Rund um Cisco ISE: Das Netz­werk am neuen NETHINKS-Standort

NETHINKS zieht um - und ein solcher Umzug an einen neuen Standort ist immer eine gute Gele­gen­heit, sich über die eigene Netz­werk­in­fra­struktur ein paar Gedanken zu machen und diese auf einen aktu­ellen Stand zu bringen.
Als Network- und Managed Services Provider ist die Tren­nung zwischen den einzelnen Admi­nis­tra­tions- und Management­netzen, der eigenen produk­tiven Netz­platt­form und der büro­in­ternen Arbeits­um­ge­bung eine absolut grund­le­gende Forde­rung aus Secu­rity und Daten­schutz. Die notwen­dige Tren­nung stellt daher durchaus eine Heraus­for­de­rung dar. Während ledig­lich Mitar­beiter in der Technik den Zugang zu den Admi­nis­tra­ti­ons­netzen der Kunden benö­tigen, haben die Mitar­beiter im Vertrieb oder in den Orga­ni­sa­ti­ons­teams grund­sätz­lich nie den Bedarf, auf diese Netz­seg­mente zuzu­greifen Gemäß dem Prinzip „so wenig wie möglich, so viel wie nötig“ sollte dieser Zugriff auch nicht notwendig sein. Gleich­zeitig möchte man sich aber in einem modernen und agilen Arbeits­um­feld bewegen, in dem jeder Mitar­beiter mit Note­books arbeitet und sich Arbeits­gruppen dyna­misch bilden. Gleich­zeitig soll aber auch die Flexi­bi­lität im Büro­be­trieb beibe­halten werden, um beispiels­weise in einem Work­shop mit dem Kunden aus dem Meeting­raum Zugriff auf Live­daten der Produk­tiv­um­ge­bung zu erhalten, während der Kunde selbst nur im Gast­netz unter­wegs ist und der noch anwe­sende Vertriebs­mit­ar­beiter nur sein internes Arbeits­um­feld sieht.

Eine Lösung: “Iden­tity Based Networking”

Eine Lösung für diese Heraus­for­de­rung ist der Ansatz des „Iden­tity Based Networ­king“. In diesem Modell authen­ti­fi­ziert und iden­ti­fi­ziert sich jeder Teil­nehmer gegen­über dem Netz­werk mit seiner persön­li­chen Iden­tität. Dies kann in Form von benut­zer­be­zo­genen Zerti­fi­katen, Smart­Cards oder einfach über die klas­si­sche Kombi­na­tion “Benut­zer­name und Pass­word” erfolgen. Das Netz hat dann unter anderem die Möglich­keit, die Grup­pen­zu­ge­hö­rig­keit des Users über ein zentrales Verzeichnis abzu­fragen und kann dem Teil­nehmer abhängig dieser Grup­pen­zu­ge­hö­rig­keit eine entspre­chende Secu­rity-Policy zuweisen. Diese Policy kann entweder durch eine eine VLAN-Zuord­nung für den PC des Benut­zers dyna­misch erfolgen, oder dem Switch­port wird dyna­misch eine IP-Access-Filter zuge­wiesen, der bereits eine Vorfil­te­rung des Zugriffs durchführt.
Netz­teil­nehmer, die keine persön­liche Iden­tität besitzen (beispiels­weise Geräte wie Drucker), werden über gerä­te­be­zo­gene Merk­male wie die MAC-Adresse oder gerä­te­be­zo­gene Zerti­fi­kate iden­ti­fi­ziert. Gerade in einer IT-Land­schaft, in der unter­schied­liche Client-Typen (Windows Clients in- und außer­halb der Domäne, Linux Work­sta­tions und MacBooks) exis­tieren, ist ein entspre­chendes Kate­go­ri­sieren der Clients als „Gerä­tei­den­tität“ und des dazu­ge­hö­rigen Benut­zers in seiner „persön­liche Iden­tität“ ein mäch­tiges Werk­zeug in der Umset­zung eines Secu­ri­ty­kon­zeptes. Tech­nisch erfolgt diese Iden­ti­fi­ka­tion des Clients gegen­über dem Netz primär über das IEEE Proto­koll 802.1x, das in vielen Netzen als Erwei­te­rung des WLAN-Stan­dards WPA zum soge­nannten Enter­prise-WPA bekannt ist. Die Authen­ti­fi­zie­rungs­me­cha­nismen sind im LAN und WLAN jedoch ähnlich, wodurch 802.1x im kabel­ge­bun­denen LAN prin­zi­piell genauso funk­tio­niert wie im kabel­losen WLAN. Geräte, die kein 802.1x unter­stützen, werden über die MAC-Adresse oder indi­vi­du­elle „Single Purpose“ WLAN-Schlüssel identifiziert.

