Search

Solution Guide

Loading...

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

0 comments

Post a comment

    Post a comment
    Embed Video
    Edit your comment Cancel

    Notes on slide 1

    Favorites, Groups & Events

    Solution Guide - Presentation Transcript

    1. Solution Guide 2008
    2. Inhaltsverzeichnis Seite I Inhaltsverzeichnis Vorwort...............................................................................1 Hinweis für alle Leser..........................................................3 Wir über uns........................................................................5 Kurzprofil..................................................................................5 Secure Networks™....................................................................5 Was die Analysten sagen…........................................................6 Weitere Informationen..............................................................7 Secure Networks™...............................................................8 Access Control.........................................................................10 Authentisierung als Maßnahme zum Schutz des Netzwerk-Ökosystems..............................11 Authentisierungsmethoden – Der technische Ansatz.....................................................13 Policy Enforcement..................................................................20 RFC 3580 - Der kleinste gemeinsame Nenner?...................20 Policys – Regeln am Rand der Zivilisation..........................20 (Multi-) User Authentication and Policy (MUA+P) im Detail. .24 Sichere Gastfreundschaft mit Default Policys......................25 RFC 3580 und Distribution Layer Security..........................27 Port Protection...............................................................28 Enterasys Networks – Solution Guide 2008
    3. Seite II Inhaltsverzeichnis Policy Enforcement in der Praxis.......................................29 Detect and Locate....................................................................32 Angriffe.........................................................................32 IDS Erkennungstechnologien...........................................36 Hostbasierte Erkennung versus netzwerkbasierte Erkennung............................................39 Host Intrusion Detection / Prevention (HIDS/HIPS).............40 Network IDS/IPS............................................................42 IDS versus IPS versus DIRS.............................................43 System Information and Event Management......................45 Respond and Remediate..........................................................52 Proactive Prevention / NAC.....................................................54 Definition von NAC.........................................................54 Der Prozess NAC.............................................................55 Lösungsansätze..............................................................56 Enterasys NAC...............................................................59 Standard based Convergence and Availability..............................................................................66 Quality of Service im Netzwerk.........................................66 Wireless LAN..................................................................76 Power over Ethernet.......................................................84 Standard Based Availability.....................................................86 Redundanz....................................................................86 Enterasys Networks – Solution Guide 2008
    4. Inhaltsverzeichnis Seite III IPv6..............................................................................96 MPLS...........................................................................101 Simple Network Management Protocol.............................105 Produktportfolio..............................................................106 Advanced Security Applications.............................................107 Dragon® Security Command Console...............................108 Dragon® Intrusion Defense.............................................113 Network Access Control.................................................119 Centralized Visibility and Control...........................................123 NetSight® Console.........................................................125 NetSight® Policy Manager...............................................127 Policy Control Console...................................................130 NetSight® Automated Security Manager...........................130 NetSight® Inventory Manager.........................................132 NetSight® - Komponenten im Überblick...........................133 NetSight® Lizenzierung..................................................136 Security Enabled Infrastructure.............................................137 Matrix® X-Serie............................................................138 Matrix® N-Serie............................................................146 SecureStack™ Familie...................................................167 D-Serie.......................................................................180 Enterasys Networks – Solution Guide 2008
    5. Seite IV Inhaltsverzeichnis G-Serie.......................................................................185 I-Serie........................................................................190 Übersicht Secure Networks™/HW Kapazität......................195 Lizenzübersicht............................................................197 MGBICs, XENPAKs und XFPs...........................................198 Enterasys VDSL Optionen..............................................210 X-Pedition Security Router.............................................212 Literaturhinweise.............................................................218 Downloads............................................................................218 Enterasys GTAC.....................................................................219 Enterasys Knowledgebase.....................................................219 Enterasys Webguide..............................................................219 Impressum......................................................................221 Enterasys Networks – Solution Guide 2008
    6. Vorwort Seite 1 Vorwort Sehr geehrte Leserin, sehr geehrter Leser, wieder einmal halten Sie die neuste Ausgabe des Enterasys Solution Guide in Ihren Händen. Seit einigen Jahren ist der Solution Guide bei unseren Kunden als umfangreiches, informatives Nachschlagewerk beliebt, das so­ wohl über Entwicklungen auf dem Netzwerkmarkt und neue Technologien, als auch über die neuen Strategien, Lösungen und Produkte von Enterasys Networks berichtet. Das Lösungsportfolio wurde zum Thema Enterasys NAC und Dragon ® Se­ curity Suite überarbeitet, hier wurden insbesondere die Integrationsmög­ lichkeiten der einzelnen Produkte untereinander beschrieben. Das Kapitel Produktportfolio zeigt einen Überblick über das gesamte Ange­ bot von Enterasys Networks. Neu hinzugekommen ist der Nachfolger des Matrix® E1 mit der G-Serie als modularem System sowie die D-Serie als Miniswitch. Des Weiteren wird das neue Enterasys NAC Portfolio mit Inline und Out-of-Band Komponenten sowie dem neuen, integrierten Enterasys Assessment vorgestellt. Ebenso sind die Enterasys VDSL-Komponenten als Long-Reach Ethernet-Extender hinzugekommen. Das Thema Lizenzierung wurde für NetSight® und Dragon® in ein eigenes Kapitel ausgegliedert, um einen Überblick über die unterschiedlichen Vari­ anten und Möglichkeiten zu geben. Wir wünschen Ihnen ein informatives Lesevergnügen. Ihr Enterasys Team Enterasys Networks Germany GmbH Solmsstr. 83 60486 Frankfurt Tel. +49 (0)69/47 860-0 Fax +49 (0)69/47 860-109 Enterasys Networks – Solution Guide 2008
    7. Seite 2 Vorwort Enterasys Networks – Solution Guide 2008
    8. Hinweis für alle Leser Seite 3 Hinweis für alle Leser Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt, deshalb kann es jederzeit zu Änderungen des bestehenden Lö­ sungsportfolio kommen. Die aktuellen Informationen der Lösungen finden Sie auf der Enterasys Networks Homepage unter http://www.enterasys.com oder http://www.enterasys.com/de/. Wir freuen uns auf ein persönliches Gespräch mit Ihnen und stehen Ihnen in unseren Niederlassungen jederzeit gerne zur Verfügung: Frankfurt /Main +49 (0)69 47860-0 Berlin +49 (0)30 39979 5 Leipzig +49 (0)341 528 5350 Wien +43 (0)1 994 60 66 05 Zürich +41 (0)44 308 39 43 Einen vollständigen Überblick über Deutschland und die europäischen Län­ der sowie deren Kontakte finden Sie unter: http://www.enterasys.com/corporate/locations/ Informationsstand: 30.04.08 Enterasys Networks – Solution Guide 2008
    9. Seite 4 Hinweis für alle Leser Enterasys Networks – Solution Guide 2008
    10. Wir über uns Seite 5 Wir über uns Kurzprofil Enterasys Networks ist ein globaler Anbieter von Secure Networks™ für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs- und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche Service und Support-Leistungen an. Das Produkt­ angebot reicht von Multilayer Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention Systemen. Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile um­ zusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unab­ hängig von Hersteller und Technologie. Über 20 Jahre Erfahrung und über 26.000 weltweite Kunden bilden das Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich nach dem Motto „There is nothing more important than our customer“, in dem unsere Kunden im Mittelpunkt stehen. Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unter­ nehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Weitere Informa­ tionen zu Enterasys Secure Networks™ und den Produkten für Festnetze und drahtlose Netzwerke finden Sie unter www.enterasys.com. Secure Networks™ Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein Servicemodell – Benutzer, Systeme, Applikationen, Event Manage­ ment, automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu können. Eine flexible Infrastruktur stellt einen authentifizier­ ten Zugang an allen Punkten zur Verfügung, an denen ein Zugriff auf Res­ sourcen erfolgt und verringert mit einer dynamischen Authorisierung die Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine flexi­ ble und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und sichert für geschäftskritische Anwendungen die entsprechenden Bandbrei­ ten. Enterasys Networks – Solution Guide 2008
    11. Seite 6 Wir über un Was die Analysten sagen… “Enterasys has the most tightly integrated security capabilities of any LAN switch vendor, including strong support for all IP telephony offerings” Gartner, Magic Quadrant for Global Campus LAN (März 2008) „Enterasys Secure Networks for Virtual Data Centers assures the connecti­ vity and compliance of virtualized computing and storage while reducing equipment, energy and cooling costs in data centers“ Gartner, Magic Quadrant for Global Campus LAN (März 2008) “At a product level, Enterasys was the initial innovator in embedded network security. Enterasys coined the \"secure networks\" approach and delivered key aspects of embedded network security before the rest of the market.” Gartner, Magic Quadrant for Global Campus LAN (Oct 2006) „The networking background of Enterasys is evident in that the Dragon IDS/IPS product line has an overall small rack space footprint, making the products well-suited for deployments such as MSSP/carrier/ISP where de­ tection is valued over blocking.“ Gartner, Magic Quadrant for Network IPS Appliances (Feb 2008) “Longtime IDS vendor Enterasys has moved to producing in-line IPS pro­ ducts. Its first customers are primarily managed security system provider (MSSP) customers who report a high degree of satisfaction with Enter­ asys' support with the IDS products and are converting over as customer demand shifts.” Gartner, Magic Quadrant for IPS (2006) “DSCC accurately detected more known attacks, as well as network an­ omalies than did Cisco Security MARS. Thus DSCC provides a level of protection of business assets exceeding that offered by Cisco…both products demonstrate that they can process flow and security network event data, though DSCC was able to correlate events into a single offen­ se. Ultimately, poor event correlation and anomaly detection in MARS could lead to missed threats.” Tolly Group White Paper (Jan 2007) Enterasys Networks – Solution Guide 2008
    12. Wir über uns Seite 7 Weitere Informationen Unser Management Team Mike Fabiaschi President and Chief Executive Officer Chris Crowell Chief Technology Officer Gérard Vivier Vice President EMEA Edward Semerjibashian Vice President CEE/Russia & APAC Pressekontakt Enterasys Networks Markus Nispel Director Solution Architecture Solmsstraße 83 60486 Frankfurt Telefon: +49 69 47860 0 Fax: +49 69 47860 109 Enterasys Networks – Solution Guide 2008
