UC und NAC: Sicherheit in Unified-Communication-Umgebungen
Von: Markus Nispel, Vice President Solutions Architecture, Enterasys Networks
Sicherheit und effektives Netzmanagement in einer Unified-Communications-Umgebung müssen sich nicht diametral gegenüber stehen. Mit der richtigen Lösung auf der Basis offener Schnittstellen sowie der intelligenten Integration in bestehende und neu zu schaffende Workflows kann eine Network-Access-Control-Lösung einen wesentlichen Beitrag zur Verringerung der Betriebskosten einer Unified-Communications-Infrastruktur leisten.
Die Konvergenz der Netze auf ein einziges IP-basiertes Netzwerk stellt höchste Anforderungen an die Verfügbarkeit und Sicherheit der gesamten Infrastruktur. Zudem ergeben sich für den Betrieb einer Unified-Communication-Umgebung (UC), insbesondere auch bei der Migration von traditioneller IP-Telefonie zu VoIP, Fragen zum automatischen Rollout von Endgeräten, der Konfiguration von Netz- und Endgerät sowie zusätzlicher Services wie Location-Tracking (zwecks Troubleshooting aber auch für Dienste wie Notruflokalisierung - „E911" Problematik - und erweiterte Presence-Funktionen) die in einer TDM Umgebung selbstverständlich sind.
Mit „OCS LIA" präsentiert die Siemens Enterprise Communications Group ihre erste Lösung, die Netzwerk- und Voice-Management in Kundennetzwerken effizient kombinieren und die zuvor genannten Anforderungen umsetzen kann:
· OCS-LIA sichert die Verfügbarkeit von Echtzeitapplikationen und dadurch der Business-Kontinuität in IP-Umgebungen durch die dynamische Zuweisung von QoS- und Security-Parametern (VLAN und Access-Listen) am Access-Port/Access-Point.
· Durch die gebotenen Location-Services für IP-Telefone, Rufnummern, Endgeräten und Benutzern sowie der Erfassung des Endgerätestatus in Echtzeit vereinfacht sich das Fehlermanagement.
· Heutige und zukünftige Compliance-Anforderungen an konvergente Netzwerke und IP-Infrastrukturen werden durch Netzwerkzugriffssicherheit, Loggen von Events und Kontrolle über Softwareversionsstände der Endgeräte realisiert.
Die OCS LIA Lösung besteht aus drei Hauptkomponenten:
· Hipath-DLS-Software,
· Enterasys NAC-Produktsuite und
· Openscale Professional Services.
2. Die Hauptkomponenten
Hipath-DLS-Software:
Der DLS stellt eine Hipath-Management-Applikation zur Verfügung, die Kunden und Service-Mitarbeitern eine integrierte Lösung zur Verwaltung von IP-Geräten (IP-Telefonen und IP-Clients) in Hipath-Netzwerken bietet. Das Verwaltungs-Tool beinhaltet Funktionen wie Software-Bereitstellung, Configuration-, Inventory-, Security Management und spezielle Endanwenderdienste wie Plug&Play und Mobilität. Die Plug&Play-Funktionalität des DLS ermöglicht die automatische Übertragung aller Parameter, die ein IP-Gerät benötigt, wenn es aktiviert wird.
Mit der Mobilitätsfunktionalität des DLS werden die persönliche Konfiguration und die persönlichen Daten eines Benutzers (z.B. Tastenbelegung, Telefonbuch, Ruflisten, Klingelton, Bildschirmschoner etc.) mobil. Diese Benutzerdaten werden vom DLS gespeichert und auf dem Telefon bereitgestellt, auf dem sich der mobile Benutzer anmeldet. Mit OCS-LIA kann der DLS auch dynamisch IP Endgeräte abhängig vom Ort konfigurieren - dies kann mit der Mobilitätsfunktion auch verknüpft werden.
Enterasys Network-Access-Control:
Enterasys Network-Access-Control (NAC) ist eine umfassende pre- und post-connect NAC-Lösung, die auf offenen Standards beruht und in Netzwerken beliebiger Hersteller eingesetzt werden kann. Durch den Einsatz von Enterasys NAC-Appliances (NAC-Controller und/oder NAC-Gateway) können IT-Administratoren sicherstellen, dass User und Geräte die erforderlichen Netzwerkservices zur Verfügung gestellt bekommen: abhängig von User (Rolle), Gerät, Zeit, Lokation, Gerätekonfiguration und genutztem Authentifizierungsverfahren.
Bei OCS-LIA sendet das NAC-Management die Daten über die Lokation der Teilnehmer, die es über NAC sammelt, via Web-Services an den DLS. Der DLS füttert das NAC-System mit den Identitätsdaten erlaubter Endgeräte.
Professional Services:
Openscale Professional Services sind Teil der OCS-LIA-Lösung, damit das Consulting und die Implementation des Projekts effizient durchgeführt werden kann und die Kundenzufriedenheit sichergestellt wird.
