Netzwerk-Management auf der Control Plane

Alles unter Kontrolle im Netzwerk

| Redakteur: Wilfried Platten

Kompakte Network Services Appliance für Filialen und Niederlassungen am "Rande des Netzwerks".
Kompakte Network Services Appliance für Filialen und Niederlassungen am "Rande des Netzwerks". (Bild: Infoblox)

Infoblox setzt beim Network Controlling auf dedizierte Appliances. Die Software auf den Appliances zeichnet dabei entscheidendend verantwortlich für das Feature-Set. Dennoch ist Software-Defined Networking (SDN) bei Infoblox noch kein Thema.

Nach eigenen Angaben besitzt Infoblox im Bereich Network Controlling mit 6.100 Kunden und über 45.000 ausgelieferten Systemen einen Marktanteil von mehr als 40 Prozent. Nicht schlecht für ein Unternehmen, das 1999 im kalifornischen Santa Clara gegründet wurde.

Unter Network Controlling versteht Infoblox die Steuerung, Automatisierung und Kontrolle des Netzwerks. Logisch sind diese Aufgaben auf der „Control Plane“ angesiedelt zwischen der Netzwerk-Infrastruktur, also den Routern, Switches, Firewalls und Web Proxys einerseits, und der Anwendungsseite andererseits, also den Applikationen, Cloud-Apps und virtuellen Maschinen. Wenn man so will, sitzt das Unternehmen damit zwischen allen Stühlen, fühlt sich in dieser Position aber offensichtlich pudelwohl.

Appliances sind…

Zur Bewältigung dieser Aufgaben setzt Infoblox nicht auf ein reines Software-Angebot sondern auf Appliances. „Es geht ja im Netzwerkumfeld immer auch um das Thema Sicherheit und Verfügbarkeit. Die kann man mit einer dedizierten Hardware-Software-Lösung viel besser abdecken“, beschreibt Rainer Singer, System Engineer CEUR, den Ansatz von Infoblox.

Dabei geht es auf der Hardware-Seite weniger darum, besonders ausgefallene Geräte zu bauen, sondern Black Boxes bereit zu stellen, die nichts anderes tun, als sich um das Network Controlling zu kümmern.

„Wir setzen ganz bewusst auf dedizierte Netzwerk-Server und nicht auf Applikations-Server, bei denen die Netzwerkdienste nebenher laufen. Damit wollen wir potentiellen Problemen, wie etwa Konflikten mit DNS-Diensten, von vorne herein aus dem Weg gehen“, so Singer.

…Hardware…

Die Highend-Geräte sind amerikanische OEM-Produkte, während die anderen Appliances nach Infoblox-Spezifikationen im Silicon Valley gefertigt werden. Komplett „Made in USA“, sozusagen.

Auch die Hochverfügbarkeit wird zumindest teilweise über Hardware-Redundanz geregelt. Das beginnt bei doppelten Netzteilen im Stand-alone-Modus, und endet bei Aktiv-Passiv-Konstellationen mit mehreren Appliances. Die Replikation und das Failover erfolgen dabei über das Redundanz-Protokoll VRRP (Virtual Router Redundance Protocol).

Dieses etablierte Protokoll wird beispielsweise von in Checkpoint IPSO Appliances (früher Nokia Appliances) für seine Checkpoint Firewall-Software genutzt. Damit wird beim Failover sichergestellt, dass beim Ausfall der aktiven Appliance das passive Pendant das Ruder innerhalb von weniger als fünf Sekunden übernimmt.

… plus Software

Womit wir bei dem wohl spannenderen Teil wären: der Software. Sie beherrscht unter anderem das Konfigurations- und Change-Management innerhalb des Netzwerks, wichtig auch unter Compliance-Gesichtspunkten: „Wir können alle Änderungen an der Initial-Konfiguration eines Netzwerks sichtbar machen und gegebenenfalls entsprechende Warnungen absetzen. Beispielsweise kann in der Firmen-Policy die Nutzung des unverschlüsselten Telnet-Dienstes verboten sein. Trotzdem ist es möglich, dass ein Mitarbeiter die Funktion einschaltet und nutzt. Dies wird dann automatisch registriert, und der Netzwerk-Administrator erhält eine entsprechende Meldung.“ Das funktioniert laut Singer mit allen namhaften Netzwerk-Anbietern wie etwa Brocade, Cisco, Juniper oder Extreme Networks.

