Sicher funken
Wireless-Intrusion-Detection und -Prevention – Die Systeme suchen fremde Geräte, lokalisieren und blockieren sie. Network Computing testete vier Overlay-Lösungen auf die Effizienz ihrer Schutzschilde. Network Chemistry verdiente sich mit knappem Vorsprung die Auszeichnung »Referenz«.
Für den Test von Wireless-Intrusion- Detection-Prevention- Systemen (WIDPS) lud Network Computing eine gemischte Gruppe von 18 Herstellern ein. Der Schwerpunkt lag auf konventionellen Wireless-IDS/-IPS-Herstellern (Intrusion-Detection-System/ Intrusion-Prevention-System). Dies schloss Airdefense, Airmagnet, Airtight Networks, Cirond, Highwall Technologies, Madge Networks, Network Chemistry, Newbury Networks, Red-M und Wimetrics ein. Am Ende kamen die vier Testteilnehmer Airdefense, Airmagnet, Highwall und Network Chemistry aus diesem Bereich.
Cirond lehnte ab, weil ihre Marketing-Strategie sich gerade in einem Umstellungsprozess befand. Newbury wollte ebenfalls nicht. Ein Blog-Eintrag eines Redakteurs der Network Computing schmerzte noch zu sehr. Wimetrics konzentriert sich nur auf die drahtgebundene Seite bei der Suche nach unerwünschten Access-Points. Ihre Engine arbeitet mit den Endpunkten von Highwall zusammen. Die Hersteller aus Großbritannien Red-M und Madge meldeten sich nicht auf die wiederholten Einladungen. Schließlich ergab sich, dass letzterer von Ringdale gekauft worden war.
Bei Airtight musste Network Computing viel Zeit aufwenden für Interviews mit Kunden und OEM-Partnern. Dabei versuchte das Unternehmen die Gewichtung der Report-Card zu beeinflussen, um die eigenen Stärken zu betonen. Da Network Computing aber nicht bereit war, über den ursprünglichen Testplan hinauszugehen, lehnte Airtight am Ende ab. Auch Infrastruktur-Hersteller standen auf der Einladungsliste. Dazu gehörten Aruba Networks, Bluesocket, Colubris Networks und Enterasys Networks. Diese alle hatten entweder selbst WIDPS-Funktionen entwickelt oder sich dafür mit Partnern zusammengetan. Daneben lud Network Computing die Wireless-Infrastruktur-Hersteller Airwave und Wavelink ein. Hinzu kamen die Paket-Analyse-Hersteller Network Instruments und Wildpackets. Keiner von diesen nahm die Einladung an.
Installation, Architektur und Design
Für den Test lieferten Airdefense und Highwall Appliances. Die anderen beiden Hersteller kamen mit reinen Software-Versionen ihrer WIDPS-Produkte. Alle vier Lösungen besitzen eine bemerkenswert ähnliche dreigegliederte Architektur. Sie beginnt auf der äußeren Ebene mit den Sensoren, die die Daten sammeln und verarbeiten. Es sind entweder angepasste Access-Points oder eigene Geräte. Die Einheiten kommunizieren über IP mit einem Server, der die Daten speichert und zusammenfasst. Das letzte Glied in der Kette ist ein Management-Client. Dieser kommt als Webseite, Java-Applet oder Win32-Anwendung daher. Airdefence verwendet eine proprietäre Datenbank. Dagegen arbeiten Airmagnet und Highwall mit dem »SQL Server« von Microsoft. Network Chemistry schließlich setzt die Open-Source-Datenbank »Firebird« auf Windows ein.
Airdefence besitzt noch immer keinen grafischen Wizard für das Setup mit ihrer Linux-Appliance. Dabei meinte der Hersteller bereits verganges Jahr, dass er eine entsprechende Funktion im Blickfeld habe. Stattdessen gab es ein Text-Menu, um die Parameter wie Netzwerkinformationen, Zeitzonen oder Berechtigungen einzugeben. Highwall war schon vorkonfiguriert. Es mussten nur noch wenige Dinge angepasst werden. Die Software von Airmagnet und Network Chemistry kamen mit relativ eingängigen Installationsroutinen daher.
Die Hersteller gaben an, dass ihre Produkt ausbaufähig seien, meinten damit jedoch sehr unterschiedliche Dinge. Airdefence gab an, dass es bis zu 300 000 Objekte überwachen könne. Airmagnet verwies auf eine Installation mit 1400 Orten. Network Chemistry schließlich nannte eine Installation von 5000 Sensoren in 2500 Läden. Große Highwall-Implementierungen waren keine bekannt.
Network Chemistry betonte, dass ihr »RFprotect« 220 Funkkanäle überwache. Diese Größenangabe stimmt tatsächlich, wenn jeder 5-MHz-Schritt im 5-GHz-Band als Kanal gewertet wird.
Während es auf drahtgebundenen IDS nur das Netzwerkkabel für die Überwachung gibt, sind es bei drahtlosen Systemen 14 Kanäle im 2,4-GHz-Spekturm und 37 reguläre Kanäle im 5-GHz-Bereich. Nicht in allen Teilen der Erde ist in den Ländern die Nutzung sämtlicher Kanäle erlaubt. Entsprechend konfiguriert, können die modernen Chipsätze aber alle verwenden. Nun kann ein Sensor aber immer nur einen Kanal zur gleichen Zeit scannen. Damit ist die Auswahl der Kanäle und die Zeit der Überwachung der Kanäle eine Kunst für sich. Mehr ist hier nicht unbedingt besser.
