Engere Maschen im drahtlosen Netz

Schutzsysteme für den Luftraum – Verteilte Wireless-Security-Monitore verriegeln das WLAN. Network Computing testete fünf Produkte, um zu sehen, ob damit auch wirklich alle Löcher gestopft sind.

Die Anbieter von WLAN-Produkten der Unternehmensklasse, darunter Airespace (jetzt Cisco) und Aruba, haben zwar die Sicherheitsfunktionalität ihrer Produkte im Lauf des vergangenen Jahres erweitert, aber sie bieten trotzdem nicht die Features punktspezifischer Produkte. Die meisten integrierten Geräte finden gefälschte (Rogue-) Access-Points, bieten ein paar Dutzend Alarme, Rogue-Abschwächung, eigene Konfigurationsrichtlinien und Einblick in die Performance, aber die Integration ist ein Problem: Die Performance des Wireless-Clients wird sinken, wenn der Access-Point zu lange auf anderen Kanälen lauscht. Wer bezweifelt, dass spezielle unabhängige Produkte die Funkfrequenzen ausreichend abhören, der sollte sich einmal fragen, ob Access-Points dies besser tun können, wo sie doch eine doppelte Aufgabe übernehmen. Dieser Wireless-Security-Vergleichstest beschränkte sich auf übergreifende Produkte.

Unternehmenssicherheits- und Netzwerk-Monitoring-Gruppen scheuen vielleicht vor Inline-Systemen zurück, die den Luftraum analysieren. Ein Overlay-System, unabhängig vom WLAN, sicher segmentierbar – vielleicht über VLANs – und gesteuert von der Sicherheits- oder Netzwerkmonitoring-Gruppe, ist da schon schmackhafter.

Network Computing fragte nach verteilten WLAN-Monitoring-Systemen, die auf geographisch verteilte Operationen für das WAN zugeschnitten sind und mindestens folgende Funktionen bieten: Entdeckung von gefälschten Geräten (verkabelt und drahtlos), Eindringlingen und Funkfrequenz-Interferenzen sowie Monitoring des Benutzer- und Gruppenverkehrs und der Performance in den 2,4-GHz- und 5-GHz-Bändern. Von elf eingeladenen Anbietern nahmen nur fünf die Herausforderung an: Die Veteranen »AirDefense« und »AirMagnet«, die Neulinge »AirTight Networks« und Highwall Technologies sowie der Preisführer Network Chemistry. Abgesagt hatten »BlueSocket«, Network Instruments, Cirond, Newbury Networks, Red-M und »WildPackets«.

Attacke
Network Computing bat alle Anbieter um ihre eigenen Angriffs-Software, aber nur Airmagnet nahm dieses Angebot an. Airdefense schickte immerhin eine Kopie einer kostenlos herunterladbaren Sicherheits-Angriff-CD. Nicht überraschend entdeckte das System von Airmagnet die gesamte Sammlung der Angriffe, aber die Rivalen steckten kaum zurück: Mit Ausnahme von Highball machte jedes Produkt einen Großteil der von Airmagnet zur Verfügung gestellten Grundangriffe aus. Eine Erweiterung der Angriffssammlung zeigte aber, dass die meisten der getesteten Systeme fortschrittlichere Aggressionen, beispielsweise die CTS-Flood-, EAP-Fehler- und EAP-Logoff-Attacken, übersahen oder falsch klassifizierten. Die aus Airmagnet-Angriffen, frei verfügbaren und selbst geschriebenen Werkzeugen kombinierten Attacken wurden gründlich analysiert.

Der Preisführer Network Chemistry zeigte eine erschöpfende Sammlung von Angriffssignaturen, entdeckte die meisten Aggressionen und klassifizierte sie korrekt. Die Produkte von Airmagnet und Airdefense folgten dicht auf. Dennoch muss gesagt werden, dass es kein Wireless-Security-Äquivalent zur heuristischen Entdeckung gibt, wie sie führende Antivirus-Produkte einsetzen. Viele Anbieter behaupten zwar etwas Anderes, aber deren Implementationen basieren im Wesentlichen noch immer auf Signaturen und leiden unter der gleichen Tag-Null-Anfälligkeit wie die verkabelten Kollegen. Eine selbst geschriebene und noch nicht verteilte Paket-Fragmentierungs-Attacke entdeckte deshalb keins der Produkte.

