und LAN-Verkehr verfügt. Die Rückseite bietet eine 10/100-MBit/s-Autosensing-Ethernet-Schnittstelle, einen Anschluss für das Netzteil, eine Reset-Taste und eine proprietäre serielle Schnittstelle (für Konfigurationsaufgaben), für die ein passendes Kabel mitgeliefert wird. Alternativ erhält der AP den Strom auch über die Netzwerkschnittstelle, unterstützt also PoE. Das System arbeitet mit 802.11b und 802.11g, auch gemischt mit automatischer Erkennung. Möglich ist ein Betrieb des APs als einzelner AP mit Anschluss an ein LAN, als Funkbrücke zwischen zwei Ethernet-Segmenten (Point-to-Point und Point-to-Multipoint), als Basis-Station im Clientbetrieb und als Router, der die angeschlossenen Wireless-Stationen via DSL-Modem mit dem Internet verbindet. Für den Einsatz als Router wird die Ethernet-Schnittstelle des APs nicht mit einem Ethernet-Switch oder -Hub, sondern mit dem DSL-Modem verbunden. Dann stellt der AP auch eine vollständige Stateful-Inspection-Firewall, Intrusion-Detection und IP-Masquerading (NAT, PAT) zur Verfügung.

Das Setup des L-54ag ist vorbildlich gelöst. Nach Anschluss des Ethernet-Kabels und des Netzteils startet der AP und holt sich seine IP-Informationen von einem DHCP-Server. Nun installiert der Administrator die Lanconfig-Software für die Konfiguration und Administration des Geräts. Lanconfig ist eine Windows-Anwendung, die sich sofort intuitiv bedienen lässt. Nach dem Start sucht Lanconfig Access-Points und listet die gefundenen auf. Der Administrator selektiert dann einfach das zu konfigurierende oder zu administrierende Gerät. Ist ein AP noch nicht eingestellt, dann startet automatisch ein Assistent, der den Administrator Schritt für Schritt durch alle wichtigen Einstellungen einschließlich der für Sicherheit führt. Eine bessere Routine konnten wir unter den Testkandidaten nicht finden. Sollen zu einem späteren Zeitpunkt Konfigurationsänderungen durchgeführt werden, dann reicht ein Doppelklick auf den jeweiligen AP, um eine Dialogbox mit mehreren Registerkarten und einer Pull-Down-Liste zu öffnen. Aus der Pull-Down-Liste wählt der Administrator dann den zu konfigurierenden Bereich wie Management, Kommunikation oder WLAN-Zugriff aus und modifiziert dann die Felder der verschiedenen Registerkarten. Für einige Aufgaben existieren auch wieder Assistenten, beispielsweise für die Überprüfung der Sicherheitseinstellungen, für die Konfiguration der Firewall und die Einrichtung eines Internet-Zugangs.

Neben Lanconfig steht zur Konfiguration und Administration auch eine Webschnittstelle zur Verfügung, die außerdem Zugriff auf eine riesige Menge an Statusinformationen und Statistiken bietet sowie System-Boots, Kaltstarts und Firmware-Upgrades erlaubt. Assistenten erleichtern auch in der Webschnittstelle die Arbeit. Konfigurationszugriff ist ferner über Telnet und die serielle Schnittstelle des APs möglich. Die Konfigurationszugriffe kann der Administrator individuell für Wireless-Stationen, Stationen im LAN und Stationen im fernen Netzwerk freigeben oder verbieten, auf bestimmte IP-Adressen beschränken und mit einem Passwort schützen. Der Zugriff lässt sich außerdem ganz gezielt für die Protokolle HTTP, HTTPS, Telnet, SNMP und TFTP freigeben oder sperren, wieder jeweils individuell für das Wireless-Netzwerk, das LAN oder das ferne Netzwerk.