Arbeiten potenzielle Angreifer auf nicht erlaubten Kanälen, können sie damit nicht in das drahtlose Netzwerk eindringen. Allerdings kann ein Hacker einen unerwünschten Access-Point aus der Ferne betreiben, unbemerkt von den Sensoren. Die meisten Hersteller verwenden eine Art Fuzzy-Logik, damit die Sensoren populäre Kanälen und solchen mit bereits entdeckten Funkaktivitäten länger überwachen. Populäre Kanäle sind im 2,4-GHz-Band 1, 7 und 13. Im 5-GHz-Band gehören dazu die vier unteren und mittleren UNII-Kanäle (Unlicensed-National-Information-Infrastructure). Airdefense überwacht 28 Kanäle. Dagegen untersucht »AirMagnet Enterprise« nur 13, wenn es im Nord-Amerika-Modus arbeitet. Beide Hersteller versprachen, dass kommende Versionen auch die anderen Kanälen unterstützen und absuchen. Highwalls Appliance sucht nur die unteren 8 Kanäle im 5-GHz-Band ab, obwohl bei Einstellung durch den Hersteller mehr möglich sind.
Die Geschwindigkeit, fremde Geräte zu suchen und zu klassifizieren, hängt weniger von der Scan-Zeit der Kanäle ab. Vielmehr korreliert sie damit, wie das System die Informationen vom Sensor zum Server schickt. In dieser Kategorie lag RF-Protect vorne. Es zeigte neue Geräte innerhalb von Sekunden an. Dies geschah zudem ohne manuelle Aktualisierung des Ausgabebildschirms. Airdefence zeigte ebenfalls neue Geräte in wenigen Sekunden an. Allerdings verlangte das System einen Refresh von Hand. Zudem benötigte es ein oder zwei Minuten, um das Gerät als nicht autorisierten beziehungsweise unerwünschten (rogue) Access-Point zu klassifizieren. Ersteres bedeutet, dass der Access-Point auf der Luftschnittstelle aktiv ist. Letzteres meint, dass er eine Verbindung zum eigenen Netzwerk hat. Airmagnet enttäuschte mit einem minutenlangen Suchprozess. Nur in der Übersicht für einen einzelnen Sensor war es möglich, eine unmittelbare Anzeige zu bekommen. Standardmäßig ist »Highwall Enterprise« so konfiguriert, dass es den Sensor nur alle zehn Minuten abfragt. Dieses Intervall ließ sich auf eine Minute reduzieren. Zehn Minuten sind zu lang für ein unerwünschtes Gerät, das eine Sicherheitsbedrohung darstellt. Auch eine manuelle Aktualisierung des Bildschirms ist nicht akzeptabel.
Alle Produkte besitzen eine Übersichtsseite (Dashboard), die den Status des Netzwerks zusammenfasst. Einige erlaubten es, direkt zu einer Grafik oder Kategorie mehr Informationen zu erhalten (Drill-down). Highwalls Dashboard fiel durch die Diskrepanz zwischen der Anzahl der Access-Points in der Übersicht und der Detailliste auf. Aber das Unternehmen gab zu, dass dies ein Bug sei.
Nicht jeder Alarm hat einen Grund
Es tauchten False-Positive-Meldungen der merkwürdigsten Art auf. Verglichen mit früheren Tests, hat sich die Anzahl der Fehlalarme aber deutlich reduziert. Duplikate fassten die Systeme fast immer unter einem Alarm oder einer Warnung zusammen. Dieser Eintrag zeigte dann den aktuellsten Zeitstempel und die Details. Im Testlabor kam eine wechselnde Menge von unerwünschten Clients und Access-Points zum Einsatz. Typischerweise hat ein Einsatzgebiet aber eine stabile Infrastruktur mit Access-Points und Clients. Alle Produkte können manuell bestimmte Clients und Access-Points ignorieren. Davon profitieren Unternehmen, die nicht über ein eigenes, isoliertes Betriebsgelände verfügen, sondern es mit WLANs benachbarter Firmen zu tun haben. Ganz wesentlich dabei ist die Fähigkeit zu erkennen, ob ein unerwünschter Access-Point mit dem Netzwerk verbunden ist oder nicht. Leider verfügte keines der Produkte über die Möglichkeit, anhand einer vorgegebenen Regelbasis neu entdeckte Clients automatisch zu kategorisieren. Dies war bei Airtight in einem Test der Network Computing im vergangen Jahr der Fall (s. »Engere Maschen im drahtlosen Netz«, Network Computing 14-14/05, S. 36ff). Network Chemistry kann so etwas mit ihrem Policy-Designer zusammenschustern, aber es ist nicht sehr intuitiv.
Alle Produkte im Test fanden unerwünschte Geräte per drahtlosem Scan. Dabei stach Airmagnet Enterprise hervor, das auch den drahtgebundenen Port identifizierte. Das lief zwar auch nicht ohne Fehler ab. Aber von den fünf eingesetzten Access-Points blieb nur ein Port ohne Identifizierung. Airdefense Enterprise strauchelte in diesem Teil des Tests. Schuld daran waren die SNMP-Abfragen von Airdefense. Auf Grund deren Struktur konnte die Lösung nur die MAC-Adressen aus dem Management-VLAN der Cisco-Switches extrahieren. Geräte in anderen VLANs blieben unerkannt. Highwalls Appliance verwendet einen Software-Agenten, der in jedem VLAN arbeiten muss, um die Existenz von unerwünschten Access-Points korrekt zu erkennen. Leider gab die Appliance keine Ports zurück. Network Chemistrys RF-Protect ging es ähnlich wie Airdefense. RF-Protect gab bei einem fremden Access-Point konstant den falschen Port an. Dieser Fehler ließ sich nur durch eine Reinitialisierung der Datenbank beheben. Sowohl Airdefense als auch Network Chemistry versprachen, das Thema in einem künftigen Release anzugehen.
