Der UTMshop erweitert das WLAN-Beratungsangebot
Mit unserem Partner wlanport finden wir definitiv die passende WiFi-Lösung für Sie
Wenn der Fokus einer WLAN-Lösung auf Sicherheit liegt oder keine Firewall vorhanden ist, empfehlen auch wir die integrierte WLAN-Lösung von Sophos: Sophos Wireless. Wir, das sind die Kollegen vom wlanport. Als enger Partner des UTMshops bemühen wir uns, für unsere Kunden leistungsstarke und sichere WLAN-Lösungen zur Verfügung zu stellen.
Bei Sophos Wireless fungiert eine Sophos Firewall (SG/XG) oder die Cloud-Plattform Sophos Central als WLAN-Controller. Ein solcher WLAN-Controller koordiniert mehrere Access Points (WLAN-Zugangspunkte, kurz APs), um ein oder mehrere WLAN-Netze auf großen Flächen oder in verteilten Standorten auszustrahlen. Die Access Points müssen unter anderem abstimmen, was passiert, wenn sich ein Nutzer mit aktiver Verbindung vom Einzugsbereich eines APs in den Einzugsbereich des nächsten APs bewegt (Roaming). Ein nahtloser Übergang ist wichtig, damit der Nutzer seine Verbindung nicht verliert.
Was macht gutes WLAN aus?
WLAN ist eine FUNK-Technologie und unterliegt als solche den Gesetzen der Physik. Frequenzbänder im Funk bilden ein geteiltes (shared) Medium. Das heißt auf einer Trägerfrequenz/einem Kanal kann immer nur ein Teilnehmer gleichzeitig senden. Alle anderen Teilnehmer müssen schweigen. In Europa wird überwiegend das 2,4 und 5 GHz-Band verwendet. Das sind öffentliche Frequenz-Bänder, die auch von anderen Technologien wie Bluetooth, ZigBee oder Mikrowellen genutzt werden. Durch diese Störquellen, konkurrierende WLANs und Dämpfungseffekte von Wänden und anderen Bauelementen wird die Ausbreitung der Funkwellen behindert. 5GHz-Wellen werden dabei durch ihre kürzere Wellenlänge stärker abgeschwächt als Signale im 2,4GHz-Bereich.
Um für jedes Endgerät eine gute WLAN-Verbindung bereitzustellen, bedarf es einer ausreichenden Signalqualität. Ein Maß dafür ist das Verhältnis zwischen Nutzsignal und Hintergrundrauschen (SNR, Signal-to-Noise-Ratio). Ist die Signalqualität hoch, können komplexere Signalarten übertragen und höhere Kapazitäten erreicht werden. Die benötigte Kapazität im Blick zu haben ist ein wesentlicher Bestandteil der WLAN-Planung. Also muss die Frage geklärt werden, welche Art von Diensten von wie vielen Endgeräte gleichzeitig benutzt wird.
Beispiele
100 Endgeräte surfen auf textbasierten Webseiten: 100 * 1Mbit/s = 100Mbit/s
30 Endgeräte streamen FullHD-Videos: 30 * 8Mbit/s = 240Mbit/s
Um die Signalqualität und somit die Kapazität für Nutzdaten zu erhöhen sollte man unter anderem folgende Hinweise beachten:
• Bei fester Kanalwahl möglichst Kanäle wählen, auf denen wenige andere WLANs aktiv sind und benachbarte Access Points nicht auf dem gleichen Kanal betreiben.
• In dichten Umgebungen große Kanalbreiten (80, 160MHz) vermeiden.
• Bei mehreren Etagen Access Points nicht direkt untereinander aufhängen.
• Metallgegenstände oder elektrische Geräte in unmittelbarer Nähe zum Access Point vermeiden.
WLAN-Konfigurationsmöglichkeiten bei der Nutzung von Sophos Access Points an SG-UTM-Firewalls /XG-UTM-Firewalls und Sophos Central Wireless – Alles auf einen Blick
Mit XG-UTM-Firewalls /SG-UTM-Firewalls und Sophos Central Wireless stehen drei Managementplattformen zur Verwaltung der hauseigenen Sophos Access Points zur Verfügung. Dabei werden mit jedem Generationssprung noch differenziertere WLAN-Einstellungen möglich.
Bei den integrierten Sophos Lösungen sind Firewall- und WLAN-Konfiguration in einer Oberfläche vereint (Single Pane of Glass). Dadurch sinkt der IT-Administrationsbedarf, inkonsistente Konfigurationen werden vermieden und so weniger Einfallswinkel eröffnet. Die Konfiguration von neuen WLAN-Netzen (SSIDs) und die Aufnahme von neuen Access Points ist einfach und größten Teils selbsterklärend.
| Konfigurierbares Feature | SG | XG | CENTRAL |
|---|---|---|---|
| Feste Kanalwahl | |||
| Sendeleistung anpassen | |||
| MESH | |||
| VLAN-Tags | |||
| Gästeportal / Voucher | |||
| Client Isolation | |||
| Fast Transition (Roaming) | |||
| U-APSD (VoWLAN Energie sparen) | |||
| Kanalbreite | |||
| Band Steering |
Grenzen der Konfigurierbarkeit/Performance
Die wichtigsten Konfigurationsmöglichkeiten zur Optimierung der FUNK-Leistung von WLAN Netzwerken, bringen die Sophos APs und deren Management-Varianten bereits mit. Das sind zum Beispiel feste Kanalwahl, Sendeleistung und Kanalbreite. Dedizierte WLAN-Anbieter bringen jedoch noch Einstellungsmöglichkeiten mit, die darüber hinausgehen. So ist es zum Beispiel mit der kostengünstigen Ruckus Unleashed Variante möglich, die Bandbreite jedes einzelnen Clients schon auf dem AP zu beschränken und so genügend Bandbreite für alle zur Verfügung zu stellen.