Der L-54ag bietet eine Vielzahl Sicherheitsfeatures, darunter eine Login-Sperre zum Schutz gegen Brute-Force-Angriffe, WEP-Verschlüsselung mit 64-, 128- und 152-Bit-Schlüsseln, Radius-Unterstützung, 802.1x (EAP), Closed-Netzwerk, WLAN-MAC-Adressen-Filter, WLAN-Protokoll- und -Port-Filter. Das Angebot runden ein integrierter DHCP-Server, ein DNS-Server, Funktionen zum Sichern und Wiederherstellen der Konfiguration, SNMP-Unterstützung, Syslog und die Lanmonitor-Anwendung zur Echtzeitüberwachung des APs ab.

Positiv fiel uns auch auf, dass Lancom einer der wenigen Hersteller ist, die ein vollständiges gedrucktes Handbuch liefern, das nicht nur die Konfiguration und das Management beschreibt, sondern auch viele Hintergrundinformationen liefert. Das begrüßen wir sehr.

Das Setup der Airlancer-MC-54-AG-Karte war ebenso einfach wie das des APs: Software installieren und Karte reinschieben. Das Airlancer-Client-Utility sucht nach WLANs, zeigt den aktuellen Status an und bietet eine einfache Profilverwaltung für Zugriffe auf verschiedene WLANs. In der Profilkonfiguration fanden wir unter anderem die Möglichkeit, WPA und WPA-PSK zu konfigurieren, auf dem L-54ag jedoch nicht.

Enterasys RoamAbout AP3000

Von Enterasys erhielten wir lediglich einen AP Roamabout-AP3000. Software gehört laut Installations- und Konfigurationshandbuch (per E-Mail empfangen) nicht zum Lieferumfang. Der AP wird entweder per seriell angeschlossenes Terminal, Telnet oder Web-Browser konfiguriert und administriert. Da es sich bei dem uns zur Verfügung gestellten AP um ein Evaluierungsgerät im Testdesign handelte, können wir zum Gehäuse nicht mehr sagen, als dass es vier Status-LEDs für Strom, Ethernet-Verbindung und WLAN-Aktivitäten, eine Reset-Taste, eine 10/100-MBit/s-Autosensing-Ethernet-Schnittstelle und eine serielle Schnittstelle für Konfigurations- und Administrationsaufgaben enthält.

Das Setup des AP3000 gestaltete sich problemlos, da sich der AP seine IP-Informationen Default-mäßig von einem DHCP-Server holt. Falls kein DHCP-Server vorhanden sein sollte, kann sich der Administrator mit einem an die serielle Schnittstelle angeschlossenem Terminal behelfen, um die IP-Parameter des APs zu konfigurieren – anschließend ist dann ein Zugriff über die Webschnittstelle möglich. Alternativ gibt es auch noch den Zugriff per Telnet und SNMP auf den AP3000. Auch über Wireless-Clients kann der Administrator zugreifen, doch lässt sich dies abschalten.

Die Webschnittstelle besitzt kein schmückendes Beiwerk, beispielsweise viele bunte Bilder, sondern konzentriert sich auf das Wesentliche; sie ist übersichtlich und leicht navigierbar. Arbeitet der Administrator die Hyperlink-Liste am linken Rand konsequent von oben nach unten ab, dann kann er eigentlich keine wichtigen Einstellungen vergessen.

Der AP3000 unterstützt nicht nur 802.11b und 802.11g, sondern auch 802.11a im 5GHz-Band. Die drei Varianten lassen sich auch gemeinsam nutzen. Funkübertragungs- und Sicherheitseinstellungen konfiguriert der Administrator separat für 802.11a und 802.11b/g. Das leuchtet uns zwar für die Funkübetragungsparameter ein, aber nicht unbedingt für die Sicherheitseinstellungen, denn die unterstützten Sicherheitsfunktionen sind identisch. Dazu gehören WPA-Authentifizierung über 802.1x (erfordert Radius-Server-Konfiguration), WPA-PSK sowie WPA-Multicast-Verschlüsselung über WEP (64-, 128- und 152 Bit-Schlüssel), TKIP oder AES. Gut gefallen hat uns, dass alle diese Sicherheitsparameter übersichtlich auf einer Webseite liegen – nur eben nach Wireless-Schnittstellen (a und b/g) getrennt. Weitere Sicherheitsfunktionen des AP3000 umfassen eine Zugriffssteuerung über MAC-Adressen, die der Administrator aber leider manuell konfigurieren muss, ferner Protokollfilter, die Möglichkeit, den AP als geschlossenes System zu konfigurieren, und Unterdrückung der SSID-Broadcasts. Die Verwendung von WPA lässt sich erzwingen. Clients müssen dann WPA verwenden, wenn sie Zugriff erhalten wollen. Ähnliches gilt für 802.1x: Der Administrator kann einstellen, dass Clients 802.1x entweder verwenden können, oder, dass sie 802.1x verwenden müssen. Die letzte Möglichkeit wäre dann noch, 802.1x komplett auszuschalten.

