Suchen

Wenn der Haustürschlüssel unter der Eingangsmatte liegt

Sicherheit in Firmennetzen ist Einstellung und Funktion

Seite: 2/2

Firma zum Thema

Fehlerbeseitigung unter 50 Millisekunden

Uwe Becker, der Autor des Artikels und Manager bei Allied Telesis, empfiehlt für den effektiven Schutz von Firmennetzen Link Aggregation und EPSR.
Uwe Becker, der Autor des Artikels und Manager bei Allied Telesis, empfiehlt für den effektiven Schutz von Firmennetzen Link Aggregation und EPSR.
(Bild: Allied Telesis)
Auch die Skalierbarkeit durch Link-Aggregation-Technologie ermöglicht eine Erhöhung der Bandbreite durch das Hinzufügen von weiteren physischen Links. Die Änderungen in der Konfiguration sind dabei minimal: Hier müssen nur die zusätzlichen Port-IDs zu den bestehenden Link-Aggregations (LAG’s) hinzugefügt werden.

Ergänzt man diese Funktion durch den Einsatz von zwei LAN-Switches, die im „Long-Distance“ VCStack-Modus miteinander verbunden sind, kann das Netzwerk sogar einem Brand standhalten, wenn die beiden LAN-Switche physikalisch durch eine Brandschutzwand getrennt sind. Das wäre selbst dann nicht zu erreichen, wenn man ein Chassis mit Redundanzen einsetzt.

Eine fehlertolerante ausfallsichere Architektur allein reicht jedoch nicht aus, um den Betrieb des Netzwerkes zu gewährleisten, wenn nicht zeitgleich wenigstens kritische Protokolle vor einfachen beabsichtigten oder unbeabsichtigten Aktionen durch die Benutzer geschützt werden.

Der erste Schritt

Zunächst wäre es notwendig, auf allen Access Switches Loop Detection und weitere Sicherheitsfunktionen zu implementieren. Ohne diesen Schutz würde ein Kabel, ein kleiner Switch oder ein Router – wie er in Privathaushalten oft zum Einsatz kommt –, der zwischen zwei direktverbundenen Ports angeschlossen ist, einen Broadcast Sturm verursachen können. Dieser Broadcast lässt die Pakete unendlich durch das Netz laufen und überlastet es dadurch.

Daneben könnte der leichtsinnige Anschluss eines „privaten“ ADSLRouter an einen Port des Firmennetzwerkes auf alle DHCP-Anfragen von PCs mit einer IP-Adresse antworten, die nicht kompatibel mit dem Netzwerk selbst ist und damit die Kommunikation über das ganze Netzwerk verhindert. Alle Access Switches sollten deshalb einen DHCP-Schutz und die Verifizierung von IP-Adressen ermöglichen, so dass nur die offiziell zugewiesene IP-Adresse auf dem jeweiligen Port verwendet werden kann.

Drei Augenpaare sehen mehr

Vervollständigt werden kann der Systemschutz noch durch eine Tri-Authentication-Lösung. Diese Funktion, die auf jedem Port aktiv ist, erlaubt keinen Zugriff auf das Netzwerk, bevor die angeschlossenen Geräte nicht einen Authentifizierungsprozess erfolgreich durchlaufen haben.

Die Authentifizierung geschieht dabei durch eine von drei Authentifizierungsmethoden: IEEE 802.1x, Web-Authentifizierung oder die Identifizierung über MAC-Adressen. Diese Funktion muss, als Teil der Unternehmenssicherheit, in die Infrastruktur der Zugangskontrolle eingebunden werden. Sie basiert entweder auf einem Radius-Server oder einem Standard Network Access Control Schutzsystem von Symantec oder Microsoft.

Nachdem die Authentifizierungsprozedur durchlaufen wurde, ist das Gerät automatisch mit dem zugeordneten VLAN verbunden, sobald der Benutzer den Anmeldeprozess durchgeführt hat.

Der Autor:

Uwe Becker, Country Sales Director für Deutschland und die Schweiz bei Allied Telesis, setzt auf Layer-2-Mechanismen, die eine klare und einfache Architektur mit einfacher Konfiguration und Fehlererkennung ermöglichen.
Uwe Becker, Country Sales Director für Deutschland und die Schweiz bei Allied Telesis, setzt auf Layer-2-Mechanismen, die eine klare und einfache Architektur mit einfacher Konfiguration und Fehlererkennung ermöglichen.
(Bild: VBM-Archiv)
Uwe Becker ist Country Sales Director für Deutschland und die Schweiz bei Allied Telesis.

Artikelfiles und Artikellinks

(ID:37244690)