    13. Seite 8 Secure Networks™ Secure Networks™ Secure Networks™ ist die Strategie, die Enterasys seit Jahren erfolgreich verfolgt. Von Gartner oftmals als Technologieführer definiert, hat Entera­ sys mit der Einführung von 802.1x ein neues Zeitalter für die Sicherheit in Netzwerken eingeläutet. Secure Networks™ Komponenten Enterasys bildet die fünf wesentlichen Punkte einer holistischen IT Infra­ struktur mit eigenen Produkten ab. So wird sichergestellt, dass lediglich authentifzierte User Zugriff auf das Netzwerk erhalten. Das Sicherheitsle­ vel und das Zugriffsniveau der User wird dabei in Abhängigkeit zum Si­ cherheitslevel des benutzten Gerätes gesetzt. Angriffe, die von authentifi­ zierten oder nicht authentifzierten Usern auf Ressourcen im Netzwerk durchgeführt werden, können durch die verschiedenen Angriffserken­ nungstechnologien erkannt, verifiziert und verhindert werden. Ferner ist es möglich, nachdem der Angriff erfolgreich verhindert wurde, den Angrei­ fer aus dem Netzwerk zu verbannen oder ihm neue Zugriffsrechte zuzu­ weisen. Durch die Abbildung verschiedenster Technologien wird ein Maxi­ mum an Sicherheit erreicht, so dass auch Angriffe auf sehr komplexe und neue Technologien (wie Voice over IP) erkannt und verhindert werden können. Enterasys Networks – Solution Guide 2008
    14. Secure Networks™ Seite 9 Im Folgenden sind einige der Kernziele der Secure Networks™ Strategie aufgeführt: Präventive Angriffsverhinderung ● Reaktionen auf Angriffe auf Userbasis (nicht nur auf Gerätebasis) ● Das Absichern von Netzwerken unterschiedlicher Hersteller ● Bereitstellen von Compliance Hilfsmitteln ● Die nachfolgenden Abschnitte zeigen die Grundzüge der 5 Säulen der Secure Networks™ Strategie auf und erklären, welchen Beiträge die ver­ schiedenen Komponenten aus diesen Bereichen zur Abbildung einer ganz­ heitlichen Security Infrastruktur leisten. Enterasys Networks – Solution Guide 2008
    15. Seite 10 Secure Networks™ Access Control Secure Networks™ bietet mit seinem breiten Spektrum verschiedenster Funktionalitäten technische Lösungselemente für all diese Fragen. In der Praxis gilt es nun diese Elemente in ein durchgängiges Konzept zu integrieren und Schritte für die Implementierung und den Betrieb festzule­ gen. Die Frage nach der Realisierbarkeit der ermittelten Schutzmaßnahmen geht über Features und Algorithmen weit hinaus. Nicht alles was technisch möglich ist, stellt sich im Endeffekt auch als praktikabel heraus. Sicherheit und freie Kommunikation stehen sich auf den ersten Blick dia­ metral gegenüber. Eine Sicherheitspolicy, welche dem Anwender unzu­ mutbare Prozeduren auferlegt (mehrfache Anmeldung, geringe Flexiblität), hemmt die Produktivität des Unternehmens und wird sich kur­ zerhand selbst aushebeln. Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompli­ ziert und stelle selbst eine Gefahr für den kontinuierlichen Betrieb einer IT-Infrastruktur dar, muss hierbei durch geeignete Ansätze begegnet werden. Es hat sich gezeigt, dass sich der zusätzliche, administrative Aufwand einer sicherheitsbasierten Netzwerklösung nur kompensieren lässt, wenn gleichzeitig Werkzeuge zur Verfügung stehen, welche die Transparenz und ein möglichst einfach zu handhabendes Management garantieren. Im Gegensatz zur Administration einzelner Netzwerkkomponenten, bieten datenbankbasierte Managementsysteme die notwendige Unterstützung, um auf Basis von Templates und Policys eine flächendeckende Anpassung des Netzes an sich ändernde Anforderungen rationell vorzunehmen. Enterasys Networks – Solution Guide 2008
    16. Secure Networks™ Seite 11 Authentisierung als Maßnahme zum Schutz des Netzwerk-Ökosystems Das Netzwerk eines Unternehmens entwickelt sich zunehmend zu der uni­ versellen Plattform für Kommunikation und Geschäftsprozesse und damit zum unternehmenskritischen Faktor. Nach Aussage von Analysten ist durch die fortlaufende Einbindung von mobilen Endgeräten, Sprachdiensten, Facility Management sowie der stei­ genden Integration industrieller Produktionsanlagen mit einer Verdopp­ lung der Endgeräte zu rechnen. Lediglich ein Teil dieser Endgeräteplattformen (PCs, Workstations und Notebooks) lässt sich mit geeigneten Sicherheitsmechanismen wie Perso­ nal Firewalls, Virenscannern und einem gehärteten Betriebssystem aus­ statten. Monolithische Komponenten, wie z.B. IP-Telefone, Webcams und Indus­ triesteuerungen liegen ebenso außerhalb des administrativen Zugriffs, wie die Notebooks externer Mitarbeiter und Studenten. Medizinische Komponenten, Analysegeräte und bildgebende Systeme (Röntgen und MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifi­ kation des Betriebssystems durch geeignete Sicherheitsupdates erfordert in der Regel eine Neukalibrierung und Rezertifizierung des Systems und lässt sich somit in der Praxis kaum zeitnah ausführen. Enterasys Networks – Solution Guide 2008
    17. Seite 12 Secure Networks™ Eine solch heterogene Endgerätelandschaft stellt für den Betreiber eines Unternehmensnetzwerkes also einen Risikofaktor dar, welcher in zuneh­ menden Maße außerhalb einer verlässlichen Kontrolle liegt. Die Sicherheitsbetrachtung eines Netzwerkes fokussierte bisher externe Verbindungen wie WAN und Internet als Hauptrisikofaktor. Das Absichern dieser Übergabepunkte mittels Firewall, Virenschutz und Contentfiltering gehört mittlerweile zum üblichen Standard. Von einem ganzheitlichen Ansatz ausgehend ist nun in Betracht zu ziehen, welchen Risiken interner Angriffe das Ökosystem Netzwerk ausgesetzt ist. Die Antwort liegt in intelligenten Komponenten und Lösungen, welche das Netzwerk in seiner Rolle als unternehmenskritischen Produktionsfaktor schützen. Enterasys Networks – Solution Guide 2008
    18. Secure Networks™ Seite 13 Authentisierungsmethoden – Der technische Ansatz Die Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk. Dabei können die Endgeräte unterschiedlicher Natur sein. Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unab­ hängig vom Betriebssystem des Endgeräts, den Anwender interaktiv zu authentifizieren. Viele Switche und die meisten Betriebssysteme für Perso­ nal Computer und Workstations unterstützen heutzutage den Authentisie­ rungsstandard IEEE 802.1x. Der ganzheitliche Lösungsansatz erfordert jedoch die lückenlose Erken­ nung von Endgeräten im Netz. Dies ist nur möglich, wenn alternative Au­ thentisierungsmethoden auch zur Verfügung stehen. Dieser Ansatz soll hier detailliert beleuchtet werden. IEEE 802.1x im Detail IEEE 802.1x liefert ein komplettes Authentication Framework, das port- basierende Zugriffskontrolle ermöglicht. Dieses Modell sieht dabei verschiedene Abstrahierungen vor: Supplicant ist das Endgerät, welches einen Netzwerkzugang an­ ● fordert. Authenticator ist das Gerät, welches den Supplicant authentifi­ ● ziert und den Netzwerkzugang versperrt oder frei gibt. Authentication Server ist das Gerät, welches den Backend-Au­ ● thentication-Dienst (z.B. RADIUS) bereitstellt. Dabei nutzt 802.1x bestehende Protokolle, wie EAP und RADIUS, die emp­ fohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ether­ net, Token Ring und IEEE 802.11. Eine Fülle von Authentifizierungsmechanismen wie Zertifikate, Smart Cards, One-Time Passwörter oder biometrische Verfahren sind ebenfalls vorgesehen. Diese Flexibilität wird durch die Nutzung des Extensible Au­ thentication Protocol (EAP) erreicht. Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs- und Verschlüsselungsmechanismus (802.11i und WiFi WPA) zu versehen, hat sich 802.1x im WLAN durchgesetzt findet aber zusehends auch Beachtung innerhalb herkömmlicher Ethernet-Netzwerke. Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol) eine einheitliche Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen. Enterasys Networks – Solution Guide 2008
    19. Seite 14 Secure Networks™ In der Praxis ist es also möglich, das Modell der Network Access Control unter Nutzung bestehender Authentisierungsinstanzen flächendeckend und benutzerfreundlich zur Verfügung zu stellen. Die eigentliche Authentisierung er­ folgt durch die Weiterleitung der EAP Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten wie Active Directory ADS von Microsoft oder Novell´s NDS über LDAP oder XML sowie Plug-ins für Secure ID Card Integration haben. Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokol­ len zur Anwendung kommen. Folgende Tabelle soll eine kurze Übersicht geben: Client Server Dynamisches Authentisierung Keymanagement MD5 Klartextübertragung von Userda­ Nein Nein ten. Nur selten genutzt PEAP Einbindung von MS-CHAPv2 Ja Ja EAP-TLS Zertifikatsbasierendes Verfahren, Ja Ja benötigt PKI EAP-TTLS Aufbau eines verschlüsselten, au­ thentisierten Tunnels zwischen Ja Ja Sender und Empfänger. Enterasys Networks – Solution Guide 2008
    20. Secure Networks™ Seite 15 Funktionsweise von MD5 Wegen der unsicheren Methode Authentisierungsdaten unverschlüsselt zu übertragen wird die unsprünglichste Methode MD5 heute nur noch in Aus­ nahmefällen genutzt. Funktionsweise von EAP-TLS EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptogra­ phische Authentisierung des Clients gegenüber dem Netzwerk. Das ge­ schieht, indem sich beide Seiten, also der Client und der Anmeldeserver, kryptographische Zertifikate vorzeigen, um ihre Identität zu beglaubigen. Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infra­ structure), welche mit dem Directory in Verbindung steht. Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden. Gespeichert auf einer so genannten Smart Card stellen sie ge­ meinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslö­ sung dar. Funktionsweise von EAP-TTLS EAP-TTLS wurde unter anderem von den Firmen Funk Software und Certi­ com aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, wel­ ches der Client beim Verbindungsaufbau überprüft. Funktionsweise von PEAP Hierbei handelt es sich um die gebräuchlichere Microsoftvariante , die im Grunde die schon vorhandenen Merkmale von EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat, auch hier wird zu­ erst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit User­ name / Passwort stattfindet. Web-Authentication Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) ent­ ziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwen­ dige Konfiguration vorzunehmen. Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentli­ cher WLAN HotSpots üblich ist, ist ohne Konfigurationsaufwand möglich und stellt somit eine akzeptable Alternative dar. Enterasys Networks – Solution Guide 2008
    21. Seite 16 Secure Networks™ Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit inte­ grierter Authentisierungsabfrage. MAC-Authentication Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Dru­ cker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforde­ rung dar. MAC adressbasierte Authentisierungsmethoden sowie die automatische Endgeräteklassifizierung durch Protokolle wie CEP und LLDP-MED sind grundsätzlich als schwächere Sicherheitsbarriere anzusehen, da sie sich mit verhältnismäßig einfachen Mitteln kompromittieren lassen. Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht. Die im Weiteren erläuterte Kombination von Authentisierung und Access Policys ermöglicht den Zu­ griff in eingeschränkter Form. Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommu­ nikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum. Phone Detection (CEP) Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk angeschlossenes IP-Phone als Solches erkannt wird. Im Netz­ werk werden dann automatisch passende Parameter für Quality of Service gesetzt. Zum Beispiel kann nach der Erkennung eines IP-Phones dessen Datenverkehr via 802.1p getagged und damit höher priorisiert werden als anderer Datenverkehr. Die Telefonerkennung kann dabei durch den LLDP-Standard oder spezielle Protokollnachrichten, wie zum Beispiel Enterasys CDP, erfolgen. Ansonsten können auch beliebige andere Protokolle, wie Cisco Discovery Protocol 2.0 oder das Snooping aller Pakete mit Ziel UDP Port 4060 wie bei Siemens, verwendet werden. Link Layer Discovery Protocol (LLDP, IEEE802.1AB) Der gegenseitige Austausch von Identität und Eigenschaften zwischen den Netzwerkkomponenten optimiert deren Zusammenspiel und ermöglicht darüber hinaus auch die Visualisierung von Layer 2 Verbindungen in grafi­ schen Netzwerkmanagmenttools. Die bisher verwendeten Discovery Protokolle (CDP, EDP) waren jedoch proprietärer Natur und boten damit eine eingeschränkte Interoperabilität. Enterasys Networks – Solution Guide 2008
    22. Secure Networks™ Seite 17 Aus dieser Konzeption ratifizierte die IEEE im Jahre 2005 unter der Be­ zeichnung 802.1ab das herstellerunabhängige Link Layer Discovery Proto­ koll. Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponen­ ten ermöglicht die Rekonstruktion der kompletten Layer 2 Netzwerktopo­ logie sowie das Erkennen neuer Netzwerkkomponenten. Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des Standards Wert gelegt. Ein Beispiel hierfür ist das Link Layer Discovery Protocol-Media Endpoint Discover oder LLDP-MED. Mit LLDP-MED wird es möglich Netzwerkeinstellungen von Endgeräten wie VLAN Priorität oder Diffserv-Werte automatisch zu erkennen. Dies erleichtert die Integration besonderer Endgerätetypen wie z.B. IP- Telefonen. LLDP Informationen stellen darüber hinaus auch eine Entscheidungsgrund­ lage für die automatische Zuordnung von Secure Networks™ Policys dar. Multi-User-Authentication Als Mitautor der IEEE Standards und somit Wegbereiter sicherer LANs hat Enterasys Networks schon frühzeitig damit begonnen auch bestehende Produkte nachträglich mit den erforderlichen Funktionen zu versehen. Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron SmartSwitch Komponenten aus dem Jahr 1998, welche über die notwendi­ gen Authentisierungsmöglichkeiten verfügen. In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass nicht alle Accesskomponenten über Authentisierungsfeatures verfügen. Die Matrix® N-Serie löst dieses Problem durch eine integrierte Multi-User- Authentication, welche es ermöglicht auf den Uplinks bis zu 256 Benutzer individuell zu authentisieren. Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei welchen simple Kanalswitche im Accessbereich eingesetzt werden, lassen sich somit flächendeckend realisieren. Enterasys Networks – Solution Guide 2008
