Der Ausbau der Netzwerke zum multifunktionalen Übertragungsmedium erfordert bereits bei der Planung weitreichende Entscheidungen. TCP/IP- basierende Protokolle und -Dienste sind als Träger der modernen Kommunikation nicht mehr wegzudenken und stellen die Basis für jedes Unternehmensnetz dar. Gleichzeitig haben sich das Ethernet und die entsprechende Switch-Technologie in den Unternehmen durchgesetzt. Die bereits heute existierenden Sicherheitsanforderungen und das Bestreben nach Zukunftssicherheit, erfordern jedoch ein Redesign der bisherigen Kommunikationskonzepte. Eine auf die am Zugangsport heruntergebrochene Sicherheit verhindert einen nicht autorisierten Zugriff auf das Netzwerk und bildet gleichzeitig die Grundlage für eine Verrechnung der vom Netz erbrachten Leistungen. Die Nexans Switch Systeme unterstützen alle relevanten Sicherheitsmechanismen wie IEEE 802.1X und Mac-basierende Zugangskontrolle. In Verbindung mit einem zentralen Authenticationserver, z.B. Radius, wird die Sicherheit in Unternehmensnetzen erheblich gesteigert. Durch Zugangskontrolle direkt am Teilnehmerport des Industrie-Switches wird ein maximales Sicherheitslevel erreicht. Hierdurch wird die Identität des Clients unmittelbar am Anschlusspunkt abgefragt und nicht erst am gebündelten Port des zentralen Switches. Ein Missbrauch des Netzwerkanschlusses, z.B. durch Mithören von Traffic, ist hiermit grundsätzlich ausgeschlossen. Jeder Switchport kann unabhängig voneinander auf die gewünschte Authentifizierungsmethode konfiguriert werden. Im Falle einer fehlerhaften Authentifizierung können außerdem entsprechende SNMP-Traps und Syslog-Meldungen gesendet werden, die diesen Sicherheitsverstoß (Security Violation) an das zentrale Netzwerkmanagement melden. Dabei wird die Mac-Adresse des unberechtigten Clients mit übertragen und dokumentiert. Zusätzliche Sicherheit wird durch eine Vielzahl zuschaltbarer SNMP-Traps und Syslog-Meldungen für bis zu acht Empfänger erreicht. Hierzu gehören z.B.: – ColdStart – Authentication Failure – Error Count Failure – Link Change/Link Down/Link Up – New Mac Address – Portsecurity Failure – Overheat Failure – Radius Security Failure – Radius Portsecurity Reject – Port Loop/Broadcast Failure – Switch PoE Voltage Failure – Switch PoE Overload Failure – Port PoE Overload Failure – Industrial Alarm M1/M2 – RSTP New Root – RSTP Topology Change Radius – Ein Server für alle Authentifizierungsaufgaben Alle Unternehmen, die den Zugriff auf ein Netzwerk ermöglichen, stehen vor einem großen Sicherheitsproblem. Einer Vielzahl Benutzern wird Zugang zum Unternehmensnetz gewährt. Zur Gewährleistung der Sicherheit muss genauestens geprüft werden, wer Zugang zum Netzwerk bekommt, um gleich im Vorfeld einen Missbrauch von Diensten auszuschließen. Radius ist ein Standard für die Authentifizierung und das Accounting von Nutzern. Es basiert auf dem Client/Server-Modell, wobei der Client hierbei der Industrie-Switch (Übergabepunkt) ist. Der Switch stellt die Anfragen an einen zentralen Radius-Server und gibt aufgrund der dort vorhandenen Nutzerinformationen entsprechende Ressourcen auf das Netzwerk frei oder verhindert den Zugriff. Die Kommunikation zwischen dem Switch und dem Radius-Server wird dadurch gesichert, dass sich beide Kommunikationspartner gegenseitig durch ein \’Shared Secret\‘ authentifizieren und den Datentransfer verschlüsseln könnnen. Radius unterstützt eine Vielzahl von Authentifizierungsmöglichkeiten und kann viele erweiterbare Attribute zu einem Benutzer verarbeiten und übermittteln. Beim Nexans Industrie-Switch kann Radius für folgende Authentifizierungsaufgaben