Rund um Cisco ISE: Das Netzwerk am neuen NETHINKS-Standort

NETHINKS zieht um – und ein solcher Umzug an einen neuen Standort ist immer eine gute Gelegenheit, sich über die eigene Netzwerkinfrastruktur ein paar Gedanken zu machen und diese auf einen aktuellen Stand zu bringen.
Als Network- und Managed Services Provider ist die Trennung zwischen den einzelnen Administrations- und Managementnetzen, der eigenen produktiven Netzplattform und der bürointernen Arbeitsumgebung eine absolut grundlegende Forderung aus Security und Datenschutz. Die notwendige Trennung stellt daher durchaus eine Herausforderung dar. Während lediglich Mitarbeiter in der Technik den Zugang zu den Administrationsnetzen der Kunden benötigen, haben die Mitarbeiter im Vertrieb oder in den Organisationsteams grundsätzlich nie den Bedarf, auf diese Netzsegmente zuzugreifen Gemäß dem Prinzip „so wenig wie möglich, so viel wie nötig“ sollte dieser Zugriff auch nicht notwendig sein. Gleichzeitig möchte man sich aber in einem modernen und agilen Arbeitsumfeld bewegen, in dem jeder Mitarbeiter mit Notebooks arbeitet und sich Arbeitsgruppen dynamisch bilden. Gleichzeitig soll aber auch die Flexibilität im Bürobetrieb beibehalten werden, um beispielsweise in einem Workshop mit dem Kunden aus dem Meetingraum Zugriff auf Livedaten der Produktivumgebung zu erhalten, während der Kunde selbst nur im Gastnetz unterwegs ist und der noch anwesende Vertriebsmitarbeiter nur sein internes Arbeitsumfeld sieht.

Eine Lösung: „Identity Based Networking“

Eine Lösung für diese Herausforderung ist der Ansatz des „Identity Based Networking“. In diesem Modell authentifiziert und identifiziert sich jeder Teilnehmer gegenüber dem Netzwerk mit seiner persönlichen Identität. Dies kann in Form von benutzerbezogenen Zertifikaten, SmartCards oder einfach über die klassische Kombination „Benutzername und Password“ erfolgen. Das Netz hat dann unter anderem die Möglichkeit, die Gruppenzugehörigkeit des Users über ein zentrales Verzeichnis abzufragen und kann dem Teilnehmer abhängig dieser Gruppenzugehörigkeit eine entsprechende Security-Policy zuweisen. Diese Policy kann entweder durch eine eine VLAN-Zuordnung für den PC des Benutzers dynamisch erfolgen, oder dem Switchport wird dynamisch eine IP-Access-Filter zugewiesen, der bereits eine Vorfilterung des Zugriffs durchführt.
Netzteilnehmer, die keine persönliche Identität besitzen (beispielsweise Geräte wie Drucker), werden über gerätebezogene Merkmale wie die MAC-Adresse oder gerätebezogene Zertifikate identifiziert. Gerade in einer IT-Landschaft, in der unterschiedliche Client-Typen (Windows Clients in- und außerhalb der Domäne, Linux Workstations und MacBooks) existieren, ist ein entsprechendes Kategorisieren der Clients als „Geräteidentität“ und des dazugehörigen Benutzers in seiner „persönliche Identität“ ein mächtiges Werkzeug in der Umsetzung eines Securitykonzeptes. Technisch erfolgt diese Identifikation des Clients gegenüber dem Netz primär über das IEEE Protokoll 802.1x, das in vielen Netzen als Erweiterung des WLAN-Standards WPA zum sogenannten Enterprise-WPA bekannt ist. Die Authentifizierungsmechanismen sind im LAN und WLAN jedoch ähnlich, wodurch 802.1x im kabelgebundenen LAN prinzipiell genauso funktioniert wie im kabellosen WLAN. Geräte, die kein 802.1x unterstützen, werden über die MAC-Adresse oder individuelle „Single Purpose“ WLAN-Schlüssel identifiziert.

Umsetzung mit Technologie von Cisco Systems

Um die genannten Anforderungen zu realisieren, setzen wir auch im neuen Office auf unseren langjährigen Partner und Campus Networking-Marktführer Cisco Systems. Sowohl im kabelgebundenen LAN als auch im Wireless-LAN kommen hier die aktuellsten Geräte der „Catalyst 9000“-Serie zum Einsatz. Diese Switches und APs nutzen das linuxbasierte IOS-XE Betriebssystem, das auch in den aktuellen Cisco WAN-Routern der ISR- und ASR-Serien zum Einsatz kommt, die wir in unseren NT/Connect- und managed NT/DSL-Produkten verwenden. Wir setzen ein 40GBit/s-Stack aus 4x 48 Port MultiGigabit-Switchen der Modellreihe Catalyst 9200 ein.
Die WLAN-Accesspoints der neuen „Catalyst 9100“-Serie unterstützen den aktuellsten WLAN-Standard „WiFi6“ (802.11ax) und sind jeweils mit bis zu 5 GBit/s über Twisted-Pair-Kupferkabel an die Switches angebunden. Der WLAN-Controller der Serie „Catalyst 9800″ ist eine Softwareappliance, die in unserer VMWare-Umgebung läuft und  ausschliesslich für die Verwaltung der WLAN-APs eingesetzt wird; der Nutzertraffic wird im „Flex-Mode“ direkt vom WLAN-AP an das LAN übergeben und fließt nicht durch den Conttroller hindurch in das LAN. Grundsätzlich wäre es auch möglich, die WLAN-Controllersoftware in einer Embedded-Lösung direkt auf den Switches zu installieren, wodurch den Einsatz einer eigenen Virtualisierungsplattform überflüssig wird.