    23. Seite 18 Secure Networks™ Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwen­ deten EAPoL Pakete von diesen „simplen“ Accessswitchen weitergeleitet werden müssen. Dies wird auch als EAP-Passthrough bezeichnet und ist bei allen Enterasys SecureStacks™ verfügbar. Bei älteren Komponenten muss sichergestellt sein, dass dies auch möglich ist; manchmal muss hier­ für Spanningtree ausgeschaltet oder ähnliche Konfigurationsänderungen vorgenommen werden. Multi-Method Authentication Mit der Matrix® N-Serie ist Enterasys Networks nicht nur in der Lage meh­ rere User gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zu zu weisen, es ist auch möglich verschiedene Authentifizie­ rungsmethoden gleichzeitig auf dem Port zu betreiben. Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal au­ thentifiziert; also der User an seinem PC über 802.1x, der Gast mit sei­ nem Laptop über PWA, der Drucker basierend auf MAC Authentication. Aber was passiert, wenn der PC auch über MAC Authentication authentifi­ ziert ist und sich die entsprechenden Profile auch noch widersprechen? Ab­ gesehen davon, dass dann das Security Design und die Policys überarbei­ tet werden sollten, hat Enterasys Networks dieses Problem im Griff. Die Authentifizierung läuft über so genannte Authentication Sessions. Hat ein User jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder MAC Authentication angemeldet sein. Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die Default-Prioritäten sehen folgendermaßen aus: 1. IEEE 802.1x 2. Port Web Authentication 3. MAC Authentication 4. CEP (Convergent Endpoint Detection) Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x au­ thentifiziert, aber basierend auf seiner MAC Adresse lief auch MAC Authen­ tication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese angewandt und die entsprechende Rolle dem User zugewiesen. Enterasys Networks – Solution Guide 2008
    24. Secure Networks™ Seite 19 MACSec IEEE 802.1ae Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, dient in der verbindungslosen 802 Welt zur Sicherung der Integrität jedes übertra­ genen Datenpaketes, zur Sicherung der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten Daten. Der Standard dient hier­ bei zur „Hop by Hop“ Verschlüsselung, Authentifizierung und Integritäts­ prüfung. Er wird zwischen Endsystemen und dem nächsten Switch bzw. auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kom­ men können. Das dazu notwendige Schlüsselmanagement nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch etwas Geduld notwendig ist. Die Hersteller von MAC Phy´s versprechen sich natürlich hiervon mehr Ge­ schäft, da komplexere Chips inklusive Verschlüsselung teurer werden kön­ nen. Jedoch geht man davon aus, dass eine breite Anwendung erst statt­ findet, wenn die Preise zu bestehenden MAC Phy´s vergleichbar sind. Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile etc.) über die Sicherung von MAN Netzen zwischen Unternehmungen hin zur erweiterten Sicherung von heutigen 802.1x Un­ ternehmensinstallationen mit Verschlüsselung und Integritätswahrung von Endgerät zum Switch (wie es heute auch schon in der Wireless LAN 802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindun­ gen zu Geräten erstellt, die einem gewissen Trust-Level entsprechen. Enterasys Networks – Solution Guide 2008
    25. Seite 20 Secure Networks™ Policy Enforcement Die eindeutige Authentisierung eines Gerätes / Benutzers stellt einen wichtigen Teil der Access Control dar. Auf dieser Basis müssen nun Regelwerke zugewiesen werden, welche den Zugang mit allen Rechten und Einschränkungen kontrollieren. Denn bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung hier abzubilden ist. RFC 3580 - Der kleinste gemeinsame Nenner? Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche Unzulänglichkeiten birgt. Allein die Notwendigkeit einen Campus mit weitverzweigten Layer 2 Seg­ menten zu überziehen widerspricht dem allgemeinen Trend hin zu gerou­ teten Segmenten. Eine Usergruppen-/ VLAN-Assoziierung generiert in der Praxis mindestens eine umfangreiche Gruppe von Standardusern, vor welchen zwar der Netz­ werkkern durch entsprechende Accesslisten geschützt wird, die jedoch un­ tereinander frei und hemmungslos kommunizieren können. Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die gesamte Gruppe einer Verbreitung ausgesetzt. Daher wäre es wünschenswert, bereits am ersten Access Port zu entschei­ den, welche Informationen überhaupt in das Ökosystem Netzwerk einge­ speist werden dürfen. Policys – Regeln am Rand der Zivilisation Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems. Bereits mit der zweiten Generation der SmartSwitch-Familie wurde in den späten 90er Jahren die dezidierte Frameklassifizierung eta­ bliert. Die Idee, einen Layer 2 Switch zu einer Layer 2/3/4 Analyse zu be­ wegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen wie Voice und Video heraus geboren. Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access Port die erste Grundlage darstellt, um unerwünschte Dienste und Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines Netzwerkes hatte etwas Faszinierendes. „Das Konzept von Zugriffsregeln im Accessbereich hat lediglich akademi­ schen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden...“ Enterasys Networks – Solution Guide 2008
    26. Secure Networks™ Seite 21 Diese Aussage eines namhaften Herstellers von Netzwerkkomponenten bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurück­ schrecken wird. Doch bereits im Jahre 2001 stellte Enterasys Networks mit dem NetSight ® Policy Manager ein Werkzeug vor, mit welchem das Erstellen und Verbrei­ ten komplexer Regelwerke zu einem Baukastenspiel wird. Der Schlüssel liegt in einer dreistufigen Hierarchie: Policys - Hierarchisches Regelwerkzeug Die oberste Ebene definiert sich zunächst aus der Rolle, welche ein Benut­ zer in der Struktur des Unternehmens selbst spielt. Da sich diese Rolle be­ reits in den Regelwerken des Usermanagements einer zentralen Betriebs­ systemplattform abzeichnet, liegt es nahe, bereits bei der Authentisierung auf diese Informationen zuzugreifen. Unterhalb dieser Ebene sind die Services definiert, welche bereits im Gro­ ben beschreiben, was der Benutzer tun darf – und was nicht. Enterasys Networks – Solution Guide 2008
    27. Seite 22 Secure Networks™ Diese Services setzen sich nun aus einzelnen Regeln zusammen, welche den Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizie­ ren. Trifft die Regel zu, so wird eine zugewiesene Aktion ausgeführt: Access Control – zulassen oder verwerfen • Tagging des Frames mit einer definierten VLAN ID • Redefinition von Quality of Service Parametern • Rate Limiting (Port, Applikations-Flow, Protokoll, • Nutzer - IP oder MAC) Mittels des Policy Managers ist es nun möglich ein solches Konstrukt aus Rollen und Regeln zusammenzustellen und per SNMP auf allen Netzwerk­ komponenten bekannt zu machen. Die flächendeckende Bereitstellung von Zugriffsinformationen im Access-/Distributionbereich ist ein Garant für Skalierbarkeit einer solchen Lösung. Granularität der Secure Networks™ Policys Wie in der Grafik dargestellt, liegt die Stärke von Policy Enforcement bei Secure Networks™ in der Kombination aus Authentisierung, Klassifizierung und Kontrolle. Enterasys Networks – Solution Guide 2008
    28. Secure Networks™ Seite 23 Mit diesen Maßnahmen ist es nun möglich einem breiten Spektrum von Bedrohungen zu begegnen, von denen einige hier beispielhaft aufgezeigt werden sollen: Risiko Lösung Illegitime DHCP-Server tauchen immer Eine Deny Regel auf SourcePort TCP69 wieder in LANs auf und stören den Be­ verhindert dies. trieb durch Zuweisung eigener IP- Adresse. Portscanner versuchen das Netz aus­ Das Blockieren des ICMP Protokolls für zuspähen. Standardbenutzer unterbindet Scan- Versuche. Rogue Access Points schaffen offene Auch ein AP muss sich via 802.1x au­ WLAN-Zugänge. thentisieren bevor er am Netzverkehr teilnimmt. Priorisierte Protokolle sind anfällig für Die Kombination aus Priorisierung und Packet Flooding. Rate Limiting schützt das Netz. Nicht alle IT-Komponenten lassen einen Layer 4-Regeln filtern Dienste wie Tel­ Schutz der Managementports zu. net und SSH aus, sofern der Benutzer keine Administratorenrolle spielt. Würmer verbreiten sich exzessiv in lo­ Für zahlreiche Attacken bietet der Policy kalen Netzen. Manager vorgefertigte Filterregeln an. Enterasys Networks – Solution Guide 2008
    29. Seite 24 Secure Networks™ (Multi-) User Authentication and Policy (MUA+P) im Detail Die bisher aufgezeigte Kommunikationskette für den Authentisierungspro­ zess wird nun also um die Managementfunktion erweitert, mit deren Hilfe Rollen und Regeln verteilt werden. Kombination von Access Control und Policy Enforcement Nun gibt das zentrale Verzeichnis neben der positiven Authentisierungsbe­ stätigung auch die Gruppenmitgliedschaften des Benutzers an den RADIUS-Server zurück. Mittels eines kleinen Filterwerks ermittelt dieser die relevante Gruppe, deren Name dem Switch nun als Schlüssel dient, um dem Port die entsprechende Policy zu zu weisen. Die Authentisierungsmethode wird also lediglich um eine Filter-ID erwei­ tert, alle weiteren Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an sich sehr schlanke Standard-RADIUS Protokoll bie­ tet damit die Grundlage für eine hoch skalierbare Gesamtlösung. Im Kontext heterogener Netze, in welchen nicht alle Accesskomponenten den Einsatz von Policys unterstützen, ist es, wie bereits beschrieben, not­ wendig mehrere Benutzer an einem Port des nachgeschalteten Distribu­ tionlayers zu authentisieren. Die Flexiblität der Matrix ® N-Serie Switche erlaubt nun eine Kopplung der benutzerabhängigen Policy an die jeweils involvierte MAC Adresse. Enterasys Networks – Solution Guide 2008
    30. Secure Networks™ Seite 25 Die folgende Grafik verdeutlicht das Konzept der so genannten Distributi­ on Layer Security. Diese Technik erlaubt die Integration unterschiedlicher Benutzer (bis zu 256) • unterschiedlicher Authentisierungsmethoden (802.1x, MAC, • PWA, CEP) unterschiedlicher Regelwerke (Policys) • am selben Uplinkport. Multiuser Authentifizierung Sichere Gastfreundschaft mit Default Policys Gäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderun­ gen kontinuierlich ausgebaut werden. Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitar­ beiter fremder Firmen, die manchmal über lange Zeiträume im Unterneh­ men präsent sind – sie alle haben den Anspruch, an den Ressourcen der IT-Infrastruktur teilzuhaben. Ein Horrorszenario für jeden Administrator! Der Balanceakt, einerseits diesem Bedarf nachzukommen ohne anderer­ seits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren, stellt eine echte Herausforderung dar. Ein Teil der genannten Personengruppen lässt sich organisatorisch regis­ trieren und technisch mittels Webauthentication und einer restriktiven Po­ licy in das Sicherheitskonzept integrieren. Enterasys Networks – Solution Guide 2008
    31. Seite 26 Secure Networks™ Für die oft große Zahl sporadischer Besucher ist dieser Aufwand unange­ messen hoch. Eine einfache Lösung muss her, die ohne Eingriff des Admi­ nistrators funktioniert. Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem nichtauthentisierten Benutzer den minimalen Zugriff auf die Netzwerkin­ frastruktur. Eine solche „soziale Grundversorgung“ definiert sich beispiels­ weise über den Zugriff auf VPN-, HTTP-, DHCP- und DNS-Services sowie dem Zugang zum Webproxy des Unternehmens. Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert exzes­ siven Gebrauch. Der Gast erhält also an jedem freigegeben Port Basisdienste, ist jedoch von den internen Ressourcen der IT-Infrastuktur eindeutig ausgeschlos­ sen. Aber auch andere Szenarien lassen sich über Default Policys abbilden. Softwareverteilung findet regulär außerhalb der Bürozeiten statt. Eine angepasste Default Policy stellt den Zugriff eines Updateservers auf das Endgerät auch dann sicher, wenn der Benutzer nicht angemeldet ist. Fazit: Default Policys schaffen die nötige Flexibilität in einem sicheren Netzwerk, um Nischenszenarien zu ermöglichen ohne die Security durch manuelle Schaffung von Ausnahmen und Lücken zu kompromittieren. Enterasys Networks – Solution Guide 2008