Der AP3000 unterstützt VLANs, SNMP, PPPoE. Ereignis- und Fehlermeldungen sendet der AP auf Wunsch zu einem Syslog-Server. Ein Ereignisprotokoll steht aber auch über die Webschnittstelle zur Verfügung. Die Stations-Statusanzeige funktionierte im Gegensatz zur AP-Statusanzeige im Test nicht – jedenfalls wurden keine aktiven Wireless-Stationen aufgelistet.

Info

So testete Network Computing

Für unsere Tests integrierten wir den jeweiligen AP über einen Fast-Ethernet-Switch von Netgear mit unserer Windows-Domäne. Die PC-Cards probierten wir mit verschiedenen Notebooks aus, darunter Systeme von Compaq und IBM. Der Zugriff auf die Server unserer Domäne war nicht besonders geschützt. Es reichte eine Anmeldung mit Benutzernamen und Kennwort. Wir testeten die Wireless-Lösungen zunächst in ihrem jeweiligen Zustand unmittelbar nach der Installation beziehungsweise Grundkonfiguration, bevor wir die verschiedenen Sicherheitsmechanismen wie WEP-Verschlüsselung und WPA einschalteten. Für Performancemessungen griffen wir auf NetIQs »Chariot« mit Windows-Performance-Endpoints zurück. Die Performance der getesteten Systeme war aber sehr ähnlich, so dass wir hier keinen eindeutigen Sieger ermitteln wollten. Wir testeten jeden Access-Point auch mit den PC-Cards der anderen Hersteller, um Inkompatibilitäten zu finden, konnten aber keinen Ausreißer entdecken. Der Test fand statt in einer üblichen Büroumgebung mit Trennwänden, vielen elektronischen Geräten und Mobiltelefonen. Die maximale Entfernung zwischen Wireless-Station und Access-Point betrug etwa 30 Meter.

Fazit

Ciscos Aironet-1100-AP setzt die Maßstäbe (zumindest unter den Produkten, die am Test teilnahmen). Eine solche Menge an Sicherheitsoptionen bot kein anderer AP im Test. Features wie Standby-Modus, Wireless-Domain-Services und QoS tragen ebenfalls dazu bei, den Aironet-1100 schon fast zu einer Klasse für sich zu machen. Ganz klar empfehlen wir dieses Produkt für den Einsatz auch in großen Unternehmen und großen Installationen und geben ihm die Auszeichnung »Referenz« der Network Computing. Die gut durchdachte Proxim-Wireless-Lösung bietet ebenfalls viele Sicherheitsfeatures und ist damit auch gut für den Einsatz in Unternehmen geeignet. An den Leistungs- und Funktionsumfang des Aironet-1100 kommt dieses Produkt aber nicht ganz heran. Das Setup und die Administration per Web-Browser sind einfach und die Konfiguration schnell durchgeführt. Artems Compoint-XT-g hätte das Zeug zu einem Spitzenreiter gehabt, aber mit den Konfigurations-/Administrationsschnittstellen dieses Produkts konnten wir uns wirklich nicht anfreunden. Aber Bedienerfreundlichkeit stellt sicher nicht das Maß aller Dinge dar – wer weniger Wert darauf legt, findet mit dem Compoint einen sehr guten AP mit vielen Features und Sicherheitsfunktionen. Lancoms L-54ag überzeugte beim Setup, bei der Konfiguration und der Administration. Der AP ist