Kombinierte LAN- und WLAN-Verwaltung aus einem Guss

So macht integriertes Management Netze zukunftsfähig

| Autor / Redakteur: Axel Simon / Andreas Donner

Integriertes Zugangsmanagement mit HP IMC User Access Manager.
Integriertes Zugangsmanagement mit HP IMC User Access Manager. (Bild: HP)

LAN und WLAN werden in Unternehmen häufig getrennt voneinander implementiert und gemanagt. Das hat gravierende operative und sicherheitstechnische Nachteile. Beide Bereiche sollten daher einheitlich überwacht und verwaltet werden.

Lassen Sie mich ein fiktives Szenario skizzieren: Beim prototypischen mittelständischen Maschinenbaubetrieb Schräuble & Co. mit 2.000 Angestellten sind die Benutzer mit den Leistungen der IT unzufrieden. Die Netzwerke funktionieren nicht, wie sie sollen. Ein wichtiger Grund: Es fehlt eine einheitliche Netzverwaltung für LAN und WLAN.

Den Mitarbeitern stehen mobil nur eingeschränkte Funktionen zur Verfügung, beispielsweise können sie teils nicht auf wichtige Geschäftsdaten zugreifen, nicht faxen und drucken. Sie können auch nicht reibungslos im Unternehmen roamen, denn das WLAN zeigt immer wieder Funklücken. Beim Wechsel zwischen LAN und WLAN müssen sie sich jeweils neu authentifizieren.

Die Unternehmensleitung verweist auf Sicherheitsrisiken. Eine einheitliche Sicherheits- und Berechtigungsarchitektur gibt es nämlich nicht, weshalb es zum Unmut der Belegschaft auch untersagt ist, private Mobilgeräte für betriebliche Zwecke zu nutzen. Gäste bekommen händisch WLAN-Voucher ausgestellt, über die die IT umständlich Listen führt.

Als die Firma einen Konkurrenten aufkauft, der andere Netzwerktechnik im WLAN nutzt und der spezialisierte WLAN-Hersteller, auf den das Unternehmen beim WLAN im Materiallager gesetzt hat, insolvent wird, eskaliert die Situation: Der Support für die im Lager implementierten Produkte ist nicht mehr garantiert. Die IT-Administration, nur eine Handvoll Mitarbeiter, erklärt, ihre Ressourcen seien bis ans Limit ausgeschöpft. Eine grundsätzlich andere Lösung müsse her, sonst könne man für nichts mehr garantieren.

Solche und ähnliche Situationen sind nichts Ungewöhnliches. Meist werden LAN und WLAN vollkommen getrennt administriert, oder aber LAN- und WLAN-Management sind zwar in ein übergeordnetes Managementsystem eingeklinkt, bleiben aber trotzdem funktional weitgehend unverbunden. Das liegt an der historischen Entwicklung vieler Infrastrukturen: Während in den meisten Firmen ein flächendeckendes LAN schon länger selbstverständlich ist, wurden und werden WLANs mit der Zeit abteilungsweise als Projekte aufgebaut und sind funktional vorwiegend am jeweiligen Abteilungsinteresse orientiert.

Ergänzendes zum Thema
 
Im Herzen des Managementsystems: Rollenbasierende Zugangsverwaltung am Beispiel HP IMC UAM
 
Fehler bei der WLAN-Konzeption

Netzwerkmanagement top-down konzipieren

Was also tun? Abhilfe schafft eine zentralisierte und vereinheitlichte Netzwerkadministration, die bei den Anforderungen von Mitarbeitern und Unternehmensleitung an das Netz ansetzt. Davon ausgehend definiert man rollenbasiert und für die gesamte Infrastruktur, wer Zugriff auf welche Daten und Applikationen in welcher Bandbreite benötigt. Ein einziger Login-Vorgang sollte den Anwendern automatisch alle Ressourcen bereitstellen, auf die sie berechtigten Zugriff brauchen – unabhängig von Endgerät, Aufenthaltsort und Medium. Die Managementlösung muss also so ausgewählt werden, dass sie die entsprechenden Features unterstützt.