Den Gegner ausbremsen
Maßnahmen gegen einen Client einzuleiten, bedeutet die Kommunikation zwischen zwei Geräten zu blockieren beziehungsweise zu unterdrücken. Das ist ein mächtiges Instrument im Arsenal des Administrators, das er mit Vorsicht verwenden sollte. In der Testszenerie wurde ein feindlicher Client mit drei unterschiedlichen Chipsätzen eingesetzt. Network Chemistry hatte mit seiner Honigtopfmethode den größten Erfolg. Es erzeugte mit zwischen 8 bis 11 KBit/s eine nominal geringe Menge an drahtlosem Verkehr, um die Blockierung zu erreichen. Airmagnet-Enterprise stolperte bei den Centrino-Chipsets. Es erzeugte die doppelte Datenmenge wie sie RF-Protect benötigte. Airdefense übertraf RF-Protect in Sachen drahtlosem Datenverkehr. Aber es hatte Probleme, die Centrino-Chipsätze zu unterdrücken. Außerdem startete Airdefense die Blockade konstant verzögert. Highwalls grafische Benutzungsoberfläche besitzt eine Blockade-Option. Im Test war es aber nicht möglich, die Funktion zum Laufen zu bringen, auch nicht mit Hilfe des Herstellers.
In einer zweiten Blockade-Szenerie assoziierten sich drahtlose Unternehmensclients wiederholt, wenn auch nur gelegentlich, mit Access-Points eines benachbarten WLANs. Wieder lag RF-Protect vorne. Airmagnet Enterprise erzeugte 11 bis 20 KBit/s drahtlosen Datenverkehr für die Blockade. Wieder gab es Schwierigkeiten mit den Centrino-Chipsätzen, sowohl für 11b/g als auch 11a. Airdefense arbeitete zuverlässig und ließ nur wenige Bytes des möglicherweise feindlichen Verkehrs durch.
Komplexe Blockierungsmaßnahmen durchzuführen, ist bei den meisten WIDPS ein Schwachpunkt. Hierbei geht es darum, mehrere Clients auszubremsen und gleichzeitig in mehreren Funkbändern zu scannen. Dazu führte Network Computing zwei Tests mit einem einzelnen Sensor durch. Im ersten Durchgang versuchten drei Clients sich nacheinander an einem Dual-Band-Access-Point von Cisco zu assoziieren (verbinden). Airdefence war hier erfolgreich. Airmagnet Enterprise konnte den zweiten Client mit 802.11a nicht identifizieren, bis auch der dritte Access-Point ins Spiel kam. Dann blockierte Airmagnet alle drei Clients. Network Chemistry brauchte ein paar Minuten, um den zweiten Client zu finden, konnte ihn aber nicht ausbremsen. Der Hersteller bestätigte dieses Verhalten. Er legte Wert auf die Fähigkeit der totalen Blockade. Diese definierte er so, dass nicht ein Datenbyte erfolgreich zwischen Client und Access-Point übertragen werde. Diese Fähigkeit werde aufs Spiel gesetzt, wenn sich das System mit einem weiteren fremden Gerät auf einem anderen Kanal befassen müsste. In künftigen Versionen soll der Anwender zwischen effizienter und kanalunabhängiger Blockade entscheiden dürfen.
Für den zweiten Test kam zu dem Geräte-Mix ein zweiter Access-Point auf einem anderen Kanal im 2,4-GHz-Band hinzu. Airdefense Enterprise konnte den Client nicht davon abhalten, sich mit dem zweiten Access-Point zu assoziieren. Allerdings erkannte das System alle unerwünschten Clients. Airmagnet Enterprise hatte überhaupt keine Schwierigkeiten. Dagegen konnte RF-Protect den zweiten Client nicht blockieren, noch den dritten mit 11a erkennen. RF-Protects Dual-Radio-Sensor hätte das Problem gelöst. Wegen Transportproblemen konnte der Hersteller jedoch keinen schicken.
Als nächstes ging es darum, die Ad-hoc-Kommunikation zwischen Clients zu verhindern. Airdefense kam wieder mit den Centrino-Chipsätzen ins Straucheln, sowohl im 2,4- als auch im 5-GHz-Band. Allerdings erzeugte das System mit etwa 110 KBit/s nicht so viel Verkehr. RF-Protect war in der ersten Runde nicht sehr erfolgreich. Der Hersteller erhielt Informationen über die Testergebnisse und -methode. Er gab zu, dass es sich um einen Fehler handelte, wie er die Ad-hoc-Blockade bei Chipsätzen von verschiedenen Herstellern abwickelt. Mit einem Patch war die zweite Runde erfolgreich und erzeugte etwa die gleiche Datenmenge wie Airdefense Enterprise. Airmagnet überraschte mit einer sehr geringen Datenmenge von 10 KBit/s. Bei Highwall gibt es dagegen überhaupt keine Blockade von Ad-hoc-Netzen.
Um ein rundes Bild zu bekommen, gab es noch einen dritten Test mit MIMO-Geräten (Multiple-Input-Multiple-Output), die sich am kommenden Standard 802.11n orientieren. Zum Einsatz kamen ein »RangeMax 240«-Client (Modell »WPNT811«) und ein passender Access-Point (Modell »WPNT834«) von Netgear. Für die Untersuchungen arbeitete der Access-Point mit 240 MBit/s und im möglichst proprietären Modus. Die Ergebnisse waren sehr unterschiedlich. Es gab WIDPS, die die Existenz des Clients nicht feststellen konnten und keine Client-Access-Point-Assozierung erkannten. Weiter versuchten die Systeme ständig herauszufinden, auf welchem Kanal der Client funkte. Alle hatten Schwierigkeiten, Clients zu blockieren. Beim Access-Point waren sie etwas erfolgreicher. Zusammenfassend lässt sich sagen, dass die kommenden Soho-Pre-802.11n-Produkte eine größere Herausforderung für WIPDS sein werden als konventionelle WLAN-Lösungen.
