Wlan-Management; Ausgangslage; Technische Konzepte; Der Capwap-Standard - LANCOM LCOS 9.00 Referenzhandbuch

Referenzhandbuch

13 WLAN-Management

13 WLAN-Management

13.1 Ausgangslage

Der weit verbreitete Einsatz von Wireless Access Points (APs) und Wireless Routern hat zu einem deutlich komfortableren
und flexibleren Zugang zu Netzwerken in Firmen, Universitäten und anderen Organisationen geführt.
Bei allen Vorzügen der WLAN-Strukturen bleiben einige offene Aspekte:
1 Alle APs benötigen eine Konfiguration und ein entsprechendes Monitoring zur Erkennung von unerwünschten
WLAN-Clients etc. Die Administration der APs erfordert gerade bei größeren WLAN-Strukturen mit entsprechenden
Sicherheitsmechanismen eine hohe Qualifikation und Erfahrung der Verantwortlichen und bindet erhebliche Ressourcen
in den IT-Abteilungen.
1
Die manuelle Anpassung der Konfigurationen in den APs bei Änderungen in der WLAN-Struktur zieht sich ggf. über
einen längeren Zeitraum hinweg, sodass es zur gleichen Zeit unterschiedliche Konfigurationen im WLAN gibt.
1 Durch die gemeinsame Nutzung des geteilten Übertragungsmediums (Luft) ist eine effektive Koordination der APs
notwendig, um Frequenzüberlagerungen zu vermeiden und die Netzwerkperformance zu optimieren.
1 APs an öffentlich zugänglichen Orten stellen ein potenzielles Sicherheitsrisiko dar, weil mit den Geräten auch die
darin gespeicherten, sicherheitsrelevanten Daten wie Kennwörter etc. gestohlen werden können. Außerdem können
ggf. unbemerkt fremde APs mit dem LAN verbunden werden und so die geltenden Sicherheitsrichtlinien umgehen.

13.2 Technische Konzepte

Mit einem zentralen WLAN-Management lassen sich diese Probleme lösen. Die Konfiguration der APs wird dabei nicht
mehr in den Geräten selbst vorgenommen, sondern in einer zentralen Instanz, dem WLAN-Controller (WLC). Der WLC
authentifiziert die APs und überträgt den zugelassenen Geräten eine passende Konfiguration. Dadurch kann die
Konfiguration des WLANs komfortabel von einer zentralen Stelle übernommen werden und die Konfigurationsänderungen
wirken sich zeitgleich auf alle APs aus. Da die vom WLC zugewiesene Konfiguration in den APs optional nicht im Flash,
sondern im RAM abgelegt wird, können in besonders sicherheitskritischen Netzen bei einem Diebstahl der Geräte auch
keine sicherheitsrelevanten Daten in unbefugte Hände geraten. Nur im "autarken Weiterbetrieb" wird die Konfiguration
für eine definierte Zeit optional im Flash gespeichert (in einem Bereich, der nicht mit LANconfig oder anderen Tools
auszulesen ist).

13.2.1 Der CAPWAP-Standard

Mit dem CAPWAP-Protokoll (Control And Provisioning of Wireless Access Points) stellt die IETF (Internet Engineering
Task Force) einen Standard für das zentrale Management großer WLAN-Strukturen vor.
CAPWAP verwendet zwei Kanäle für die Datenübertragung:
1 Kontrollkanal, verschlüsselt mit Datagram Transport Layer Security (DTLS). Über diesen Kanal werden die
Verwaltungsinformationen zwischen dem WLC und dem AP ausgetauscht.
5
DTLS ist ein auf TLS basierendes Verschlüsselungsprotokoll, welches im Gegensatz zu TLS auch über
verbindungslose, ungesicherte Transportprotokolle wie UDP übertragen werden kann. DTLS verbindet so die
Vorteile der hohen Sicherheit von TLS mit der schnellen Übertragung über UDP. DTLS eignet sich damit –
anders als TLS – auch für die Übertragung von VoIP-Paketen, da hier nach einem Paketverlust die folgenden
Pakete wieder authentifiziert werden können.
784