Funkentanz

Inhaltsverzeichnis

Hohen Sicherheitsansprüchen soll der lang ersehnte und im Sommer 2004 endlich ratifizierte IEEE-Standard für Wireless LAN namens 802.11i entsprechen. Den beim IEEE eingereichten Entwurf hatte die WiFi-Allianz bereits vor seiner Verabschiedung unter dem Namen WPA2 (Wi-Fi Protected Access 2) veröffentlicht. Er beinhaltet zwar die wichtigsten im IEEE 802.11i beschriebenen Mechanismen wie die Verwendung des AES-Verschlüsselungsalgorithmus. Der IEEE-Standard 802.11i berücksichtigt darüber hinaus aber viele weitere Details wie den Ad-hoc-Modus, bei dem zwei PCs ohne Access Point miteinander komunizieren.

Auch von dem Standard IEEE 802.3af, bekannt als PoE oder Power over Ethernet, versprechen sich Hersteller und Kunden Vorteile: Er soll zum einen die Möglichkeit eröffnen, netzwerkfähige Geräte an unzugänglichen Orten, an denen keine Stromversorgung besteht, einzusetzen. Zum anderen kann es bei Neuinstallationen zur Kostensenkung führen, wenn man sich die Installation einer noch nicht vorhandenen Stromversorgung sparen kann. Verabschiedet hat die IEEE den Standard 802.3af bereits im Juni 2003. So blieb den Herstellern reichlich Zeit, um konforme Produkte zu entwickeln und zu produzieren.

iX holte sich neun aktuelle Access Points der Enterprise-Klasse mit PoE-Versorgung ins Labor. Zu erwarten ist in dieser Liga, dass die Geräte den neuesten Sicherheitsstandards entsprechen, dass sie mit einem größeren Funktionsumfang wie VLAN-Unterstützung und Zugangsfilter ausgestattet sind als die preiswerteren Modelle und dass sie mit erweiterten Management-Optionen aufwarten. Zudem sollten sie auf den Einsatz auch in schwierigen Umgebungen, etwa durch abnehmbare Antennen, eingestellt sein und sich nahtlos in vorhandene Infrastrukturen einfügen können. Dazu gehört etwa der Fähigkeit zum Roaming (s. Kasten „Roaming“) oder die Anbindung an SMTP-, Syslog-, NTP- oder Radius-Server.

Zum Testen stellten die Hersteller 3Com, Cisco, Firstwave, HP, Lancom, Netgear, Proxim, SMC und Zyxel ihre Access Points (AP) mit WPA2 und PoE zur Verfügung. Cisco und HP stellten einen PoE-fähigen Switch bereit. Der WLAN-Client besaß eine Aironet-802.11a/b/g-Karte von Cisco mit dem Treiber 1.2.0.3 und der Management-Software Aironet Desktop Utility 1.2.0.4 sowie den Client-Manager Odyssey 4.0.0.1768Beta von Funk (www.funk.com).

Als Endgeräte dienten ein Intel P4 mit 3 GHz unter Fedora Linux 3 und ein Centrino-Laptop von HP mit Windows XP SP2. Die Signalstärke vermaß Netstumbler 0.4.0, den Datendurchsatz das Windows-Tool NetIO 1.23 (netio.org). Das Augenmerk lag auf dem Versenden und Empfangen von TCP-Paketen mit einer Größe von 1, 2, 4, 8, 16 und 32 Byte über unterschiedliche Distanzen, die Werte von fünf Testläufen wurden gemittelt. Aufgeführt sind nur Ergebnisse ohne Verschlüsselung und mit TKIP, da sich die AES-Implementierung - so bereits vorhanden - zumeist noch im Beta-Stadium befindet. Lediglich bei drei Kandidaten ließen sich nach mehreren Versuchen und Updates überhaupt Messungen durchführen.

Ein Kabel für alles

Alle Access Points funktionierten über den Cisco-Switch mit Power over Ethernet „out of the box“. An dem 20 Meter langen Cat5-Kabel gab es nicht die geringsten Schwierigkeiten. Lediglich im Zusammenspiel mit dem HP-Switch blieben bei dem Access Point von Cisco die Lampen aus. Dies ist darauf zurückzuführen, dass er nur die properietäre PoE-Version Cisco Inline Power, aber nicht den Standard IEEE 802.3af unterstützt. Laut Cisco ist mittlerweile der AP 1130 erhältlich, der 802.3af-konform arbeitet.

Administrieren lassen sich alle über den seriellen Port und das Webinterface, mit einer Ausnahme auch über Telnet, wobei das Commandline Interface in den meisten Fällen eine detailliertere Konfiguration zuließ. Die APs von 3Com, Cisco, Lancom und Proxim erlauben zumindest auch eine Administration via SSH und/oder HTTPS. Leider waren diese Zugänge bei allen außer dem Lancom per Default deaktiviert. Nur Netgear setzt ausschließlich auf gesicherte Verbindungen.

Alle Access Points erlauben das Deaktivieren des SSID-Broadcast, das Erstellen von MAC-ACLs für die Zugangskontrolle und unterstützen WEP mit 64 und 128 Bit, manche auch mit 152 Bit. Alle beherrschen das WPA-Verschlüsselungsprotokoll TKIP (Temporal Key Integrity Protocol). Die Authentifizierung ließ sich bei allen per Pre Shared Key (PSK) oder mit dem IEEE-802.1x-Authentifizierungs-Framework, das wiederum EAP (Extensible Authentication Protocol) und Radius (Remote Authentication Dial-in User Service) voraussetzt, durchführen. Auffallend war, dass alle Hersteller ihre Geräte offen auslieferten. Die einzige Ausnahme bildete Lancom, der den IAP-54 mit aktiviertem WEP zum Test sandte.

Eine Anbindung an einen Radius-Server über die IEEE-802.1x-Authentifizierung hinaus, etwa für die Verwaltung von MAC-ACL, VLANs oder Management-Accounts, ermöglichen nur die wenigsten Kandidaten. Die Einbindung in ein SNMP-Management dagegen ist bei allen APs vorgesehen, sie unterstützen alle sowohl Read/Write-Access als auch SNMP-Traps. Auch die Weitergabe der Ereignisse an einen Syslog-Server beherrschen alle bis auf den AP von Firstwave.

Große Unterschiede sind bei den Filter-Implementierungen zu beobachten. Sie reichen von keinerlei Filter bis zur eigenen Firewall. Zumindest ein Network Traffic Frame Filtering, mit dem ein AP Ethernet-Protokolle von Appletalk über DEC, IP, NetBEUI bis X.25_Level3 blockieren kann, besitzen bis auf Netgears AP alle Kandidaten.