    32. Secure Networks™ Seite 27 RFC 3580 und Distribution Layer Security Die Einführung flächendeckender Netzwerk Security in heterogenen Net­ zen stellt den Administrator, wie bereits beschrieben, vor eine Reihe spannender Herausforderungen. Gerade im Bereich der Low-Cost Switche hat sich das Prinzip der User/ VLAN-Zuordnung gemäß Standard RFC 3580 weitgehend etabliert. Daher soll dieses Thema nochmals eingehender mit Fokus auf eine Secure Networks™ Integration beleuchtet werden. RFC 3580 ist eine Methode, welche der Authentisierungsantwort des RADIUS-Servers eine VLAN-ID beifügt, anhand welcher der Switch dem Userport ein entsprechendes VLAN zuweist. In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponen­ ten in eine policybasierte Lösung integrieren lassen. Enhanced Policy mit RFC 3580 Enterasys Networks – Solution Guide 2008
    33. Seite 28 Secure Networks™ In dem abgebildeten Beispiel agiert der Distribution Layer Switch vom Typ Matrix® N-Serie N7 nicht als Authentisierungsinstanz, sondern weist den eingehenden Frames anhand der VLAN-ID eine entsprechende Policy zu. Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kom­ munikation auf den Bereich des VLANs innerhalb des einzelnen Access Switchs. Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy Manager konfigurieren und flächendeckend an alle Switches kommunizier­ en. VLAN Mapping im NetSight® Policy Manager Port Protection Im Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei allen Szenarien der Distributed Layer Security ein Restrisiko, da die Access Control erst in der nachgelagerten Instanz ausgeführt wird. Um diese Lücke zu schließen, haben die Entwickler von Enterasys die Funktionalität des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den neuen Anforderungen angepasst und in das Portfolio der SecureStack™ Reihe integriert. Enterasys Networks – Solution Guide 2008
    34. Secure Networks™ Seite 29 Das Port Protection oder Private VLAN Feature, welches Datenaustausch nur in Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kom­ munikation des Switchs direkt in die Distribution Zone und das Regelwerk der Policys. Diese Schutzmaßnahme bewahrt die Enduser vor unkontrol­ liertem Verkehr innerhalb des Switchs/VLANs. Policy Enforcement in der Praxis Die Konfrontation mit einer Flut von Begriffen wie MUA+P, RFC 3580 und Distribution Layer Security impliziert die Vorstellung einer Netzwerkarchi­ tektur, welche aufgrund ihrer Komplexität einfach nicht mehr zu handha­ ben scheint. Es bietet sich daher an, die Migration eines LANs hin zu einem sicheren Netzwerk in abgestuften Phasen durchzuführen, welche szenarienbedingt variieren können. Hier ein Beispiel für die Vorgehensweise: Step 1 – Assessment Eine Bestandsaufnahme stellt den Grundstock für weitere Betrachtungen dar. Daher sollten einige Punkte im Vorfeld festgelegt werden. Welche Komponenten sind im Netz aktiv, welche Featuresets ste­ • hen zur Verfügung? Welche Verkehrsbeziehungen sind zwischen Endgeräten und Ser­ • vern etabliert? Welche Dienste werden genutzt? Welche sollten fallweise restriktiv • behandelt werden? Welche Authentisierungsmethoden können/müssen eingesetzt • werden? Was unterstützen die Betriebssystemplattformen der Endgeräte? Step 2 - Management Die Einrichtung des Netzwerkmanagements verdient ein besonderes Au­ genmerk. Die Auswertung von SNMP-Traps und Syslogmeldungen stellt Enterasys Networks – Solution Guide 2008
    35. Seite 30 Secure Networks™ einen wichtigen Faktor für die transparente Darstellung des Betriebszu­ standes eines Netzwerks dar. Nach der Einführung redundanter Maßnahmen manifestieren sich einzelne Ausfälle nicht mehr in Form von Betriebsstörungen. Umso wichtiger ist es, diese Teilausfälle zu erkennen, um die Gesamtverfügbarkeit der Infra­ struktur erhalten zu können. Die steigende Integration intelligenter Funktionen in die Netzwerkkompo­ nenten erfordert ein Maß an Kontrolle, welches über einfaches Portmana­ gement hinaus geht. Die NetSight® Console ist in der Lage sowohl Meldungen aktiver Kompo­ nenten intelligent auszuwerten als auch Managementaufgaben flächende­ ckend und geräteübergreifend durchzuführen. Das ermöglicht dem Administrator wiederkehrende Routineaufgaben ener­ giesparend zu absolvieren und Funktionsstörungen jederzeit gezielt zu lo­ kalisieren. Die Integration des Policy Managers in die NetSight® Installation ist der erste praktische Schritt zu einem sicheren Netzwerk. Step 3 – Static Policys Es gibt verschiedene Rahmenbedingungen, welche die flächendeckende Einführung von Authentisierungsmethoden verzögern. Daher bietet es sich als Vorstufe an einen statischen Schutz zu etablieren, welcher ohne jede Authentisierung auskommt. Zu diesem Zweck werden einige wenige Policys definiert, welche den Access Ports als Default Role zugewiesen werden. Der Nachteil dieser statischen Lösung liegt in einer geringen Flexibilität. Jeder Umzug von Endgeräten erfordert eine Prüfung der dem Port zuge­ wiesenen Policy. Die Möglichkeit, unter Einsatz des Policy Managers auf einfache Weise eine Access Port Security zu etablieren, birgt – gerade in kleinen und mittleren Netzen – jede Menge Charme und ist als Zwischenstufe einer Migration durchaus betrachtenswert. Step 4 - Authentisierung Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus. Die Integration des RADIUS-Dienstes in Verbindung mit der zentralen Be­ nutzerverwaltung ist möglicherweise bereits im Rahmen einer VPN- oder WLAN Lösung vollzogen worden. Nun gilt es im RADIUS-Server ein Filterwerk zu etablieren, welches die Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen ent­ sprechenden Policystring (Filter ID) destilliert. Dem folgt die Authorisie­ rung der Accessswitche als registrierte RADIUS-Clients. Enterasys Networks – Solution Guide 2008
    36. Secure Networks™ Seite 31 Das Aktivieren der Authentisierungsfunktion auf den Switchen stellt einen wesentlichen Schritt in der Migration dar. Der Zugang zum Netz ist nun nicht mehr von der reinen LAN-Connectivity bestimmt, sondern hängt von zahlreichen Faktoren ab: Endgerätekonfiguration, Switcheinstellung, RADIUS, Directory. Um das einwandfreie Zusammenspiel dieser Kommunikationskette risiko­ frei sicherzustellen, hat sich die Durchführung einer Pilotphase bewährt. In dieser Phase ist jedem Port zunächst eine liberale Default Policy zuge­ ordnet, welche den Benutzer in seinem Tun nicht einschränkt. Ein authentisierter User erhält eine neue Rolle, welche die gleichen Frei­ heiten einräumt. Während dieser Pilotphase kann der Administrator risikofrei prüfen, ob die Authentisierungsmechanismen auch unter Volllast greifen. Ist diese Prü­ fung abgeschlossen, können die vorbereiteten Policys scharfgeschaltet werden. Step 5 – Nächste Schritte Die Integration von Authentisierungsmaßnahmen und Regelwerken im Accessbereich stellt einen großen Schritt hin zu flächendeckender Netz­ werksecurity dar. Doch das Secure Networks™ Portfolio hat weit mehr zu bieten. Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4 flächende­ ckend zu kontrollieren, schafft eine solide Basis an Präventivmaßnahmen. Der nächste Schritt, Missbrauch und Attacken innerhalb des Contents oder aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren, ist in den nachfolgenden Kapiteln „Detect and Locate“ dokumentiert. Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage nach dem Vertrauensstatus des Endgeräts. Im Kapitel „Proactive Pre­ vention“ werden Techniken beleuchtet, die es ermöglichen, die wachsen­ de Zahl von PCs, Laptops, Telefonen und embedded Devices in ein erwei­ tertes Sicherheitskonzept einzubinden. Rückblickend auf zahlreiche Secure Networks™ Migrationen hat sich die Vorgehensweise bewährt, vor Ort einen auf die Bedürfnisse des Kunden abgestimmten Workshop durchzuführen, in welchem Grundlagen vermit­ telt werden, einzelne Schritte festgelegt und Konfigurationen vorab er­ stellt werden können. Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines Pflichtenheftes, der Planung, der Implementierung und Einweisung, professionelle Unterstützung an. Enterasys Networks – Solution Guide 2008
    37. Seite 32 Secure Networks™ Detect and Locate Secure Networks™ von Enterasys schützt die Unternehmenswerte durch einen ganzheitlichen Ansatz. Die Grundvorrausetzung hierfür ist, dass das Netzwerk in der Lage ist, Angriffe und Gefahren auf Ressourcen im Netz­ werk zu erkennen und den Angreifer zu identifizieren. Bevor jedoch Angriffen auf die IT Infrastruktur begegnet werden kann, muss verstanden werden, wie diese Attacken durchgeführt werden und welche Charakteristiken zur Erkennung genutzt werden können. Angriffe Grundsätzlich kann dabei zwischen den folgenden Angreifertypen unter­ schieden werden: Automatisierte Angriffe (Viren, Würmer, Trojaner) ● Toolbasierte Angriffe ● Gezielte, intelligente, per Hand durchgeführte Angriffe ● Automatisierte Angriffe Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon aus­ gehen, dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT Systeme flächendeckend zu kompromittieren. Sind diese Sicherheits­ lücken bis dato noch unbekannt oder existiert kein Patch dazu, spricht man häufig von Day Zero Attacken. Die eigentliche Herleitung dieses Begriffs, der eigentlich Zero-Day Angriff/ Exploit lautet, kommt jedoch von der kurzen Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und dem Verfügbarsein eines funktionie­ renden Angriffs (zumeist eines Exploits). Unabhängig davon, ob die Si­ cherheitslücke bekannt ist und ebenfalls unabhängig davon, ob ein Patch für diese Sicherheitslücke exisitert, folgt das Schädlingsprogramm, das eine Sicherheitslücke automatisiert ausnutzen will, zumeist einem be­ stimmten Schema: 1) Netzwerkdiscovery und Zielidentifizierung (optional) Bevor ein (vernünftig programmierter) Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet, überprüft er, ob das Zielsystem überhaupt angreifbar ist. Die Palette der Möglichkei­ ten, um diese Informationen zu erlangen, reicht vom stupiden Banner Grabbing bis zum intelligten TCP Fingerprint. Enterasys Networks – Solution Guide 2008
    38. Secure Networks™ Seite 33 2) Kompromittierung des Zielsystems Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies stellt den eigentlichen Angriff dar. Da der durchgeführte An­ griff auf eine Vielzahl unterschiedlicher Systeme auf unter Um­ ständen unterschiedlichen Plattformen durchgeführt werden soll, ist der Angriff an sich meistens sehr stupide und einfach zu erken­ nen. 3) Weiterverbreitung Ist das Zielsystem kompromittiert, versucht das Schadprogramm sich weiter im Netzwerk zu verbreiten. Automatisierte Angriffe können sowohl von Systemen, die mit anomalie­ basierten Erkennungstechnologien arbeiten, als auch von signaturbasier­ ten Systemen erkannt werden. Toolbasierte Angriffe Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzu­ tage gibt es eine Vielzahl von zum Teil freien Frameworks, die das Ausfüh­ ren eines Schadprogramms per Knopfdruck ermöglichen. Diese Frameworks laden bestimmte Angriffsmodule und bieten dem An­ greifer die Möglichkeit, die dynamsichen Parameter eines Angriffs per GUI zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm gesenkt. Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgen­ den Unterteile aufgliedern lässt: 1) Socket Aufbau Bevor der Angriffscode übermittelt werden kann, muss eine Netz­ werkverbindung zum Zielsystem aufgebaut werden. 2) Shell Code / Angriffscode Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der Angriffscode über den Socket verschickt. Da die Rück­ sprungadresse und das Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen durchprobiert. Da bei die­ sen toolgesteuerten Angriffen oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs über das Netzwerk versendet – daraus resultiert ein großer Speicherbedarf für das NOP-Sledge. 3) Informationsaufbereitung Sobald der Angriffscode übermittelt wurde, werden die daraus re­ sultierenden Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für den User aufbereitet. Enterasys Networks – Solution Guide 2008
    39. Seite 34 Secure Networks™ Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, ge­ zielt sind und sich somit von den automatisierten Angriffen unterscheiden, müssen die Angriffsschemata dennoch sehr offen gehalten werden. Nur so kann eine sehr hohe Erfolgsquote garantiert werden. Diese Angriffe sind unter anderem durch folgende Merkmale auffällig: Große NOP Bereiche ● Oftmaliges Übermitteln des Angriffscodes (da diese die Rück­ ● sprungadresse enthält) Auffällige Offsets ● Standard Shell Code ● Unsauberes Beenden des angegriffenen Programms (kein exit(0) ● innerhalb des Shell Codes) Diese Angriffe lassen sich am besten durch signaturbasierte Systeme er­ kennen. Gezielte Angriffe Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche An­ griffscode sehr schlank und sauber geschrieben ist und dass die Verbin­ dungen und die Codesprünge sauber geschlossen werden. Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff ge­ schätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde). Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt wer­ den. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem An­ greifer bieten, um seinen Angriff zu verschleiern, stellen diese fokusierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar. Gezielte Angriffe lassen sich am besten durch die Kombination von signa­ turbasierten Systemen und System Information Management Systemen erkennen. Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie er­ kannt und verhindert werden können, folgend die Beschreibung dreier be­ kannter und weitverbreiteter Angriffsmuster. Enterasys Networks – Solution Guide 2008
