WLANs gehören inzwischen in vielen Betrieben zur selbstverständlichen Netzwerkausrüstung. Sicherheitsbedenken, wie sie bis vor gut einem Jahr noch den Markt bremsten, sind inzwischen weitgehend ausgeräumt. Nicht zuletzt der Einsatz weiterentwickelter Security-Standards wie WPA/WPA2 beziehungsweise IEEE 802.11i haben in hohem Maße die WLAN-Akzeptanz in Unternehmen verbessert. Darüber hinaus gibt es jedoch noch einige pfiffige Security-Ideen, die noch nicht einem breiten Publikum bekannt sind.
Doch während die Brisanz bei WLANs damit erst einmal entschärft ist, gehen die Entwicklungen weiter. Einer der Hauptangriffspunkte ist das Security-Management. Im Rahmen des WLAN-Management gewinnt dieses immer mehr an Gewicht, während das WLAN-Management im Rahmen des LAN-Management rapide an Bedeutung zulegt. Der klare Trend geht also in Richtung integriertes LAN-/WLAN-Management mit Security als eine der wichtigsten Komponenten. Auf diesen Zug sind inzwischen fast alle wichtigen WLAN-Anbieter aufgesprungen. Das belegen nicht zuletzt auch die zahlreichen Partnerschaften und Fusionen, bei denen sich meist ein großer, etablierter Netzwerkausrüster mit einem auf das Management fokussierten Branchen-Newcommer zusammen schloss. Alcatel beispielsweise kooperiert sowohl mit Aruba, als auch mit Colubris und Adjungo (letztere sind auf die Sicherung öffentlicher WLANs spezialisiert). Extreme Networks unterhält Partnerschaften mir Airtight und Vernier Networks. Nortel Networks hatte einige Zeit eine sehr enge WLAN-Kooperation mit Airespace. Als diese jedoch vor gut einem Jahr von Cisco geschluckt wurden, fand Nortel in Trapeze Networks einen Ersatz. Trapeze unterstützt auch Enterasys Networks in Sachen Sicherheit und Management ihrer WLAN-Lösungen. Siemens hat sich schon vor knapp zwei Jahren Chantry Networks einverleibt. Die Liste ließe sich noch lange fortsetzen.
Den vielleicht spaktakulärsten Auftritt hatte im Jahr 2006 Meru Networks. Das Unternehmen überraschte die Fachwelt mit einem schlüssigen WLAN-Konzept, das auch im Bereich der Access-Points und Backbone-Netze komplett ohne Verkabelung auskommt und auf vollständige Flächendeckung eines Betriebsgeländes beziehungsweise Gebäudes abzielt. Dazu gab es ein mehrstufiges Sicherheitskonzept, das einerseits erwähnten Standards, andererseits die Bildung virtueller LANs (VLANs) unterstützt. Als bisher einziges kommerziell erhältliches WLAN-System verfügt Meru darüber hinaus über eine Art „Luft-Schloss“, eine Air-Firewall, die mit Techniken wie Micro-Scanning, Funk zerhacken und Übertragung blockieren einen Level an Sicherheit ins kabelfreie Unternehmensnetz bringt, wie sonst nur beim Militär üblich.
Ein wichtiges (Dauer-)Trendthema ist sicher die Ende-zu-Ende-Netzwerksicherheit. Branchenriese Microsoft hat ihm im Rahmen der Entwicklungen für den in Kürze startenden Windows XP-Nachfolger Vista eine eigene Protokoll-Suite gewidmet. So soll sich das MS-NAP (Network Access Protocol) als Dient im neuen Betriebssystem um die durchgängige Sicherheit zwischen zwei Netzwerkendpunkten kümmern. Als Partner für die Sicherung mobiler Endgeräte hat sich Microsoft den WLAN-Spezialisten Aruba auserkoren. Auf der kürzlichen RSA-Konferenz in den USA demonstrierten die beiden Unternehmen gemeinsam, wie sie Sicherheitskontrollen ebenso wie die Durchsetzung von Sicherheitsregeln an jeder Form von Endgerät vereinfachen wollen. Arubas Part ist es dabei, das NAP mit Funktionen für die identitätsbasierte Sicherheit und universelle Authentifizierung auszustatten sowie eine mobile, nutzerbezogene SPI-Firewall zu ergänzen. Die Verbindung aus „ArubaOS“ und Vista NAS zielt als offene Lösung klar gegen proprietäre Ansätze in dieser Richtung, wie sie beispielsweise mit Cisco NAC (Network Access Control) am Markt sind.
Security made in Germany
Auch deutsche Unternehmen haben sich bei der Absicherung von WLANs im vergangenen Jahr sehr hervor getan – für einige nicht ganz unerheblich, denn amerikanische Produkte müssen bekanntlich ein Hintertürchen für die US-Sicherheitsbehörde NSA (National Security Agency) offen halten. So erlaubt die „ePCP“-Familie von Engel den ad-hoc Aufbau hochverschlüsselter (1024-Bit-Verschlüsselung in Echtzeit – bis auf 2048-Bit erweiterbar), vertraulicher Punkt-zu-Punkt- oder Punkt-zu-Mehrpunkt-Verbindungen sowie die Einrichtung ebenso sicherer Closed User Groups mit integrierter Identitätsfeststellung und Autorisierung. Die „plug-and-protect“-Lösung ist universal, sowohl im LAN als auch im WLAN und im WAN einsetzbar. Änderung an Hard- und Software sowie am Netz sind nicht erforderlich – insbesondere ist keinerlei Software-Installation auf Clients oder Server nötig. Die Authentifizierung läuft direkt an der ePCP-Station – ohne die sonst übliche Server-Infrastruktur wie zum Beispiel RADIUS. Die betriebssystemunabhängige Appliance baut quasi eine „Crypto-Pipeline“ mit benutzerdefinierbarer Verschlüsselung aus beliebiger Kombination von Serpent, AES 256, TwoFish und BlowFish in beliebiger Reihenfolge der verschiedenen Chiffrieralgorithmen. Über eine Accounting-/Logging-Funktion lassen sich Accounting-Daten eindeutig bestimmten Schlüsseln zuordnen - unabhängig vom Netzgerät, über das sie erzeugt wurden. Dies erlaubt eine Verbrauchsermittlung von Internet-Ressourcen pro Schlüssel. Beim Trend in Richtung nahtloser Sicherheit von mobiler, drahtloser und LAN-Komunikationen ohne VPNs ist die Engel-Lösung sicher ein Vorreiter.
Die „ePCP“-Familie von Engel erlaubt den ad-hoc Aufbau hochverschlüsselter (1024-Bit-Verschlüsselung in Echtzeit – bis auf 2048-Bit erweiterbar), vertraulicher Punkt-zu-Punkt- oder Punkt-zu-Mehrpunkt-Verbindungen sowie die Einrichtung ebenso sicherer Closed User Groups mit integrierter Identitätsfeststellung und Autorisierung. Quelle: Engel Solutions
In der WLAN-Security ist noch keineswegs das Ende der Fahnenstange erreicht. Auch wenn in den Standardisierungsgremien derzeit keine neuen Spezifikationen zu diesem Thema anstehen, laufen in vielen Teilaspekten Entwicklungen, die WLANs vor allem im Unternehmenseinsatz sicherer und komfortabler machen.
Copyright und weitere Informationen:
Thomas Roedel
Aeroaccess GmbH
Klenzestr. 1
D-85737 Ismaning
Tel: 089 - 380 128 370
E-Mail: info@aeroaccess.de
Web: www.aeroaccess.de