Konsequente Segmentierung erhöht das Sicherheitsniveau des Unternehmensnetzwerks. Sie bringt jedoch für Administratoren im Alltag einen hohen Konfigurationsaufwand mit sich. Abhilfe verspricht die Lösung ClearPass von Aruba.

Das Drahtlos- und Kabelnetzwerk im Unternehmen zu administrieren ist heute al­les andere als einfach. Sowohl die Mitarbeiter als auch die Besucher wollen das Netzwerk unkompliziert nutzen – gleichzeitig soll es schnell, stabil und sicher sein. Andernfalls droht von allen Seiten Unzufriedenheit.

Eine manuelle Freigabe von Geräten für den Internetzugang durch die eigene IT, wie bis vor einigen Jahren üblich, kommt dabei kaum noch in Frage. Denn die Anzahl der zu verbindenden Geräte hat sich stark erhöht. Zu Smartphones und Laptops gesellen sich schließlich nun immer mehr Smartwatches, Tablets und das Internet of Things (IoT). Außerdem ist nicht zu erwarten, dass Nutzer einen langwierigen Registrierungsprozess akzeptieren. Was liegt also näher, als diesen Vorgang durch ein zentrales System automatisiert sicher und dennoch komfortabel durchführen zu lassen?

Soforterkennung von Geräten

Eine Lösung dafür will der Hersteller Aruba Networks in diesem Umfeld bieten, seit 2015 ein Teil von Hewlett Packard Enterprise. Das Produkt ClearPass ist eine modulare Plattform mit allen Funktionen, die für ein ganzheitliches Netzwerkrichtlinien-Management nötig sind. ClearPass funktioniert dabei nicht nur mit Aruba-Geräten, sondern dem Hersteller zufolge mit praktisch allen gängigen Access Points und Switches verschiedener Anbieter. Außerdem kann es mit seinen Profiling-Funktionen automatisch und in Echtzeit alle verbundenen Endpoints erkennen und klassifizieren. Dies ermöglicht sogenannte Colorless Ports, wodurch für den Administrator einiges an unproduktiver Konfigurationsarbeit entfällt und die Fehleranfälligkeit des Netzwerkes minimiert wird. Zudem soll sich so das Sicherheitsniveau des Netzwerkes deutlich erhöhen.

Eine Segmentierung allein sorgt für einen deutlichen Sicherheitsgewinn. Bild: Networkers

Das Herzstück von ClearPass ist der Policy Manager. Damit setzt der Administrator die Zugriffs- und Sicherheitsrichtlinien für die Nutzer des Netzwerks durch. An diesem Punkt fließen alle Netzwerkinformationen zusammen, und dort sind auch die ausgeklügelten Profiling-Mechanismen von ClearPass verankert. Die Plattform nutzt mehrere Methoden wie RADIUS-Attribute und DHCP-Fingerprinting, um Endpoints zu erkennen. Was der Administrator dann im Dashboard des Policy Managers zu sehen bekommt, ist oft sehr hilfreich: Das Tool erkennt beispielsweise nicht nur, dass es sich bei einem bestimmten Endpoint um ein Android-Tablet handelt, und teilt es automatisch dieser Geräteklasse zu. Es kann auch den Hersteller- und Gerätenamen identifizieren, ebenso wie die verwendete Android-Version.

Ähnlich funktioniert auch die Autorisierung von Access Points und Switches. ClearPass bringt von Haus aus 150 verschiedene RADIUS-Dictionaries mit, was den Einsatz herstellerspezifischer RADIUS-Attribute vereinfacht. Damit geht der Betrieb einer Multi-Vendor-Netzwerkinfrastruktur signifikant leichter vonstatten.

Farblos und dynamisch

Noch interessanter ist jedoch vielfach die Fähigkeit, dynamische Colorless Ports bereitzustellen. In einer immer größeren Anzahl an Unternehmen ist das Netzwerk vor allem aus Sicherheitsgründen mehr oder weniger stark segmentiert. Um das umzusetzen, teilen die Administratoren für verschiedene Geräteklassen und Systeme jeweils eigene Port-Gruppen auf dem Switch zu. An den Ports 1 bis 5 sollen beispielsweise Telefone verbunden sein, an den Ports 6 bis 10 die Drucker und so weiter. Was sich zunächst einfach anhört, erweist sich in der Praxis gerade in mittelständischen und großen Unternehmen als komplexe Herausforderung.

Gerade bei Mitarbeiterumzügen oder der Integration neuer Geräte kommt es oft zu Störungen im Netzwerk, weil die Mitarbeiter ihre Geräte mit den falschen Ports verbinden oder die Administratoren mit den Konfigurationen nicht hinterherkommen. Im Alltag beschäftigen sie sich daher zu einem großen Teil mit der Konfiguration der Switch-Ports – und die tatsächlich wichtigen Aufgaben bleiben liegen. Gefragt ist eine automatsche Konfiguration der Ports, sobald ein Gerät angeschlossen ist. Dies Aufgabe übernimmt ClearPass ebenfalls. Jeder Switch-Port lässt sich mit der Plattform in einen dynamischen Port umwandeln, der sich beim Anschluss eines Geräts automatisch konfiguriert. Damit ist also völlig gleichgültig, ob an Port 1 ein Telefon oder Drucker angeschlossen wird – die Konfigurationsarbeit übernimmt das Tool. Dabei nutzt die Plattform ihre Profiling-Fähigkeiten, MAC-Authentifizierung sowie die Richtlinien, die von dem Administrator im Policy Manager für die jeweiligen Geräteklassen festgelegt sind. Auf diese Weise müssen Administratoren keine Port-Gruppen mehr erstellen, diese ständig im Auge behalten und sich mit der Konfiguration von Switch-Ports beschäftigen. Gleichzeitig trägt ClearPass zur Sicherheit des Netzwerks bei.

Kevin Portsteffen ist Technical Consultant und Aruba Ambassador bei Networkers, www.networkers.de.