Umset­zung mit Tech­no­logie von Cisco Systems

Um die genannten Anfor­de­rungen zu reali­sieren, setzen wir auch im neuen Office auf unseren lang­jäh­rigen Partner und Campus Networ­king-Markt­führer Cisco Systems. Sowohl im kabel­ge­bun­denen LAN als auch im Wire­less-LAN kommen hier die aktu­ellsten Geräte der “Cata­lyst 9000”-Serie zum Einsatz. Diese Swit­ches und APs nutzen das linux­ba­sierte IOS-XE Betriebs­system, das auch in den aktu­ellen Cisco WAN-Routern der ISR- und ASR-Serien zum Einsatz kommt, die wir in unseren NT/Con­nect- und managed NT/DSL-Produkten verwenden. Wir setzen ein 40GBit/s-Stack aus 4x 48 Port Multi­Gi­gabit-Swit­chen der Modell­reihe Cata­lyst 9200 ein.
Die WLAN-Acces­s­points der neuen “Cata­lyst 9100”-Serie unter­stützen den aktu­ellsten WLAN-Stan­dard „WiFi6“ (802.11ax) und sind jeweils mit bis zu 5 GBit/s über Twisted-Pair-Kupfer­kabel an die Swit­ches ange­bunden. Der WLAN-Controller der Serie “Cata­lyst 9800” ist eine Soft­ware­ap­p­li­ance, die in unserer VMWare-Umge­bung läuft und  ausschliess­lich für die Verwal­tung der WLAN-APs einge­setzt wird; der Nutzer­traffic wird im „Flex-Mode” direkt vom WLAN-AP an das LAN über­geben und fließt nicht durch den Cont­troller hindurch in das LAN. Grund­sätz­lich wäre es auch möglich, die WLAN-Control­ler­soft­ware in einer Embedded-Lösung direkt auf den Swit­ches zu instal­lieren, wodurch den Einsatz einer eigenen Virtua­li­sie­rungs­platt­form über­flüssig wird.

“Iden­tity-Services-Engine” als Identitätsprovider

Den zentralen Iden­ti­täts­pro­vider bildet die „Iden­tity-Services-Engine“ (ISE) von Cisco Systems. Diese Kompo­nente verwaltet alle Auten­ti­fi­zie­rungs­an­fragen der Clients, gleicht Benut­zer­namen, Zerti­fi­kate, Pass­wörter und Grup­pen­zu­ge­hö­rig­keiten mit unserem zentralen LDAP Verzeichnis ab und verwaltet Secu­rity-Policys sowie WLAN-Keys. Tech­nisch betrachtet ist die ISE primär ein RADIUS-AAA-Server, der neben einer tief verschach­tel­baren Auto­ri­sie­rungs­logik die notwen­digen Schnitt­stellen besitzt, um die Inte­gra­tion in bestehende Auten­ti­fi­zie­rungs­sys­teme wie beispiels­weise in das Active Direc­tory-Verzeichnis zu ermög­li­chen. Weiterhin besitzt sie ein sehr umfas­sendes Webin­ter­face zur Verein­fa­chung von Diagnose- und Verwal­tungs­auf­gaben im LAN.