    40. Secure Networks™ Seite 35 Denial of Service Denial of Service Attacken gelten oftmals als stupide Attacken von Angrei­ fern, die nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind Denial of Ser­ vice Attacken jedoch oftmals „Vorboten“ eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur Übernahme des Dienstes) oder die­ nen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen. Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts an­ gesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheitsgatewaysysteme installieren Updates über NFS mounts, die sie vom DHCP Server erhalten). Buffer Overflow Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht je­ doch von pufferbezogenen Angriffen weg und hin zu Cross Site Scripting- bezogenen Angriffen. Im Folgenden sind einige Gründe hierfür aufgeführt: Sichere Frameworks für Applikationserstellung und Code Access ● Security Stack Schutz von Betriebssystemen ● Stack Schutzmechanismen für Compiler ● Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese stetig an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem „Stack“ und dem „Heap“ zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels sprengen. Cross Site Scripting (XSS) Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu massiven Problemen führen (bis hin zur Kompromittierung des kom­ pletten Systems), sind extrem einfach für einen Angreifer zu finden und auszunutzen und oftmals sehr schwer zu erkennen und zu verhindern. XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren auf der Dynamik der Programmiersprache mit der bestimmte Dienste, die die genannten Protokolle nutzen, geschrieben sind. Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht werden. Vereinfacht gesagt wird ein Skript zeilenweise ausgeführt (vom Enterasys Networks – Solution Guide 2008
    41. Seite 36 Secure Networks™ Interpreter). Kommt es zu einem Fehler oder einer falschen Anweisung endet das Skript in einer bestimmten Zeile. Ein in einer Hochsprache (z.B. C) geschriebenes Programm wird vor Beginn der ersten Ausführung kom­ piliert – grobe Fehler werden also schon bei der Erstellung des Programms erkannt. Ferner ist es bei Skriptsprachen möglich, Codes während der Laufzeit einzubinden. Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den eigenen Code in die Webapplikation einzuschleusen (Skript Code oder Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes werden. Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier genannten Angriffsschemata auch man-in-the-middle Atta­ cken und Protokollangriffe detailliert behandelt. IDS Erkennungstechnologien Intrusion Detection und Prevention Systeme sind in der Lage die beschrie­ benen Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits einleitend beschrieben, gibt es für die verschiedenen Angriffe ver­ schiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle verfügbaren Erkennungstechnologien vereint und somit in der Lage ist, die jeweils beste Technologie zur Erkennung und Prävention ein­ zusetzen. Grundsätzlich kann unter folgenden Erkennungstechnologien unterschie­ den werden: Behavior Based Anomaly Detection ● Die Analyse von Verkehrsbeziehungen mittels Daten aus den  Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponenten­ spezifischer Traps Bei hostbasierten Systemen ist hierunter meist die Analyse  der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc. Enterasys Networks – Solution Guide 2008
    42. Secure Networks™ Seite 37 Anomaly Detection ● Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP  Flag Kombinationen gesetzt, etc.) Bei Host Sensoren kann man hierunter die Überwachung von  Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/passwd“ wird normalerweise nicht geändert) Protocol based – Protocol Conformance Analysis und Decoding ● Die Decodierung von Protokollen und Überprüfung der Konfor­  mität im Hinblick auf Standards Signature based – Pattern Matching ● Die Analyse des Paketinhaltes in Hinblick auf verdächtige  Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.) Bei Host Sensoren versteht man darunter zum Beispiel die  Analyse von Logdateien Eine Behavior Based Anomaly Detection basiert darauf typische Verhal­ tensmuster im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den durchschnittlichen Durchsatz zu messen und bei star­ ken Abweichungen von diesen Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das Setzen und Messen von Schwell­ werten handelt, sondern um komplexe Algorithmen, die in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales Verhalten in bestimmten Grenzen vorher zu sagen. Bei der Anomaly Detection und der protokollbasierten Analyse werden \"unmögliche\" Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IP-Pakete mit nicht definierten Offsets erkannt. Außerdem werden die Sessions der einzelnen Verbindungen wieder zusammenge­ setzt und diese nach Auffälligkeiten analysiert und Abweichungen von de­ finierten Netzwerkpolicys (zum Beispiel, dass Mitarbeiter keine Peer-to- Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt. Eine signaturbasierte Lösung kann extrem präzisen Aufschluss über den Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff er­ folgreich war. Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signatu­ ren von Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um Binärabbilder bestimmter, typischer Fragmente der durch An­ griffstools oder Viren erzeugten Datenpakete). Diese werden mit dem Da­ tenteil der Pakete verglichen und so erkannt. Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter An­ griffe jedoch schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte (verschiedene) Angriffe einem bestimmten Muster Enterasys Networks – Solution Guide 2008
    43. Seite 38 Secure Networks™ folgen. Gut lässt sich dies anhand von Buffer Overflow Angriffen verifizie­ ren, die sich durch das Senden von Shell Code und NOP-Sledges auszeich­ nen. Zusammenfassend kann festgehalten werden, dass Intrusion Detection und Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte Technologien anwenden, um festzustellen, ob ein Paket oder ein Kommunikationsfluss integer ist oder ob es sich um einen Angriff han­ delt. Zur Verifizierung eines erfolgreichen Angriffs verwendet das IDS nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in seine „Überlegung“ auch die Antworten des angegriffenen Systems ein. Enterasys Networks – Solution Guide 2008
    44. Secure Networks™ Seite 39 Hostbasierte Erkennung versus netzwerkba­ sierte Erkennung Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im Netzwerk stattfinden. Bevor auf die verschiedenen Technologien im Detail eingegangen wird, werden im Folgenden einige Vor- und Nach­ teile der verschieden Systeme aufgeführt. Vorteile hostbasierter Erkennung: Netzwerkstream wurde bereits vom TCP Stack des Betriebssys­ ● tems zusammengesetzt Verschlüsselungsproblematiken sind nicht vorhanden ● Komplettes Systemverhalten kann in die Bewertung eines Angriffs ● einbezogen werden Nachteile hostbasierter Erkennung: Großer Verwaltungsaufwand: Muss auf jedem Host installiert wer­ ● den Verschiedene Betriebssysteme benötigen verschiedene Clients ● Betriebssystemänderungen können hostbasierte Erkennung beein­ ● flussen Vorteile netzwerkbasierter Erkennung: Änderungen am Betriebssystem des Ziels haben keinen Einfluss ● auf die netzwerkbasierte Erkennung Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System ● kann eine Vielzahl von Hosts überwachen Nachteile netzwerkbasierter Erkennung: Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffs­ ● erkennung führen Single Point of Failure ● Lokale Angriffe werden nicht erkannt ● Enterasys Networks – Solution Guide 2008
    45. Seite 40 Secure Networks™ Host Intrusion Detection / Prevention (HIDS/ HIPS) Host Intrusion Detection / Prevention Systeme haben einen komplett an­ deren Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei Hauptansatzpunkte: Kernel Schutz (System Call Hooking) ● Überwachung von Konfigurationsdateien und/oder der Registrie­ ● rung Prüfung der Systemintegrität ● Kernel Schutz Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Be­ nutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystemroutinen beheimatet sind. Ver­ einfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssys­ tem (das die Dateien und die Hardware exklusiv verwaltet) und dem User­ land die System Calls sind. Diese Calls werden von Applikationen und Pro­ grammen genutzt, um Zugriff auf Betriebssystemressourcen zu erhalten. Ein HIDS / HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernelspace) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valid sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungs­ merkmale bemerkbar machen: Verhindern des Ausführens von Code auf dem Stack ● Überschreiben von System Calls (Linux – LKM) ● Überwachung von Konfigurationsdateien und Registrie­ rung Ein weiterer wichtiger Bestandteil eines HIDS / HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernelkonfigurationen (Linux). So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Fire­ wall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch lau­ fen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut identifizieren. Enterasys Networks – Solution Guide 2008
    46. Secure Networks™ Seite 41 Prüfung der Systemintegrität Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion De­ tection / Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde. Das HIDS / HIPS bildet hierzu zu einem Zeit­ punkt, an dem das zu überwachende Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des Binärcodes und agiert sobald sich die­ se Checksumme ändern. System Integrität – Kernel Schutz Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an, die didaktisch sehr einfach über den Dragon ® EMS zu verwalten sind. Damit können die in diesem Kapitel beschriebenen Featu­ res einfach und sicher realisiert werden. Enterasys Host Intrusion Prevention Systeme beschränken sich dabei je­ doch nicht nur auf den hier beschriebenen Betriebssystem- und Syste­ mapplikationsschutz. Für einige businessrelevante Gebiete (wie Webserver [Internet Information Server und Apache]) gibt es eigene Application In­ trusion Prevention Systeme, die für einen idealen Schutz der entsprechen­ den Applikation sorgen. Erweiterungsmöglichkeiten des HIDS Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development Kit) an, das von Kunden, Partnern oder vom Enterasys Pro­ fessional Services Team genutzt werden kann, um zusätzliche Leistungs­ merkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher integrieren. Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätz­ liche Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bi­ Enterasys Networks – Solution Guide 2008
    47. Seite 42 Secure Networks™ bliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der Enterasys Enter­ prise Management Suite beschäftigen oder mit sicherheitsbezogenen The­ men wie Authentifizierung und Verschlüsselung – er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren. Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogram­ me, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu entwickeln. Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte integriert, innerhalb der Dragon® Defense Suite zu nutzen. Network IDS/IPS Netzwerkbasierte Intrusion Detection und Prevention Systeme unterschei­ den sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden: Ereigniskomponente: ● Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergege­ ben. Analysekomponente: ● An dieser Stelle werden die Daten, die von der Ereigniskomponen­ te gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Si­ gnaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbank­ eintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse System) Installation handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden. Monitor und Darstellungskomponente: ● Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den An­ wender / Administrator aufbereitet. Zusammenfassend kann gesagt werden, dass durch die Kombination netz­ werk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht Enterasys Networks – Solution Guide 2008
