Cisco strickt am Self-Defending Network
WLAN-fähige Router und Security-Appliances
Cisco treibt seine Self-Defending-Network-Strategie voran: Netzwerkweite Kontrolle soll die Infrastruktur vor Gefahren schützen. Dem Administrator beschert dies zunächst neue Hardware: WLAN-fähige Access-Router, eine integrierte Security-Appliance sowie ein Gerät für das Aufspüren und das Management von Wireless-Equipment.
Der nach wie vor dominierende Routing-Anbieter übernimmt fest konfigurierte
Integrated-Services-Router (ISRs) mit optionaler WLAN-Funktionalität (Wireless LAN) in sein
Access-Router-Portfolio für Unternehmensinfrastrukturen. Bisher bot Cisco WLAN-Router nur in Form
der SOHO-orientierten (Small Office/Home Office) Linksys-Produkte an. Die ISRs der Serie 800 zielen
auf Teleworker und kleinere Büros, die der Serie 1800 auf Mittelständler und Niederlassungen. Neue
Module für die ISR-Serien 2800 und 3800 sollen Zweigstellen mit WLAN sowie Switching mit PoE (Power
over Ethernet) versorgen.
Viele Sicherheitsfunktionen, aber kein 802.11i
Die Netzwerkhersteller führen derzeit verstärkt Switching-, Routing- und Sicherheitsfunktionen
auf ihren Plattformen zusammen. Auch Cisco positioniert die jüngste Produktoffensive als
Bestandteil seiner Self-Defending-Network-Strategie: "Adaptive Threat Defense" – also
anpassungsfähige Gefahrenabwehr – soll in die Netzwerkgeräte wandern. Entsprechend betont der
Routing-Marktführer die umfangreiche Sicherheitsausstattung seiner aktuellen Angebote. Das kleinste
Modell 850 – ein ADSL2+-Router mit Vier-Port-Switch und optionalem 802.11b/g-WLAN – kommt mit der
Basisausstattung IPSec-VPN und Stateful Firewall. Der größere Bruder 870 bietet neben einem
managebaren Vier-Port-Switch mit PoE und optionalem 802.11b/g-WLAN aber bereits Intrusion
Prevention (IPS), Network Access Control (NAC), URL-Filtering, Hardware-Beschleunigung für VPNs
sowie DMVPN (Dynamic Multipoint VPN).
Die ISRs der Serie 1800 bieten die gleichen Sicherheits-Features wie der 870er und zudem
Dual-Band-WLAN (also 802.11a ebenso wie 802.11b/g) und einen integrierten Acht-Port-Ethernet-Switch
mit PoE. Zur Modellreihe zählen der 1801 (ADSL/analog), 1802 (ADSL/ISDN), 1803 (G.SHDSL) sowie 1811
und 1812 (Ethernet mit Analog- beziehungsweise ISDN-Backup).
Sowohl mit MPLS-VPNs als auch mit AES- und 3DES-verschlüsselten IPSec-VPNs können die Geräte
umgehen. Zur Verwaltung unterstützt der Security Device Manager (SDM) 2.1 laut Cisco sämtliche
Router bis hinauf zum 7301. Zu den Authentifizierungsmechanismen zählen 802.1x und diverse
EAP-Varianten (Extensible Authentication Protocol): Ciscos hauseigenes LEAP (Lightweight EAP) sowie
PEAP (Protected EAP) und EAP-TLS (Transport Layer Security).
Eine Lücke klafft allerdings in der Sicherheitsausstattung der jüngst vorgestellten Router:
Keiner unterstützt bisher den im Sommer 2004 ratifizierten WLAN-Sicherheitsstandard 802.11i. Laut
Cisco sollen sich die Router per Software-Upgrade auf 802.11i aufrüsten lassen. Das entsprechende
Release stehe allerdings noch nicht zur Verfügung.
Höhere Port-Dichte und PoE
Für den Router 1841 und die Serien 2800 und 3800 bietet Cisco WLAN-Access-Points als
Einschubkarten, HWICs genannt. Es gibt sie in Single-Band- (802.11b/g) und Dual-Band-Ausstattung
sowie mit diversen Antennen. Wichtig für den Einsatz jenseits des SOHO-Sektors: Die Antennen sind
beim ISR 870, 1800 und den HWICs abnehmbar und lassen sich somit getrennt vom Router installieren.
Neue serielle und asynchrone HWICs übertreffen ihre Vorgänger bezüglich Performance und
Port-Dichte: Zum Beispiel erzielt ein serielles Vier-Port-Modul laut Hersteller nun einen Durchsatz
von 8 MBit/s pro Port statt wie bisher pro Modul. Vom 2811 an aufwärts weisen die Geräte vier
HWIC-Slots auf.
Dank neuer Switching-Module mit 24 oder 48 PoE-fähigen Ports erhöht Cisco auch die Port-Dichte
seiner Switching-Einschübe für die Serien 2800 und 3800. Die Vorgängerversionen für die Serien
1800, 2800 und 3800 boten nur vier beziehungsweise neun Ports. Die Switching-Module lassen sich per
Stackwise-Technik mit Catalyst-3700-Switches zu einem Stapel zusammenfassen – eine nützliche
Skalierungsoption.