Die Alarm- und Ereignismanagement-Implementationen unterschieden sich sehr voneinander. Zwei Extreme: Highwalls System war eingeschränkt auf einfache Filterung, während Airdefenses Enterprise 6.2 detaillierte oder zusammengefasste Alarminformationen je Gerät, Typ, Sensorstandort und mehr lieferte. Airmagnet hat mehr als 130 Alarme, aber zu bedauern ist der Administrator, der auch nur die Hälfte davon analysieren muss. Viele dieser Alarme beziehen sich auf die Performance, und Airmagnet lieferte einige falsche Positivmeldungen. Network Chemistry, im Mittelfeld anzusiedeln, macht es einfach, Alarme nach Standorten zu filtern.

Katz und Maus
Gegen fremde WLAN-Geräte aktiv vorzugehen (Rogue-Mitigation) ist ein heikler Punkt. Die meisten Anbieter waren schnell dabei zu erklären, dass es eine Sache sei, ein Gerät zu blockieren, das ans eigene Netzwerk angeschlossen ist. Es ist aber etwas anderes, einen nicht mit der eigenen Infrastruktur physisch verbundenen AP herunterzufahren. Im zweiten Fall könnte man ungewollt das Unternehmen ein Stockwerk weiter oben am Zugriff auf dessen Netzwerk hindern.

Airdefense ging sehr konservativ vor: Eingreifen ließ sich nur, wenn das Rogue-Gerät ein eigener AP oder ein Rogue-Gerät im eigenen Netzwerk war. In der Standardeinstellung ist die Eindämmungsfunktion auf allen Servern und Sensoren ausgeschaltet. Das Unternehmen sagt, es bevorzuge den Einsatz von Ciscos Wireless-LAN-Solution-Engine (WLSE) und dessen Port-Blocking. Bei eingeschaltetem AP-Blocking generierte Airdefense mit 1 KBit/s bis 2,8 KBit/s den geringsten Wireless-Verkehr.

Airmagnet zeigte sich hingegen relativ sorglos mit ihrer Implementation, die durchschnittlich 23 KBit/s bis 79 KBit/s generierte. Weniger Verkehr wurde zur Eindämmung von 802.11a- und 802.1b/g-Rogues erzeugt. Das Produkt erlaubt automatisches Wireless- und Port-Blocking als Reaktion auf ein Ereignis, das gegen die Sicherheit verstößt. Wireless-Administratoren sollten diese Fähigkeit überlegt nutzen.

Airtight geht bei der Wireless-Rogue-Mitigation vollkommen anders vor. Das Mantra des Unternehmens ist die »Wi-Fi-Firewall«, erreicht durch Autoklassifizierung und Rogue-Eindämmung. Spectraguard generierte 3,9 KBit/s bis 5 KBit/s Verkehr, während es bis auf eine Kombination von Cisco-CB21AG- und Linkysy-WRT55AG-APs in einem 802.11a-Netzwerk alles erfolgreich herunterfuhr. Network Chemistry unterstützt eine logische Untergruppe automatischer Eindämmung und verhindert die Verknüpfung autorisierter Clients mit nicht autorisierten APs und umgekehrt. Die Rfprotect-Wireless-Sensoren sind im verschlüsselten Modus zu betreiben und generieren 9 bis 18 KBit/s Verkehr. Das Produkt konnte Cisco-CB21AG-Karten im 2,4-GHz- und 5-GHz-Spektrum nicht vollständig unterdrücken. Highwall bot wegen ihres Sensor-Designs keine Eindämmung.

Bevor man Rogues hinauswerfen kann, muss man sie natürlich erst finden. Und die Identifizierungsfähigkeiten der Produkte variierten stark. Airdefense fand alle Rogues, konnte aber nicht zwischen denen innerhalb und außerhalb des Netzwerks unterscheiden, solange nicht mindestens ein autorisierter AP vorhanden war. In Verbindung mit Ciscos WLSE liefert Airdefense weitere Details, beispielsweise den verkabelten Port, der mit dem Rogue-AP verknüpft ist.