Lokalisierung der Fremden
Alle Produkte im Test unterstützen Lokalisierung. Aber die Ergebnisse zeigen, dass es im Moment noch mehr Kunst als eine exakte Wissenschaft ist. Für den Test platzierte Network Computing in einem normalen Bürogebäude fünf unerwünschte Access-Points. Airspace-Appliance identifizierte alle Geräte mit einer Abweichung zwischen 4,6 und 6,1 Meter. Airmagnet Enterprise war etwas ungenauer, fand aber alle Geräte mit einer Abweichung zwischen 6,1 und 9,1 Meter. Highwall Enterprise schlug sich ganz gut, dafür dass es nur einen Sensor mit acht Sektoren im Einsatz hatte, statt wie die anderen fünf Sensoren. Ein Access-Point befand sich allerdings außerhalb der Karte, so weit weg war die berechnete Lage.
RF-Protect verwendete Karten mit Gradienten-Bändern, um die Position der unerwünschten Access-Points anzuzeigen. Nachdem das Gerät die Charakteristik des Gebäudes gelernt hatte, war es mit 4,6 Meter recht erfolgreich, was die 11b/g-Geräte anbelangte. Es klappte aber mit dem 801.11a-Interface bei einem unerwünschten Access-Point mit Dual-Band nicht so gut. Alle Produkte lassen noch deutlich Raum für Verbesserungen offen. Gut wäre eine Autokalibrierungsfunktion. Hier würden sich die Sensoren gegenseitig einen Ping senden und die Abschwächungen und Zeitverzögerung in ihre internen mathematischen Modelle einfließen lassen.
Mehr als nur Intrusion-Prevention
Performance-Messungen, Verkehrsüberwachung und Remote-Troubleshooting-Tools fallen unter den Testprodukten sehr unterschiedlich aus. Alle beherrschen eine Art von Packet-Capture, um Netzwerkverkehr aufzuzeichnen. RF-Protect verlässt sich dabei auf »Packetyzer«. Dies ist ein separates Programm und Nutzungsoberfläche für den populären Ethereal, das umfangreiche Dekodierungsfunktionen bereitstellt. Airdefense bietet ein Bündel an Statistiken pro Knoten an. Die forensische Analyse erlaubte es, Informationen über drahtlose Geräte aktuell pro Minute zu bekommen. Airmagnet kommt nicht weit dahinter mit Tools, die bei der Diagnose von drahtlosen Problemen helfen. Highwall bietet wenig in Hinsicht auf Statistiken. Allerdings hat das Produkt eine Packet-Capture-Funktion.
Als Folge des Enron-Skandals in den USA hat die Einhaltung von regulatorischen Vorschriften eine größere Bedeutung bekommen. Alle Hersteller im Test haben Bestimmungen analysiert und auf den drahtlosen Bereich angewendet. Herausgekommen sind passende Berichte, die Unternehmen helfen, deren Einhaltung zu dokumentieren.
Schmaler als Brotzeitboxen
Sehr interessant war das Design der Sensoren. Airdefense sandte für den Test ihr »M400«-Modell zu. Dieses basiert auf einem Senao-Gerät (www.senao-me.com). Allerdings steht dieses nicht mehr zur Verfügung. Stattdessen verwendet Airdefense jetzt Rauchdetektor-ähnliche Sensoren der »M5x0«-Serie. Die Hülle ist identisch mit den Access-Points von Trapeze. Die neuen Sensoren unterstützen Power-over-Ethernet (PoE) nach 802.3af und mehr Montagefunktionen für den gleichen Preis. Airmagnet verwendete auch auf Senao basierende Geräte, wechselte dann aber auf ein feuerfestes Gehäuse. Dieses unterstützt das PoE mit 802.3af direkt, im Gegensatz zu den Vorgängern. Airmagnet besitzt auch ein beeindruckendes Modell für den Einsatz im Außenbereich. Es ist vollständig geschlossen und sieht sehr solide aus.
Highwall sandte für den Test einen selbst entworfenen Sensor mit der Möglichkeit, externe Antennen anzuschließen. Die Lokalsierungstests zeigten, dass das Gerät die notwendige Empfängerempfindlichkeit und Bündelung mitbrachte, um die Anzahl der Sensoren zu verringern. Das Problem ist aber eine unzureichende Abdeckung des Funkspektrums. Die Lösung nahm weniger drahtlosen Verkehr wahr als die anderen Testprodukte. Network Chemistry hat einen selbst entwickelten, feuerfesten Metallsensor. Im Gegensatz zu anderen Geräten, besitzt er einen zweiten LAN-Port, der PoE durchleitet. Den Access-Point verbindet ein Patchkabel mit dem Sensor. An diesem steckt dann das ursprüngliche Netzwerkkabel mit PoE. Außerdem gibt es 802.1Q-Unterstützung (VLAN).
Was die Stromversorgung anbelangt, gehen Airdefense und Airmagnet einen anderen Weg. Beide nutzen aus, dass 10/100-MBit/s-Ethernet nur zwei von vier Paaren nutzt. Die Unternehmen bieten Adapter an, die alle vier Paare nutzen, um zwei separate Ethernet-Switch-Port-Einspeisungen mit PoE zu einem identischen Adapter zu transportieren. Dieser trennt die beiden Einspeisungen wieder. Das entschärft Bedenken bezüglich Stromverbrauch und VLANs. Allerdings belegt das System dadurch einen weiteren Switch-Port.
