WLAN-Umgebung mit Sicherheitsnetz

Benutzer von Notebooks, netzwerkfähigen PDA und Smartphones schätzen den Komfort von drahtlosen Netzwerken. Sie erlauben den Zugriff auf Internet- und Netzwerkressourcen und bringen durch weit gehende Ortsungebundenheit viel Flexibilität. Systemadministratoren haben dagegen eine etwas andere Sicht der Dinge. WLAN gelten als unsicher und demzufolge als potenzielles Sicherheitsrisiko. Die amerikanische Anbieterin Bluesocket will mit ihren Produkten solche Bedenken zerstreuen. Das Angebot umfasst Access-Points, die über einen Controller und die dazu gehörige Management-Suite zentral verwaltet werden. Zum Test trat die Kontroll-Appliance Bluesecure 5000 in der Version 5.1 an. Das Dreigespann ermöglicht es dem Systembetreuer, sichere drahtlose Netze mit fein granulierten Zugriffsrechten und Sicherheitsmechanismen aufzubauen.

Schnelle Installation

Der grosse Funktionsumfang der Blue-socket-Umgebung lässt vermuten, dass die Grundkonfiguration entsprechend komplex ausfallen muss. Doch die Inbetriebnahme entpuppt sich als gut dokumentiert und recht einfach. Sie besteht vor allem darin, IP-Adressen zuzuweisen und Benutzer sowie Passwörter festzulegen. Dieser Vorgang beansprucht nur wenig Zeit. Die meiste davon verbringt der Administrator mit der webbasierten Benutzeroberfläche des Bluesecure-Controllers.

Schon fast die grösste Herausforderung stellt die Einbindung des Controllers über die beiden Ethernet-Schnittstellen dar. Die eine ist mit «Geschützt» beschriftet, die andere mit «Verwaltet». Von der Logik her gehören in der Standardkonfiguration die Access-Points an die verwaltete und der LAN-Anschluss an die geschützte Schnittstelle. Diese Vorgabe ist jedoch freiwillig. Der Controller kann auch Access-Points verwalten, die direkt am lokalen Netz angeschlossen sind.

Nach der Verkabelung des Blue-secure 5000 müssen die WLAN-Zugriffsknoten und der Controller konfiguriert werden. Dazu gehören Netzwerkeinstellungen wie IP-Adresse und Zuweisung von DNS-Angaben (Domain Name Server) sowie die Vergabe von Passwörtern. Das Einrichten der Access-Points lässt sich automatisieren, indem der Controller als DHCP-Server (Dynamic Host Configuration Protocol) für die Zugangsgeräte eingerichtet wird.

In dieses Kapitel fällt auch das Aufsetzen der Blueview-Management-Konsole. Deren webbasierte Oberfläche kommt ziemlich trocken und etwas altbacken daher. Sie besteht in erster Linie aus Tabellen, Aufklappmenüs und Auswahlknöpfen. Dafür ist die Benutzerschnittstelle übersichtlich aufgebaut und praktisch in der Bedienung. Die Funktionsvielfalt ist thematisch und nachvollziehbar geordnet und nach spezifischen Aufgaben unterteilt. Dadurch ist die Bedienung recht intuitiv.

Wenn das Verwaltungswerkzeug einmal läuft, müssen die Access-Points angeschlossen und an geeigneten Standorten aufgestellt werden. Die einfachste Variante zur Einbindung ins LAN besteht darin, fürs drahtlose Netz eine separate Umgebung mit einem eigenen Adressbereich aufzubauen. Hierzu werden die Zugriffsgeräte in einem separaten physikalischen Verbund zusammengefasst und über die verwaltete Ethernet-Schnittstelle des Bluesecure-Controllers mit dem bestehenden LAN verbunden. Das Kontrollgerät übernimmt dabei die Funktion eines Routers und verbindet kabelloses und kabelgebundenes Netzwerk.

Die Access-Points lassen sich auch direkt ins bestehende LAN integrieren. Für die Verwaltung stehen dann zwei Möglichkeiten offen. Die eine - und bequemere - besteht darin, über einen speziellen DNS-Eintrag den Controller für die Zugriffsgeräte zu kennzeichnen. Allerdings funktioniert das nicht mit jeder Nameserver-Software. Die andere Möglichkeit ist, die IP-Adresse des Controllers manuell bei jedem Access-Point einzutragen. Dieser Weg ist allerdings für grosse Umgebungen sehr mühsam.

Nach diesen Vorbereitungsarbeiten erkennt der Bluesecure-Controller die Zugriffsgeräte und kann innerhalb deren Reichweite nach drahtlosen Netzwerkgeräten suchen. Bei der Verwaltung und Überwachung der Access-Points vermag die Blueview-Managementsoftware zu überzeugen. Der Administrator kann Karten und Pläne einbinden und darauf die Standorte der Access-Points einzeichnen. Dadurch erhält er eine Abdeckungskarte des WLAN, die Rückschlüsse auf die Reichweite erlaubt. Die Management-Konsole gibt damit Hinweise zu einer allenfalls besseren Platzierung der Zugriffsgeräte und zeigt auf, wo sich die Reichweite zweier Knoten zu stark überschneidet. Eine geschickte Positionierung der Access-Points ermöglicht den Benutzern ein Roaming ohne Netzwerkunterbrüche.

Gespür im Netz

Zu den nützlichen Eigenschaften der Bluesocket-Zugriffsgeräte gehören die integrierten so genannten Sensoren. Damit können die Access-Points das WLAN überwachen und der Management-Konsole Rückmeldung über die aktuellen Aktivitäten erstatten. Dadurch ist der Systemverwalter über den laufenden Netzwerkverkehr im Bilde und kann auch mögliche Angriffsversuche erkennen. Die gleiche Methode dient auch dazu, fehlerhaft oder unsicher konfigurierte Zugriffspunkte zu lokalisieren. Für die Sensortätigkeit ist allerdings aktuelle Zugangshardware wie die Access-Points AP-1500 und AP-1700 von Bluesocket erforderlich, während ansonsten auch die älteren Modelle mit Controller und Konsole zusammenarbeiten.

Der Zugriff auf Netzwerkressourcen wie Fileserver, Drucker oder Internetzugang lässt sich detailliert regeln, indem einzelne Benutzer zu Gruppen zusammengefasst werden. Diese entscheiden über die verfügbaren Möglichkeiten im Netz. Auf diesem Weg lässt sich beispielsweise eine Gastgruppe definieren, die zwar aufs Internet zugreifen darf, aber nicht auf interne Fileserver. Für die Einhaltung solcher Zugriffsrechte ist wiederum der Bluesecure-5000-Controller zuständig.

Lückenloses WLAN

Im Test erwies sich die Bluesocket-Umgebung als zuverlässig, sicher und flexibel. Zudem lässt sie sich den Anforderungen entsprechend skalieren, indem die Zahl der Access-Points ausgebaut wird. Die Hard- und Softwarekombination bietet hohen Schutz vor Lücken im WLAN. Das gilt sowohl für die Sicherheit als auch für die Abdeckung, die sich dank entsprechender Werkzeuge maximieren lässt. Das Bluesocket-Gespann erlaubt es, drahtlose Netze aufzubauen, die nicht nur den Benutzeranforderungen, sondern auch den Sicherheitsbedenken des Unternehmens Rechnung tragen. Allerdings gilt auch hier, dass Sicherheit ihren Preis hat: das Bluesocket-Angebot ist nicht gerade ein Schnäppchen.