3. NAC für das Endgeräte- und User-Management
Viele Anwender möchten zunächst einmal nur wissen, wer und was überhaupt an ihrer Infrastruktur angeschlossen ist. Das heißt ein „Asset Discovery" und ein entsprechendes Tracking von Geräten sind Funktionen, die man durch den Einsatz von Enterasys NAC automatisch mitgeliefert bekommt - hierbei ist die Detailtiefe und die Möglichkeiten, auf diese Daten zuzugreifen, hervorzuheben. Darauf aufbauend kann eine Trennung von Gästen (Consultants, Entwicklungspartner etc.) und eigenen Mitarbeitern mit vom Unternehmen gemanagten Desktops und Laptops sowie sonstigen Geräten wie VoIP-Phones, Überwachungskameras und sonstige Facility-Management-Geräte durchgeführt werden. Da die erlaubten VoIP/UC-Endgeräte vom DLS geliefert werden ist auch dieser Schritt für das initiale Rollout automatisiert.
Eine interessante Erweiterung von Standardinformationen (ohne die Verwendung von Softwareagenten) wie MAC/IP/Hostname/Betriebssystem/Switch/Port/Zeit bietet eine Verknüpfung mit Kerberos an, was bei der Authentifizierung von Nutzern unter anderem. in einer Microsoft-Active-Directory-Umgebung Standard ist. Hierbei ist ohne eine netzbasierte Authentifizierung wie 802.1x dennoch die Möglichkeit gegeben, den aktuell am System angemeldeten Benutzer zu erfassen und in der NAC-Datenbank abzulegen. Diese Information wird von den Netzkomponenten mitprotokolliert und kann später auch nochmals weiterverwendet werden. Eine zusätzliche und wertvolle Information für auf UC-Software basierte Implementierungen auf „normalen" Desktops und Laptop Systemen.
Damit gehört das Suchen nach (neuen) Geräten am Netz der Vergangenheit an. Diese werden automatisch erfasst und auch Bewegung erkannt und dokumentiert. Eventuell speziell für diese Anwendung beschafften Tools können getrost abgeschaltet werden.
Weiterhin verringert sich auch die Zeit beim Troubleshooting beziehungsweise am Helpdesk, da die Nutzerinformation direkt mit eingebunden ist und lästige Mehrfachabfragen -- um die Gerätedaten eines Nutzer zu bekommen -- nach dem Erstkontakt mit dem Nutzer „Hallo hier ist Hans Müller, ich habe ein Problem" der Vergangenheit angehören.
4. Adaption von Fremdsystemen
Ausgangspunkt für die Nutzung und den Austausch von Daten zwischen der NAC-Lösung und anderen Unternehmensdatenbanken (und natürlich auch dem DLS) sind offene Schnittstellen. Hierbei hält auch der SOA-Gedanke (Service-Oriented-Architecture) Einzug, der eine Partitionierung von monolithischen Applikationen mit mehrfach vorhandenen identischen Funktionen wie Nutzerverwaltung etc. in flexible, modulare Applikationen propagiert. Diese unterhalten sich dann untereinander über so genannte Web-Services, um die jeweils benötigen Daten von den dafür zuständigen Applikationen zu bekommen. Es kommt seit längerem nun XML (eXtensible-Markup-Language) zum Einsatz in Verbindung mit der Interfacebeschreibung durch die WDSL (Web-Services-Description -Language).
Der Einsatz von Web-Services als NAC-Management-Interface bietet nun vielfältige Möglichkeiten zum automatisierten Austausch und Synchronisation der zuvor ermittelten Endgerätedaten mit statischen Inventar- und Nutzerdatenbanken im Unternehmen.
Ein Beispiel ist wie erwähnt OCS-LIA -- zum Zwecke der Inventarisierung, Überwachung, Konfiguration von Netz und Endsystemen sowie für Presence/Location basierte Dienste wie E.911 (Notruflokalisierung) oder adaptierter Anzeigen am Endsystem (wie Ersthelfer-Information je nach Gebäude/Etage) sowie natürlich die Authentifizierung und Autorisierung erlaubter Geräte an der Netzinfrastruktur, drahtgebunden und drahtlos. Die Daten werden ereignisgetriggert zwischen beiden Systemen synchronisiert, so dass sogar die NAC-Lösung immer über die aktuell am Telefon gültige Rufnummer informiert ist (wiederum für das Troubleshooting/Aufsuche von Geräten sehr hilfreich).
Das zuvor beschriebene Konzept der Kopplung sowie der automatischen Autorisierung, die natürlich auch Quality-of-Service-Parameter beinhalten sollte, kann bei einer NAC-Lösung Schritt für Schritt auf alle Endgeräte ausgeweitet werden. Nach der Authentifizierung und dem optionalen Assessment, dem Überprüfen der Gerätes im Hinblick auf Schwachstellen und/oder Konfiguration, kann die gleiche Autorisierung (Policy) an jedem Ort der Infrastruktur sofort verfügbar gemacht werden. Manuelle Tätigkeiten zur Netzkonfiguration entfallen damit komplett - nicht aber natürlich das Umhertragen der Endgeräte ... . Eine weitere Anwendung für diese Funktionen findet sich im Bereich Servervirtualisierung, wo die Themen Mobility und adaptive Netzwerkkonfiguration sehr wichtig geworden sind. Auch sind Integrationen in CMDB (Configuration-Management-Databases) gemäß ITIL-Anforderungen von sehr hohem Mehrwert. Die offene Architektur des Enterasys Management-Systems macht dies ohne weiteres möglich.
Quelle: http://www.funkschau.de, 14.09.2010