Zusätzlicher Netzwerkverkehr
Beim Einsatz eines WIDPS über WAN-Verbindungen, sollte der Administrator nicht vergessen, den Verbrauch an Bandbreite zu berechnen. Angenommen, jeder Sensor erzeugt einen Datenstrom von 40 KBit/s. Bei einer großen Installation mit 250 Zweigstellen oder Verkaufsräumen summiert sich das zu einer Bandbreite von 10 MBit/s. Im Test ging es um Messungen sowohl bei wenig als auch viel Wireless-Datenverkehr und einer Dauer von 30 Minuten. Dabei ergaben sich einige interessante Resultate.
Die ersten Messungen bei Airmagnets ergaben einen recht hohen Netzverkehr zwischen 12,3 und 16,9 kBit/s. Das meiste waren SNMP-Daten, die die Sensoren ununterbrochen erzeugten, um lokale Switches abzufragen. Dabei ging es darum, Access-Points auf der drahtgebundenen Seite zu überwachen. Airmagnet erklärte, ein Enterprise-System mit einem guten Design stelle sicher, dass Remote-Sensoren auch nur Switches an entfernten Orten befragten. Dabei entstehe deutlich weniger Datenverkehr, als wenn ein zentraler Server Dutzende oder Hunderte von Switches über WAN-Verbindungen kontaktiere. Unabhängig von Architekturfragen sollte jedes Unternehmen seine Verkehrsströme kennen und wissen, wie häufig die WIDPS-Lösung die Switches abfragt.
Auch Geld spielt eine Rolle
Für Vergleichszwecke gab Network Computing drei Preisszenerien vor. Bei den kleinen Installationen schwanken die Kosten deutlich. Diese stabilisieren sich, sobald die Größe der Systeme zunimmt. Network Chemistry liegt mit ihren Preis jetzt mehr auf einer Linie mit Airmagnet. Durch ihr besonderes Modell für die Einrichtung von Sensoren lag Highwall bei fast allen Szenerien vorne. Ausnahme war eine verteilte Installation. Hier trieb die Lizenzierung der Software pro Sensor den Preis über die der Mitbewerber. Normalerweise spielt der Preis bei kleineren Installationen eine größere Rolle. Bei größeren sollten Unternehmen erwarten, dass sich die Preise auf Grund des Konkurrrenzkampfes angleichen.
Network Chemistry RFprotect Distributed 5.0
Noch vor Airmagnet und Airdefense hat sich Network Chemistry mit ihrer preiswerten und abgerundeten Lösung »RFprotected Distributed« gesetzt. Die Version 5 arbeitete auf konstantem Leistungsniveau in fast allen Kategorien. Ihre Mitkonkurrenten übertraf sie in Sachen Blockierung (Containment). Dafür erhielt das Produkt die Auszeichnung »Referenz« der Network Computing. Als Bonus hat Network Chemistry ein abgerundetes Portfolio. Dieses schließt eine mobile Version und ein Wireless-Security-Produkt für Clients ein. Außerdem achtet das Unternehmen darauf, dass Wireless-Security ein Thema in der Öffentlichkeit ist. Dies geschieht durch die Mitgliedschaft in der Initiative »Wireless Vulnarability and Exploits Initiative« (www.wirelessve.org) und den »Wireless Threat Index«. Letzterer verfolgt Trends in Sachen drahtlose Sicherheit.
Von Network Chemistry kam ein Desktop-Rechner mit vorinstallierter Server- und Client-Software. Es gab aber keine Probleme bei einer Neuinstallation des Win32-Produkts. Diese war wegen bestimmter Fehler notwendig gewesen. Außerdem erhielt das Labor ein Single-Radio-Interface-Modell des »PortSaver«-Sensors. Leider kann ein Funkinterface nur eine Blockade zu einem bestimmten Zeitpunkt durchführen. Dies hat zur Konsequenz, dass unerwünschte Geräte auf anderen Bändern ungestört bleiben. Eventuell kann diese Blockade jedoch ein Nachbar-Sensor übernehmen, falls sich dessen Abdeckung mit der des Ausgefallenen überlappt.
Nach der Installation wäre normalerweise der nächste Schritt, einige Sicherheits- und Performance-Regeln zu konfigurieren. Aber es gab keine Vorlagen als Beispiele. Auf der einen Seite ist der »PolicyEnforce«-Bereich in dem Konfigurationsfenster sehr mächtig. Auf der anderen Seite wird der Administrator ein wenig Zeit brauchen, bis er das Know-how hat, um passende Regeln zu entwickeln. Network Chemistry hat hier auch Funktionen, um Regeln zu im- beziehungsweise exportieren. Es würde nur ein wenig Arbeit bedeuten, ein paar Vorlagen mit Messparametern und Aktionen für bestimmte drahtlose Einsatzbereiche zu definieren. Diese Vorlagen würden auch die Grundlage für weitere Anpassungen liefern.
Das Dashboard zeigt verschiedene passende Zusammenfassungen an. Allerdings war es bei keiner möglich, mit einem Klick weitere Details zu erhalten. Die Hauptabschnitte (Tabs) des Interfaces sind selbsterklärend: Netzwerk, Alarme, Funkbereich, Lokalisierung, Schutzschirm und Berichte. Die Netzwerkansicht fasst geschickt die drahtlosen Geräte für einen bestimmten Bereich zusammen. Dieses Release unterstützt Hierarchien von Standorten mit mehreren Ebenen. Hervorzuheben sind die Grafiken, welche die Nutzung des Spektrums anzeigen. Diese zeigen die Auslastung des Kanals und Scan-Muster.
