Wifi is een must voor BYOD

Bring Your Own Device is niet meer weg te denken in de huidige bedrijfscultuur. Werknemers en bezoekers brengen mobiele devices mee en willen overal online zijn. Deze trend vraagt om een schaalbare, stabiele en veilige oplossing met een hoge beschikbaarheid. Een draadloos netwerk is daarom niet langer optioneel, maar een must voor de bedrijfsvoering.

Het Amerikaanse Watchguard, bekend van de Extensible Threat Management (XTM) firewalls, komt met 2 nieuwe accesspoints die geheel in het verlengde van de hoge security eisen van het bedrijfsleven liggen.
Om alvast een voorproefje te geven, met deze oplossing kan het draadloze verkeer net zo eenvoudig gebruik maken van virus scanning, Intrusion Prevention Service (IPS), RED en Application Control, als ´bedraad´ verkeer op de firewall.

De accesspoints
Watchguard komt met 2 modellen; de AP100 heeft één radio, instelbaar op 2,4 of 5 Ghz. De AP200 heeft 2 radio’s, één voor 2,4 Ghz en één voor de 5 Ghz met een maximale doorvoer van 600Mbs. Beide accesspoints kunnen door PoE of een externe adapter gevoed worden.
Beide AP’s hebben een doorsnee van 16,5 cm en zien er strak uit. Deze AP´s zijn onopvallend weg te werken tegen het plafond.
Zoals we van Watchguard mogen verwachten, worden alle relevante security standaarden ondersteund zoals: WPA-PSK, WPA2-PSK, WPA Enterprise en WPA2 Enterprise.

Portal pagina
Opvallender is de optie om een portal pagina aan te maken. Deze ´vangpagina´ kan bijvoorbeeld op een gast netwerk (hotspot) getoond worden, waar bezoekers eerst akkoord moeten gaan met de voorwaarden. De vangpagina is aan te passen met een eigen logo en inhoud.

Topologie
Draadloze netwerk toegang voor bezoekers en eigen werknemers moet uiteraard gescheiden zijn, en beveiligd zijn. Werknemers moet toegang hebben tot bedrijfs gegevens en applicaties, terwijl bezoekers in de regel rechtstreeks via de firewall naar internet gaan.

Deze opzet wordt bereikt door verschillende SSID´s uit te zenden, en deze SSID´s elk aan aan separaat VLAN te koppelen. Het accesspoint wordt logisch met behulp van 802.1Q gekoppeld aan de firewall. Dit werkt ook met tussenliggende switches, zolang deze switches trunk poorten kunnen ondersteunen.
In de meest eenvoudige topologie kan het AP ook direct aan een access-poort gekoppeld worden zonder 802.1Q. Het draadloze netwerk komt dan in één (default) VLAN.
Het is met de Watchguard oplossing op dit moment nog niet mogelijk om AP’s en de firewall over een gerouteerd (laag 3) netwerk te koppelen. Dat betekent dat de AP’s in hetzelfde VLAN geplaatst moeten worden als de controller. De concurrentie maakt, om dit mogelijk te maken, vaak gebruik van het GRE of CAPWAP protocol.
De AP’s zijn niet geschikt als ‘stand-alone’ of ‘fat’ accesspoint, de werking is afhankelijk van een fysieke of virtuele Watchguard XTM appliance. Bij uitval van deze appliance, wordt verkeer nog wel geswitched tussen wireless en bedraad netwerk.

Authenticatie en AD integratie
Wanneer gebruikers met een VPN SSL verbinding aanloggen op de Watchguard, heeft deze de mogelijkheid voor Active Directory (AD) authenticatie. Dit geldt ook voor het wireless gedeelte van Watchguard. Per SSID is de authenticatie vorm te bepalen.
Zodoende kunnen bijvoorbeeld interne werknemers met AD authenticeren, en door deze AD integratie is er ook centrale logging in het AD domain. Aan de kant van Watchguard is het configureren van AD security zeer eenvoudig, en in het windows domein is het configureren van een NPS policy voldoende. In deze policy kan men aangeven welke gebruikers groepen connectie mogen maken. Zo is bijvoorbeeld een gebruikers groep ‘wireless-users’ te maken, om eenvoudig te bepalen welke gebruikers wel of niet op het wireless mogen. De Windows event log registreert welke user er verbinding maakt met het wireless netwerk.
Het gebruik van andere authenticatie servers, via radius, is ook mogelijk.
Er kan gebruik gemaakt worden van een syslog server en van de interne Watchguard logging. Met AD integratie wordt de gebruiker login naar de Windows eventlog geschreven, dit is alleen in de Windows event log te zien. Vanuit Windows kan accounting worden geconfigureerd of er kan een accounting server worden geconfigureerd in de Watchguard. MAC adressen en device namen worden ook naar de syslog gelogd.

Roaming en performance tests
TenICT heeft diverse gebruikers tests uitgevoerd met de nieuwe oplossing, en was positief verrast door de snelle en intuïtieve configuratie. Het draadloze bereik, de performance en gebruiksvriendelijkheid zijn uitstekend te noemen. In een setup met meerdere AP’s is een roaming test uitgevoerd. Hierbij werd bij het schakelen tussen verschillende AP’s geen onderbreking gezien van een HD video- en voice stream. Dit is een keurig resultaat.

Monitoring met system management
Voor het monitoren van de AP’s en de client is er in system management een extra tab “Gateway Wireless Controller” die is onderverdeeld in 2 schermen. Deze informatie is ook zichtbaar via de web GUI. Het eerste scherm geeft een overzicht van de AP’s met informatie over naam, status, SSID’s, IP adres, radio’s, versie, uptime en model.
Het tweede scherm geeft een overzicht van de clients, met onder meer het MAC adres, SSID, AP, laatste activiteit en verstuurde en ontvangen data.

Concurrentie
In vergelijking met andere merken die wireless apparatuur aanbieden, kiest Watchguard een andere aanpak dan de vendoren die voor een controller-based oplossing kiezen. De controller-functie wordt ingevuld door een (bestaande) XTM firewall. De controller heeft geen aparte licentie nodig, de aanschaf van de access points zijn de enige kosten.
Een indicatie van het aantal AP’s per Watchguard firewall:

De virtuele versie van Watchguard (XTMv) op VMware ondersteund 25 tot 100 AP’s
De list-prices die de fabrikant hanteert voor de Accesspoints, zijn vergelijkbaar met onder andere Cisco, Avaya en HP. Hierbij hebben de andere merken nog een separate controller en licentie nodig, bij Watchguard is dat niet nodig. Daarnaast is bij Watchguard het eerste jaar Lifesecurity (hardware replacement) inbegrepen in de prijs.

Conclusie
Met deze uitbreiding in de markt voor wireless, is de keus voor middelgrote bedrijven die al een Watchguard firewall hebben, snel gemaakt. Integratie met het bestaande product, met AD en gast-functies, en een scherpe prijs is hierbij doorslaggevend. Daarnaast is de oplossing snel en makkelijk te configureren.
Voor grote enterprise omgevingen zal Watchguard meer concurrentie kunnen verwachten, en zal de huidige beperking van laag 2 snel opgelost moeten worden, om in een volwaardig vergelijk mee te kunnen

Arthur Derks is werkzaam bij TenICT