Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.05.2005

Test: WLAN-Tool schützt vor Hackern

Christoph Lange
Die "Enterprise Suite 5.1" von Air Magnet machte in einem Praxistest bis auf kleine Störungen eine gute Figur.

Ein drahtloses Funknetz lässt sich relativ schnell in Betrieb nehmen. Die eigentliche Arbeit fängt dann aber meist erst an, vor allem, wenn es sich um größere WLANs handelt. So muss die IT-Abteilung sicherstellen, dass die per Funk übertragenen Daten ausreichend verschlüsselt werden und sich nur berechtigte Benutzer am Funknetz anmelden dürfen. Zudem sollte eine WLAN-Lösung in der Lage sein, fremde Access Points zu erkennen, zu lokalisieren und zu isolieren.

Um ein drahtloses Netzwerk fortlaufend an die sich verändernden Nutzungsmuster anzupassen, sind Analyse-Tools erforderlich, die die aktuelle Auslastung der Funkkanäle erfassen. Anhand dieser Informationen können IT-Verantwortliche zum Beispiel die Verteilung der Kanäle verbessern, die Standorte der Access Points ändern oder bei Bandbreitenengpässen neue Geräte hinzufügen. Die Enterprise Suite 5.1 von Air Magnet analysiert nicht nur die genannten Bereiche, sondern integriert auch eine Lösung für Intrusion Detection und Prevention, die nach Angaben des Herstellers mehr als 115 WLAN-Bedrohungen erkennen kann. So ist das Tool in der Lage, fremde Funkstationen aufzuspüren und auf verschiedene Angriffsszenarien wie Session-Hijacking oder Denial-of-Service-Attacken zu reagieren. Es registriert darüber hinaus, welche Schwachstellen besonders häufig angegriffen werden. Das System kann zudem die von der IT-Abteilung für das WLAN definierten Sicherheitsrichtlinien (Security Policies) unternehmensweit durchsetzen.

Die wichtigste Komponente der Air Magnet Enterprise Suite sind die "Smartedge"-Sensoren. Sie analysieren größere WLAN-Installationen flächendeckend. Die Sensoren erfassen die WLAN-Pakete und untersuchen sie auch gleich. Somit müssen die Datenrahmen nicht erst, wie bei anderen Herstellern, über das Netz zu einer zentralen Analysestation geschickt werden. Nur die Auswertungsergebnisse übertragen die Sensoren an den "Enterprise Server", wodurch die Netzbelastung gering bleibt. Der Enterprise Server sammelt die Analyseergebnisse aller Sensoren, die neben den Warnmeldungen auch Trendinformationen zum Beispiel zur Bandbreitenauslastung umfassen. Mit Hilfe der Reporting-Funktionen lassen sich diese Informationen sehr einfach auslesen.

Mobile WLAN-Analyse

Für die mobile WLAN-Analyse bietet Air Magnet zudem einen Laptop- und einen Handheld-Analyzer an, die weitgehend über dieselben Analysefähigkeiten verfügen wie der Enterprise Server.

Der Air Magnet Enterprise Server 5.1 lässt sich auf Rechnern mit Windows 2000, 2003 oder XP installieren. Als Datenbank nutzt die WLAN-Analyselösung entweder "Access" oder "SQL Server" von Microsoft, Letzterer wurde für den Test verwendet. Nachdem die Datenbankinstallation abgeschlossen war, startete das Setup der Enterprise Suite. Der Administrator kann zwischen verschiedenen Profilen wählen, die auf bestimmte Einsatzbereiche wie Hot Spots oder das Gesundheitswesen ausgelegt sind. Für die meisten Unternehmen dürfte sich das Best Practices Profil am besten eignen, das für den Test gewählt wurde. Die Installation der Server-Software war nach wenigen Minuten erfolgreich abgeschlossen.

Berichte erzeugen

Der Enterprise Server stellt neben der eigentlichen Anwendung auch eine Web-Seite mit Download-Links zur Verfügung. Von hier aus lässt sich die Management-Konsole auf den gewünschten Rechnern einrichten. Über die Konsole verwaltet der Administrator auch die Sensoren und die Air-Magnet-Benutzer. Hierfür unterstützt das Tool ein rollenbasierendes Modell mit unterschiedlichen Sicherheitsklassen und Zugriffsrechten.

Mit Hilfe der lokalen Web-Seite wurde auch der "Enterprise Reporter" aufgespielt. Dabei handelt es sich um eine eigenständige Anwendung, die mehr als 50 anpassbare Berichtsvorlagen bereitstellt. Reports gibt das Werkzeug wahlweise als PDF-, HTML-, XML-, Word-, Excel- oder TXT-Datei aus.

Die Analysefunktionen von Air Magnet ruft der Anwender über die Management-Konsole auf. Zum anderen kann er den "Remote Analyzer" einsetzen, um WLAN-Analysen direkt auf einem Sensor ablaufen zu lassen und die Untersuchung auf diesen Teilbereich einzuschränken.