Die Parameter für die Reports waren sehr flexibel. Die Ergebnisse ließen sich in verschiedene Formate exportieren. Zu bestimmten Zeiten speicherte dann das System den Output auf der Festplatte ab, oder verteilte ihn per E-Mail beziehungsweise FTP. Für historische Statistiken über den Verkehrsfluss, Bytes oder Auslastung verwendet das Produkt Packetyzer. Dies erschien im Test zu karg und abgetrennt von der eigentlichen Lösung.
Die Suche nach unerwünschten Geräten funktionierte ganz gut. Gelegentlich identifizierte RF-Protect den falschen Port, einen Trunk-Port. Dies erinnert daran, dass automatische Blockade-Aktionen mit Risiken behaftet sind, wenn das Produkt nicht zu 100 Prozent zuverlässig arbeitet.
Auch wenn es kein offizieller Teil der Tests war, schaute sich Network Computing eine Kopie des »RFprotect«-Endpunkts an, der von der RF-Protext-Distributed getrennt ist. Der Endpunkt wurde auf dem gleichen Rechner installiert wie das Distributed-Produkt. Die Einrichtung verlangte, eine Registry-Datei auszuführen, die ein Zertifikat enthielt und eine Exe-Datei startete. Die auf dem Server basierende Nutzungsoberfläche war ein bisschen kantig und die Konfiguration der Sicherheitsregeln nicht einfach genug. Das Produkt stach aber hervor, da es eine Firewall zum Schutz der Datenströme hernahm, anstatt Netzwerk-Adapter zu deaktivieren. Ersteres ist eine viel saubere Lösung. Network Chemistry lieferte auch die mobile Version des Distributed-Produkts. Es enthält ein paar Site-Survey-Funktionen und Empfehlungen für die Sensorpositionierung. Allerdings empfahl das Produkt nur einen Sensor, was eine signifikante Fehlberechnung war.
Network Chemistry kommt zu einem erschwinglichen Preis, auch wenn es Highwall nur in einer Szenerie unterbot. Die ein wenig teuere Software hebt den Vorteil der günstigen Sensoren auf. Wenn ein Sensor mit Dual-Radio-Interface verlangt worden wäre, kämen pro Einheit noch einmal 200 Dollar hinzu. Da gilt es die Vorteile vor einer Entscheidung gründlich abzuwägen.
AirDefense Enterprise 7.0
Die Mitbewerber übertraf Airdefense, was den Grad der zur Verfügung gestellten Details anbelangt. Leider schaffte es das Produkt nicht, zwei Dell-Laptops aus dem Testlabor zu blockieren, sowohl beim Client- als auch beim Ad-hoc-Test. Auch wenn der »Intel Centrino 2915ABG«-Chipsatz bereits mehr als eineinhalb Jahre alt ist, war er nicht Bestandteil des Qualitätssicherungsprogramms von Airdefense. Die Real-World Labs erhielen einen Beta-Sensor-Code, um die Funktionalität erneut zu testen. Aber der Redaktionsprozess war schon zu weit fortgeschritten.
Airdefense liefert ihre Lösung auf einem 1U-hohen Rack-montierbaren Server, auf dem ein gehärtetes Linux arbeitete. Die Konfiguration war eingängig, bis der Punkt kam, den richtigen Ethernet-Port zu identifizieren, um das Gerät an das Netzwerk anzuschließen. Airdefense versicherte, dass bei künftigen Lieferungen der Port einfacher zu identifizieren sei. Auch wenn die Sensoren die Konfiguration über DNS beherrschen, kam im Test DHCP zum Einsatz. Die Belohung war ein relativ schmerzfreier Prozess ohne weitere Konfiguration.
Der Java-Client startet mit einer anpassbaren Übersichtsseite, die eine Vertiefung in verschiedene Richtungen ermöglicht. Es war leicht, die Einstellungen zu ändern beziehungsweise zu erzeugen, auch bei den Regeln wie für Performance. Das System stellt umfangreiche und detaillierte, aber gut gestaltete Optionen zur Verfügung. Auch hier wären mehr definierte Regeln wie »Kein Funknetz« oder »Buchhaltung« wünschenswert gewesen. Es ist eine Hilfe für den Administrator, mit bewährten Vorgaben zu starten.
Airdefense hat fünf Datenansichten entwickelt: unerwünschte Geräte, Performance, Einhaltung rechtlicher Vorgaben, Forensik und Intrusion. Jede Sicht präsentiert einen passenden Ausschnitt aus der vollständigen Liste der Alarme und ordnet sie entsprechend der Gefährlichkeit an. Interessant ist forensische Ansicht. Sie speichert mehr als 200 Datenelemente für jedes drahtlose Gerät, um dessen Verkehrsfluss anhand der Linkrate und des Frametyps anzuzeigen. Die Seite ist auch das Tor zu Informationen über den Geräteort und Blockierungsinformationen. Außerdem speichert die Lösung Minute für Minute ein aktuelles Bild (Snapshot) des drahtlosen Bereichs.
Alarme lassen sich leicht manipulieren. Die Reports sind vollständig. Als Nachteil muss der Anwender den Output erst als HTML-Datei exportieren, um die Ergebnisse auszudrucken. Die Nutzungsoberfläche bietet ein abgerundetes Bild, mit einer vollständigen Protokollierung aller Geräteänderungen und Löschungen. Dies ist wichtig für Audits.
Überraschend war, dass Airdefense Enterprise die Entdeckung von unerwünschten Geräten nicht zwischenspeichert, falls es die Verbindung zum Server verliert. Dies ist eine wesentliche Funktion bei verteilten Betriebstätten mit unstabilen WAN-Verbindungen. Auf der positiven Seite steht die Failover-Funktion von Sensoren. Als während eines Blockierungstests mit zwei Sensoren der Stecker des einen gezogen wurde, übernahm der zweite innerhalb weniger Sekunden. Dies geschah viel schneller als bei den Wettbewerbern. Auch bei den Blockierungstests mit mehreren unerwünschten Geräten war das System besser.
