Security für Ihren Access oder auch: Secure Campus Network

Security für Ihren Access oder auch: Secure Campus Network

Secure Campus Network

Security im Campus ist aus Unternehmensnetzwerken nicht mehr wegzudenken. Die damit verbundene Komplexität und der administrative Aufwand für Unternehmen sind in den letzten Jahren enorm gestiegen und beansprucht in der Regel immer mehr personelle Ressourcen. IOT-Geräte gehören ebenso zu jedem Netzwerk, wie das klassische Unternehmensnetz. Sei es eine klassische Stempeluhr oder Infoterminals im Foyer – es gibt unzählige Beispiele, welche Hürden sich hinter einem modernen Netzwerk verbergen können. Doch wie behalte ich den Überblick über diesen Wildwuchs?

Ein LAN ohne WLAN oder ein WLAN ohne LAN ist zum einen nicht mehr wegzudenken und zum anderen schlichtweg nicht umsetzbar. So bildet die Kombination aus LAN und WLAN das Fundament einer jeden Infrastruktur und ist daher Dreh- und Angelpunkt eines Unternehmens.

Für eine beherrschbare Infrastruktur gibt es einige Anforderungen, die erfüllt sein müssen:

  • Ausfallsicherheit
  • Flexibilität
  • Einfachheit
  • Sichtbarkeit
  • Sicherheit
  • Möglichkeit zur Automatisierung
  • Hohe Performance

Doch diese sehr umfangreichen Anforderungen können meist von klassischen Infrastrukturen nur schwer erfüllt werden und sollten daher durch den Einsatz von Softwarelösungen ergänzt werden.

Doch welche Softwarelösungen sind die richtigen?

  • Für die Anforderungen Ausfallsicherheit, Flexibilität und Einfachheit ist ein redundant ausgelegtes Netzwerk, wie in einem MLAG (Multi-Chassis Link Aggregation Group) oder Fabric-Konstrukt, zu etablieren
  • Sichtbarkeit in einem Netzwerk schaffen Management und Analyse Tools
  • Mehr Sicherheit und Automatisierung bringt ein Network Access Control (NAC), welches durch das Policy Based Routing (PBR) ergänzt wird
  • Für eine hohe Performance ist es notwendig die Auslegung der Switche/WLAN Hardware auf die Kundenanforderungen anzupassen

Die Synergie aller Komponenten betiteln wir bei magellan als Secure Campus Network.  

 

Übersicht Netzwerk Design:

Das MLAG-Protokoll führt zwei physikalisch voneinander getrennte Switche (Core 1 und Core 2) logisch wieder zusammen. So ist der physikalische Aufbau, wie oben dargestellt. In diesem Fall wird der Core jedoch zusammengeführt und als eine Einheit betrachtet. Dadurch ist die redundante Verbindung des Access Switches gegeben.

Fabric

Die Fabric ist ein vollvermaschter Zusammenschluss vieler Netzwerkknoten zu einer logischen Routinginstanz. Dieses Netzwerk-Design bietet den Vorteil, dass man eine Fabric einmal aufbaut und sich dann im Nachgang nur noch um den Access kümmern muss. Doch warum ist das so?

Die Logik, die sich in der Fabric verbirgt, ermöglicht es automatisiert Tunnel durch das Netzwerk aufzubauen. Das hat direkt mehrere Vorteile. Die Fabric setzt sich aus einem Underlay und Overlay zusammen. Im Underlay werden Routingprotokolle zur Verbreitung der Netzwerktopologie eingesetzt und im Overlay werden die verschiedenen Dienste verkapselt. Es ist nun nicht mehr notwendig, ein VLAN über das gesamte Netzwerk zu konfigurieren, sondern definiert ein VLAN von Endpunkt zu Endpunkt und der Rest basiert auf Automatismen der Fabric Logik. Wenn ein Knotenpunkt nun ausfällt, können die benachbarten Knoten übernehmen, ohne dass die Endbenutzer eine nennenswerte Serviceunterbrechung wahrnehmen.

Was ist ein Network Access Control (NAC)?