Airmagnet sagte, dass deren nächste Version, die inzwischen verfügbar sein sollte, eine vergleichbare Integration mit Ciscos WLSE besitzen werde. Das Testsystem fand die verkabelten Ports der Rogue-APs mit Ausnahme zweier Wireless-Router. Das Wire-Line-Tracing arbeitete nicht so schnell, wie der Hersteller sagt. Airtight führt andererseits gar kein Port-Tracing durch und liefert dafür folgende Begründung: In Verbindung mit Eindämmung eingesetzt, würde Port-Tracing es einem Rogue-AP mit angepasster Software einfach machen, die MAC-Adresse eines gültigen verkabelten Geräts zu spoofen. Und damit ließe sich eine DoS-Attacke gegen das Netzwerk fahren. Network Computing hält die Port-Entdeckung auf der verkabelten Seite trotzdem für ein wertvolles Werkzeug für die Entdeckung von Rogue-Geräten.

Airtight legt viel Wert auf die Autoklassifizierung von Geräten als autorisiert, rogue, extern oder unkategorisiert und nutzt dieses System, um den Administrator entscheiden zu lassen, wie nicht autorisierte Geräte zu behandeln sind. Dieses Setup funktionierte zwar gut mit offenen APs und zwei gebrückten APs mit eingeschalteter Verschlüsselung, aber es klassifizierte nur einen der vier Rogue-Wireless-Router mit eingeschalteter Sicherheit korrekt.

Highwall besitzt weder erweiterte Features für Entdeckungen im Netzwerk und außerhalb des Netzwerks, noch Port-Entdeckung. Das Produkt hatte aber keine Probleme mit einfacher Über-die-Luft-Identifikation. Network Chemistry glich Airmagnet, indem es verkabelte und Wireless-Rogues entdeckte, jedoch nicht so erfolgreich. Wegen seiner Über-die-Luft-Trace-Implementation konnte das Produkt die verkabelten Ports von Rogue-Wireless-Routern nicht identifizieren. Die Tests aller Systeme haben gezeigt, dass es für eine schnelle Identifizierung oder Klassifizierung eines Wireless-Geräts nicht genug Informationen gibt, solange nicht mindestens ein Gerät mit einem AP verknüpft ist und Verkehr durch diesen AP sendet.

AirMagnet Enterprise 5.2
Das vergangene Mal testete Network Computing noch das Beta-4.0-Release, diesmal, gerade 15 Monate später, lag Airmagnet-Enterprise bereits als Version 5.2 vor. Auf den ersten Blick hat sich das Produkt nicht viel verändert: Es führt immer noch ein auf Win32 basierendes System mit Microsoft-SQL-Server als Backend aus, die Win32-Schnittstelle der Laptop-Version gleicht der Schnittstelle der Appliance und der Senao-Sensor ist der gleiche geblieben (noch immer ohne natürliche Unterstützung von Power-over-Ethernet). Steigt der Anwender aber ein bisschen tiefer ein ins Produkt, stößt er auf Verbesserungen: Nun reagiert das System auch automatisch auf Eindringungen – auf der verkabelten Seite durch Ausschalten des Switch-Port und auf der Wireless-Seite durch Eindämmen der Funkfrequenz. Neu sind auch auf Diagramme basierende Standortdienste, eine auf Zeiten gestützte Zugriffssteuerungsliste und die Fähigkeit, Knoten hinzuzufügen und Geräten Besitzer zuzuordnen.

Airmagnet stellte keine Appliance für den Test zur Verfügung, weswegen eine frische Installation des Produkts auf einem Laptop notwendig war. Der Computer lief unter Windows-2000 und besaß bereits SQL und IIS. Während der Installation bittet ein Assistent um Auswahl der Systemrichtlinie, die am besten zur gewünschten Konfiguration passt, zum Beispiel Enterprise, Goverment und »no wireless«. Nach ein paar weiteren Schritten öffnet sich das »Armaturenbrett« von Airmagnet und zeigt einige farbenfrohe Diagramme und Tabellen mit Schlüsselstatistiken über die Gesundheit des Wireless-Netzwerks.