Über die Infoblox-Software lässt sich auch die Firewall Rule Automation regeln. „Die Idee dahinter ist es, verschiedene Firewalls in der Kette gemeinsam administrieren zu können. Häufig wird vom BSI (Bundesamt für Informationssicherheit) ja ein zweistufiges Konzept gefordert, beispielsweise mit einer internen Checkpoint-Firewall plus einer externen Cisco Pix. Die verschiedenen Firewall-Regeln können wir analysieren, durchsuchen und provisionieren.“

Mit der Flut an mobilen Geräten, die ins Netzwerk eingebunden werden müssen, steigt auch die Bedeutung der DNS-/DHCP-Dienste, und damit das Management der IP-Adressen, kurz IPAM. „Auch ein Smartphone hat heute eine IP-Adresse. Deshalb schaffen wir mehr Transparenz in Richtung Endgeräte.“

Stichwort SDN

Obwohl Infoblox mit seinen Lösungen auf der Control Plane aktiv ist, hat das Unternehmen erstaunlicherweise bislang noch kein entsprechendes SDN-Protokoll integriert.

„Das interne Know-how dazu ist vorhanden. Unser Gründer Stu Bailey hat an einer Reihe von Dokumenten zu diesem Thema mitgearbeitet. Wir haben aktuell eine API, über die wir unsere Appliances in SDN-Umgebungen einbinden können. Auf der Protokollseite aber ist der sich abzeichnende SDN-Standard OpenFlow noch in einem sehr frühen Stadium. Wir beobachten das sehr genau und werden beizeiten eigene Lösungen dazu haben“, beschreibt Singer den Stand der Dinge in Sachen SDN.

Neue Lösungen

Im noch jungen Jahr 2013 hat Infoblox bereits mehrere neue Produkte vorgestellt: die DNS Firewall, den Security Device Controller und die Trinzic 100 Network Edge Services Appliance.

Die Infoblox DNS Firewall ist eine optionale Software-Ergänzung zur Infoblox DDI (DNS, DHCP und IPAM) und soll Malware blocken, die Domain Name Systems (DNS) als Transportprotokoll nutzt, um Verbindung zu einer bösartigen Website oder einem Botnet-Controller aufzunehmen.

Dazu werden von Experten erstellte Daten in Echtzeit bereitgestellt, um automatisch an alle rekursiven DNS-Server von Infoblox eine aktuelle Liste aller bekannten bösartigen Domainnamen und IP-Adressen zu übertragen. Versucht Malware oder ein Benutzer nun, eine Verbindung zu einer bösartigen Zieladresse herzustellen, verhindert Infoblox DNS Firewall die Verbindung, identifiziert das infizierte Gerät und benachrichtigt das IT-Team, das dann entsprechende Maßnahmen ergreifen kann.

Der Infoblox Security Device Controller kümmert sich um die bereits angesprochene Firewall Rule Automation. Er optimiert die Steuerung der Zugangsregeln und automatisiert die Bereitstellung von Regeln auf Sicherheitsgeräten. Damit können die IT-Sicherheitsexperten im Unternehmen Veränderungen auch in einer Umgebung mit Geräten unterschiedlicher Hersteller automatisch analysieren, aufsetzen, prüfen und einrichten.

Die kompakte Infoblox Trinzic 100 Network Edge Services Appliance ist für den Einsatz „am Rande des Netzwerks“ konzipiert. Sie soll die Netzwerksteuerung in Niederlassungen, Zweigstellen oder Filialen abseits der Firmenzentrale ohne besondere Hardware oder IT-Kenntnisse ermöglichen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38342930 / Change-und Konfigurations-Management)