„Identity-Services-Engine“ als Identitätsprovider

Den zentralen Identitätsprovider bildet die „Identity-Services-Engine“ (ISE) von Cisco Systems. Diese Komponente verwaltet alle Autentifizierungsanfragen der Clients, gleicht Benutzernamen, Zertifikate, Passwörter und Gruppenzugehörigkeiten mit unserem zentralen LDAP Verzeichnis ab und verwaltet Security-Policys sowie WLAN-Keys. Technisch betrachtet ist die ISE primär ein RADIUS-AAA-Server, der neben einer tief verschachtelbaren Autorisierungslogik die notwendigen Schnittstellen besitzt, um die Integration in bestehende Autentifizierungssysteme wie beispielsweise in das Active Directory-Verzeichnis zu ermöglichen. Weiterhin besitzt sie ein sehr umfassendes Webinterface zur Vereinfachung von Diagnose- und Verwaltungsaufgaben im LAN.

Schutz durch Fortinet

Im Perimeterschutz unseres neuen Büronetzes setzen wir aktuell auf die UTM-Alliances unseres Partners Fortinet. Wir nutzen ein Cluster der neusten Fortigate 100F die uns 10Gigabit Firewalleistung zwischen Büro, dem internet und den MPLS und Kundenmanagement-Segmenten zur Verfügung stellt. Über das Feature „Radius-Single-Sign-On“ (RSSO) kann auch die Fortigate von der Authentifizierung der User gegenüber der Cisco-ISE profitieren und diese Identitäten als Basis für benutzerbezogene Firewallregeln nutzen. Ähnlich dem bekannten FSSO Verfahren, das die Netlogon-Logs eines Windows Active-Directory Domaincontrollers nutzt, wird mit RSSO die Verwendung von Identitäten in Firewallpolicys oder UTM Profilen ermöglicht. UTM Security ist jedoch nicht nur ein Thema im Bereich Perimeter, sondern auch in der Kommunikation zwischen Servern und Clients. Aktuell vermutet man, das 80 Prozent aller Angriffe auf interne Server von innen heraus erfolgen. Daher kommt auch an dieser Stelle die UTM Protection aus dem Hause Fortinet als „IDC-Firewall“ zum Einsatz.

Weitere Funktionen der Cisco ISE

Die Cisco ISE ist ein enorm mächtiges Werkzeug in der Umsetzung von Security-Anforderungen an ein Netz. Hier eine kleine Auflistung, was über das bereits Beschriebene hinaus möglich ist:

  • Über das „Profiling“ lassen sich Geräte automatisch auf Basis von passiven Merkmalen wie MAC-Adressen, offenen TCP/UDP-Ports etc. identifizieren und über eine Datenbank von tausenden Gerätetypen in Gruppen zusammenfassen. So wird es möglich, ohne aktiven Eingriff am Client selbst beispielsweise alle iPhones mit iOS älter als 11.0 oder alle Drucker der Firma Xerox zu identifizieren und diese Geräte in unterschiedlichen Security-Policys zu verwalten.
  • Das optionale „Posture“-Feature ermöglich es, aktiv am Client Security-Schlüsselparameter wie einen aktuellen Virenschutz oder den aktuellen Patchstand des Systems abzufragen und auf Basis dieser Informationen den Client als „trusted“ oder „ untrusted“ zu behandeln. Hierzu bedient sich die ISE des Cisco AnyConnect Endpoint Security Clients, der die notwendigen Informationen erhebt und während des Anmeldeversuches an die ISE übergibt.
  • Gerade in Räumlichkeiten, in denen ein Unternehmen geteilte Büroflächen bezieht, kann es aufgrund von Datenschutz-Anforderungen notwendig sein, den Datenverkehr kryptografisch zu verschlüsseln. Das Verfahren „MACSEC“ verschlüsselt jeglichen Ethernet-Traffic zwischen Client und dem Switch, wodurch ein Mitlesen von rohen IP-Traffic-Daten enorm erschwert wird. Die ISE dient hier als Verwaltungsinstanz, die den Einsatz von MACSEC über Securitypolicys forciert oder vermeidet.

Haben Sie Fragen zum Aufbau von Unternehmensnetzwerken? Sprechen Sie uns einfach an!

EU Efre Dekra