Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.12.2003 - 

Hardware-Appliance versus Softwarelösung

Zwei Wege zum WLAN-Management

MÜNCHEN (IDG) - Dass die serienmäßigen Sicherheits- und Administration-Features der Wireless LANs den Ansprüchen im Unternehmenseinsatz nicht genügen, ist mittlerweile unstrittig. Unterschiedliche Meinungen gibt es jedoch über die richtige Abhilfe. Ein Vergleich zwischen einem Wireless Gateway auf Hardwarebasis und einer Management-Software zeigt die Stärken und Schwächen der unterschiedlichen Ansätze.

Für das erfolgreiche Management von Wireless LANs existieren zwei Möglichkeiten: Entweder legt der Systembetreuer den Schwerpunkt auf die Administration der Access Points, oder er fokussiert sich auf das Thema Sicherheit. Zudem kann er beide Aspekte entweder aus der User-Perspektive oder aber aus Sicht der Netzinfrastruktur betrachten.

Die Vergleichskandidaten

Mit dem "Bluesocket Wireless Gateway 2100" und dem "Wavelink Mobile Manager 5.6.2" verglich die CW-Schwesterpublikation "Infoworld" zwei Produkte, die diese unterschiedlichen Ansätze verfolgen. Als Hardware-Appliance konzipiert, wartet das Bluesocket Gateway mit zahlreichen Sicherheits-Features auf, bietet jedoch kaum Optionen, um die Access Points eines WLAN effizient zu administrieren. Bei der Software von Wavelink liegt dagegen der Schwerpunkt auf dem Netzwerk-Management. Dafür kann das Produkt in Sachen Sicherheit der Bluesocket-Lösung in keiner Weise das Wasser reichen.

Appliance-typisch gestaltet sich die Inbetriebnahme des Bluesocket-Gerätes einfach. Nach dem Einschalten bezieht das Gateway seine IP-Adresse von einem DHCP-Server und zeigt dann die WLAN-Benutzer an. Allerdings sucht das Gerät nicht die eigentlichen, physikalischen Access Points.

Konfigurationsarbeiten

Die Administration des 2100 erfolgt dann per Browser. Nach dem obligatorischen Austausch von Sicherheitszertifikaten startet die Appliance ihre Benutzeroberfläche. Über diese legt der Administrator User und Benutzergruppen an, erstellt Sicherheitsregeln, richtet VPNs ein und definiert andere Sicherheitsparameter.

Das Anlegen der Benutzer und Gruppen gestaltet sich unkompliziert, denn das Gateway unterstützt diese Arbeit mit zahlreichen Formularfeldern. Hat sich der IT-Verantwortliche daran gewöhnt, dass das Bluesocket-Sicherheitsmodell rollenbasiert ist, geht die Einrichtung unterschiedlicher Berechtigungen oder der nutzbaren Bandbreiten einfach von der Hand.

Zur Benutzerauthentifizierung offeriert das Gateway mehrere Optionen. Eine Möglichkeit be-steht darin, die Bordmittel der Appliance zu verwenden, die eine Media Access Controllist sowie Benutzername und Login umfassen. Ein anderes Vorgehen wäre der Einsatz einer separaten, zentralen Authentifizierungsinstanz etwa in Form eines Radius-Servers, eines LDAP-Verzeichnisses oder des NT LAN Managers sowie 802.1x-konformer Sicherheits-Devices. Vorstellbar ist ferner eine Kombination aus lokalen und zentralen Security-Mechanismen.

Auch in Sachen Virtual LANs (VLAN) wartet Bluesocket mit einem durchdachten Interface auf, das den Anwender Schritt für Schritt durch den Konfigurationsprozess führt. Ungeübten Benutzern hilft zudem die beiliegende Dokumentation bei der Installation der notwendigen VLAN-Zertifikate und anderem.

Keine zu hohen Ansprüche sollte der Administrator dagegen an die Reporting-Tools der Appliance stellen: Sie liefern lediglich Basisinformationen. Besser gefällt wiederum Bluesockets Lösung in Sachen Ausfallsicherheit. Durch den Einsatz von zwei oder mehr Geräten lässt sich ein redundanter Betrieb sicherstellen, bei dem im Fehlerfall ein Gerät die Aufgaben des anderen übernimmt. Dieses Versprechen löste die Appliance auch in der Praxis ein. Beim simulierten Ausfall des Master-Gateways übernahmen die anderen Geräte sofort dessen Aufgaben, ohne dass die WLAN-Clients davon beeinträchtigt wurden. Weniger gut gefällt, wie Bluesocket das Secure Roaming umgesetzt hat. Um nämlich von Funkzelle zu Funkzelle wechseln zu können, benötigt der Client eine ununterbrochene Verbindung zu einem Access Point. Ergibt sich eine Lücke in der Funkversorgung, wird der Anwender komplett vom Netz abgemeldet und muss den gesamten Login-Prozess von Neuem durchlaufen.

Insgesamt ist Bluesocket eine sehr benutzerfokussierte Lösung gelungen, deren Stärken - von der Roaming-Problematik abgeshen - im Sicherheitsbereich liegen. Sucht ein Administrator jedoch Unterstützung für das Management von Access Points verschiedener Hersteller, hilft ihm die Appliance nicht weiter. Dies ist eine Domäne des Mobile Manager von Wavelink, der dafür in Sachen Sicherheit nicht an den Funktionsumfang der Applliance heranreicht.

Im Gegensatz zum Bluesocket-Gerät besteht der Mobile Manager nicht aus einer einzigen Box, sondern ist als Softwaresuite konzipiert, die sich aus vier Komponenten zusammensetzt: Einem "Agenten", der die Access Points managt, sowie einer "Administrator Console", die als Benutzer-Interface zum Zugriff auf die Agenten dient. Weitere Bestandteile des Paketes sind ein "Log-Viewer" für die Protokolldateien sowie ein TFTP-Server (TFTP = Trivial FTP). Über Letzteren ist der Systembetreuer in der Lage, die Software und Firmware der verschiedenen Access Points zu aktualisieren.

Agenten im Netz

In der Praxis müssen die Agenten im Netz so platziert werden, dass sie in der Lage sind, den Broadcast der Access Points zu empfangen. Dies hat zur Konsequenz, dass in jedem physikalischen Netzsegment ein Agent benötigt wird. Für diese weiteren Agenten sind dann zusätzliche Lizenzen erforderlich. Die eigentliche Verwaltung der verschiedenen Agenten - und damit der Access Points - erfolgt dann zentral über die Administrator Console. Dabei sind die Anforderungen des Mobile Managers an die Rechnerhardware moderat. Sie hängen jedoch von der Zahl der zu administrierenden Access Points ab. Soll etwa eine größere WLAN-Installation mit 500 oder mehr Zugangspunkten verwaltet werden, empfiehlt sich eine Dual-Pentium-Maschine mit einem Gigahertz-Prozessor und 2 GB RAM.

Die Installation des Mobile Managers verlief im Test reibungslos. Eine Überraschung gab es jedoch beim anschließenden "Autodiscover", bei dem das Management-Werkzeug vier Access Points automatisch aufspüren sollte. Die Suite fand lediglich die Geräte von Cisco, Symbol und Proxim, den Access Point von 3Com ignorierte sie. Das enttäuscht, da 3Com ja nicht unbedingt zu den Noname-Herstellern im WLAN-Business zählt. Zur Ehrenrettung des Mobile Managers ist allerdings anzumerken, dass die 3Com Access Points nicht auf der Liste der offiziell unterstützen Zugangsknoten aufgeführt sind. Auf der anderen Seite dürfte es aber nicht zu viel verlangt sein, dass solche Markenprodukte zumindest erkannt werden, wenn schon ihre Administration nicht möglich ist.

Während der Installation ist es ferner notwendig, auf den Access Points mit Hilfe von SNMP Administratorzugänge und Passwörter einzurichten. Mit Hilfe dieser Zugangsdaten ist die Administrator Console dann in der Lage, Basisinformationen wie MAC-Adresse und die Extended Service Set ID (ESS) zu sammeln sowie die mit einem Access Point verbundenen Clients zu erfassen.

Die Benutzeroberfläche

Anwender, die mit Microsoft-basierenden Management-Interfaces vertraut sind, finden sich auch im Adminstrationsfenster des Mobile Managers schnell zurecht, da es ähnlich aufgebaut ist. So wird die Verwaltung der Funkknoten aus einem Fenster heraus initiiert. Hier können verschiedene Access Points beispielsweise zu Gruppen zusammengefasst werden. Auf diese Weise ist es etwa möglich, die Access Points einer Gruppe identisch zu konfigurieren. Also beispielsweise die Profile für die Funkknoten im öffentlichen WLAN festzulegen, während die Access Points der internen Netze wiederum in einer eigenen Gruppe definiert werden.

Große Freiheiten offeriert der Mobile Manager dem Administrator auch bei der Festlegung der verschiedenen Alarmarten. So kann er Alarme beispielsweise via E-Mail weiterleiten oder Proxies für SNMP-basierende Alarme definieren. Zudem lassen sich Eskalationsstufen entsprechend der Alarmschwere und den notwendigen Gegenmaßnahmen spezifizieren.

Wenige Security-Features

Einschränkungen erwarten dagegen den Administrator in Sachen Security-Features. Immerhin wartet der Mobile Manager mit der Möglichkeit auf, VLANs mit Access Points von Cisco, Proxim und Symbol zentral zu verwalten. Interessant ist auch die Option, für das serienmäßige Sicherheits-Feature WEP (Wired Equivalent Privacy) der Access Points einen rotierenden Schlüssel einzuführen, um so einen wirksameren Schutz zu realisieren. Allerdings benötigt der Benutzer hierfür noch das Zusatzprodukt "Wavelink Avalance".

Unter dem Strich stellen beide Produkte für ihre speziellen Einsatzgebiete eine leistungsfähige Lösung dar. Optimal wäre letztlich, falls das Budget keine Rolle spielt, der Einsatz beider Produkte. Als Kombination decken sie alle wesentlichen Management- und Sicherheitsaspekte beim Einsatz von WLANs in Unternehmensnetzen ab. (hi)