Nachdem die zentralen Server-Komponenten installiert waren, ging es daran, zwei Smartedge-Sensoren in Betrieb zu nehmen und über das LAN mit dem Enterprise Server zu verbinden. Die WLAN-Sensoren lassen sich wahlweise über ein serielles Kabel oder via Netz über einen Web-Browser konfigurieren. Für letztere Variante muss eine LAN-Verbindung im selben IP-Subnetz hergestellt werden. Im Test wurde die Browser-Option verwendet, um die Sensoren zu konfigurieren. Im Menü nimmt der Administrator Netzwerkeinstellungen vor und gibt Namen und IP-Adresse des Enterprise Servers an. Da die Daten immer verschlüsselt übertragen werden, muss der Systemverwalter zudem einen "Shared Secret Key" eintragen. Nachdem alle Sensoreinstellungen vorgenommen sind, ist ein Reboot erforderlich.

Beim Neustart stellt der Sensor eine Verbindung zum Enterprise Server her und beginnt automatisch damit, die Firmware zu aktualisieren. Leider wird der Administrator auf diesen kritischen Vorgang nicht ausdrücklich hingewiesen. Deshalb kann es leicht passieren, dass beim Upgrade etwas schief geht. Wenn der Systemverwalter gar nicht merkt, dass eine Firmware-Aktualisierung läuft und während des Updates die LAN-Verbindung trennt, wie im Test mit dem ersten Sensor versehentlich geschehen, ist das Gerät nicht mehr funktionsfähig.

Probleme beim Upgrade

Als der zweite Sensor in Betrieb genommen wurde, tat sich erneut Überraschendes: Das Gerät vollzog ebenfalls den Upgrade, reagierte aber anschließend überhaupt nicht mehr. Auch über die serielle Konsolenverbindung ließ sich die Komponente nicht mehr ansprechen. Nachdem der Strom aus- und eingeschaltet worden war, arbeitete sie wieder fehlerfrei und wurde vom Enterprise Server korrekt erkannt. Jetzt war es auch wieder möglich, sich mit dem HTML-Interface des Sensors zu verbinden.

Die Enterprise Suite lässt sich mit WLAN-Systemen beliebiger Hersteller einsetzen, vorausgesetzt, sie halten die IEEE-Standards für Funknetze ein. Im Test wurden die Analysefunktionen mit Access Points von Cisco, Strix Systems und 1stWave untersucht. Das Tool hat alle Funkstationen erkannt und jeweils korrekt angegeben, ob es sich um 802.11b- oder g-Geräte handelt. Zu jedem Gerät listete es zudem die SSID (Service Set Identifier) sowie die MAC- und die IP-Adresse auf.

Datenraten im Blick

Administratoren erhalten einen schnellen und vollständigen Überblick, was sich in ihrem Funknetz abspielt. Das Hauptfenster stellt die aktuellen Funkaktivitäten für die einzelnen Übertragungskanäle grafisch übersichtlich dar. Unterschiedliche Farben geben Aufschluss darüber, mit welchen Geschwindigkeiten die Daten übertragen werden. Je schwächer das Funksignal ist, desto niedriger fällt die Datenrate aus. Ein SSID-Kuchendiagramm zeigt auf einen Blick, wie sich der Gesamtverkehr auf die einzelnen WLANs verteilt.

Einzelne Bereiche kann der Benutzer per Drilldown genauer in Augenschein nehmen. Zu den von Air Magnet bereitgestellten Funktionen zählen unter anderem eine Event-Korrelation, die Analyse der Funkhardware, die Decodierung der übertragenen Pakete sowie Trendanalysen inklusive grafischer Darstellung.

Wie bereits erwähnt, wählt der Administrator beim Setup ein Profil aus, das die Sicherheitsfunktionen sowie die Performance- und Konfigurationseinstellungen vordefiniert. Die Standardvorgaben lassen sich individuell anpassen. Hierbei erwies sich das integrierte Expertensystem "Air Wise" als sehr nützlich. Es erläutert die jeweiligen Policies und die Alarmmeldungen zu Performance- und Konfigurationsproblemen und gibt Empfehlungen, welche Maßnahmen zu ergreifen sind. Zum Beispiel zeigte Air Wise im Test an, welche Kanäle durch zu viele Access Points überlastet waren. Mit Hilfe dieser Information lässt sich das WLAN schnell optimieren, indem die Funkkanäle besser verteilt werden.

Zu den Stärken zählen die Sicherheitsmechanismen, die mehrere Verteidigungsebenen umfassen. So ist das Tool in der Lage, WLAN-Geräte innerhalb der Reichweite der Sensoren vom Funknetz auszuschließen. Zudem kann es als bedrohlich eingestufte Systeme auch am LAN-Port blockieren, über den sie auf das Unternehmensnetz zugreifen wollen. Ein spezielles Tracing-Tool ermöglicht es, den Standort fremder Funkstationen aufzuspüren. Im Test erkannte Air Magnet die neu in Betrieb genommenen Access Points zuverlässig als "Rogue Devices" und verhinderte die Kommunikation mit dem Testnetz. Nachdem sie über die Management-Konsole zugelassen worden waren, konnten sie an der Datenübertragung teilnehmen. (fn)