Um die Sensoren einzurichten, schließt der Administrator ein serielles Kabel an und konfiguriert die IP-Netzwerkinformationen des Geräts, den Management-Server und den Geheimschlüssel für die Verschlüsselung des Kommunikationsflusses zwischen Sensor und Server. Im Gegensatz zu Airdefense, das einen Großteil der Analyse auf dem Server erledigt, führt Airmagnet die meisten der Analysen auf dem Edge-Gerät, dem Sensor durch. Die Anbieter debattieren zwar hitzig, welcher Weg der bessere sei, aber es ist nie eine Entweder-Oder-Implementation. Im Fall von Airmagnet verlangen Patches und Funktionserweiterungen fast immer eine Software-Aktualisierung auf dem Sensor.

Airmagnet bietet schon längere Zeit eine Integration mit dem AP-Management-Anbieter »AirWave«; erst kürzlich hinzugefügt hat der Hersteller indes einen Datenaustausch mit Ciscos WLS und eine generische XML-Schnittstelle sowie ebenfalls auf XML basierende Unterstützung für Ciscos Remote-Data-Exchange-Protocol (RDEP). Airmagnet integriert Konten mit Microsofts Active-Directory und Open-LDAP, um einen einzelnen Kennwortspeicher zu erlauben.

Die Port-Entdeckung gefälschter Access-Points erledigte das Produkt im Test deutlich schneller als Network Chemistry, der einzige andere Hersteller, der seine Sensoren als Wireless-Clients nutzt, um zu prüfen, ob sich unerwünschte drahtlose Geräte im Netzwerk befinden. Airmagnet-Enterprise hatte zwar Schwierigkeiten, den geswitchten Port für zwei der vier im Test installierten Wireless-Router zu identifizieren, aber einige der anderen Hersteller benötigen dafür externe Hilfe, oder Unterstützen diese Funktion überhaupt nicht. Die Wireless-Rogue-AP- und -Client-Eindämmung des Systems war effizient, aber Airmagnet übertrug unter den getesteten Systemen die meisten Pakete und konsumierte damit die meiste Bandbreite.

Airmagnet wurde zuerst durch ihren PDA-Analysator bekannt, dem nun ein Laptop-Gerät folgt. Diese starken Wurzeln sind es wohl, die Airmagnet mehr Live-Details zu den Vorgängen im Wireless-Netz liefern lassen als die Konkurrenten. Wer sich zu den Sensoren hinunterklickt, kann sich beispielsweise die den Sensor umgebende Live-Funkfrequenz ansehen und erkennen, wo 1-MBit/s-, 2-MBit/s- und 5,5-MBit/s-Verkehr fließt. Spezielle Werkzeuge helfen bei der Suche nach Fehlern in Client-AP-Verhandlungen und beim Sammeln und Dekodieren von Paketen. DHCP, Ping und Trace sind mit dabei.

Airmagnet unterstützt mehr als 130 Sicherheits- und Richtlinienverletzungs-Alarme und identifiziert fortschrittlichere Attacken am erfolgreichsten. Das System ist jedoch ein bisschen zu empfindlich: Ein Client, der für den Zugriff auf einen mit WPA-LEAP arbeitenden Cisco-AP fehlerhaft konfiguriert war, wurde wegen wiederholt fehlgeschlagener Zugriffsversuche als System gebrandmarkt, das mit Hilfe des Werkzeugs »asleap« einen Angriff durchführt. Als im Test dann wirklich Wireless-Angriffe durchgeführt wurden, beklagte sich Airmagnet-Enterprise darüber, dass der Angreifer weder TKIP noch PEAP nutzte. Das Programm bietet dem Administrator die Option, Alarme nur für bestimmte SSIDs einzustellen, aber ein weiter fortgeschrittenes System würde Geräusch filtern und dem Administrator die relevantesten Daten liefern – Airdefense und Airtight können dies.

Der Preis von Airmagnet ist gerechtfertigt. Organisationen, die ein starkes Wireless-IDS-System mit einigen Diagnosefähigkeiten benötigen, sollten Airmagnet näher untersuchen.