Sophos gibt für die aktuellen Standard Access Points eine Nutzerzahl von 100 Nutzern pro AP an. Für die neuen APX liegen noch keine Werte vor. In sehr dichten Umgebungen kann es leicht vorkommen, dass sich mehr Geräte im Einzugsbereich eines Access Points befinden. Wir gehen mittlerweile davon aus, dass ein Durchschnittsnutzer ca. 1,5 bis 3 WLAN-Geräte mit sich führt. Dedizierte WLAN-Hersteller haben sich auf solche hoch-dichten Umgebungen spezialisiert. So gibt Ruckus bei seinen APs an, dass sie zeitgleich bis zu 500 Nutzer verkraften. Das neue Spitzenmodell Ruckus R730 soll sogar mit bis zu 1000 Geräten zurechtkommen. Doch Sie kennen das, diese Zahlen sind zunächst theoretisch. Es gibt dennoch praxisnah messbare Unterschiede zwischen den Herstellern was Nutzerzahlen pro AP und individuelle Signalqualität (SNR) angeht.
Auch bei Authentifizierung und On-Boarding der Nutzer finden sich Unterschiede. So erweitert die Cloud-Management-Plattform HiveManager von Aerohive die klassische WLAN-Konfiguration um Feature wie den PPSK (Private Pre-Shared Key), diese Authentifizierungsmethode ermöglicht es jedem Nutzer ein eigenes WLAN-Passwort zuzuweisen, ihn so zu identifizieren und seinen Zugang zu Diensten zu beschränken. So werden die Vorteile von PSK (simpel, auf jedem Gerät verfügbar) und RADIUS-Authentifizierung nach 802.1X (individuelle Nutzerrechte) vereint. Aerohive war auch einer der ersten Hersteller, der Access Points auf den Markt brachte, die den neusten WLAN-Standard 802.11ax unterstützen. Dieser Standard erhöht vor allem die Effizienz des Datenverkehrs in dichten Umgebungen.
In solchen hoch-dichten Umgebungen oder wenn sehr granulare und performante WLAN-Technologien Teil der Projektanforderungen sind, kann es sein, dass die Sophos APs an Ihre Grenzen stoßen. Ungeachtet dessen gilt jedoch:
WLAN-Controller ersetzen keine Firewall
Dedizierte WLAN-Hersteller setzen einige grundlegende Firewall-Funktionalitäten um. So können sich die WLAN-Clients in einem separaten Netz befinden und untereinander isoliert sein. Der Datenverkehr erkennbarer Anwendungen kann eingeschränkt oder priorisiert werden. Auch bieten IP-basierte Zugriffsregeln Möglichkeiten zur Steuerung der Datenströme. All diese Funktionen kosten jedoch Rechenleistung und können die Kapazität der APs einschränken.
Allerdings sind diese Funktionalitäten in Umfang und Vielfältigkeit nicht mit den Möglichkeiten einer Sophos UTM Firewall vergleichbar. Eine zentrale Sophos Firewall bietet die Vorteile einer Hardwarefirewall und ist gleichzeitig ein WLAN-Controller, der eine sichere und integrierte WLAN-Lösung mit zentraler und einfacher Verwaltung bereitstellt.
Fazit – Security made simple
Die integrierte Sophos WLAN-Lösung ist einfach zu konfigurieren und bietet auf EINER Oberfläche die Konfiguration von Firewallfeatures und WLAN. So werden Fehler und inkonsistente Konfigurationen vermieden und keine zusätzlichen Sicherheitslücken geöffnet. Durch die Synchronized Security Features wird bei der Sophos XG Firewall zudem ein marktweit einzigartiges Zusammenspiel zwischen Firewall, Mobile, Encryption und Endpoint-Protection geboten, was die Sicherheit auf ein neues Niveau hebt. Der resultierende Mehrwert liegt klar auf der Hand.
Dort wo Grenzen der Performance oder der Konfigurationsmöglichkeiten erreicht werden, sind andere WLAN-Lösungen ggf. sinnvoller. Der Datenverkehr, der von diesen Lösungen generiert wird, kann mit den Mitteln einer Sophos Firewall überwacht und gesteuert werden. Mit der Partnerschaft zwischen UTMshop und wlanport stellen wir Ihnen ein erweitertes Beratungsangebot zur Verfügung, um die passende WLAN-Lösung für Ihre Anforderungen zu finden.
| Sven Reimann | Sven Berger |
| Consultant Wireless | Technischer Vertrieb |
| wlanport.de | UTMshop |