eingesetzt werden: – Mac-basierte Zugangskontrolle – IEEE802.1X – Accounting – Telnet Administration – Administration durch den NexMan (Nexans SwitchManager) Telnet/NexMan-Administration Bei der oben genannten Telnet und NexMan-Administration bestimmt der Radius-Server, welche User Read/Only bzw. Read/Write Access auf das Switch Management Interface erhalten. Eine Konfiguration der Passwörter auf jedem einzelnen Industrie-Switch entfällt dadurch vollständig. Mac-basierte Zugangskontrolle am Port des Industrie-Switches Die erste Stufe der Sicherheit wird durch die Mac-basierte Zugangskontrolle der Clients erreicht. Dabei muss jede Mac-Adresse dem zentralen Radius-Server bekannt sein, damit Zugang zum Netzwerk gewährt wird. Dies verhindert, dass unberechtigte Geräte im produktivem Netzwerk betrieben werden. Durch die Unterstützung eines sogenannten \’unsecure V-LAN\‘ in den Nexans Switches, können unbekannte Geräte in dieses spezielle V-LAN geschaltet werden. Hier können z.B. unkritische Basisdienste zur Verfügung gestellt werden. Bei bekannten Mac-Adressen hat der Radius-Server die Möglichkeit, den betreffenden Switchport in ein definiertes V-LAN zu verschieben. So können z.B. Dru-cker automatisch in das entsprechende Drucker-V-LAN geschaltet werden. Die Festlegung, welche Mac-Adresse welchem V-LAN zugeordnet wird, wird dabei allein in der zentralen Datenbank des Radius-Servers vorgenommen. Die Authentifizierung der Clients über die Mac-Adresse ist bei W-LAN Access Points bereits seit geraumer Zeit Quasi-Standard. Mit der Adaption dieses Verfahrens auf physikalische Ports übernimmt Nexans eine Vorreiterrolle bei der Securitytechnologie. Die Philosophie von 802.1X Die Idee zu 802.1X kam von Institutionen, die den Zugang zu öffentlichen Netzwerken einfach kontrollieren wollten (Universitäten, Behörden, Bibliotheken usw.). Die gewünschte Lösung sollte kostengünstig und einfach zu implementieren sein. Dabei sollte die bestehende Netzwerk-Infrastruktur ebenso wie etablierte Protokolle verwendet werden. VPN erfüllte zwar einige der Voraussetzungen, schied aber als generelle Lösung aufgrund der hohen Ressourcen-Anforderungen und der komplexen Konfiguration aus. Das Konzept für 802.1X wurde schließlich gemeinsam von 3Com, HP, und Microsoft entwickelt und im Juni 2001 als IEEE Standard verabschiedet. IEEE 802.1X Der IEEE-802.1X-Standard stellt eine wichtige Weiterentwicklung im Sicherheitskonzept für Netzwerke dar und bietet eine Möglichkeit, schon an einem Netzwerkzugangsport eine Benutzeridentifizierung vornehmen zu können. Um das Zusammenspiel zwischen IEEE 802.1X, Extensible Authentication Protokoll (EAP) und Radius zu durchschauen, lohnt sich ein Blick auf jedes einzelne Element. 802.1X ist eher als ein architektonisches Framework konzipiert. Es regelt den Zugang zu Frame-basierenden Netzen auf Port-Ebene, dazu gehören neben Ethernet natürlich auch Token Ring, FDDI und die gesamte Wireless-Ethernet-Technik. Der Standard unterteilt diese Netze deutlich in drei Gruppen, die schon aus der Radius-Methodik bekannt sind: den Supplicant oder Bittsteller, den Authenticator und den Authentication-Server. Daraus ergibt sich ein grundlegendes Kommunikationsprinzip. Der Bittsteller ist eine Instanz, die den vom Port des Authenticators bereitgestellten Dienst nutzen möchte. Im LAN wäre der Bittsteller also der Client, der über den Port des Switches auf das Netz und darin eingebettete Ressourcen zugreifen möchte. Der Authenticator (Nexans Industrie-Switch) leitet diese Anfrage an den Authentication-Server weiter, der sie prüft. In diesem Falle übernimmt ein Radius-Server