Alles wird sicher Airespace, Entwickler intelligenter Wireless Networking-Plattformen, hebt nach eigenen Angaben die Sicherheit kabelloser Netzwerke (WLAN) auf ein neues Niveau. Durch die Partnerschaft mit InfoExpress und Zone Labs, einem Check Point-Unternehmen, hat Airespace seine Netzwerkzugriffskontrolle für WLANs um Client-Integritätsprüfung und Applikations-basierte „Network Access Control“ (NAC) ergänzt. Zudem hat Airespace seine Wireless Enterprise Platform um das neu entwickelte Proactive Key Caching (PKC) ergänzt. Dadurch können Unternehmen die Sicherheitsvorteile der kürzlich verabschiedeten IEEE 802.11.i-Spezifikation mit Echtzeit-Leistung und nahtloser Einbindung mobiler Geräte kombinieren. Im PKC wird von den Endgeräten beim Roaming im Wireless-Netzwerk zur Authentifizierung ein einziger „Master Key“ verwendet.
Die vollständig 802.11i-konforme Erweiterung der Airespace Wireless Enterprise Platform wurde in Zusammenarbeit mit Funk Software und Atheros Communications zu dem Zweck entwickelt, für die Endgeräte beim Roaming zwischen Access Points (APs) die Notwendigkeit auszuräumen, sich wiederholt bei einem Backend-RADIUS-Server zu authentifizieren. In Zusammenarbeit entwickelten die drei Unternehmen ein klares und effizientes Netzwerk-Design, das ohne Auswirkungen auf die Technik der vorhandenen Client-Geräte oder Backend-Systeme optimale Sicherheit und Leistung garantiert.
Mit seiner Unterstützung von Echtzeit-Applikationen in einer sicheren WLAN-Umgebung ist Airespace eine einzigartige 802.11i-Implementierung gelungen. Neben PKC bietet die Airespace-Architektur verschiedene Echtzeit-Vorteile gegenüber anderen WLAN-Sicherheits-Implementierungen:
Zur Abwicklung der Verschlüsselungen in der Media Access Control (MAC)-Schicht im Access Point nutzt Airespace die Mechanismen der Verkehrssteuerung, die im zunehmend häufig eingesetzten IEEE-Standard 802.11e für Quality of Service (QoS) spezifiziert wurden. Mittels der 802.11e-Spezifikation können WLANs auf der Basis verfügbarer Bandbreite intelligente Entscheidungen in Bezug auf die Paket-Einteilung in Echtzeit treffen.
Das Airespace WLAN-System unterstützt zur Verringerung von Latenzzeiten beim Roaming ein bevorrechtigtes Weiterleiten zwischen Access Points. Außerdem gewährleistet der Lastenausgleich in Echtzeit, dass das Verkehrsaufkommen unter Belastung effizient über die Access Points verteilt wird. Da die Sicherheitsvorschriften in allen Zugangspunkten eines Airespace-Netzwerks initiiert und durchgesetzt werden, folgen diese Parameter beim Roaming dem Anwender und gewährleisten somit sichere Operationen mit minimalem Aufwand für die IT-Mitarbeiter.
Unternehmen, die bereits Kunde sind, können 802.11i in einer Wireless-Infrastruktur von Airespace durch neue Software implementieren. Es bedarf keiner Änderung der Hardware oder zusätzlicher Module im Access Point, um auf den neu ratifizierten Standard zu migrieren. Da Airespace außerdem zahlreiche simultan arbeitende Sicherheitsrichtilinen in einem gesamten WLAN-System unterstützt, können Unternehmen den 802.11i-Standard in Verbindung mit anderen Sicherheits-Parametern wie Web-Authentifizierung und mobile L2TP (Layer 2 Tunneling Protocol) / IPSec (Internet Protocol Security) VPNs einsetzen.
Durch die neue Netzwerkzugriffskontrolle bietet die Airespace Wireless Enterprise Platform zudem eine komplette Lösung zur Erkennung und Abwehr von Angriffen bei Hochfrequenz-Übertragungen. Die neuen Funktionen arbeiten auf der Grundlage des robusten Wireless Protection Systems (WPS) von Airespace und liefern umfassende Mechanismen, nicht autorisierte Aktivitäten in kabellosen Verbindungen zu verhindern und geschäftskritische Applikationen im Unternehmens-WLAN zu schützen.
