Zurück

Warum Automatisierung ein „Muss“ für die Bereitstellung von 802.1x in einem kabelgebundenen Netzwerk ist

by Phillip Gervasi 4. Mai 2018

Ich habe viel gemacht 802.1x Projekte in letzter Zeit. Und mit viel meine ich viel. Lösungen wie die Identity Services Engine von Cisco, Packetfence und unser alter Favorit Microsoft Network Policy Server werden schnell zum Eckpfeiler des kabelgebundenen Netzwerkzugriffs und nicht nur zu einem interessanten Eckfall für die am sicherheitsbewusstesten.

Für mich waren die größten Herausforderungen nicht die Richtlinien, die Integrationen oder die Lizenzierung (lassen Sie mich nicht mit der Lizenzierung beginnen). Die größte Herausforderung bei der Bereitstellung von 802.1x in einem kabelgebundenen Netzwerk war die unglaubliche Langeweile von Netzwerkerkennung und jeden einzelnen Switchport in der Zugriffsschicht konfigurieren zu müssen.

Normalerweise melden wir uns bei unserem in die Domäne eingebundenen Computer an und authentifizieren uns mit einem Benutzernamen und einem Kennwort bei einem LDAP-Verzeichnis wie Microsoft Active Directory. Dadurch wird der Zugriff auf Netzwerkressourcen wie Dateifreigaben, Anwendungen und Netzwerkdrucker gesteuert. Die Verwendung von 802.1x-Authentifizierung und -Autorisierung ermöglicht es uns jedoch, die Netzwerksicherheit auf eine ganz neue Ebene zu bringen.

Eine 802.1x-Lösung wie Cisco ISE kann dieselbe Back-End-LDAP-Datenbank verwenden, um den Zugriff auf das Netzwerk selbst zu gewähren oder zu verweigern. Mit anderen Worten, der Switchport leitet den Datenverkehr nicht einmal weiter, wenn sich ein Endbenutzer nicht authentifizieren kann. Und anstatt nur einen Benutzernamen und ein Passwort zu verwenden, kann eine robuste Netzwerkzugriffslösung mehrere Bedingungen berücksichtigen, um den Zugriff zu gewähren.

Die größte Herausforderung bei der Bereitstellung von 802.1x in einem kabelgebundenen Netzwerk war die unglaubliche Langeweile der Netzwerkerkennung und die Notwendigkeit, jeden einzelnen Switchport in der Zugriffsschicht zu konfigurieren.

 

Der manuelle Ansatz: Ein monatelanger Alptraum

Heutzutage gehen viele Organisationen sogar noch weiter und verwenden diese Methode, um ACLs und VLANs dynamisch einem bestimmten Switchport zuzuweisen, basierend auf Benutzeridentität, Computeridentität, Gerätetyp, Computerzustand oder einer Kombination dieser und anderer Faktoren. Dies ist sehr leistungsfähig, da es Netzwerkadministratoren eine viel genauere Kontrolle über den Netzwerkzugriff gibt, insbesondere wenn es um BYOD, gemeinsam genutzte Arbeitsbereiche und Gastbenutzer geht.

Ich habe an einem ISE-Projekt für eine globale Organisation mit mehreren hunderttausend Mitarbeitern, Schulbezirken mit tausend Mitarbeitern und Tausenden von Schülern und kleinen Unternehmen mit insgesamt nur wenigen hundert Mitarbeitern gearbeitet. Das Backend ist immer ungefähr dasselbe: ein paar Domänencontroller, vielleicht in einem Cluster oder auch nicht, ein paar ISE-Server, möglicherweise auch in einem Cluster, und sehr ähnliche Richtlinien. Der Unterschied besteht jedoch darin, wie viele Schalter ich betrachten und wie viele Ports ich berühren muss.

NetBrain Geräte entdeckenNetBrain erkennt automatisch mehr als 2,000 Geräte pro Stunde – Hunderte von Modellen von Dutzenden von Anbietern.

Hier wird es interessant. Cisco ISE agiert nicht alleine. Der Switch, an den ein Gerät angeschlossen wird, ist eigentlich ein Proxy, der im Namen des Clients mit dem Cisco ISE-Server kommuniziert. Daher müssen die Hardware- und Softwareversion des Switches mit der verwendeten ISE-Version kompatibel sein.

Um Cisco ISE erfolgreich bereitzustellen, müssen Sie Ihre gesamte Zugriffsschicht inventarisieren, um zu sehen, ob es Switches gibt, die ersetzt oder aktualisiert werden müssen. In einer großen Organisation kann dies ein kleines Team buchstäblich Wochen in Anspruch nehmen.

Selbst mit Netzwerkdiagrammen als Hilfsmittel ist das Durchsuchen eines großen Netzwerks nach bestimmten Hardware- und Softwareversionen von Switches unglaublich mühsam. Insbesondere für ein Projekt brauchte ich mehrere Monate täglicher manueller Entdeckungsarbeit cdp-Nachbarn anzeigen und Version anzeigen.

Nachdem die Kompatibilität angesprochen und die ISE-Server konfiguriert wurden, muss ein Techniker jeden Switch mit ein paar Zeilen der globalen dot1x-Konfiguration konfigurieren, gefolgt von der Konfiguration jedes einzelnen Ports mit der entsprechenden dot1x-Konfiguration.

Wenn es jemals einen Grund für die Netzwerkautomatisierung gegeben hat, dann ist es dieser.

Der automatisierte Ansatz: Erkennung und Fehlerbehebung in Minuten

NetBrainDie automatische Erkennungsfunktion von erstellt eine Dynamic Map, oder mit anderen Worten, eine Echtzeit-Netzwerktopologie, die sich periodisch selbst aktualisieren kann. Dadurch erhalten Ingenieure innerhalb von Minuten eine genaue Karte des Netzwerks und nicht Stunden, Tage oder Wochen, die manuell erforderlich wären, und dies ist kein unbedeutender Vorteil. NetBrain kann Tausende von Geräten in einer Stunde erkennen, darunter Hunderte von Modellen von Dutzenden von Anbietern. Bestimmte Versionen von Cisco ISE funktionieren einfach nicht mit bestimmten Hardware- oder Softwareplattformen. Damit eine kabelgebundene 802.1x-Implementierung funktioniert, ist eine Netzwerkerkennung nicht nur hilfreich, sondern sogar unerlässlich.

Damit eine kabelgebundene 802.1x-Implementierung funktioniert, ist eine Netzwerkerkennung nicht nur hilfreich, sondern sogar unerlässlich.

 

Nach dem Upgrade von Hardware und Software auf die richtigen Versionen besteht der nächste Schritt darin, 802.1x global auf jedem Switch zu aktivieren und jedem Switchport die entsprechende Switchport-Konfiguration hinzuzufügen. Die Konfigurationen selbst sind nicht schwierig, aber die Mathematik. . . .

Selbst eine mittelgroße Organisation kann Hunderte von Switches haben. Und selbst nach Berücksichtigung von Servern und Trunk-Ports könnte dies immer noch Zehntausende von Switchports bedeuten.

Meiner Erfahrung nach erfolgt die Einführung von kabelgebundenem 802.1x in Phasen. In der Regel erfolgt dies Standort für Standort, wobei eine Fail-Open-Strategie verwendet wird, falls während einer Umstellung etwas schief geht. Der größte Teil des Änderungsfensters besteht jedoch in der Konfiguration von Geräten. Einige Konfigurationen können vorab bereitgestellt werden, z. B. die globalen 802.1x-Befehle, aber viele befinden sich auf Portebene und werden wirksam, sobald sie hinzugefügt werden.

Nach dem Umschneiden einer Site beginnt die Fehlerbehebung. Es gibt immer mindestens ein Gerät, das einfach keine Verbindung herstellt, und es geht darum, den Switch und Port aufzuspüren, an den das Gerät angeschlossen ist, und die Konfiguration zu überprüfen. Wenn wir jedoch über viele Switches sprechen, ist es selten nur ein Gerät, das Probleme hat.

Nach einem Post-Cutover Dynamic Map geschaffen, NetBrain Ausführbar Runbooks kann mit nur wenigen Klicks programmgesteuert nach Konfigurationsanomalien suchen oder in unserem Beispiel eine große kabelgebundene 802.1x-Implementierung beheben. Dies ist ein unglaublich leistungsfähiges Tool, wenn so viele Geräte in eine umfassende Authentifizierungslösung integriert sind.

Denken Sie daran, dass für mich die größten Herausforderungen bei der Bereitstellung von 802.1x in einem kabelgebundenen Netzwerk nicht die Richtlinien in dem von mir verwendeten Netzwerkzugriffsserver waren. Die größte Herausforderung besteht darin, das gesamte Netzwerk genau und schnell zu überwachen, um viele Konfigurationslinien für fast jeden Switch in der Zugriffsschicht bereitzustellen.

Die manuelle Erkennung und Fehlerbehebung ist reine Zeitverschwendung – ich weiß es, weil ich selbst dort war. Automatisierung dieser alltäglichen Aufgaben mit NetBrain gewährleistet eine viel genauere Ansicht des Netzwerks sowie eine viel effizientere Methode zur Fehlerbehebung bei einer großen Anzahl von Geräten gleichzeitig.

""

Siehst du warum automatische, intelligente Netzwerkerkennung schafft das „Gehirn“ von NetBrain.

Verbunden