diese Rolle. Ist das Ergebnis positiv, geht die Kommunikationskette den Weg zurück und der Authenticator, also der Nexans Switch schaltet am Ende seinen Port in das Produktiv V-LAN frei. Analog zur Mac-basierten Zugangskontrolle können auch hier unberechtigte User/Clients in das unsecure V-LAN geschaltet werden. Ferner können authentifizierte User/Clients in ein zentral auf dem Radius-Server konfiguriertes V-LAN geschaltet werden. So kann z.B. der Benutzer \’Maier\‘ aus der Instandhaltung in das entsprechende abgesicherte V-LAN geschaltet werden, unabhängig davon an welchem Switch bzw. Switchport er aufgeschaltet ist. Allein der Radius-Server ist für die Verteilung der V-LANs auf die einzelnen Clients verantwortlich. Aufwendige Konfigurationen einzelner Switchports entfallen hiermit. Das Extensible Authentication Protokoll (EAP) Mithilfe von EAP können zwei Kommunikationspartner vor der eigentlichen Authentifizierung aushandeln, welche Authentifizierungsmethode angewandt werden soll. EAP beschreibt in einem einfachen Request-Response-Verfahren den Austausch der Authentifizierungsdaten vom Benutzer zum Authentisierungsserver und dessen Antwort. Dabei können beliebige Authentifizierungsmechanismen oder Zertifikate benutzt werden. EAP wird entweder in Verbindung mit einem PPP Data Link verwendet oder als Protokoll-Framework zum Authentifizierungs-Datenaustausch in anderen Protokollen, so etwa auch in IEEE 802.1X eingesetzt. Unterstützung aller Standard EAP-Methoden Ein Merkmal des Nexans 802.1X Authenticators ist die Transparenz für alle Standard EAP Methoden wie z.B. EAP-MD5, EAP-TLS, EAPTTLS, EAP-PEAP und alle weiteren. Auch neue Methoden, die erst in Zukunft standardisiert werden, können ohne Software-Updates der Switche verarbeitet werden. Ausschließlich der Client und der Radius-Server müssen die verwendete EAP Methode verstehen. NexMan – Nexans Switch Manager Anders als bei der Konfiguration von einigen wenigen zentralen Coreswitchen, müssen beim Einsatz von abgesetzten Industrie-Switchen eine Vielzahl dezentraler Switche konfiguriert und administriert werden. Aus diesem Grund wurde von Nexans ein speziell auf diese Anforderungen optimiertes Konfigurationstool entwickelt. Dieser sogenannte NexMan (Nexans Switch Manager) ermöglicht die automatisierte Verteilung von Grundkonfigurationen (Master Configs) und Software Updates auf eine beliebige Anzahl von Industrie-Switchen. Dabei kann die komplette Konfiguration oder auch nur eine Teilkonfiguration verteilt werden. Eine weitere wichtige Funktion des NexMan ist die zentrale Archivierung aller Switchkonfigurationen in einer Datenbank. Dies ermöglicht im Störungsfall eine schnelle Rekonfiguration der Switchparameter. Kasten: Über Nexans Nexans, der weltweit führende Kabelhersteller, bietet eine umfassende Palette von (Kupfer-, Aluminium- und LWL-) Kabeln und Kabelsystemen an. Die Strategie des Konzerns, dessen Kerngeschäft die Energiekabel sind, ist speziell auf die Marktbereiche Infrastruktur, Industrie und Gebäude ausgerichtet. Nexans entwickelt Lösungen für Industriebranchen wie Schiffbau, Öl und Gas, Automobilindustrie, Elektronik, Luft- und Raumfahrttechnik, Handling sowie Automation und hat dabei auch Lösungen für öffentliche und private (lokale) Telekommunikationsnetzwerke im Angebot. Mit Herstellungsbetrieben in über 30 Ländern und Büros und Vertretungen weltweit beschäftigt Nexans insgesamt 21.000 Mitarbeiter und hat 2006 einen Umsatz von 7,5Mrd.E erwirtschaftet. Nexans ist ein an der Pariser Börse notiertes Unternehmen. Hannover Messe 2008: Halle 12
Thematik: Allgemein
Nexans Deutschland GmbH
