BYOD verändert den WLAN-Traffic

Verkehrskontrolle

8. März 2013, 7:00 Uhr | Willi Dütsch, Technical Director EMEA bei Xirrus (wg),

BYOD (Bring Your Own Device) und Cloud-basierte Dienste lösen in der IT erhebliche Umwälzungen aus. Dabei droht IT-Verantwortlichen die Kontrolle über den Datenverkehr in ihren Netzwerken zu entgleiten. Um ihrer Aufgabe auch zukünftig nachkommen zu können, müssen sie Transparenz in die Vorgänge im BYOD-Umfeld bringen und diese steuern. Da die meisten mobilen Geräte gar nicht mehr über einen Ethernet-Anschluss verfügen, ist eine performante und sichere Wireless-Lösung ein Muss für Unternehmen.Täglich werden Millionen von WLAN-fähigen Smartphones, Tablets und Notebooks aktiviert. Viele davon finden sich anschließend in Unternehmensnetzwerken wieder. Infolgedessen kommt es dort zu einem deutlichen Wachstum nicht verwalteter, benutzerseitig initiierter Anwendungen. Auf einem Smartphone sind durchschnittlich mehr als 40 Apps installiert: vom E-Mail-Client bis zu Facebook. Diese Apps greifen immer stärker auf die Cloud zurück, um Software-Updates durchzuführen, Daten zu sichern und gehostete Anwendungen zu nutzen. Die Wireless-Technik entwickelt sich damit zum primären Netzwerkzugang. Die mobilen Nutzer erwarten, jederzeit und überall online gehen zu können: zu Hause, im Büro, im Schulungsraum und auf Konferenzen. Mobile Anwendungen und Cloud-Zugänge sind heute auch im Geschäftsleben unverzichtbar, Online-Datensicherungen und Cloud-Anwendungen werden weiter zunehmen. Dies wird das Netzwerkverkehrsaufkommen auf Jahre hinaus ansteigen lassen. In ihrer Gesamtheit führt diese Dynamik zu Netzwerkengpässen und einem unvorhersehbaren Nutzungsverhalten. Die Überwachung der Internet-Uplinks wird dabei immer schwieriger, ganz zu schweigen von den Sicherheitsrisiken, die unbekannter Datenverkehr im Netzwerk verursacht. Der künftige Kapazitätsbedarf von Netzwerken lässt sich vor dem Hintergrund eines derartigen Wachstums nicht verlässlich einschätzen. Administratoren setzen daher auf eine Optimierung ihrer vorhandenen, begrenzten Netzwerkressourcen und müssen sicherstellen, dass legitime Anwendungen unternehmensweit benutzbar sind. Doch angesichts der dynamischen Wachstumsentwicklung und der hohen Unsicherheit sind Administratoren gut beraten, einen neuen Weg beim Design ihrer Netzwerke zu gehen, damit die Geschäftsprozesse auch in Zukunft reibungslos weiterlaufen. Es gilt, neue Lösungen einzubinden, die die nötige Skalierbarkeit zur Bewältigung der ständig wechselnden Anforderungen bieten.   Wireless-Infrastrukturdesign Bei der WLAN-Planung zeichnen sich grundsätzlich zwei Ansätze ab: das Design mit zentralen Controllern und jenes mit verteilter Intelligenz mit integrierten Controllern in den Access Points (APs). Beim Controller-basierten Design steuert der zentrale Controller die Funktionen schlanker ("dünner" oder "Thin-") APs. Über Kontrolltunnel werden dabei viele Daten ausgetauscht, meist laufen auch die Benutzerdatenströme zum Controller durch Tunnel. Um mit der steigenden Zahl der Endgeräte, dem ständig wachsenden Datenverkehr und einer zunehmenden Anzahl immer leistungsfähigerer APs Schritt zu halten, muss ein Unternehmen die zentralen Controller aufrüsten oder gegen leistungsfähigere Versionen tauschen. Beim verteilten Design mit intelligenten Access Points wickeln die integrierten Controller der APs die meisten Funktionen ab, so zum Beispiel Authentifizierung, Verschlüsselung, Anwendungserkennung und QoS. Für das Konfigurations- und Policy-Management sowie das Monitoring kommt auch hier ein zentrales Management-System zum Einsatz. Dies entlastet das Netzwerk durch deutlich weniger Kontrollverkehr. Die verteilte Intelligenz lässt auch die Gesamt-Performance des WLANs beim Einsatz zusätzlicher APs entsprechend steigen.   