Sicherung des WLAN-Netzwerkrands
WLAN-Sicherheit erfordert pro-aktives Überwachen der Wireless Clients. Dazu gehört die Netzwerkzugriffskontrolle in Echtzeit, um Sicherheitsbedrohungen zu eliminieren und strikter gegen unerwünschte Aktivitäten im WLAN vorzugehen. Airespace erweiterte diese Möglichkeiten jetzt um die Produkte CyberGatekeeper von InfoExpress und Integrity der Check Point-Tochter Zone Labs. In der Zusammenarbeit mit diesen Partnern wird deren Funktionalität über robuste Programmierschnittstellen (Application Programming Interfaces, APIs) in die Airespace Wireless Platform integriert. Diese Integration gewährleistet, dass nur solche Nutzer kabelloser Verbindungen auf das Netz zugreifen können, die aktuellste Sicherheits-Software (wie Virenschutz-Programm, Sicherheits-Patches des Betriebssystems, Personal Firewalls, VPNs etc.) verwenden. Client-Geräte wie Laptops, die gegen IT-Sicherheitsvorschriften verstoßen oder auf denen beim Versuch der Authentifizierung im WLAN eine Sicherheitsbedrohung festgestellt wird, können in Quarantäne genommen werden, bis die entsprechende Korrekturmaßnahme erfolgt ist. Solche Sicherheitsbedrohungen können etwa ein durch eMail verursachter Angriff, ein Virus, ein Trojaner, eine Web-Browser-Schwachstelle oder unerlaubte Applikationen sein.
Vertrauen ist gut, Kontrolle ist besser
Das Airespace WLAN-System kann nicht nur die Sicherheitsbedrohung durch Endgeräte feststellen und eine Vielzahl WLAN-typischer Einbruchs-Versuche erkennen, sondern es ergreift auch aktiv Maßnahmen, um zu verhindern, dass diese Angriffe die Netzwerksicherheit gefährden. Einige der von Airespace aufgespürten Attacken sind FAKE AP, illegale Access Points, Ad-hoc-Netzwerke, Man in the Middle (MiM), AP-Imitationen, Netstumbler, Wellenreiter, Airjack, Honeypot AP und Asleap. Auch gegen die kürzlich bekannt gewordene Denial of Service (DoS)-Attacke, die das Australian Computer Emergency Response Team (AusCERT) aufdeckte, bot Airespace Unterstützung. Mit ihren ausgezeichneten HF-Management-Fähigkeiten ist Airespace jetzt das einzige WLAN-System, das die AusCERT-Attacke dynamisch ermittelt und alle umliegenden APs auf einen sicheren Kanal schaltet, so dass die WLAN-Leistung unbeeinträchtigt bleibt.
Einige weitere Besonderheiten der von Airespace gebotenen Sicherheits-Funktionen für WLAN-Infrastrukturen:
Airespace bietet als einziges WLAN-System die Überwachung auf Sicherheitsbedrohungen simultan mit der Realisierung des Netzwerkverkehrs. Es sind keine separaten Überwachungsmonitore oder Overlay-Ausrüstung erforderlich. Unternehmen können ihre Hardware-Kosten auf einem minimalen Niveau halten und gleichzeitig hundertprozentige Netzwerk-Abdeckung gewährleiste, d.h. sie können „Hidden Nodes“ verhindern, die von Overlay-Geräten speziell für den gleichzeitigen Schutz verschiedenster Access Points nicht entdeckt werden.
Es besteht absoluter Schutz vor unerlaubten Aktivitäten, der alles erfasst: die Ermittlung unerlaubter (und Ad-Hoc) Access Points, präzise Ortung der Geräte, gleichzeitige Sicherheits-Abschottung zahlreicher Geräte sowie detailliertes Trend-Reporting.
Unterstützung für 16 unterschiedliche SSIDs pro Access Point, wobei jeweils individuelle Sicherheitsvorschriften realisiert werden können. Airespace unterstützt verschiedene Standard-Sicherheitsprotokolle wie WEP, WPA, 802.1x, Web Authentication und IPSec.
Die kürzlich verabschiedete Spezifikation des 802.11i-Standards (auch als WPA2 bekannt) wird inklusive der Erweiterungen für „Proactive Key Caching“ unterstützt. Für die Aufnahme dieses neuen Protokolls in ein WLAN von Airespace sind keine Hardware-Upgrades erforderlich.
„Follow Me“ VPNs — Airespace unterstützt mobile IPSec- und L2TP-Verbindungen, die dem Anwender im Roaming folgen.
Es ist das einzige WLAN-System der neuesten Generation, das eine FIPS 140-2 Level 2-Zertifizierung, eine Sicherheitsanforderung für den Betrieb durch staatliche Institutionen in den USA und Kanada,erhalten hat.