Sichere WLANs durch unabhängiges Betriebsmanagement Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.08.2009 Roger Hockaday*

Sichere WLANs durch unabhängiges Betriebsmanagement

Betriebsmanagementsysteme für heterogene WLAN-Umgebungen sind ein sicherer Hafen in Zeiten der schnellen technischen Weiterentwicklung.

Mit jeder Weiterentwicklung der WLAN-Technologie, mit jeder weiteren Implementierung von WLANs entstehen neue Herausforderungen, die es zu bewältigen gilt. In dieser Situation gewinnt das Betriebsmanagement des Netzes gegenüber dem Gerätemanagement erheblich an Bedeutung.

Drei wichtige historische Epochen lassen sich bisher in der Entwicklung von WLANs identifizieren. Jede von ihnen stellte das IT-Management vor spezifische Herausforderungen.

Die ersten Anwender von WLANs bauten Infrastrukturen, deren Basis verteilte Stand-Alone-Access Points (APs) bildeten. Noch bis 2007 arbeitete die Mehrzahl aller installierten APs unabhängig (»fette«, also funktionsreiche APs). Dieser AP-Typ verband sich mit der Ethernet-Infrastruktur und jedes Gerät handhabte alle Aspekte der Kommunikation eigenständig von der Verarbeitung der Netzdaten und dem Frequenzmanagement bis hin zu Verschlüsselung und Authentisierung. Inzwischen wurden moderne, zentralisierte WLAN-Architekturen entwickelt. Hier werden APs regelbasiert von einem zentralen Switch aus gesteuert und verwaltet (»schlanke« APs). Das erschwert es zunehmend, Argumente für die weniger sicheren und skalierbaren, komplexeren und teureren überkommenen Implementierungen von »fetten« APs zu finden. Wegen ihrer großen Verbreitung sind jedoch die Netze aus »fetten« APs ein Problem für die IT-Administratoren. Sie würden gern zu den kostengünstigeren und einfacher zu verwaltenden WLANs aus »schlanken« APs migrieren. Schließlich gibt es auf dem ganzen Markt keinen Elementemanager, der gleichzeitig das komplette Management »fetter« und »schlanker« APs übernehmen könnte. Organisationen, die ihre alte WLAN-Infrastruktur aus »fetten« APs nicht einfach herausreißen und komplett ersetzen möchten, stehen vor fundamentalen Problemen: Die Kosten für den Betrieb der existierenden Geräte steigen, der sichere Betrieb von Netzen aus unterschiedlichen Systemen und die Erstellung von Compliance-Berichten werden schwierig.

In WLANs aus »fetten« APs muss jeder AP unabhängig von allen anderen verwaltet werden. Das macht die Administration kompliziert. Je mehr Anwender und Applikationen das WLAN verwenden, desto wichtiger werden Eigenschaften wie Authentifikation, Sicherung und Schutz gegen Eindringlinge. Für jede dieser Fähigkeiten und die Systeme, die sie ermöglichen, braucht man eigene Elemente-Manager, was wiederum die Betriebskosten steigert. Auch die zunehmende Komplexität selbst schafft neue Risiken.

Tatsächlich werden Elementemanager vor allem dafür entwickelt, Softwareaktualisierungen zu konfigurieren und sie an die verwalteten Komponenten zu verteilen. Weil sie sich nur schwer mit anderen Netzelementen integrieren lassen, können sie auch kaum umfassende Berichte generieren und Trendanalysen erstellen. Heute, wo WLANs die Kerninfrastruktur von Organisationen bilden, müssen Managementtools ein Produkte übergreifendes Reporting sicherstellen, langfristige Trendanalysen liefern und aussagekräftige Compliance-Berichte erstellen.

Ein Netzwerk nützt den Anwendern nur dann etwas, wenn es verlässlich und mit ausreichender Leistung verfügbar ist. Wann und wo drahtgebundene Netzwerke genutzt werden, ist vorhersehbar. Bei WLANs, in denen Anwender zu unterschiedlichen Tageszeiten in einem bestimmten Areal arbeiten und gemeinsam einen oder mehrere APs nutzen, die von nur einem einzigen LAN-Switch unterstützt werden, trifft das nicht zu. Mobile Anwender bringen ohne Ankündigung neue und manchmal verzögerungssensitive oder bandbreitenhungrige Anwendungen ins Netz und erwarten, dass sie funktionieren. Positive Erfahrungen führen unweigerlich zu einem weiteren Anstieg der Nutzung. Demzufolge sind historische Trendanalysen für eine sinnvolle Kapazitätsplanung unverzichtbar. Sie fassen unterschiedliche Daten zusammen: Verteilung und Wachstum des drahtlosen Datenverkehrs, sein Einfluss auf die verkabelte Infrastruktur im Hintergrund, Authentifikation, Verschlüsselung und Gesamtleistung des Netzes hinsichtlich Verzerrung und Verzögerung, die beide Echtzeitverkehr wie Sprache oder Video beeinflussen. Nur herstellerunabhängige Betriebsmanagementplattformen für heterogene WLAN-Infrastrukturen können das leisten.

Compliance-Berichte sind eine in der Praxis anerkannte Methode. Vielen Branchen sind sie zudem gesetzlich vorgeschrieben. Netze müssen deshalb nicht nur sicher sein, sie müssen ihre Sicherheit auch beweisen. Alle Einzelhandelsunternehmen, die Transaktionen mit Kredit- und Lastschriftkarten erlauben, müssen sich nach dem Datensicherheitsstandard PCI richten. Dessen neueste Version (V1.2), die ab 1. Januar 2009 gilt, fokussiert besonders die Sicherheit drahtloser Systeme. Alle Einzelhändler sind für die Sicherheit drahtloser Systeme verantwortlich (ob sie selbst ein WLAN betreiben oder nicht). Einzelhandelsunternehmen wurden schon mit Geldbußen in Höhe vieler Millionen Dollar belegt, wenn sie ihre WLANs nicht vor unerwünschten Eindringlingen schützen konnten und das zum Verlust von Kreditkarten- und persönlichen Daten führte.

Offene Systeme für das Management von heterogenen WLANs fassen sicherheitsrelevante Daten verschiedener Systeme zusammen. Sie liefern sowohl eine Bedrohungsanalyse in Echtzeit als auch historische Daten. Mit deren Hilfe können Organisationen ihr Netz effizient vor Eindringversuchen sichern und auch beweisen, dass es sicher ist.

Für große Organisationen ist Netzwerksicherheit ein besonders herausforderndes Thema. Zu den wichtigsten Bedrohungen im Unternehmensnetz gehören nicht angemeldete APs. Sie werden von schlecht informierten Anwendern in bester Absicht installiert, weil diese die Risiken eigener WLANs im Unternehmensnetz nicht kennen. Eine weitere Gefahr sind zufällige Fehlkonfigurationen von Rechnern, bei denen aus Versehen eine Bridge-Verbindung zwischen dem WLAN-Port und dem Port des verkabelten Netzes hergestellt wird. Solche Bedrohungen lassen sich durch die Installation eines Wireless Intrusion Detection Systems (WIDS) entschärfen. Jeder WIDS-Anwender sollte Informationen über Eindringversuche und die autorisierte Nutzung des hausinternen WLAN korrelieren können. Besonders schwierig ist das, wenn die Nutzerdaten vom Client bis in den Netzkern verschlüsselt übertragen werden, wie es ja eigentlich sein sollte. Es gibt WID-Systeme in zwei Varianten – als Overlay-Schicht oder integriert in das WLAN. In der Praxis erweist sich die integrierte Lösung als einfacher (und deshalb auch sicherer). Ein herstellerunabhängiges Betriebsmanagementsystem für heterogene Netzkomponenten kann sogar dann noch Korrelationen zwischen Ereignissen herstellen, wenn WIDS und WLAN von unterschiedlichen Herstellern stammen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: