Ein erfolgreiches Wireless-LAN-Management beinhaltet zwei wesentliche Aspekte: Die Sicherheit und die Verwaltung der WLAN-Infrastruktur. In puncto Sicherheit bietet das Funknetz mit WPA2 und AES Verschlüsselungstechnologien einen sehr hohen Sicherheitsstandard. Die wirkliche Herausforderung liegt im Management der drahtlosen Infrastruktur.
Bei der Verwaltung des WLANs stehen im Allgemeinen die einzelnen Komponenten im Vordergrund. Als grundlegende Aufgaben für diese Geräte fallen das Installieren und Aktualisieren von Firmware sowie das Überwachen und Steuern verschiedener System-Ressourcen an. Dabei erfordern auftretende Störungen im Funkbereich des WLANs grundsätzlich andere Vorgehensweisen als Übertragungsprobleme bei herkömmlichen kabelgebundenen Netzwerken. Das Ziel beider Netzwerk-Technologien ist aber gleich: Eine störungsfreie Funktion des Netzwerkes bei optimaler Performance.
Grundlagen
Ein drahtloses Netz erfordert von Helpdesk und IT-Personal neue Fähigkeiten, die den mit der Verwaltung verkabelter Netze vertrauten Ingenieuren nicht in die Wiege gelegt sind. Sie müssen neue Methoden zur Störungsbehebung bei Anwendern und Applikationen erlernen und neue Strategien entwickeln, um eine ganz andere Art von Netzinfrastruktur zu managen.
Foto: xyz xyz
Zudem ist zu beachten, das WLANs niemals isoliert vorkommen. Access Points sind an das verkabelte Netz angebunden, Anwender authentisieren sich über getrennte 802.1x- oder Active-Directory-Infrastrukturen. Sogar diejenigen, die zu ihrem Glück nur Geräte eines Herstellers implementiert haben, müssen zur Kenntnis nehmen, dass es nicht einen einzigen Hersteller auf dem Markt gibt, der eine konsolidierte Lösung für die drahtlose und die verkabelte Infrastruktur anbietet – auch wenn die Bezeichnung auf der Verpackung etwas anderes suggeriert. Es gibt nicht ein einziges herstellerspezifisches Management-Tool, das die gesamte Infrastruktur verwalten kann. Hier bleiben als Ausweg nur Multivendor-fähige Werkzeuge. Damit diese Tools in der Praxis ihren Zweck erfüllen, sind einige Funktionen unverzichtbar.
Herausforderungen des WLAN-Managements
Es gibt vier fundamentale Gründe, warum sich das Management eines WLANs von dem klassischer Netze unterscheidet:
-
Im Prinzip weiß niemand, wo ein Anwender gerade ist.
-
Drahtlose Netze wachsen sehr schnell. Sie beginnen klein, umfassen aber bald immer mehr Anwender und Applikationen. Sie sind also dynamisch.
-
Die Elemente-Manager der Hersteller sind dafür gemacht, ihre eigenen Komponenten zu verwalten. Als Support-Werkzeug sind sie ungeeignet.
-
Das WLAN ist bei Problemen immer schuld – sogar dann, wenn sich der Anwender mit einem falschen Netz verbunden, seine Login-Daten vergessen oder einfach die Wireless-Funktion am Laptop nicht eingeschaltet hat.
Problem: Heterogene WLAN-Infrastrukturen
Netztechniker verlassen sich oft auf die Elemente-Manager der Hersteller, wenn sie bestimmte Komponenten konfigurieren. Ältere WLANs, von denen noch immer viele in Betrieb sind, ließen sich schwer verwalten. So mussten oft alle Geräte einzeln konfiguriert werden, weil es gleichzeitig und regelbasiert über das Netz nicht möglich war. Das Resultat waren häufig fehlerhafte Konfigurationen, die wiederum zu mehr Fehlern und zu unerwarteten Bedrohungen der Sicherheit führten. So wurden Access Points (APs) dem falschen VLAN (Virtual LAN) zugewiesen, Funkmodule nicht ordnungsgemäß konfiguriert oder die Verschlüsselung falsch aufgesetzt.
Dagegen lassen sich moderne Netzwerke in der Regel viel leichter konfigurieren. Für weiteren Druck sorgt die für Herbst erwartete endgültige Verabschiedung des WLAN-Standards 802.11n. Wer die im Vergleich zu den a/g-Netzwerken etwa sechsmal höhere Geschwindigkeit nutzen will, kommt um eine Modernisierung seiner Infrastruktur nicht herum. Damit stellt sich zwangsläufig die Frage, ob die alte Infrastruktur in einem Schritt komplett ausgetauscht oder stattdessen versucht wird, verschiedene Gerätegenerationen parallel zu betreiben.
