| |
Systeme für raue Umgebungen
Systeme für Office Anwendungen
|
|
|
Sicherheit für Industrial Ethernet Netze
Fachbericht
| Sicherheit in Unternehmensnetzen ist nicht nur eine Frage der Technik, sondern vielmehr eine Frage der Firmenphilosophie. Sicherheit fängt schon bei der Planung des Netzes an und muss immer wieder aufs Neue geprüft werden. |
| Der Ausbau der Netzwerke zum multifunktionalen Übertragungsmedium erfordert bereits bei der Planung weitreichende Entscheidungen. TCP/IP- basierende Protokolle und -Dienste sind als Träger der modernen Kommunikation nicht mehr wegzudenken und stellen die Basis für jedes Unternehmensnetz dar. Gleichzeitig haben sich das Ethernet und die entsprechende Switch-Technologie in den Unternehmen durchgesetzt. Die bereits heute existierenden Sicherheitsanforderungen und das Bestreben nach Zukunftssicherheit erfordern jedoch ein Redesign der bisherigen Kommunikationskonzepte. Eine auf die am Zugangsport herunter gebrochene Sicherheit verhindert einen nicht autorisierten Zugriff auf das Netzwerk und bildet gleichzeitig die Grundlage für eine Verrechnung der vom Netz erbrachten Leistungen.
|
|
| Die Nexans Switch Systeme unterstützen schon heute alle relevanten Sicherheitsmechanismen wie IEEE 802.1X und MAC-basierende Zugangskontrolle. In Verbindung mit einem zentralen Authenticationserver, z.B. RADIUS wird die Sicherheit in Unternehmensnetzen erheblich gesteigert. Maximale Sicherheit wird durch Zugangskontrolle direkt am Teilnehmerport des Industrie-Switches erreicht. Hierdurch wird die Identität des Clients unmittelbar am Anschlusspunkt abgefragt und nicht erst am gebündelten Port des zentralen Switches. Ein Missbrauch des Netzwerkanschlusses, z.B. durch Mithören von Traffic ist hiermit grundsätzlich ausgeschlossen. Jeder Switchport kann unabhängig voneinander auf die gewünschte Authentifizierungsmethode konfiguriert werden. Im Falle einer fehlerhaften Authentifizierung können außerdem entsprechende SNMP-Traps und SYSLOG-Meldungen gesendet werden, die diese Security Violation an das zentrale Netzwerkmanagement melden. Dabei wird die MAC-Adresse des unberechtigten Clients mit übertragen und dokumentiert. |
Zusätzliche Sicherheit wird durch eine Vielzahl zuschaltbarer SNMP-Traps und SYSLOG-Meldungen für bis zu acht Empfänger erreicht. Hierzu gehören z.B: | ColdStart | |
Authentication Failure | |
Error Count Failure | |
Link Change/Link Down/Link Up | |
New MAC Address | |
Portsecurity Failure | |
Overheat Failure | |
Radius Security Failure | |
Radius Portsecurity Reject | |
Port Loop/Broadcast Failure | |
Switch PoE Voltage Failure | |
Switch PoE Overload Failure | |
Port PoE Overload Failure | |
Industrial Alarm M1/M2 | |
RSTP New Root | |
RSTP Topology Change |
|
Telnet/NexMan-Administration Bei der oben genannten Telnet- und NexMan-Administration bestimmt der RADIUS Server, welche User Read/Only bzw. Read/Write Access auf das Switch Management Interface erhalten. Eine Konfiguration der Passwörter auf jedem einzelnen Industrie Switch entfällt dadurch vollständig. |
MAC basierte Zugangskontrolle am Port des Industrie Switches Die erste Stufe der Sicherheit wird durch die MAC-basierte Zugangskontrolle der Clients erreicht. Dabei muss jede MAC-Adresse dem zentralen Radius Server bekannt sein, damit Zugang zum Netzwerk gewährt wird. Dies verhindert effektiv, dass unberechtigte Geräte im produktivem Netzwerk betrieben werden. Durch die Unterstützung eines sogenannten "Unsecure VLAN" in den Nexans Switchen, können unbekannte Geräte in dieses spezielle VLAN geschaltet werden. Hier können z.B. unkritische Basisdienste zur Verfügung gestellt werden. Bei bekannten MAC Adressen hat der Radius Server die Möglichkeit, den betreffenden Switchport in ein definiertes VLAN zu verschieben. So können z.B. Drucker automatisch in das entsprechende Drucker-VLAN geschaltet werden. Die Festlegung, welche MAC-Adresse welchem VLAN zugeordnet wird, wird dabei allein in der zentralen Datenbank des Radius Servers vorgenommen. Die Authentifizierung der Clients über die MAC Adresse ist bei Wireless LAN Access Points bereits seit geraumer Zeit Quasi-Standard. Mit der Adaption dieses Verfahrens auf physikalische Ports übernimmt Nexans eine Vorreiterrolle bei der Securitytechnologie. |
Die Philosophie von 802.1X Die Idee zu 802.1X kam von Institutionen, die den Zugang zu öffentlichen Netzwerken einfach kontrollieren wollten (Universitäten, Behörden, Bibliotheken etc.). Die gewünschte Lösung sollte kostengünstig und einfach zu implementieren sein. Dabei sollte die bestehende Netzwerk-Infrastruktur ebenso wie etablierte Protokolle verwendet werden. VPN erfüllte zwar einige der Voraussetzungen, schied aber als generelle Lösung aufgrund der hohen Ressourcen-Anforderungen und der komplexen Konfiguration aus. Das Konzept für 802.1X wurde schließlich gemeinsam von 3Com, HP, und Microsoft entwickelt und im Juni 2001 als IEEE Standard verabschiedet. |
IEEE 802.1X Der IEEE-802.1X-Standard stellt eine wichtige Weiterentwicklung im Sicherheitskonzept für Netzwerke dar und bietet eine Möglichkeit, schon an einem Netzwerkzugangsport eine Benutzeridentifizierung vornehmen zu können.
Um das Zusammenspiel zwischen IEEE 802.1X, Extensible Authentication Protokoll (EAP) und RADIUS zu durchschauen, lohnt sich ein Blick auf jedes einzelne Element. 802.1X ist eher als ein architektonisches Framework konzipiert. Es regelt den Zugang zu Framebasierenden Netzen auf Port-Ebene, dazu gehören neben Ethernet natürlich auch Token Ring, FDDI und die gesamte Wireless-Ethernet-Technik. Der Standard unterteilt diese Netze deutlich in drei Gruppen, die schon aus der RADIUS-Methodik bekannt sind:
- den Supplicant oder Bittsteller,
- den Authenticator und den Authentication-Server.
Daraus ergibt sich ein grundlegendes Kommunikationsprinzip. Der Bittsteller ist eine Instanz, die den vom Port des Authenticators bereit gestellten Dienst nutzen möchte. Im LAN wäre der Bittsteller also der Client, der über den Port des Switches auf das Netz und darin eingebettete Ressourcen zugreifen möchte. Der Authenticator (Nexans Industrie Switch) leitet diese Anfrage an den Authentication-Server weiter, der sie prüft. In diesem Falle übernimmt ein RADIUS-Server diese Rolle. Ist das Ergebnis positiv, geht die Kommunikationskette den Weg zurück und der Authenticator, also der Nexans Switch schaltet am Ende seinen Port in das Produktiv VLAN frei.
Analog zur MAC basierten Zugangskontrolle können auch hier unberechtigte User/Clients in das Unsecure VLAN geschaltet werden. Ferner können authentifizierte User/Clients in ein zentral auf dem Radius Server konfiguriertes VLAN geschaltet werden. So kann z.B. der Benutzer "Maier" aus der Instandhaltung in das entsprechende abgesicherte VLAN ge-schaltet werden, unabhängig davon an welchem Switch bzw. Switchport er aufgeschaltet ist. Allein der Radius Server ist für die Verteilung der VLANs auf die einzelnen Clients verantwortlich. Aufwendige Konfigurationen einzelner Switchports entfallen hiermit. |
Das Extensible Authentication Protokoll (EAP) Mit Hilfe von EAP können zwei Kommunikationspartner vor der eigentlichen Authentifizierung aushandeln, welche Authentifizierungsmethode angewandt werden soll. EAP beschreibt in einem einfachen Request-Response-Verfahren den Austausch der Authentifizierungsdaten vom Benutzer zum Authentisierungsserver und dessen Antwort. Dabei können beliebige Authentifizierungsmechanismen oder Zertifikate benutzt werden. EAP wird entweder in Verbindung mit einem PPP Data Link verwendet oder als Protokoll-Framework zum Authentifizierungsdatenaustausch in anderen Protokollen, so etwa auch in IEEE 802.1X eingesetzt. |
Unterstützung aller Standard EAP-Methoden Ein Merkmal des Nexans 802.1X Authenticators ist die Transparenz für alle Standard EAP Methoden wie z.B. EAP-MD5, EAP-TLS, EAP-TTLS, EAP-PEAP und alle weiteren. Auch neue Methoden, die erst in Zukunft standardisiert werden, können ohne Software-Updates der Switche verarbeitet werden. Ausschließlich der Client und der Radius Server müssen die verwendete EAP Methode verstehen. |
NexMan - Nexans Switch Manager Anders als bei der Konfiguration von einigen wenigen zentralen Coreswitchen, müssen beim Einsatz von abgesetzten Industrie-Switchen eine Vielzahl dezentraler Switche konfiguriert und administriert werden. Aus diesem Grund wurde von Nexans ein speziell auf diese Anforderungen optimiertes Konfigurationstool entwickelt. Dieser so genannte NexMan (Nexans Switch Manager) ermöglicht die automatisierte Verteilung von Grundkonfigurationen (Master Configs) und Software Updates auf eine beliebige Anzahl von Industrie Switchen. Dabei kann die komplette Konfiguration oder auch nur eine Teilkonfiguration verteilt werden. Eine weitere wichtige Funktion des NexMan ist die zentrale Archivierung aller Switchkonfigurationen in einer Datenbank. Dies ermöglicht im Störungsfall eine schnelle Rekonfiguration der Switchparameter. |
Über Nexans Nexans, der weltweit führende Kabelhersteller, bietet eine umfassende Palette von (Kupfer-, Aluminium- und LWL-) Kabeln und Kabelsystemen an. Die Strategie des Konzerns, dessen Kerngeschäft die Energiekabel sind, ist speziell auf die Marktbereiche Infrastruktur, Industrie und Gebäude ausgerichtet. Nexans entwickelt Lösungen für Industriebranchen wie Schiffbau, Öl und Gas, Automobilindustrie, Elektronik, Luft- und Raumfahrttechnik, Handling sowie Automation und hat dabei auch Lösungen für öffentliche und private (lokale) Telekommunikationsnetzwerke im Angebot. Mit Herstellungsbetrieben in über 30 Ländern und Büros und Vertretungen weltweit beschäftigt Nexans insgesamt 21.000 Mitarbeiter und hat 2006 einen Umsatz von 7,5 Mrd. Euro erwirtschaftet. Nexans ist ein an der Pariser Börse notiertes Unternehmen. |
|
|
Software Release V3.61 Ab sofort kann das Switch Manager Release V3.61 und die Firmware Releases V3.61 angefordert werden.
|
|
|