Auch wenn es kein offizieller Teil der Bewertung war, kam der Policy-Agent »AirDefense Personal« für Clients zum Einsatz. Der Serverteil war bereits in den Testserver integriert. Der Manager ist eine 32-Bit-Anwendung, die auf einer Workstation läuft. Es gibt vom Agenten sowohl eine vollständige Version als auch eine ohne Oberfläche. Es ließen sich verschiedene Reaktionen auf Events definieren wie für Assoziierung mit einem unerwünschten Gerät oder Ad-hoc-Netzwerke. Leider ist die Anordnung von Regeln, Antworten, Policies, Profilen und Gruppen nicht eingängig. Es sollte einfacher sein, Regeln und Events zu erstellen, kopieren oder anzupassen. Diese erzeugen verschiedene Antworten. Um sie verschiedenen Gruppen und Anwendern zuzuordnen, sollten die Events und Regeln sich innerhalb bestimmter Regeln zusammenfassen lassen.
Airdefense war in jeder Szenerie mit ihren Preisen deutlich höher als die anderen Testteilnehmer. Beispielsweise ist für Starter die Wartung im ersten Jahr nicht kostenlos, anders als bei den Mitbewerbern. Weiter gibt es ein zweifaches Problem mit den teuren Sensoren. Sie erhöhen den Kaufpreis und verteuern die nachfolgende Wartung. In der ersten Preisszenerie waren die Kosten von Airdefense vier Mal so hoch wie bei Highwall. Um ein Drittel war der Preis höher als der nächstniedrigere in der zweiten Preisszenerie. Airdefense hat ein leistungsfähiges Produkt, sowohl funktional als auch bei der Bedienung, das Beachtung verdient. Ohne die Preisproblematik hätte es die Empfehlung der Network Computing bekommen.
Airmagnet Enterprise 7.0
Dieses Mal liegt Airmagnet ein bisschen hinten, auch wenn es die vergangenen zwei WIDPS-Tests gewann (s. »Engere Maschen im drahtlosen Netz«, Network Computing 14-14/05, S. 36ff und »Flugüberwachung«, Network Computing 8-9/04, S.26ff). Zusätzliche interessante Funktionalität wie neue Indoor- und Outdoor-Sensoren konnten das Ruder nicht herumreißen.
Enterprise 7.0 gibt es in keiner Appliance-Version. Für diesen Test kamen zwei Desktop-Rechner ins Testlabor. Auf einer Maschine lief die SQL-Datenbank, auf der anderen das Airmagnet-Enterprise für Win32. Beide Komponenten waren bereits installiert. Gegen Ende des Tests wurde ein neues, allgemein verfügbares Release installiert, was relativ einfach war.
Airmagnet Enterprise bringt beinahe ein Dutzend an Standard-Konfigurations-Regeln, was den Einstieg erleichtert. Das bunte Dashboard wirkt ein bisschen überladen im Vergleich zu den Mitbewerbern. Zu den Einstellungsbereichen (Tabs) gehören »AirWise«, IDS/Rogue und Charts. Das Berichtssystem ist immer noch ein separates Programm. Aber beliebte Reports lassen sich von der Hauptkonsole aus starten. Der IDS-/Rogue-Bereich listet alle unerwünschten Geräte auf. Dabei war es nicht nur möglich, diese zu kategorisieren. Auch eine Deaktivierung des Switch-Ports oder eine drahtlose Blockade ließ sich hier starten. Beide Funktionen lassen sich auch automatisieren. Eine hohe Effizienz zeigte Airmagnet bei der Identifizierung von Ports, war aber bei der Lokalisierung von Geräten nicht so erfolgreich.
Airmagnet leidet immer noch an einer Diskrepanz zwischen der Enterprise-Console und der Sensoransicht. Letztere zeigt eine Fülle von Details über den Luftraum an. Leider haben diese Informationen nicht den Weg in die Enterprise-Console gefunden. Es dauerte auch zwischen einer und mehreren Minuten bis neue unerwünschte Geräte in der IDS-/Rogue-Übersicht auftauchten. Airmagnet führt einen Batch-Daten-Transfer von den Sensoren zum Server durch, anstatt einen kontinuierlichen Datenstrom zu verwenden. Durch diese Verzögerung gerät Airmagnet ins Hintertreffen, was die Reaktion auf neu aufgetauchte Geräte anbelangt.
Bei der Blockierung von unerwünschten Access- Points tat sich Airmagnet schwer und musste dafür eine Menge von Datenverkehr erzeugen. Die Blockierung durch bidirektionale Deauthentifizierungsnachrichten wurde von den Laptops mit Centrino-Chipsätzen quasi ignoriert. Die Clients meldeten sich sofort wieder beim unerwünschten Access-Point an und übertrugen weiter Daten. Natürlich ergab sich das gleiche Problem beim Client-Containment. Ein wenig besser sahen die Ad-hoc-Tests aus, weil Airmagnet hier einen anderen Weg wählte.
Einen Agenten für den Client-Einsatz besitzt Airmagnet nicht, dafür investierte es in ihre beiden Sensoren. Das erste Gerät besitzt den Spektrum- Analyzer von Cognio für sehr detaillierte Scans des Luftraums. Das Interface ließ sich von der Console aus starten. Danach endete leider die Integration. Der zweite Sensor besitzt ein robustes Metallgehäuse für den Einsatz im Außenbereich. Das »Surveyer«-Tool kann Modelle über die Funkabdeckung nach einem Rundgang erstellen. Es besitzt auch eine Funktion, um die Sensorplatzierung zu berechnen. Für das Bürogebäude, in dem die Tests stattfanden, empfahl Surveyer allerdings nur einen Sensor. Das ist viel zu wenig für eine gute Lokalisierung und effiziente Blockierung.