Im praktischen Betrieb offenbart sich dann noch ein anderes Problem: WLAN-Helpdesks für die Netzwerkschichten 1 und 2 haben oft Schwierigkeiten damit, jeden Anwender und jedes Gerät im Detail zu erfassen.
Hilfe durch Visualisierung und einheitliches Monitoring
Um Fehler effektiv erkennen zu können, muss der Helpdesk Informationen von Client, WLAN, verkabeltem Netz und Directory-Servern koordinieren – also die Systeme von vier verschiedenen Herstellern. Dazu kommt, dass Anwender sich in der Regel mit Login-Namen identifizieren und nur selten mit IP- oder MAC-Adresse. Directory- und Netzwerkinformationen zu korrelieren, um zu verstehen, welchen Client ein Anwender verwendet, wird zu einem essenziellen Bestandteil des Netz-Managements. Außerdem müssen die Anwender lokalisiert werden, und der Support muss feststellen können, wie sie mit dem Netz verbunden sind. Erst dann kann die Fehleranalyse beginnen.
Manche Organisationen betreiben immer noch getrennte Systeme zum Erkennen von Eindringlingen ins verkabelte und ins drahtlose Netz (Wireless Intrusion Detection Systems, WIDS). Die Korrelation der Informationen aus diesen beiden Systemtypen ist sehr schwierig, zumal die Informationen eigentlich verschlüsselt übertragen werden sollten. In der Praxis könnte dies zu folgenden Effekten führen: Das Provision-Management-Tool erkennt beispielsweise den Austausch eines fehlerhaften Access Points. Ein davon getrenntes WIDS könnte aber Alarm geben, weil es den neuen Access Point als potenziellen Eindringling betrachtet.
Fehleranalyse im WLAN
Eine schnelle und zielführende Fehleranalyse in einem WLAN spart Zeit und Kosten. Die nachfolgenden Fragen helfen bei der Beseitigung der häufigsten Fehler in einer WLAN-Infrastruktur:
-
Befindet sich der Client in einem Funkloch, weil ein Access Point fehlerhaft arbeitet?
-
Liegt der Fehler in einem Versagen des verkabelten Netzes, das zum AP führt?
-
Sind auf den APs die Kanäle aktiviert, die auch der Client benötigt?
-
Handelt es sich vielleicht um ein neues Gebäude, wo es nur 802.11a/g/n gibt, obwohl der Client ein alter Barcode-Scanner ist, der nur mit dem b-Standard arbeiten kann?
-
Kann sich der Client ordnungsgemäß authentisieren? Stimmen die Einträge im Directory?
-
Ist das Netzwerk überlastet? Besteht ein Problem mit dem physikalischen Netzdesign?
-
Arbeitet das verkabelte Netz als Backbone ordnungsgemäß?
Große Installationen im Griff
In einem kleinen Netz lässt sich das Problem einfach beheben, von Hand der richtige Bezug herstellen und der Alarm abschalten. Große WLAN-Installationen können aber Tausende Access Points an vielen Standorten und in mehreren Ländern umfassen. Was zunächst als kleine Unannehmlichkeit erscheint, führt hier am Ende dazu, dass das Sicherheitsteam viel Zeit dafür verschwendet.
Werden Daten aus dem Netz gestohlen, muss das Compliance- und Audit-Team einen Bericht liefern, der zeigt, dass das Netz ausreichend gesichert war. Wurde das Standard-Passwort überall geändert? Entsprechen alle Passwörter den definierten Regeln? Waren alle Anwender ordnungsgemäß authentisiert und alle verkabelten Ports gesichert? Dieser Prozess lässt sich nur mit einem Betriebs-Management-System einfach abwickeln, das Daten aus verschiedenen Quellen konsolidiert auswerten kann.
Sobald mehr Anwender WLANs nutzen, mehr Applikationen auf WLANs laufen und sie sich über größere geografische Räume erstrecken, wird es wichtig, Verantwortlichkeiten und Rollen für den Netzbetrieb klar zu definieren. Die Kunst liegt darin, den Verantwortlichen lediglich die Daten bereitzustellen, die sie für ihre Aufgabe benötigen, ohne sie mit zu vielen Informationen außerhalb ihres Verantwortungsbereichs zu überlasten. Es ist auch wesentlich, dafür zu sorgen, dass die Freigaben für Konfigurationsänderungen ordnungsgemäß erteilt werden. Jedes Management-System sollte gewährleisten, dass nur qualifizierte Mitarbeiter solche Veränderungen vornehmen.
Last, but not least sollten Einsatzstatistiken und Trendberichte nicht vergessen werden. So lässt sich mit über Monate hinweg gesammelten Daten etwa feststellen, ob bestimmte Areale im Netzwerk komplett ungenutzt bleiben. Die dort installierten APs können dann entfernt und woanders implementiert werden. Hier spart das Netz-Management bares Geld. (hal)