AirDefense Enterprise 6.2
Airdefense brachte zwar während der vergangenen 15 Monate gleich zwei neue Releases auf den Markt, aber die Architektur des Produkts ist größtenteils unverändert geblieben. In typischer Schicht-3-Anordnung befinden sich die Sensoren in einer verstärkten Linux-Appliance (1 HE), die über eine Java-Schnittstelle verwaltet wird. Die Installation ist einfach, obwohl die Serverkonfiguration verlangt, dass der Administrator mit Textmenüs arbeitet – eine grafische Schnittstelle ist aber auf dem Weg.

Die Sensoren sind mit IP-Informationen zu versehene, die wegen der Redundanz auch gleich mit zwei Servern verknüpft werden können. Sobald die erforderliche Java-Virtual-Machine installiert ist, steht einem Zugriff auf die sichere Web-Site der Appliance via Browser nichts mehr im Weg.

Die grafische Schnittstelle ist gut entworfen, verlangt aber den Klick auf den Aktualisieren-Befehl häufiger, als angenehm ist, und das Dashboard reflektierte gelöschte Alarme oft erst eine Minute (oder mehrere Minuten) nach Beendigung der Löschprozedur. Trotzdem ist die Schnittstelle funktionell und erlaubt beispielsweise, Richtlinienkonfigurationen den verschiedenen Standorten einfach und fein abgestuft zuzuweisen.

Die Client-Performance ist seit dem vorigen Release deutlich besser geworden, was beweist, dass auch Java-Clients schnell sein können. Ein Klick auf ein Gerät liefert viele Optionen, welche es leicht machen, Aktionen durchzuführen oder Details abzurufen. Angenehm ist die Schnappschuss-Funktion, die Minute für Minute zeigt, was in der Luft vor sich ging, während ein gegebenes Gerät aktiv war. Das Reporter-Add-on von Airmagnet arbeitet weder so nah an der Echtzeit noch mit vergleichbarem Detaillierungsgrad.

Airdefense verzichtet darauf, seine Sensoren mit gefälschten APs zu verbinden, um auf diesem Weg herauszufinden, ob es sich um interne oder externe Fälschungen handelt. Stattdessen verlässt sich das Produkt auf Verhaltensanalysen, die eindeutige, zwischen internen und externen Netzwerkgeräten unterscheidende Verkehrsmuster entdecken. Im Test funktionierte diese Autoklassifizierung erst, nachdem ein autorisierter AP installiert war. Das könnte ein Problem sein, falls eine Kein-Wireless-Richtlinie durchzusetzen ist.

Eine weitere Überraschung war, dass Airdefense-Enterprise die Rogue-Entdeckung nicht zwischenspeichert, während der Sensor vorübergehend vom Netzwerk getrennt ist. Die Airdefense-Sensoren übertragen eine optimierte Version der gesehenen Wireless-Frames an die Korrelationsmaschine auf dem Server. Künftige Releases sollen auch auf den Sensoren verarbeiten und korrelieren können. Hier zeigen sich die Vor- und Nachteile lokaler und zentraler Ereignisanalyse: Airdefense-Enterprise korreliert gut, schwächelt aber beim Ereignis-Caching, während Airmagnet-Enterprise kaum Cross-Sensor-Korrelationen kennt, dafür aber lokalen Speicher für die Ereignisweiterleitung besitzt.

Airdefense-Enterprise integriert Ciscos WLSE. Alle in WLSE registrierten APs zeigen sich als autorisierte Geräte, und für die von Airdefense gefundenen Rogue-APs lassen sich die verkabelten Ports über WLSE abschalten. Auch andere Hersteller sagen, sie hätten Zugriff auf die gleichen APIs und Schnittstellen, aber Airdefense besitzt die engste Integration.

Die Wireless-Termination oder -Eindämmung von Airdefense war unter den getesteten Produkten die effizienteste. Aber leider fehlt eine Ad-hoc-Termination – auch hier verweist der Hersteller auf ein folgendes Release.

Airdefense-Enterprise 6.2 ist ein fähiges System, aber Vorzüglichkeit hat ihren Preis. Die einmaligen Features des Produkts, dessen enge Integration in Cisco und die konservative Art der Wireless-Termination können den Preis aber rechtfertigen.

Network Chemistry RFprotect System 4.05
Network Chemistry ist der einzige Hersteller, der das Wort »Enterprise« nicht im Produktnamen erwähnt – aber das hat nichts zu bedeuten. Rfprotect ist es wert, von kleinen wie von großen Organisationen berücksichtigt zu werden, denn es bietet starke Funktionen zu einem niedrigenPreis.