Für die Carrier-Kundschaft bieten die Router so genanntes Zero Touch Deployment: Der
Netzbetreiber liefert die Geräte mit einer Basiskonfiguration aus, und das Gerät bezieht dann beim
Einschalten seine Servicekonfiguration selbsttätig aus einer zentralen Servicedatenbank. Die
Basiskonfiguration ist dabei verschlüsselt auf einem USB-Token von Aladdin abgelegt. Außerdem
verweist Cisco auf ein verbessertes Network Analysis Module (NAM), hergestellt in Zusammenarbeit
mit Corvil. Mit Ciscos Betriebssystem IOS 12.4 lasse sich nun eine benutzerspezifische Dienstgüte
(Quality of Service, QoS) einrichten.
Die neuen Router, Ethernet-Service-Module und das NAM für den 2800 und 3800 sollten bei
Erscheinen dieser Ausgabe bereits verfügbar sein. Das HWIC soll im Juli folgen. Die Listenpreise
für die 800er-Serie beginnen bei 399 Dollar, die für den 1800er bei 1295 Dollar.
Und doch noch ein separater Wächter
Seit Anfang Mai hat Cisco mit der ASA 5500 zusätzlich eine multifunktionale, dedizierte
Security-Box im Programm. Site-to-Site VPN via IPSec gehört ebenso zum Repertoire des IPv6-fähigen
Routing- und Multicast-Geräts wie Remote-Access-VPN mit SSL, Firewall-Dienste, Spyware- und
Adware-Schutz, Intrusion Prevention, DoS-Schutz und Micro-Inspection des Netzwerkverkehrs.
Anwendungsschutz und dabei speziell Sicherheitsfunktionen für Voice over IP gehören ebenfalls zum
Angebot des Produkts. Laut Hersteller lässt sich das System je nach Bedarf des Kunden mit Hard- und
Softwaremodulen ausrüsten, die er in seiner IT-Umgebung benötigt.
Cisco formuliert schön: "ASA 5500 ist eine Kernkomponente der Adaptive-Threat-Phase des
Self-Defending Networks". Beobachter meinen eher: "Jetzt kommt Cisco eben auch noch mit einer
eierlegenden Wollmilchsau". Klaus Lenssen, Business Development Manager bei Cisco, erklärt die
Existenz des Produkts entwaffnend einfach: "Die Kunden haben danach gefragt". Offensichtlich
besteht allen Versuchen zum Trotz, die Security-Funktionen der Netzwerkinfrastruktur aufzuladen,
ein Bedarf für die übersichtlichere und einfacher zu verwaltende Ansiedlung der Sicherheitstechnik
in einem separaten Gerät.
Gut möglich ist auch, dass gerade die "adaptive Anpassung an kritische Herausforderungen" alles
andere als eine vorübergehende Phase markiert, in der man noch spezialisierte Sicherheitsserver
benötigt, denn Maßnahmen gegen die jeweils allerneuesten Ideen aus der Zunft der Hacker und
Industriespione kann man nur selten schnell genug in Module gießen, die sich dann in jeden Switch,
Router und Computer im Unternehmensnetz einbetten lassen. Man darf erwarten, dass Spezialsoftware
und Sicherheits-Appliances langfristig als Medien für die schnelle Implementierung brandneuer
Security-Funktionen im Netz überleben werden. Mit der ASA-Reihe hat Cisco nun genau dafür eine gute
Plattform im Portfolio, die es in Preisabstufungen von 3495 Dollar (300 MBit/s) bis 16.995 Dollar
(650 MBit/s) gibt.
Wireless Location Appliance
Mit der Wireless Location Appliance 2700 bietet Cisco seit Anfang Juni ein System zur
Lokalisierung autorisierter und nicht autorisierter 802.11-gestützter Endgeräte an. Laut Hersteller
arbeitet das Produkt präzise genug, um den Standort der Geräte auf wenige Meter genau zu
bestimmen.
Helfen soll das Produkt sowohl beim Angebot von ortsabhängigen Diensten als auch beim Management
drahtloser Netzwerkgeräte, Notebooks, PDAs sowie anderer Devices, wobei deren jeweiliger Standort
zum Beispiel automatisch in 3D-Plänen von Gebäuden angezeigt werden kann.
Cisco setzt dabei auch auf die unter Datenschützern nach wie vor umstrittenene RFID-Technik.
Ganz nebenbei macht der Hersteller technisch eine genaue Verfolgung von Anwendern möglich, weshalb
die Einführung entsprechender Systeme je nach Implementierung Akzeptanzprobleme und rechtliche
Schwierigkeiten aufwerfen kann.
Info: Cisco Tel.: 00800/99990522 Web: www.cisco.com/global/de/index.shtml
Lesen Sie mehr zum Thema