Grundsätzlich sollte ein integriertes Managementsystem daher Funktionen für alle FCAPS-Bereiche (Fehleranalyse, Konfiguration, Netzwerk-Accounting, Leistungsmanagement und Sicherheit, ISO-Management-Standard) mitbringen, und zwar einheitlich unter einer gemeinsamen Oberfläche für LAN und WLAN. Zentral ist dabei ein medienübergreifendes und -unabhängiges rollenbasierendes Nutzermanagement. Ist wie oft ein Active Directory vorhanden, sollte die Managementsoftware damit kooperieren. Denn hier liegt nicht nur der Kern der Managementvereinfachung, sondern auch der sicheren Vernetzung. Nur bei einem rollenbasierenden Nutzermanagement müssen die Access-Daten nicht mehr applikations- oder medienbezogen gepflegt werden, und Zulassungsregeln sind nicht abhängig von Personen, sondern von den Rollen, die sie einnehmen. Verlässt ein Mitarbeiter sein Unternehmen und übernimmt ein anderer seine Aufgabe, dem dieselbe Rolle zugewiesen wird, erhält diese Person automatisch dieselben Rechte, sobald sie die Rolle erhält. Funktionswechsel im Unternehmen spiegeln sich durch neue Rollen automatisch in neuen Berechtigungen wieder.

Erhebliche Erleichterungen bedeutet es für IT-Verantwortliche, wenn die zentrale Management-Applikation Funktionen für die Einrichtung von Gastzugängen in Selbstbedienung mitbringt. Denn diese Aufgabe wie bisher mehr oder weniger händisch zu lösen, ist einer ohnehin überlasteten IT-Abteilung kaum zuzumuten und bricht im Übrigen die einheitliche Sicherheitsarchitektur, die das Managementsystem ja gerade ermöglichen soll.

Network Access Control (NAC)

Technisch steht Sicherheit für Netzzugangskontrolle (NAC gemäß 802.1x) und Intrusion Prevention auf der WLAN-Seite. Fürs WLAN bedeutet das: Das Managementsystem muss auch die Signale der Access Points erkennen, die auf das Vorhandensein von nicht angemeldeten Access Points oder sonstigen Störern hindeuten. Denn die Access Points, die diese Aufgabe in WLANs oft allein übernehmen, scannen das Netz meist nur während der Hälfte der Zeit, weil sie ansonsten Daten übertragen. VLANs (Virtual LANs), nach außen abgeschottete, verschlüsselte logische Verbindungskanäle, bleiben auch bei einheitlichem Netzmanagement ein zentrales Mittel für vertrauliche Kommunikation, sollten sich aber über LAN und WLAN erstrecken.

Beinahe selbstverständlich ist, dass eine Managementlösung Mitarbeiter nicht aussperren sollte, weil sie das „falsche“ Betriebssystem auf ihrem Mobilgerät nutzen. Ob Android, iOS, Blackberry oder was auch immer in Zukunft Anteile gewinnen wird – ein zukunftstaugliches Managementsystem muss zumindest die gängigen Plattformen unterstützten und diesbezüglich regelmäßig ausgebaut werden. Zum Thema Zukunftsfähigkeit gehört auch, dass das Managementsystem offene Standards einschließlich SDN (Software-Defined Networking) in Form von Open Flow unterstützt und regelmäßig entsprechend aktualisiert wird. Proprietäre Entwicklungen mögen auf den ersten Blick vorteilhaft sein – langfristig führen sie häufig in Sackgassen.

Schließlich ist ein kritischer Blick auf den Hersteller selbst nötig: Newcomer präsentieren zwar oft interessante Entwicklungen. Dass sie und ihre Produkte ihren Kunden auch in zehn Jahren noch gute Dienste leisten, müssen sie aber erst noch beweisen. Vielversprechend sind Hersteller mit erfolgreicher Historie auf diesem Gebiet, die ihre Produkte nachweislich regelmäßig modernisieren und eine dokumentierte Entwicklungs-Pipeline besitzen. Auch schadet es nichts, wenn der Partner der Wahl auch WLAN- und LAN-Equipment anbietet. Denn das vereinfacht den Aufbau einer einheitlichen Infrastruktur selbstverständlich. Ein Beispiel für ein Produkt, das die genannten Anforderungen erfüllt, ist HP IMC.

Auswahl und Implementierung von Strategie und Produkt richten sich im Übrigen nach den infrastrukturellen Gegebenheiten, wobei drei Hauptvarianten denkbar sind:

  • LAN und WLAN sind – flächendeckend oder partiell – vorhanden, werden aber unterschiedlich gemanagt.
  • Es existiert ein flächendeckendes LAN nebst Managementsoftware, aber noch kein WLAN. Das WLAN wird aber benötigt.
  • Es handelt sich um eine vollständige Neuimplementierung, etwa in einem vollständig sanierten Gebäude.

weiter mit: Managementfunktionen sind wichtiger als Hardware

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43305623 / Management-Software und -Tools)