Das NAC ist, wenn man so will, der Türsteher am Netzwerk-Port, der den Zugriff zum Netzwerk regelt. Hierbei wird überprüft, ob das Gerät und/oder der Benutzer die internen Netzwerkrichtlinien erfüllt und somit zugriffsberechtigt ist oder eben nicht - und aus dem Netzwerk ausgesperrt wird. Mit dem NAC ist es möglich eine dynamische Segmentierung durchzuführen. Das bedeutet, sofern ein Endgerät zugriffsberechtigt ist, kann ihm ein Regelprofil zugewiesen werden, hinter dem sich ein spezifischer Service verbirgt.

Ein Beispiel aus der Praxis: Lieschen Müller aus der Buchhaltung kommt morgens ins Büro und schaltet ihren Laptop an.  In diesem Moment überprüft das NAC, ob sie für das Netzwerk zugriffsberechtigt ist und weist Lieschen das VLAN „Buchhaltung“ zu. Sie kann jederzeit ihren Arbeitsplatz wechseln, denn das VLAN wandert mit ihrem Endgerät mit.

Das NAC verbindet so die dynamische VLAN-Zuweisung mit der Zugriffskontrolle und bringt ganz beiläufig die Automatisierung in das Netzwerk. Somit muss ein Administrator nicht mehr bei jedem Büroumzug den Switch Port mit dem richtigen VLAN konfigurieren.

Das NAC liefert zudem für das Unternehmensnetzwerk Sichtbarkeit. Kein Gerät bleibt mehr ungesehen und das führt oftmals zu einem Aha-Effekt bei vielen Administratoren. Denn so manches Gerät, welches eigentlich nichts in einem Unternehmensnetzwerk zu suchen hat, wird hiermit aufgedeckt.

Policy Based Routing (PBR)

Unter dem PBR verstehen wir eine umfangreiche Access Control List (ACL), die in Verbindung mit dem NAC eine Mikrosegmentierung ermöglicht. Im oben beschriebenen Beispiel erhält Lieschen Zugriff zum VLAN „Buchhaltung“. Ohne PBR würde sie jedoch Zugriff zum gesamten Netzwerksegment erhalten, obwohl sie eigentlich nur Zugriff auf wenige ausgewählte Services benötigt. Dies kann nun mit dem PBR realisiert werden. Die Policy legt sich zusätzlich zur NAC Regel über den Netzwerk Port. Das mag jetzt sehr aufwendig klingen. Jedoch tritt dieser Aufwand nur initial auf, denn danach greift die Automatisierung, da das PBR mit dem NAC koppelbar ist.

Somit kann aus dem NAC direkt eine Policy zugewiesen werden, mit der man direkt die Automatisierung der Security integriert. Diese Kombination aus NAC und PBR ist der sogenannte Secure-Campus-Ansatz, der prinzipiell erstmal keinem Gerät vertraut, solange es nicht als vertrauenswürdig eingestuft werden kann.

Analytics

Millionen von Datenpakete werden täglich in Unternehmensnetzwerken von A nach B versendet. Oftmals kommt es zu Paketverlusten oder Kollisionen, die teilweise sehr spät erkannt werden. Zusätzlich kann es zu Performance-Problemen kommen, die sich dann auf die End-User auswirken können. Man kennt die Situation, wenn ein User bei der Hotline anruft und sich über mangelnde Netzwerk-Performance beklagt. Hierfür gibt es Analytics Engines, die zur Nachverfolgung solcher Phänomene beitragen. Sie messen die Geschwindigkeit der Applikation und die Geschwindigkeit des Netzwerks. Oftmals kann diese User-Hypothese direkt widerlegt werden, da man genaue Informationen aus dem Analytics ablesen kann. Es gibt aber auch andersgeartete Phänomene. Mehr dazu können Sie in unserem Blogbeitrag  “Ist das Netzwerk wirklich schuld?” lesen.

Fazit

Jedes Unternehmen muss selbst die Entscheidung treffen, in welcher Tiefe die Implementation der einzelnen Komponenten sinnvoll ist. Die magellan berät Sie dabei herstellerunabhängig, zielorientiert und erstellt maßgeschneiderte Lösungen auf ihr Unternehmensprofil abgestimmt.

 

 

< Zurück zur Übersicht
Home | Insights | Blog | Security für Ihren Access oder auch: Secure Campus Network