Die Preise für Airmagent Enterprise fallen moderat aus. Es ist eine gute Wahl dank der leistungsfähigen Diagnosewerkzeuge und Erkennung unerwünschter Geräte.Potenzielle Anwender müssen sich über ihre Anforderungen bei Blockierung,Lokalisierung und WAN-Nutzung im Klaren sein. Hier waren andere besser.
Highwall Technology Enterprise 4.0
Gegenüber der zuletzt getesteten Version hat sich Enterprise 4.0 deutlich verbessert.Aber die Tests bestätigten, dass sich die Lösung am besten für funkfreie Unternehmen eignet, nicht so sehr als Ergänzung der existierenden drahtlosen Infrastruktur. Highwall schickte eine Appliance, auf der Windows-2003 mit einem SQL-Server lief. In Abhängigkeit von der Größe der Installation reicht auch die MSDE.Was das Produkt von den anderen unterscheidet, sind die selbst entworfenen Sensoren mit speziellen, großen Sektorantennen. Dies bringt Leistungsgewinn und ermöglicht eine Lokalisierung anhand von Vektoren.
Highwall lieferte nur einen Sensor und auch nur eine 2,4-GHz-Antenne. Sehr nervig war, dass der Server die IP-Adresse des Sensors abfragt. Falls diesem die Adresse dynamisch zugeordnet wird,muss der Administrator die geänderte im Server eintragen und den Service neu starten. Es gibt keine automatische Registrierung. Die Benutzungsoberfläche des Sensors ist relativ übersichtlich,benötigt aber eine Überarbeitung. So verlangt der Sensor beispielsweise die Systemzeit in GMT (Greenwich- Mean-Time) und es gibt keine NTP-Unterstützung (Network-Time-Protocol). Standardmäßig fragt der Servern den Sensor nur alle 10 Minuten ab.Dies reduziert die Bandbreite, verzögert aber das Entdecken von neuen Geräten. Das Web-Interface ist einfach, aber effizient. Die Übersichtsseite oder »Cockpit View« gibt einen schnellen Überblick über den Bedrohungsstatus, die Gebäude,Netzwerke und Alarme.Unerwarteter Weise zeigte das Dashboard keine unerwünschten Geräte an. Bei der Nachforschung in einer Detailansicht ergaben sich aber 13 Einheiten. Es wurde klar, dass unerwünschte Geräte, wenn sie entdeckt werden, nicht direkt als solche gekennzeichnet werden. Das Hauptmenü gliedert sich in Gebäude, drahtlose Geräte, Alarme und Berichte.
Policies gibt es eigentlich nicht. Dies geht konform mit Highwalls Fokus auf die Überwachung eines Verbots von Wireless-LANs. So ließ sich beispielsweise kein Standard-Verschlüsselungstyp festlegen oder festlegen, ob die SSID (Service-Set-ID) per Broadcast verteilt werden darf. Alarme lassen sich ein- beziehungsweise ausschalten. Aber es lässt sich in Bezug auf Schwellwerte sehr wenig einstellen. Highwall hat »Wimetrics« Engine lizenziert, um darauf aufbauend unerwünschte Geräte auf der drahtgebundenen Seite zu entdecken. Das funktioniert aber nur,wenn das Gerät sich im gleichen Ebene-3-Netzwerk befindet.Ethernet-Switch-Ports gibt das System nicht an. In den meisten Fällen konnte es aber die WAN-MACAdresse auf der drahtgebundenen Seite des Access-Points mit der BSSID (Basic-Service-Set-ID) verknüpfen.Anschließend listete Enterprise 4 das Gerät als unerwünschtes auf.
Drahtlose Blockierung funktionierte im Test nicht.Dies war trotz wiederholter Anläufe und der erbetenen Hilfe von Highwall-Mitarbeitern so. Das warf Highwall Enterprise auf der Punktetabelle zurück. Das Unternehmen lieferte auch einen Endpunktagenten, der in das Webinterface des Servers integriert ist. Der Agent arbeitete wie angekündigt. Es war relativ einfach, eine Regel zu modifizieren und sie auf dem Client zu aktivieren. Das System eignet sich für Unternehmen, die eine günstige Lösung suchen und einfach nur ein Wireless-LAN-Verbot in großen Gebäuden überwachen wollen.Die anderen getesteten WIDPS besitzen wesentlich mehr Raffinesse.
Fazit
In einem Wettrennen würden die drei Erstplatzierten Network Chemistry, Airdefense und Airmagnet auf dem Siegerfoto nahezu gleich aufliegen.RF-Protect übertraf Airdefense um eine Nasenlänge dank einer gleichmäßigen Performance in den Security-Policy-Monitoring- und Blockadetests und des angemessenen Preises. Airdefense Enterprise und Airmagnet Enterprise sind nur eine Sekunde auseinander. Airdefence legte einen sehr guten Auftritt hin,wurde aber durch die Preise ausgebremst. Airmagnet hätte einen klaren zweiten Platz haben können. Allerdings strauchelte es bei der Lokalisierung sowie den Fähigkeiten und der Leistung bei den Sensoren. Network Computing empfiehlt alle drei Spitzenkandidaten für die meisten Unternehmen. Highwall war in mancherlei Hinsicht besonders. Es punktete sehr gut bei der Suche nach unerwünschten Geräten. Auch die Preise überraschten angenehm. Für die passende Aufgabe kann es eine gute Lösung sein.
wve@networkcomputing.de