Transparenz des Datenverkehrs Für einen effektiven und sicheren Betrieb ist es entscheidend, jederzeit Transparenz über die Vorgänge im Netzwerk zu haben. Die meisten Wireless-Infrastruktursysteme informieren zwar über Benutzer, Gerät, Netzwerk und Standort, doch welche Anwendungen die Benutzer tatsächlich im Netzwerk ausführen, bleibt der IT üblicherweise verborgen. Aber genau diese Informationen können für das Profiling und das Management der Netzwerknutzung äußerst wichtig sein. Die Anwendungserkennung im WLAN beschränkt sich oft auf eine einfache Port-Identifizierung (zum Beispiel Port 80), die Protokoll-ID (HTTP) und/oder Regex-Klassifizierung (Regular Expressions). Aktuelle DPI-Technik (Deep Packet Inspection) hingegen erkennt über 900 der populärsten Geschäfts- und Unterhaltungsanwendungen in Kategorien wie Collaboration, Remote Access, VPN, Datenbank, Mail, Networking, Monitoring, Social, Web, File Transfer, Messaging, Proxy, Streaming oder Spiele. Die Identifizierung und Nachverfolgung der Anwendungen erfolgt pro Client, VLAN und AP in Echtzeit über Dashboards und Verlaufsberichte. Damit lässt sich ermitteln, welche Anwendungen das Netzwerk nutzen und wie hoch das von ihnen erzeugte Verkehrsaufkommen ist. Die Verlagerung der Netzwerkintelligenz an den Rand des Netzwerks ermöglicht es dabei, Dienste wie DPI direkt am Netzwerkübergang zu betreiben. Jeder AP verfügt in dieser Architektur über eine Policy Engine, die per DPI mit Informationen über den Anwendungskontext versorgt wird. Diese Integration ermöglicht eine Steuerung und Kontrolle der Anwendungen über das Funknetz.   Policy-Management Dazu legt der Administrator anwendungsspezifische Richtlinien für das Sicherheits- und Performance-Management fest. Die Richtlinien lassen sich zusätzlich zu Benutzer-, Geräte- oder Betriebssystemattributen detailliert nach Anwendungen oder Anwendungskategorien erstellen, um bestimmte Applikationen zu sperren, einzuschränken oder zu priorisieren. Der Datenfluss bestimmter Anwendungen lässt sich gezielt an VLANs und/oder physische Anschlüsse leiten, die für diese Art von Verkehr vorgesehen sind. Anwendungen lassen sich mittels QoS-Richtlinien für Funk- und kabelgebundene Szenarien priorisieren. Zudem kann der Administrator Richtlinien zur Begrenzung des Verkehrsflusses festlegen. Die gesamte Verkehrsabwicklung und Verarbeitung der Netzwerkdienste beruht dabei auf einer verteilten Architektur. Die netzwerkweite Verteilung der DPI-Funktionalität vermeidet einen Single Point of Failure und ist außerdem besser skalierbar, da die DPI-Leistung linear zunimmt, je mehr intelligente APs man im Netzwerk installiert. Das unterscheidet diese Lösung von solchen mit zentralisierten Controllern.   Mehr Performance, weniger Risiko Im Durchschnitt wechseln Unternehmen eine Funkausrüstung alle vier bis fünf Jahre aus. Wer heute in eine neue Wireless-Infrastruktur investiert, sollte seinen künftigen Bedarf auf mehrere Jahre errechnen und die erheblichen Wachstumsraten von Geräten und Anwendungen in den Netzwerken berücksichtigen. Die effiziente Anwendungskontrolle in Verbindung mit einem performanten WLAN ermöglicht es dabei, Apps, die Bandbreitenengpässe verursachen, zu identifizieren und Nutzungstrends im zeitlichen Verlauf zu analysieren. Verteilte Intelligenz ermöglicht praktisch unbegrenztes Wachstum: Die DPI-Verarbeitungsleistung wächst mit jedem neuen intelligenten AP. Zugleich senkt dieser Ansatz die Netzwerkkosten mittels Steuerung des WAN-Uplink-Verkehrs durch Sperren oder Drosseln am Netzwerkübergang. Das Anwendungsrisiko sinkt dabei durch Sperren riskanter oder nicht richtlinienkonformer Anwendungen.   Fazit Die Anforderungen an die Bereitstellung und das Management der Zugangsnetzwerke haben sich in den letzten Jahren erheblich verändert. Administratoren können kaum noch verhindern, dass Benutzer ihre eigenen Geräte und nicht verwalteten Anwendungen an den Arbeitsplatz mitbringen. Sie müssen daher wissen, wie ihre Wireless-Netzwerke genutzt werden. Angesichts der mittlerweile grundsätzlichen Bedeutung dieser Netzwerke muss gewährleistet sein, dass Anwender das Funknetz für produktive Zwecke nutzen und sich keine Engpässe bilden. Die effiziente Anwendungskontrolle sorgt für das nötige Maß an Transparenz und Steuerung - und dies in einer verteilten, skalierbaren und leistungsstarken Lösung, die auf die Herausforderungen von BYOD ausgelegt ist.

Nicht nur Benutzer und Geräte, sondern auch Anwendungen müssen per Richtlinienverwaltung zu steuern sein. Bild: Xirrus

Der sichere, performante WLAN-Betrieb erfordert im BYOD-Zeitalter Transparenz auf der Anwendungsebene (Layer 7). Bild: Xirrus
LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Renovatio

Weitere Artikel zu K&P Computer

Matchmaker+