Schutz durch Fortinet

Im Peri­me­ter­schutz unseres neuen Büro­netzes setzen wir aktuell auf die UTM-Alli­ances unseres Part­ners Fortinet. Wir nutzen ein Cluster der neusten Forti­gate 100F die uns 10Gigabit Fire­wal­leis­tung zwischen Büro, dem internet und den MPLS und Kunden­ma­nage­ment-Segmenten zur Verfü­gung stellt. Über das Feature „Radius-Single-Sign-On“ (RSSO) kann auch die Forti­gate von der Authen­ti­fi­zie­rung der User gegen­über der Cisco-ISE profi­tieren und diese Iden­ti­täten als Basis für benut­zer­be­zo­gene Fire­wall­re­geln nutzen. Ähnlich dem bekannten FSSO Verfahren, das die Netlogon-Logs eines Windows Active-Direc­tory Domain­con­trol­lers nutzt, wird mit RSSO die Verwen­dung von Iden­ti­täten in Fire­wall­po­licys oder UTM Profilen ermög­licht. UTM Secu­rity ist jedoch nicht nur ein Thema im Bereich Peri­meter, sondern auch in der Kommunikation zwischen Servern und Clients. Aktuell vermutet man, das 80 Prozent aller Angriffe auf interne Server von innen heraus erfolgen. Daher kommt auch an dieser Stelle die UTM Protec­tion aus dem Hause Fortinet als “IDC-Fire­wall” zum Einsatz.

Weitere Funk­tionen der Cisco ISE

Die Cisco ISE ist ein enorm mäch­tiges Werk­zeug in der Umset­zung von Secu­rity-Anfor­de­rungen an ein Netz. Hier eine kleine Auflis­tung, was über das bereits Beschrie­bene hinaus möglich ist:

  • Über das „Profiling“ lassen sich Geräte auto­ma­tisch auf Basis von passiven Merk­malen wie MAC-Adressen, offenen TCP/UDP-Ports etc. iden­ti­fi­zieren und über eine Daten­bank von tausenden Gerä­te­typen in Gruppen zusam­men­fassen. So wird es möglich, ohne aktiven Eingriff am Client selbst beispiels­weise alle iPhones mit iOS älter als 11.0 oder alle Drucker der Firma Xerox zu iden­ti­fi­zieren und diese Geräte in unter­schied­li­chen Secu­rity-Policys zu verwalten.
  • Das optio­nale „Posture“-Feature ermög­lich es, aktiv am Client Secu­rity-Schlüs­sel­pa­ra­meter wie einen aktu­ellen Viren­schutz oder den aktu­ellen Patch­stand des Systems abzu­fragen und auf Basis dieser Infor­ma­tionen den Client als „trusted“ oder „ untrusted“ zu behan­deln. Hierzu bedient sich die ISE des Cisco AnyCon­nect Endpoint Secu­rity Clients, der die notwen­digen Infor­ma­tionen erhebt und während des Anmel­de­ver­su­ches an die ISE übergibt.
  • Gerade in Räum­lich­keiten, in denen ein Unter­nehmen geteilte Büro­flä­chen bezieht, kann es aufgrund von Daten­schutz-Anfor­de­rungen notwendig sein, den Daten­ver­kehr kryp­to­gra­fisch zu verschlüs­seln. Das Verfahren „MACSEC“ verschlüs­selt jegli­chen Ethernet-Traffic zwischen Client und dem Switch, wodurch ein Mitlesen von rohen IP-Traffic-Daten enorm erschwert wird. Die ISE dient hier als Verwal­tungs­in­stanz, die den Einsatz von MACSEC über Secu­ri­ty­po­licys forciert oder vermeidet.

Haben Sie Fragen zum Aufbau von Unter­neh­mens­netz­werken? Spre­chen Sie uns einfach an!

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern