Herausforderung Netzwerk-Automation
Die richtigen Stellschrauben
Nicht erst seit dem Mangel an qualifiziertem IT-Personal besteht ein Bedarf an Automatisierungslösungen bei der Netzwerk-Verwaltung. Dieser macht sich noch schmerzhafter bemerkbar, seit sehr viele Mitarbeiter im Home-Office tätig sind.
Neben den Funktionen, die den Arbeitsalltag des Technikexperten erleichtern, ist seit geraumer Zeit die Netzwerksicherheit ein wichtiges Thema, für die das Verwalten und gesicherte Verändern von Geräte-Konfigurationen von Nutzen ist. Dabei gilt für Unternehmen weltweit und insbesondere in Deutschland, die Konformität zu Regularien einzuhalten und dies auch zu beweisen. Beim ISO27001-Standard trifft dies nicht nur im offensichtlichen Bereich A18 (Compliance) zu, sondern auch im operativen Bereich A12.
Wie funktioniert jedoch das Sicherstellen der Konformität bei einer Netzwerk-Konfiguration? Grundsätzlich kopiert ein Skript Konfigurationen in einen zentralen Ablageort und durchsucht diese auf bestimmte Aussagen beziehungsweise Kommandozeilen. Diese können entweder erforderlich oder unerwünscht sein, und dann abhängig von der Regel einen Verstoß darstellen.
Ein Beispiel: line con 0.*\n(.*\n)*.*transport input none. Diese Zeile sperrt, wenn sie aktiv ist, Reverse-Telnet und sollte zum Standard der Geräteabsicherung gehören. Im Kommando sieht man reguläre Ausdrücke (RegEx), die der Anpassung an variable Werte dienen. Sollte diese Zeile nicht zu finden sein, kann ein Alarm erzeugt werden. Noch besser wäre allerdings, wenn das gleiche Skript eine automatisierte Gegenmaßnahme durchführen könnte, um die Situation zu bereinigen.
Jedoch sollte man mit Automation in diesem Bereich vorsichtig sein. Denn gerade wenn ein Audit ein Dokumentation erfordert, will man Überraschungen vermeiden.
Wichtige Werkzeuge zu diesem speziellen Thema sind eine Versionskontrolle und die Erkennung von Änderungen, bevorzugt in Echtzeit. Zur Änderungserkennung gibt es verschiedene Möglichkeiten. Manche Hersteller nutzen eine API, andere ein klassisches Syslog. In beiden Fällen generiert das System bei Veränderung der Konfiguration ein Event direkt auf der Hardware und sendet es an die Verwaltungslösung. Dort entsteht ein Snapshot der neuen Konfiguration, und ein Skript untersucht die Veränderungen.
Einpflegen ins interne Audit
Die Veränderungen werden sinnvollerweise ins interne Audit eingepflegt. Da die Lösungen jedoch nur bedingt Möglichkeiten haben, festzustellen, ob die Änderung autorisiert war, sollte automatisch ein Change Control Board, zumindest aber ein E-Mail-Verteiler der Administratoren eine Nachricht erhalten. Dieser relativ simple Prozess sollte als Teil der Strategie als gesetzt gelten, erfordert allerdings auch das kontinuierliche Speichern jeglicher Änderungen.
Auch dabei gibt es mehrere Ansätze. Technisch ist der Vorgang wieder einfach und kann zum Beispiel über ein weiteres Skript ablaufen, das jede Nacht per SSH auf die Ziele einloggt und die Konfiguration in die Datenbank exportiert. In den meisten Umgebungen lassen sich die Einstellungen nutzen, die die Konfigurationen nur ablegen, wenn keine Änderung festgestellt wurde, um die Datenbank sauber zu halten.
Tägliche Sicherung
In hochsicheren Umgebungen speichert man mindestens einmal am Tag, auch wenn es keine Änderungen gibt. Prinzipiell führen beide Wege zum Ziel. Sie erlauben Versionskontrolle, und ein Verantwortlicher kann nachvollziehen, wann etwas geändert wurde. Diese Möglichkeit sollte er auch beim Troubleshooting eines Problems im Netzwerk in Betracht ziehen. Erfahrungsgemäß haben bisweilen jedoch nicht nur unautorisierte Änderungen negative Auswirkungen. Vielleicht lief in einer Laborumgebung alles einwandfrei, und auch im Produktivbetrieb scheint erst alles in Ordnung, bis irgendwo ein dynamisches Routing-Protokoll einen Pfad ändert. Es ist daher auch wichtig, dass Änderungen zurückgenommen werden können, also ein Rollback auf die vorherige Version möglich ist.
Flüchtigkeitsfehler vermeiden und korrigieren
Ein weiteres Problem sind Flüchtigkeitsfehler. Bei dem Folgenden handelt es sich eigentlich um eine ganz gewöhnliche Aufgabe: switchport access vlan 12. Aber aus welchem Grund auch immer schreibt der Adminstrator „vlan 21“. So etwas kann jedem passieren. Meist fällt ein solcher Fehler direkt auf, wenn er noch einmal über sein Skript schaut. Er kann aber ebenso in einer sehr langwierigen Fehlerfindung enden.
Ein visueller Weg, der womöglich auch Drag and Drop nutzt, kann sehr hilfreich sein, ebenso die Pflicht zum Bestätigen einer Zusammenfassung, bevor die Änderung tatsächlich ausgerollt wird. Dieser Ansatz – auf Vorlagen basierend – wird nicht nur die menschlichen Fehlerquellen minimieren, sondern erlaubt auch Veränderungen an mehreren Geräten gleichzeitig. Jedes IT-Team, das mehr als zwei Switches verwaltet, versteht, wie zeitraubend ein solcher Prozess ohne richtiges Werkzeug ist.
In der Praxis treffen Administratoren leider auf eine Realität, die noch komplexer ist: IT-Landschaften mit unterschiedlichen Herstellern. Die zuvor als Beispiel genannte Zeile funktioniert für einen bestimmten Hersteller, sie muss für den Nächsten speziell angepasst werden. Im Grunde genommen handelt es sich um unterschiedliche Sprachen. Kommandozeilen verschiedener Hersteller sind eine interessante Herausforderung für ein Verwaltungs-Tool. Als Lösungsansatz lassen sich Geräte automatisch – zum Beispiel nach Hersteller-ID – in Gruppen setzen, und nur Vorlagen mit der korrekten Sprache werden auf diese angewandt. Die Vorlagen können auch als Aufgabe für einen späteren Zeitpunkt dienen, um etwa eine Änderung außerhalb der Geschäftszeiten durchzuführen oder um ein SSH-Konto automatisch nach drei Monaten zu löschen.
„Never change a running system“ ist eine Aussage aus der Vergangenheit. Bis vor nicht allzu langer Zeit war es zumindest nicht falsch, den aktuellen Stand beizubehalten, solange alles ordentlich funktioniert. Dieses Prinzip hat in der Gegenwart, in der alles beschleunigt abläuft, leider keinen Platz mehr. Vielmehr fällt die Notwendigkeit von Updates an dieser Stelle schwer ins Gewicht.
- Die richtigen Stellschrauben
- Umgang mit Updates
Lesen Sie mehr zum Thema