Rfprotect kommt nicht als Appliance. Der Rfprotect-Server läuft unter Win32 oder Linux und nutzt eine Open-Source-Datenbank. Im Test lief der Server auf einem Windows-XP-System, der Win32-Client auf einem separaten Laptop.

Die Sensoren des Produkts sind sehr solide gebaut, kompatibel mit externen Antennen und preisgünstig. Kanäle und Scan-Zeiten lassen sich mit dem eingebauten Sensor-Management-Werkzeug leicht konfigurieren. In der Standardeinstellung sind die Datenströme klar, aber ein gemeinsamer Schlüssel erlaubt, Network Chemistrys proprietäres ETL-Werkzeug zu nutzen, das Sensoren und Server untereinander authentifiziert. Das System besitzt keinen seriellen Port, aber die offenen Sensoren werden leicht im gleichen Schicht-2-Netzwerk entdeckt. Sobald die IP-Adresse bekannt ist, lassen sie sich auch über ein Schicht-3-Netzwerk hinzufügen. Verschlüsselte Sensoren melden sich ohne Eingriffe über die Clientkonsole beim Server.

Die Port-Saver-Version der Sensoren unterstützt weiterreichendes PoE. Eine Messung des Stromverbrauchs des Sensors war nicht möglich, aber ein angeschlossener Cisco 1200 (dual-radio) lief einwandfrei. Der Port-Saver macht die Installation zu einer Plug-and-Play-Angelegenheit, es sei denn, der AP und der Sensor sollen sich in verschiedenen VLANs befinden.

Die anfängliche Konfiguration bereitete keine Schwierigkeiten, und das auf mehrere Panels aufgeteilte Dashboard bot bald einen guten Überblick über den Status des Wireless-Netzwerks. Leider ist es nicht möglich, vom Dashboard aus mit Klicks zu den Details hinunter zu gelangen. Detailansichten öffnet der Administrator statt dessen mit Klicks auf Schaltflächen unterhalb der Standard-Menüleiste. Neu in diesem Release ist die hierarchische Sensorgruppierung. Sensoren und Wireless-Geräte lassen sich damit Etagen, Gebäuden oder geographischen Standorten zuordnen. Die Geräte-Detailansichten zeigen viele Informationen auf einem einzelnen, geordneten Bildschirm, während andere Hersteller sie über die gesamte Schnittstelle verstreuen oder überhaupt nicht auflisten.

Das Produkt unterstützt keine Ad-hoc-Eindämmung. Dafür zeigte es bei der Wireless-Angriff-Entdeckung die beste Qualität und Quantität. Bei ein paar Alarmen, beispielsweise beim Access-Point-Neustart, reagierte es ein bisschen zu empfindlich, aber es war einfach, diese Alarme zu manipulieren und zu beantworten.

Wireless-Administratoren, die ein verteiltes Wireless-Sicherheitssystem schnell einführen wollen, werden an Network Chemistrys Sensor-Design, den runden Fähigkeiten von Rfprotect und am Preis des Produkts Gefallen finden.

AirTight Networks SpectraGuard Enterprise 3.0
Airtight Networks unterscheidet sich schon von der Konkurrenz, indem sie ihr Produkt eine »Wi-Fi-Firewall« nennt und in Aussicht stellt, das verkabelte Netzwerk gegen externe Wireless-Bedrohungen abzuschirmen. Spectraguard verspricht mit seinen Core-Fähigkeiten tatsächlich Einiges, aber das relativ junge Produkt (spät im vergangenen Jahr auf den Markt gebracht) benötigt eine solidere Featuresammlung, um mit den Marktführern gleichziehen zu können.

Airtight nutzt das Drei-Schichten-Modell, das auch für die anderen Hersteller arbeitet: Generische Sensoren am Rand des Netzwerks füttern eine anspruchslose Linux-Server-Appliance. Und das alles wird über eine mit Java bereicherte Web-Schnittstelle administriert.

Im Test verlief die Installation ein wenig holprig – ein Lesen des Handbuchs tat Not. Die Konfiguration des Servers erfordert Befehlszeilenzugriff über die serielle Schnittstelle der Appliance. Das System überprüft obligatorisch, ob die richtige JVM installiert ist. Ist dies der Fall, führt ein Assistent den Administrator durch einen Prozess, der das System für die jeweilige Systemumgebung anpasst. Zu konfigurieren sind die zu überwachenden Netzwerke (ein Sensor in jedem Schicht-2-Netzwerk), die gewünschten Methoden der Autoklassifizierung und die Situationen, in denen die Bedrohungsabschwächung reagieren soll.

Die Autoklassifizierung einzuschalten ist sehr wichtig, denn Rogue-Eindämmung ist ein Eckpfeiler des Produkts. Statt vom Administrator zu verlangen, jedes gefälschte Gerät als interne oder externe Bedrohung beziehungsweise Nachbarn zu kategorisieren, bietet Airtight einen Algorithmus, der automatisch klassifiziert und reagiert. Spectraguard identifiziert Rogues tatsächlich schnell, aber die Autoklassifizierung arbeitet nicht sehr exakt. Die im Test genutzten Bridge-APs wurden anfänglich als externe Geräte identifiziert, obwohl sie ans Netzwerk angeschlossen waren. Nachdem aber Verbindungen mit ihnen hergestellt und ein paar Pings gesendet waren, wurden sie rasch als interne Systeme neu klassifiziert. Das getestete Release konnte Wireless-Router mit Schicht-2-Sicherheit, beispielsweise WEP, nicht klassifizieren – Airtight will diese Schwäche mit einem künftigen Patch oder Release beseitigen.

Spectraguard zeigte gute Leistungen in den Rogue-AP- und Client-Mitigations-Tests. Tatsächlich terminierte das Produkt Ad-hoc-Verbindungen erfolgreicher als Airmagnet-Enterprise. Ein anderes interessantes Feature von Spectraguard ist dessen Denial-of-Service (DoS)-Schutz, der im Test jedoch nicht immer erfolgreich war.

Im Gegensatz zu den Produkten von Airmagnet, Airdefense und Network Chemistry enthält Spectraguard keine Troubleshooting-Werkzeuge. Auch die Performancemessungen sind eher spärlich, und einige Aspekte der Benutzungsschnittstelle, beispielsweise die Spaltensortierung und Seitenaktualisierung, lassen zu wünschen übrig.

Die Spectraguard-Sensoren unterstützen zwar sämtliche Kanäle der 2,4-GHz- und 5-GHz-Frequenzen, aber sie sind so konfiguriert, dass sie nur regulierte Kanäle scannen. Das bedeutet, dass ein Rogue-Client auf einem nicht regulierten Kanal weder identifiziert noch eingedämmt wird. Künftige Versionen sollen laut Hersteller nicht regulierte Kanäle immerhin scannen können, um gefälschte Geräte wenigstens zu entdecken, wenn auch nicht zu mitigieren. Da das Produkt auf der verkabelten Seite kein Port-Tracing durchführt, kann der Wireless-Administrator das Rogue-Gerät lediglich physisch suchen. Glücklicherweise liefert Spectraguard genaue Standorte.

Eng verwandt mit Airtights Standort-Technik ist der Spectraguard-Planner, ein Wireless-Planungswerkzeug für Sensoren. Innerhalb von Spectraguard sieht der Administrator nicht nur die zu erwartende Abdeckung der APs, sondern auch die der Sensoren, angefangen bei deren Fähigkeit, Verkehr zu hören, bis zur Eindämmung.

Speactraguard demonstriert, dass auch Neulinge in diesem Geschäftssegment einmalige und innovative Lösungen für Wireless-Sicherheit erzeugen können. Bei diesem Produkt sind allerdings noch ein paar Kanten zu glätten, und die Featuresammlung ist zu vervollständigen.

Highwall Technologies Enterprise 3
Highwall ist eng mit Computer Associates verknüpft. Die ersten Versionen des Produkts, vor vielen Monaten angeboten, besaßen noch keine grafische Benutzungsschnittstelle, sondern sandten SNMP-Traps an eine zentrale Konsole. Nun, beim Einstieg auf den Wireless-Sicherheits-Monitoring-Markt, hat der Hersteller sein eigenes System hinzugefügt, das Microsofts IIS-Server und SQL-Server nutzt. Beeindruckend ist Highwalls hoch sensitiver Sensor mit optionaler Antenne, der gegenüber den Mitbewerbern eine mögliche Abdeckung im Verhältnis 20 zu 1 bietet.

Von Highwall trafen eine CD und drei Sentinel-1000-Sensoren mit separaten 2,4-GHz- und 5-GHz-Scout-Antennen ein. Die Software wurde mit Microsofts IIS- und SQL-Server installiert. Der Administrator trifft also wieder auf das vertraute Trio: Sensor, Server und Web-Schnittstelle.

Die Produkte von Highwall und Network Chemistry waren in diesem Test die einzigen, die eine nichtserielle Sensorkonfiguration erlaubten. Der Administrator greift auf den Sensor über dessen Standard-IP-Adresse zu und führt dann die notwendigen Änderungen der Netzwerkkonfiguration durch. Ob diese Art des Konfigurationszugriffs eine gute Idee ist, ist Geschmacksache. Einige Administratoren nennen serielle Ports einen Sicherheitsalptraum, vergessen aber dabei, dass serielle Ports beim Trouble-Shooting helfen können.

Das System bietet wenige Optionen, und das erleichtert die Konfiguration. Nachdem der Administrator die Standorte für seine lokalen und entfernten Sites erzeugt hat, fügt er die Sensoren hinzu. Sensoren lassen sich auch automatisch hinzufügen, aber im Test gab es Probleme mit der automatischen Entdeckung.

Um den hohen Kosten der Sensoreinführung etwas entgegenzusetzen, hat Highwall einen Sensor mit einem Verstärker für einen 42-dBi-Gewinn entwickelt und verkauft eine optionale Scout-Antenne für eine sogar noch größere 10-dBi-Verbesserung. Tests haben gezeigt, dass mit dieser Signalverstärkung ein einziger Sensor ein Gebäude mit mehreren Etagen abdecken kann. Da normalerweise nur ein oder zwei Sensoren gebraucht werden, gibt es keine Standortkorrelation zwischen den Sensoren. Weniger Sensoren bedeuten, dass jeder Sensor ein größeres Gebiet abhören muss.

Highwall unterstützt relativ wenige Alarme und entdeckte nur einen Bruchteil der generierten Wireless-Angriffe. Manchmal vergingen Minuten, bis ein neuer Rogue-AP aufgelistet wurde, und aktive Rogues wurden mit einer veralteten »Zuletzt gesehen«-Zeit angezeigt. Das Produkt enthält gegenwärtig keine Mitigationsfunktion für Wireless-Rogues.

Für Unternehmen mit sehr vielen großen Standorten und Enterprise-Management-System, beispielsweise Unicenter, ist Highwall attraktiv mit geringen Einführungskosten (der Preis ist trotzdem relativ hoch). Das Produkt erledigt die Grundaufgaben der Rogue-Entdeckung und identifiziert Basisangriffe. Wer aber ein eigenständiges System mit allem Drum und Dran sucht, sollte an diesem Produkt vorübergehen.

Fazit
Die beiden Veteranen Airdefense und Airmagnet demonstrierten mit durchgängig hohen Punktzahlen die Reife ihrer Produkte. Airmagnet-Enterprise gewann wegen des besseren Preises und erhielt dafür die Auszeichnung »Referenz«. Network Chemistry beendete auf Grund eines cleveren Sensor-Designs den Wettbewerb als respektabler Dritter. Da der Preis des Produkts mehr als gerechtfertigt ist, erhielt Network Chemistry die Auszeichnung »Preis-Leistung«. Airtight Networks zeigte ein vielversprechendes Produkt, das mit Standort-Monitoring zu beeindrucken wusste. Aber Spectraguard fehlen noch einige Features, welche die Konkurrenten schon längere Zeit bieten. Highwall Technologies leistet grundlegende Rogue-Entdeckung und identifiziert einige wenige Attacken. Die spärliche Benutzungsschnittstelle des Produkts erreicht nicht die Tiefe der Schnittstellen der Mitbewerber.
dj@networkcomputing.de