    48. Secure Networks™ Seite 43 werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien schützt. IDS versus IPS versus DIRS Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen können, werden die Aktionen, die aus diesen Informationen ge­ troffen werden können, diskutiert. Detection Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver Si­ cherheitstechnologie (ob inline oder outline). Sollte keine proaktive Si­ cherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und dokumentieren, Statistiken über die Sicherheitsentwick­ lungen erstellen und Datenquellen / Ressourcen für Security Information and Event Management Systeme bereitstellen, die daraus SoX-konforme Reports erstellen können. Prevention Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also direkt in den Kommunikationsfluss integriert und entschei­ den, ob ein Paket weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes Werkzeug, um das Netzwerk und die darin befindlichen Komponenten aktiv vor Angriffen zu schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen, wenn es sich dabei um schadhafte Pakete handelt. Dynamic Response Distributed IPS basiert auf Intrusion Detection und führt – basierend auf den Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk durch. Je nach vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Portpolicy oder durch das Verbannen eines Users aus einem bestimmten VLAN in ein Anderes geschehen. Distributed IPS reagiert da­ bei auf bestimmte Ergebnisse. Wird ein Angriff durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt, wird das DIRS diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer gefah­ ren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet. Auch hier kann zusammenfassend festgehalten werden, dass das größte Schutzpotential durch die Kombination der verschiedenen Technologien realisiert werden kann. Enterasys Networks – Solution Guide 2008
    49. Seite 44 Secure Networks™ Dynamic Response in Multivendor Networks Enterasys Networks ist der führende Anbieter von Distributed IPS Syste­ men. Durch eine extrem hohe Anzahl unterstützter Devices von Fremdher­ stellern ist es möglich, nahezu jede Netzwerkinfrastruktur durch den Ein­ satz des Dragon® IDS in Kombination mit dem Automated Security Mana­ ger über DIRS abzusichern. Enterasys Networks – Solution Guide 2008
    50. Secure Networks™ Seite 45 System Information and Event Management Unter SIEM (System Information and Event Management) oder SIM (Sys­ tem Information Management) versteht man die hohe Kunst, alle vorhan­ denen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Einsatzmöglichkeiten für Dragon® Zur besseren Veranschaulichung kann die IST Situation und die SOLL Si­ tuation (bezogen auf Security Information Management) vieler Unterneh­ men herangezogen werden: Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im Netzwerk. Die entstehenden Logmessages werden in unter­ schiedlichen Formaten auf unterschiedlichen Systemen gehalten und kön­ nen sensible, wichtige Informationen enthalten. Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessa­ ges werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Realtime sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht. Enterasys Networks – Solution Guide 2008
    51. Seite 46 Secure Networks™ Die Technologie Technologisch wird die eben beschriebene SOLL Situation dadurch er­ reicht, dass alle Events (ein Event ist eine einzelne Nachricht eines Sys­ tems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems) in einer Datenbank gespei­ chert und korreliert werden. Aus dieser Korrelation wird ein neuer Übere­ vent generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Of­ fense zusammengefasst werden, desto höher ist die Data Reduction Rate. Das SIEM kann dabei Lognachrichten oder auch Flow Daten von Netzwerk­ geräten aufnehmen und diese in Relation zueinander setzen. Durch die ganzheitliche Strategie von Secure Networks™ ist es im Umkehrschluss wiederum möglich, Aktionen basierend auf den Offenses im Netzwerk zu starten. Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk be­ zeichnen, die alle erdenklichen Informationen aufnehmen und den Board of Directors (den Administratoren) dann Anweisungen erteilen. Die Dragon® Security Command Console (das SIEM von Enterasys) ist in der Lage, die vorhandenen Offenses einfach und klar strukturiert darzu­ stellen. Da das System auch für sehr große Infrastrukturen ausgelegt ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, wel­ che Informationen er zu Beginn seiner Session sehen möchte. Die DSCC ist dabei wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, in dem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt. Was bringt Enterasys Security Management ... ... für die Finanzorganisation? Kosten werden eingespart ● Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automati­ ● siert übernommen werden Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt si­ ● gnifikant Erhöhung des Return on Invests bei Software und Hardware ● Enterasys Networks – Solution Guide 2008
    52. Secure Networks™ Seite 47 Was bringt Enterasys Security Management ... ... für das operative Geschäft? Verbesserte Antwortzeiten bei Attacken ● Attacken, Hardware- und Softwarefehler werden besser erkannt. ● Dadurch können bestimmte Fehlersituationen besser zugeordnet und Aktionen besser koordiniert und geplant werden. Verbesserte, einfachere Übersicht über Securityevents ● Signifikate Erhöhung der proaktiven und präventiven Sicherheit ● Auswirkungen bestimmter Aktionen können besser bewertet wer­ ● den; Auswirkungen besser berechnet werden. Was bringt Enterasys Security Management ... ... für das Business an sich? Erhöhung der Stabilität der IT Infrastruktur und damit bessere ● Verfügbarkeit der Geschäftsprozesse Legal Compliance ● Befolgung aller Regularien ● Minimierung der Auswirkungen für Unbeteiligte ● Risiken werden minimiert. Risiken werden überhaupt erkannt! ● Enterasys bietet mit der Dragon® Security Command Console das führen­ de System, um die eben dargestellten Leistungsmerkmale effizient abzu­ bilden Korrelationsmöglichkeiten mit DSCC Enterasys Networks – Solution Guide 2008
    53. Seite 48 Secure Networks™ Die Enterasys DSCC ist dabei ferner in der Lage, Ergebnisse von Vulnera­ bility Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung einzubeziehen. Ein intelligentes Framework macht Erweiterun­ gen möglich, die eine enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen Datenaufkommen garantiert. DSCC Übersicht Enterasys bietet ferner durch die Kombination der hier aufgezeigten Sys­ teme (HIDS, NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefah­ ren mit der entsprechenden Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Be­ standteil dieser Secure Network™ Strategie ist es, dass dabei, wie bereits in diesem Kapitel über System Information und Event Management zu er­ fahren, eine Vielzahl von Fremdherstellern einbezogen werden können. Schnittstellen zu externen Systemen Eines der Ziele, die die Dragon® Security Command Console verfolgt, ist, dem Administrator bei verifizierten, schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, aus­ gefallener Server, etc.) darzustellen, um was es sich bei diesem Vorfall genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat. Dabei offeriert die DSCC dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende identitybezogene Informationen (Username, Usergruppe, Switchport, Switch IP Adresse, Name des Swit­ Enterasys Networks – Solution Guide 2008
    54. Secure Networks™ Seite 49 ches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benut­ zer „nur“ wired oder wireless online ist oder mehrere Verbindungsmöglich­ keiten nutzt (z.B. wired und wireless und zusätzlich VPN). Asset-Informationen in der DSCC Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine MAC Adresse für eine bestimmte Zeit vom Netz­ werk zu nehmen. Gefahrenquellen mit der DSCC direkt aus dem Netzwerk entfernen Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben, erweitern das Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen kann, enorm. Enterasys Networks – Solution Guide 2008
    55. Seite 50 Secure Networks™ Interne Erweiterungsmöglichkeiten und Schnittstellen Ein Security Information und Event Management System wie die Dragon® Security Command Console lebt davon, Events und Flows von verschie­ densten Systemen unterschiedlicher Hersteller zu lesen und diese Events zu nutzen, um sie durch das Korrelieren mit anderen Events von anderen Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden oder dass Kunden ihre eigenen Applikationen entworfen haben, die per default von den gängigen SIEM Lösungen nicht unterstützt werden. Da diese Quellen sehr wertvolle Daten enthalten können, die einen spür­ baren Mehrwert während des Korrelationsprozesses darstellen könnten, bietet die Dragon® Security Command Console einen sehr einfachen und effektiven Weg an nicht bekannte Logfile Formate zu lesen und in die Kor­ relation aufzunehmen. Dabei muss der Administrator lediglich ein generisches / universales Devi­ ce anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsober­ fläche innerhalb weniger Minuten realisiert werden kann. Schritt 1: DSCC - Sensordevices Anlegen eines neuen generischen Devices, damit Logfiles von diesem Sys­ tem aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden. Enterasys Networks – Solution Guide 2008
    56. Secure Networks™ Seite 51 Schritt 2: DSCC-QidMapping Zuordnen des Events, so dass die DSCC „weiß“, in welche Kausalkette die­ ser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist. Enterasys Networks – Solution Guide 2008
    57. Seite 52 Secure Networks™ Respond and Remediate Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom auf auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten kombiniert. Intrusion Detection Systeme erkennen auftre­ tenden Missbrauch oder Sicherheitslücken und können mit Hilfe von Re­ sponsemechanismen direkt – als IPS oder in der Secure Networks™ Archi­ tektur - mit dem ASM ins Geschehen eingreifen. Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mit­ arbeiter mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich, eine Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten. Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber auch auf anderem Wege erreicht werden. So unterstützt zum Beispiel die Matrix® N-Serie das so genannte Flow Setup Throttling. Man kann (vor allem auf den Userports) pro Port Schwellwerte definieren, wel­ che die maximale Anzahl von Flows in einer gewissen Zeiteinheit definie­ ren. Überschreitet der Rechner eines Users diesen Threshold, so ist das normalerweise nie auf regulären Traffic zurückzuführen, sondern ein si­ cheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Kon­ figuration schickt der Switch dann eine Nachricht an die Managementstati­ on oder aber der entsprechende Port wird sofort deaktiviert (und auch hier wird eine Nachricht an die Managementstation geschickt). Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird durch den Einsatz der folgenden Enterasys Networks Lösungen möglich: Enterasys NAC ● NetSight® Console ● Automated Security Manager ● Dragon® IDS ● Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Be­ vor er jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Si­ cherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt, dass der User die in der Firmenpolicy vorgeschriebene Antivirensoftware deaktiviert hat. Der User erhält daraufhin lediglich Zugriff auf eine von Enterasys Networks bereitgestellte Webseite, die ihm eine genaue Be­ schreibung des Fehlers offeriert. Der User wird auf dieser Webseite dar­ aufhin gewiesen, dass er die Antivirensoftware wieder aktivieren muss, um Zugriff auf das Netzwerk zu erhalten. Versucht der User interne oder externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf die von Enterasys Networks gelieferte Webseite umgeleitet. Nachdem der User die Software wieder aktiviert hat, kann er über einfa­ ches Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netz­ werk verlangen. Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem Enterasys Networks – Solution Guide 2008
    58. Secure Networks™ Seite 53 des Users keine Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des Sicherheitslückenscanners. Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu. Nach einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese Attacke wird vom Dragon® Intrusion De­ tection System erkannt. Durch die automatische Abstimmung des Dragon® IDS und des Automated Security Managers wird die Rolle des Users geän­ dert und sein Port in Quarantäne gesetzt. Der User erhält nun lediglich Zu­ griff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt, dass das Netzwerk den Angriff erkannt hat und sein System aus dem Netzwerk entfernt wurde. Assisted Remediation mit ToS-Rewrite Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per DIRS vom Netz getrennt wurde, mit einem definierten DSCP (bzw. IP Pre­ cedence) Wert zu markieren. Assisted Remediation mit Hilfe von ToS-Rewrite So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein modifizierter Proxy, der in der Lage ist die Pakete an Zieladressen anderer Webserver entgegen zu nehmen und mit einer Remediation Web­ seite zu antworten. Dies setzt natürlich voraus, dass DHCP (falls verwen­ det) und DNS wie üblich gehandhabt werden oder der Remediation Server ebenfalls auf diese antwortet. Enterasys Networks – Solution Guide 2008
    59. Seite 54 Secure Networks™ Proactive Prevention / NAC Mit proactive Prevention oder auch Network Access Control steht wieder einmal eine Technologie am Anfang des “Gartner Hype Cycles“ (http://www.gartner.com/pages/story.php.id.8795.s.8.jsp). Sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden bietet NAC eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Her­ ausforderung insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine entsprechende NAC Lösung einsetzen möchte. Definition von NAC Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät authorisiert und Zugriff auf Res­ sourcen gewährt auf der Basis der Authentisierung der Identität des ent­ sprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Ge­ räts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen - die Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im so genannten Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assess­ ment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach Kundenan­ forderung. Ein Prozess zur Wiederherstellung der Compliance, der so ge­ nannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endge­ räte und Nutzer am Netz, dass heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras, etc. NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitspro­ bleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikati­ onsebene können mittels NAC kaum erkannt werden, es sei denn, man setzt intensiv auch Post-Connect Assessment Techniken ein. (http://media.godashboard.com/CMP/Excerpt_nwcanl06_nac.pdf) Enterasys Networks – Solution Guide 2008
    60. Secure Networks™ Seite 55 Der Prozess NAC Es gibt hier verschiedenste Modelle zur Darstellung eines NAC Prozesses. Generell ist die folgende Einteilung sinnvoll (lt. Gartner): ➔ Policy – die Erstellung einer Policy ist notwendig, um die Konfigu­ rationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäneeinstellungen zu regeln ➔ Baseline – erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur ➔ Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline ➔ Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patchmanagement und Konfigu­ rationsmanagement erfolgen ➔ Monitor – es muss laufend überprüft werden, ob der Anfangssta­ tus sich nicht verändert ➔ Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können ➔ Maintain – es muss eine laufende Anpassung und Optimierung erfolgen Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens entsprechend anzupassen bzw. zu optimieren. Enterasys Networks – Solution Guide 2008
    61. Seite 56 Secure Networks™ Lösungsansätze Die großen Frameworks – das Endziel Zunächst gestartet, um die Integrität eines Endsystems in Bezug auf Hardware- und Softwarekonfiguration sicherzustellen (und damit einen Großteil bestehender Host IPS und Personal Firewall Ansätze zu ersetzen), können diese Ansätze optimal durch bestehende APIs auch zur Kommuni­ kation des Security Status eines Endsystems in einer NAC Umgebung ge­ nutzt werden. Die IETF teilt die Funktionen hier wie folgt ein: NAC Funktionalitäten nach IETF Der „Agent“ auf dem Endsystem ist typischerweise mehrteilig – der Po­ sture Collector überprüft einzelne Einstellungen (je nach Hersteller des Kollektors) wie z.B. Patchlevel, Antivirus Status, Personal Firewall Einstel­ lungen, etc. und gibt diese an den Client Broker weiter, dessen API von verschiedenen Posture Kollektoren genutzt werden kann. Der Client Bro­ ker wiederum gibt diese Information an den Network Access Requestor weiter, der neben Authentifizierung auch den Security Status an die Ser­ verseite leitet. Typisch für einen Network Access Requestor sind 802.1x Supplicants oder IPSec Clients. Beim Network Enforcement Point handelt es sich typischerweise um Swit­ che, Router, Access Points, Firewalls und IPS Systeme oder VPN Konzen­ tratoren. Auf der Serverseite werden die Komponenten der Client Seite widerge­ spiegelt in Form der Network Access Authority. Diese entspricht typischer­ weise einem RADIUS Server bzw. einem Policy Server. Dieser steuert das Network Enforcement und den Server Broker (ein Stück Middleware wie auch der Client Broker), der wiederum die verschiedenen Posture Valida­ toren anspricht. Für agentenbasierte Lösungen werden diese Lösungen in den nächsten 2 bis 5 Jahren wohl die dominierende Position einnehmen. Enterasys Networks – Solution Guide 2008
    62. Secure Networks™ Seite 57 Microsoft NAP Die Microsoft NAP Network Access Protection Lösung, die mit MS Vista und Windows Server 2008 Einzug hält, wird wohl erst in naher Zukunft für „General Deployments“ bereitstehen. Die Beta Tests und Early Adopter Implementierungen laufen schon seit 2007. Es wird auch einen NAP Client für Windows XP geben, der grundlegende Kundenanforderungen umsetzt. Der NAP Client wird dann DHCP, VPN und 802.1x Enforcement unterstüt­ zen. Microsoft NAP-Modell Der Enforcement Point kann aber auch in der Netzwerkinfrastruktur lie­ gen, die Steuerung erfolgt dann über einen RADIUS Server (Quelle: Micro­ soft) Microsoft hat auf der Interop 2007 bekannt gegeben, dass sie den TNC- Standard der Trusted Computing Group unterstützen werden. Damit zeichnet sich ab, das der Weg zu NAP Richtung TNC führen wird. Kombinierte NAP/TNC Architektur Enterasys Networks – Solution Guide 2008
    63. Seite 58 Secure Networks™ Trusted Computing Group TCG - TNC Da der Endgerätemarkt nicht nur aus Microsoft Produkten besteht, ist ins­ besondere hier ein Standard notwendig, der sich mit der TCG und deren Sub-Group TNC-SG Trusted Network Connect abzeichnet. Vereinzelt sind auch schon Produkte zu finden, die diese Spezifikation unterstützen. Ein großer Durchbruch war aber in 2007 zumindest für TNC noch nicht zu se­ hen, obwohl schon mehr als 160 Unternehmen dort Mitglied waren. Das Modell der TNC-SG 1.1 Spezifikation sieht auch wiederum sehr dem MS NAP Konzept ähnlich (Quelle: TNC): TCG NAC-Modell Posture Collector und Validator entsprechen jetzt den Integrity Measure­ ment Collectors und Verifiers, die Client und Server Broker sind die ei­ gentlichen TNC Clients und Server, die Network Access Requestor, Net­ work Access Authority und Policy Enforcement Point Instanzen bleiben identisch. Das Zusammenspiel in heterogenen Umgebungen Auf der Desktopebene wird Microsoft mit dem NAP Agent wohl eine maß­ gebliche Rolle spielen – in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben stark (vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird in der non-Microsoft Welt groß sein, für Mi­ crosoftbasierte Endsysteme bleibt dies abzuwarten. Eine Integration der verschiedenen Systeme ist möglich auf der Serverseite – hier müssen in­ telligente Network Access Authority Server erkennen, welche Clients in­ stalliert sind (oder clientless gearbeitet wsird) und auf dieser Basis muss eine Umleitung an den entsprechenden (Network Access Authority) Server erfolgen. Enterasys geht mit Enterasys NAC diesen Weg des intelligenten RADIUS Proxy und Brokers, der diese Integration übernehmen kann. Auf dem Desktop muss sich der Kunde für jeweils einen Agenten und eine Technologie entscheiden. Enterasys Networks – Solution Guide 2008
    64. Secure Networks™ Seite 59 Enterasys NAC Enterasys hat durch seine Secure Network™ Architektur eine Basis für In- und Out-of-Band NAC Lösungen geschaffen. Dabei wird der NAC Prozess vollständig durch die Secure Networks™ Architektur abgebildet. Allerdings ist selbstverständlich auch in Drittherstellernetzen ohne Secure Networks™ Unterstützung der Einsatz der Enterasys NAC Lösung unter Verwendung von Standards wie 802.1x Authentisierung und VLAN Zuwei­ sung (RFC 3580) möglich. Erkennung und Authentisierung ● durch Secure Networks™ Au­ thentication/ Multiuser Authen­ tication (in Drittherstellernetzen mit den Authentication Features der jeweiligen Switche – mini­ mal RFC 3580) Assessment über das integrier­ ● te Enterasys agent based oder - less Assessment oder über die offene Assessment API auf be­ liebigen Produkten Authorization durch Secure ● Networks™ Policys (L2, L4 + QoS) Remediation durch die oben be­ ● schriebene Remediation Tech­ nik oder im Inline Betrieb In- band Contain über die Integration ● des NetSight® ASM NAC Prozess Das Post-Connect Assessment kann hier im Monitorprozess durch die Inte­ gration der Enterasys DSCC und IDP Lösung erfolgen. Da hier standardi­ sierte Webservices Schnittstellen zur Verfügung stellen, ist natürlich auch die Einbettung beliebiger und evtuell schon vorhandener Sicherheitsdiens­ te möglich. Die Enterasys NAC Lösung ermöglicht die Umsetzung der unterschiedli­ chen NAC Modelle switchbased Out-of-Band sowie Inband mit einer ein­ heitlichen Managementoberfläche. Dabei kommen die Komponenten Net­ Sight® NAC Manager sowie für den Out-of-Band Betrieb das NAC Gateway, für den Inband Betrieb der NAC Controller zum Einsatz – die genaue Zu­ sammenstellung wird im Produktportfolio erläutert. Enterasys Networks – Solution Guide 2008
    65. Seite 60 Secure Networks™ Die Enterasys Inline NAC Lösung erlaubt neben der schon bestehenden Out-of-Band Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im Netzwerk. Damit ist der NAC Prozess für jedes End­ system, welches ans Netzwerk angebunden wird, identisch – egal ob der Anschluss an das LAN, WLAN oder z.B. über einen VPN Konzentrator von außen erfolgt. Der Einsatz der Enterasys Inband NAC Lösung ermöglicht eine für alle Endsysteme einheitliche Zu­ gangskontrolle, unabhängig davon wo das System ans Netzwerk an­ geschlossen wird. Damit ist Enterasys der einzige Hersteller, der mit einer Architektur alle möglichen hardwareorientierten NAC Lösungen abbilden kann. NAC für Fortgeschrittene Die NAC Lösung von Enterasys erlaubt nicht nur den klassischen NAC An­ satz sondern stellt viele weitere Möglichkeiten für eine einfache Umset­ zung der Zugangskontrolle zur Verfügung. Im Zusammenhang mit einer Inband Lösung oder allgemein einer NAC Lö­ sung im Distribution Layer bei der am eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt werden stellt sich oft die Frage, ob diese überhaupt 802.1x fähig sind oder inwiefern eine vom Access Switch durchgeführte 802.1x Authentisierung überhaupt genutzt werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt. Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Um­ setzung von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon aus, dass die Endsysteme sich per Ker­ beros im Unternehmen anmelden, was z.B. bei einer Microsoft Active Enterasys Networks – Solution Guide 2008
    66. Secure Networks™ Seite 61 Directory Umgebung der Fall ist sobald der jeweilige Rechner in der Do­ mäne Mitglied ist. Die Kerberos Pakete werden dann vom NAC Controller mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername, Do­ mänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber herauslesen. Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung durchgeführt hat. Diese Informationen können dann direkt zur Authorisierung, dass heißt der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile einer 802.1x Lösung ohne deren Implementierungsaufwand nutzen. Kerberos Snooping Radius Snooping Ein netter Nebeneffekt beim Kerberos Snooping, auch ohne die verwen­ dung des Benutzernamens zur Authorisierung, ist die Tatsache, dass die Benutzer hinter den Endsystemen dem Netzwerkadministrator bekannt werden. Wird auf den Access Switchen schon 802.1x eingesetzt, um die Endsyste­ me zu authentisieren, so können mit RADIUS Snooping die Authorisie­ rungs- bzw. Secure Networks™ Policyfeatures eines Enterasys Switch im Distribution Layer genutzt werden. Enterasys Networks – Solution Guide 2008
    67. Seite 62 Secure Networks™ Dabei liest der Enterasys Switch die RADIUS Pakete mit und wendet das für den Access Switch zurückgegebene Regelwerk auf die MAC Adresse des in der RADIUS Session angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur Kommunikation mit dem Be­ nutzer bei der Anmeldung dient in der Enterasys NAC Lösung die Reme­ diation. Dahinter verbirgt sich ein Captive Portal wie man es aus WLAN HotSpots kennt. Darüber können dem Benutzer im Falle eines Netz­ werkausschlusses Informationen über die Gründe übermittelt werden bzw. über den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung geboten werden. Dies kann natürlich auch genutzt werden, um das Problem mit neuen End­ systemen oder Gästen zu lösen. Hierbei werden die Webanfragen eines neuen Endsystems am Netzwerk zu einer Webseite umgeleitet auf der das jeweilige System registriert werden muss – dazu wird auf ein vorhandenes LDAP (z.B. Active Directory) zurückgegriffen. Dabei werden die Daten des Benutzers des neuen Systems eingetragen und einer der Mitarbeiter be­ stätigt mit seinem Domänenzugang die Gültigkeit dieser Daten. MAC Registration - Zugangskontrolle für Fremdsysteme Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeu­ tig benennbar und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich hier die maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung nahezu beliebig an Kundenwünsche anpassbar. Enterasys Networks – Solution Guide 2008
    68. Secure Networks™ Seite 63 Assessment Das Assessment dient der Überprüfung des Endsystems. So kann z.B. überprüft werden, ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die Mindestanforderungen an ein eingesetztes Betriebssystem ein­ gehalten werde. Enterasys bietet hierbei eine agentenbasierte- sowie eine agentenlose Lösung an. Health-Check Möglichkeiten mit Enterasys NAC Über die weiter unten beschriebene Assessment API besteht die Möglich­ keit zur Integration von nahezu beliebigen weitere Assessment-Diensten. Integrationsmöglichkeiten Die Enterasys Network Access Control Lösung und die durch diese Pro­ duktlinie offerierten Schnittstellen sind integraler Bestandteil der Dragon® Defense Suite. Damit ist es möglich über die Dragon® Security Command Console sehr einfach und komfortabel auf die Features und Leistungs­ merkmale der Enterasys Network Access Control Lösung zuzugreifen. Assessment API Ein Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff auf Netzwerkressourcen erhalten, auf Sicherheitslücken zu über­ prüfen. Die in diese Lösung integrierte Scanningtechnologie kann dabei agentenbasiert oder rein über das Netzwerk arbeiten. Für die Kommunikation der verschiedenen unterstützen Assessment Pro­ dukte aus dem Hause Enterasys oder von Partnerunternehmen oder un­ terstützen 3rd Party Herstellern wird ein von Enterasys entwickelter Proto­ colstack genutzt, der die Events der Assessmentprodukte in Events, die durch die Enterasys NAC Lösung verstanden werden, übersetzt und die Enterasys Networks – Solution Guide 2008
    69. Seite 64 Secure Networks™ Kommunikation zwischen den Devices absichert (Authentifizierung und Verschlüsselung). Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control Lösungen nachdenken, bereits Assessment und Patch Manage­ ment Systeme im Einsatz haben. Diese bereits implementierten und er­ probten Lösungsbausteine müssen dann Teil der Network Access Control Lösung werden. Da es schier unmöglich ist, alle auf dem Markt vorhande­ nen Lösungen in diesem Bereich per Default zu unterstüzten, offeriert Enterasys eine eigene Assessment API (Application Programmers Inter­ face), die es dem Kunden ermöglicht, bereits vorhandene Lösungen zu in­ tegrieren. Dabei ist es wichtig zu wissen, dass nicht nur die Events der be­ reits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans durch die Enterasys NAC Lösung erfolgt. Wie beim SDK (Software Development Kit), das innerhalb der Enterasys Host Intrusion Detection Lösung angeboten wird, kann der Entwickler / Administrator auch bei der NAC API die Entwicklungssprache frei wählen. Die Libraries, gegen die der Code der Assessment Engines dabei gelinkt werden muss, wird in JAVA zur Verfügung gestellt. Durch das Bereitstellen einer aussagekräftigen und umfassenden Doku­ mentation mit entsprechenden Beispielen ist die Integration neuer – noch nicht unterstützter – Lösungen in die Enterasys Network Access Control Produktpalette effizient und einfach realisierbar. Web Services Da die Enterasys Network Access Control Lösung viele Mehrwerte zur Er­ höhung der Gesamtsicherheit innerhalb eines Unternehmens beisteuern kann, werden die Leistungsmerkmale der Lösung über gut dokumentierte Web Services auch anderen Produkten und Herstellern zur Verfügung ge­ stellt. Somit können die Features, die die Enterasys NAC Lösungen abbil­ den können, auch von anderen Produkten genutzt werden (zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration eigener Ap­ plikationen sollte hier der Enterasys Professional Service in Anspruch ge­ nommen werden. Enterasys Networks – Solution Guide 2008
    70. Secure Networks™ Seite 65 Notrufintegration von Enterasys NAC und VoIP-Management als SOA Ein Beispiel dieser Integration ist der Siemens DLS Server, der voll in die Enterasys NAC Lösung integriert ist. Da auch Siemens eine Schnittstelle für Partnerunternehmen offeriert, ist auch die Enterasys NAC Lösung in­ nerhalb des DLS integriert – es handelt sich also um eine bidirektionale Integration. Zur Nutzung dieser Integration kontaktieren Sie bitte den Sie­ mens DLS Produktmanager, da diese Funktionalität im Moment nur pro­ jektbezogen zur Verfügung gestellt wird. Automated Security Manager Für alle Enterasys Security Produkte (Dragon® Defense Suite und Entera­ sys Network Access Control) bietet der Enterasys Automated Security Ma­ nager (ASM) Schnittstellen und Features an, die genutzt werden können, um externe Devices (z.B. Router und Switche) anzusteuern und zu konfi­ gurieren. Durch die Flexibiltät und die Erweiterungsfähigkeiten dieses Pro­ dukts können Deployments, die mit Enterasys Produkten realisiert wur­ den, in nahezu allen Unternehmensnetzwerken ihren herstellerunabhängi­ gen Mehrwert ausspielen. Auch der ASM ist dabei in der Lage durch benutzerdefinierte Erweiterun­ gen, die auch per Script übergeben werden können, seinen Leistungsum­ fang zu erhöhen und sich so auf Kundenbedürfnisse optimal einstellen zu können. Enterasys Networks – Solution Guide 2008
    71. Seite 66 Secure Networks™ Standard based Convergence and Availability Enterasys Networks hat schon immer darauf geachtet sich so nah wie möglich an bestehenden Standards zu orientieren und neue Standards voranzutreiben. Einige wichtige Standards werden im Folgenden beschrie­ ben. Quality of Service im Netzwerk Um Quality of Service in heutigen Netzwerken zu verwenden, ist das Ein­ führen bestimmter Qualitätsklassen erforderlich. Das wird auch als Diffserv bezeichnet - dazu später mehr. Durch den Einsatz leistungsfähi­ ger Switche und Router, die die entsprechenden Standards unterstützen, können so die Verzögerungszeiten innerhalb eines Netzwerks optimiert werden. Die Sprachpakete erhalten Ende-zu-Ende eine höhere Übermitt­ lungspriorität als beispielsweise der tägliche Email Verkehr. Die Schwierig­ keit besteht darin, die Sprachdaten zu erkennen, um sie gegenüber den restlichen Daten zu priorisieren. Die Servicequalität eines Netzwerks kann man als eine Kombination aus Verzögerungszeit, Bandbreite und Zuverlässigkeit beschreiben. Wichtige Charakteristika sind folgende Parameter: • Verzögerungszeit: Ende-zu-Ende- oder so genannte Round-Trip-Verzögerung o Varianz der Verzögerungszeit (Jitter) o Echtzeit Möglichkeiten o • Bandbreite: Peak Data Rate (PDR) o Sustained Data Rate (SDR) o Minimum Data Rate (MDR) o • Zuverlässigkeit: Verfügbarkeit (als % Uptime) o Mean Time Between Failures / Mean Time To Repair o (MTBF/MTTR) Fehlerrate und Paketverlustrate o Die eigentliche Schwierigkeit besteht nun darin, ein gewisses Maß an Zu­ verlässigkeit für die neuen VoIP-Dienste bereitzustellen. Nur mit einem Ende-zu-Ende-Ansatz lassen sich diese neuen Anforderungen in der IT-Infrastruktur umsetzen. Dabei gibt es zwei Arten (IntServ und DiffServ) von Quality of Service zum effektiven Bandbreitenmanagement. Enterasys Networks – Solution Guide 2008
    72. Secure Networks™ Seite 67 Integrated Services Die standardisierte Integrated Services (IntServ) Methode basiert auf der Reservierung bestimmter Ressourcen. Darunter fällt beispielsweise die Technologie Resource Reservation Protocol (RSVP). Hierzu werden be­ stimmte Bandbreiten für einen Datenstrom (Flow) Ende-zu-Ende reser­ viert. Jedes Element in dieser Ende-zu-Ende-Kette muss das Protokoll RSVP verstehen und die Bandbreiten für die entsprechenden Flows reser­ vieren. Damit wird ganz schnell klar, wo die Schwachstellen von RSVP lie­ gen. Meist versteht nicht jeder Router in der Kette RSVP - schon gar nicht im Internet. Weiterhin muss jeder Router diese Informationen dynamisch vorhalten und als so genannte Soft States ablegen. Das kann bei einer großen Anzahl von Flows sehr prozessorintensiv sein. Eine weitere Herausforderung stellt die Zugriffskontrolle für die Netzwerkressourcen dar. Um RSVP überhaupt möglich zu machen, braucht man einen zentralen Policy Server. Im Jahre 1999 entstand die IETF Policy Framework Working Group. Die Resource Admission Policy Working Group der IETF hat dann die Standardisierung von COPS (Common Open Policy Server) vorangetrieben. COPS wurde als Protokoll entworfen, das mit ei­ ner IntServ/RSVP (Integrated Services / Resource Reservation Protocol) Umgebung zusammen arbeitet. Die Kommunikation zwischen dem PDP (Policy Decision Point) und PEP (Policy Enforcement Point) dient zur Über­ mittlung und der Admission von RSVP / RESV Anfragen. Das Konzept ska­ liert aber wie RSVP leider nicht für große Netzwerke, daher findet man COPS Implementierungen nur sehr selten. Policy based networking mit COPS Insgesamt hat sich der Integrated Services Ansatz nicht durchsetzen kön­ nen. Heutzutage wird meist DiffServ verwendet. Enterasys Networks – Solution Guide 2008
    73. Seite 68 Secure Networks™ Differentiated Services Differentiated Services (DiffServ) als Ansatz setzt auf OSI-Layer-3 auf. Hierzu wird das Type of Service Feld im IP-Header genutzt. Der Hauptunterschied zu IntServ besteht darin, dass keine Ende-zu-Ende Signalisierung der Datenflows benötigt wird. Die einzelnen Datenpakete werden zuerst klassifiziert und dann entsprechend ihrer Prioritäten über das Netzwerk transportiert. Damit ist es möglich zwischen bestimmten Dienstklassen (Class of Ser­ vice, CoS) innerhalb einer DiffServ-Domäne zu differenzieren, um den un­ terschiedlichen Anforderungen der verschiedenen Applikationen gerecht zu werden. Die Netzwerkkomponenten klassifizieren das Datenpaket und leiten es dann priorisiert weiter. Die Art und Weise der Weiterleitung der Pakete wird als Per-Hop Forwarding Behavior (PHB) bezeichnet. PHB beschreibt generell die Zuteilung bestimmter Bandbreiten- und Speicherressourcen sowie die angeforderten Verkehrscharakteristika wie Verzögerungszeit oder Paketverluste. Damit ist eine Differenzierung in verschiedene Dienst­ klassen möglich. DiffServ Feld Als Unterscheidungsmerkmal zwischen den verschiedenen PHB-Weiterlei­ tungsklassen dient der so genannte DiffServ Codepoint (DSCP), der aus den ersten sechs Bit im IPv4-ToS-Feld besteht. Im RFC 2474 wurde das ToS-Feld im IPv4-Header in DS Feld umbenannt. Damit sind maximal 64 Prioritätsklassen möglich. Zur Zeit sind folgende DSCP-Werte definiert; die anderen sind noch reser­ viert bzw. stehen für experimentelle Zwecke zur Verfügung. Enterasys Networks – Solution Guide 2008
    74. Secure Networks™ Seite 69 DSCP Binary Decimal DSCP Binary Decimal Default 000000 0 AF31 011010 26 CS1 001000 8 AF32 011100 28 AF11 001010 10 AF33 011110 30 AF12 001100 12 CS4 100000 32 AF13 001110 14 AF41 100010 34 CS2 010000 16 AF42 100100 36 AF21 010010 18 AF43 100110 38 AF22 010100 20 CS5 101000 40 AF23 010110 22 EF 101110 46 CS3 011000 24 CS6 110000 48 CS7 111000 56 Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit der IP Precedence 0. Per Hop IP Behaviour Diffserv Code Point (DSCP) Precedence (PHB) Default 000000 0 Low Drop Medium Drop High Drop Probability Probability Probability Class AF11 AF12 AF13 1 1 001010 001100 001110 Class AF21 AF22 AF23 Assured 2 2 010010 010100 010110 Forwarding Class AF31 AF32 AF33 3 3 011010 011100 011110 Class AF41 AF42 AF43 4 4 100010 100100 100110 Expedited EF 5 Forwarding 101110 Die Class Selector (CS) Code Points erlauben eine Rückwärts-Kompatibili­ tät mit den anderen IP Precedence Werten. Enterasys Networks – Solution Guide 2008
    75. Seite 70 Secure Networks™ Expedited Forwarding (EF, RFC 2598) ist eine Klasse, die geringe Latenz­ zeiten, wenig Jitter, möglichst keinen Paketverlust und garantierte Band­ breite zur Verfügung stellen soll. Assured Forwarding (AF, RFC 2597) bietet eine Vielzahl von Klassen, um den Datentraffic zu differenzieren und das PHB mit verschiedenen Drop Probabilities zu definieren. Explicit Congestion Notification (ECN) Die Bits 6 und 7 des DSCP Feldes sind mittlerweile definiert und bilden das so genannte ECN Feld. Die Idee bei der Explicit Congestion Notification ist, dass man im IP Protokoll eine Flusskontrolle hat, wie man sie beispiels­ weise im WAN Protokoll Frame Relay durch die FECN und BECN Bits (For­ ward/Backward Explicit Congestion Notification) kennt. Den Standard zu ECN findet man in RFC 3168; die Bits sind folgenderma­ ßen definiert: • Bit 6 ist das ECN-Capable Transport (ECT) Bit • Bit 7 ist das Congestion Experienced (CE) Bit In der Kombination hat man aber beschlossen, dass nicht nur der binäre Wert 10, sondern auch die Kombination 01 ausdrückt, dass ECN unter­ stützt wird. Damit kommt man zu folgender Bedeutung der ECN Werte wie in RFC 3168 definiert: ECT BIT CE BIT Bedeutung Not-ECT (Not ECN-Capable Transport) 0 0 ECT(1) (ECN-Capable Transport - 1) 0 1 ECT(0) (ECN-Capable Transport - 0) 1 0 CE (Congestion Experienced) 1 1 Die Grundidee hinter der Explicit Congestion Notification ist, dass eine Netzwerkkomponente, die ECN unterstützt, bei Überlast im Netzwerk Pa­ kete nicht verwirft, sondern stattdessen weiterleitet und mit dem CE Wert markiert, sofern sie schon vorher als ECT gekennzeichnet sind. Diese Information kann dann an den TCP Stack weitergegeben werden, der daraufhin die Window-Size in seinem Acknowledgement Paket herun­ tersetzt und damit den Sender dazu bringt, die Menge der Daten, die ge­ schickt werden, zu reduzieren. So gut dieses Konzept ist, so fraglich ist auch, ob es in absehbarer Zeit im Internet genutzt wird. Denn durch das Einschalten von ECN auf meinem Rechner reduziere ich bei Überlast mein Datenvolumen – und die anderen, Enterasys Networks – Solution Guide 2008
    76. Secure Networks™ Seite 71 die ECN nicht nutzen, freuen sich, denn ihre Pakete haben jetzt freie Fahrt. Ganz anders ist die Situation in einem Firmennetz, in dem man mit einer entsprechenden Policy durchsetzen kann, dass alle ECN nutzen. So kann man in einem Firmennetz bei Engpässen, insbesondere im WAN, für eine vernünftige Flusskontrolle sorgen. IP Precedence Das ToS (Type of Service) Feld im IPv4 Header ist zwar mittlerweile als DS Feld für die DSCP-Werte umdefiniert, die IP Precedence Bits in ihrer herkömmlichen Bedeutung werden aber immer noch oft als Alternative zu DSCP genutzt. Die ursprüngliche Definition des ToS Felds (Länge: 1 Byte = 8 Bits) sieht folgendermaßen aus: TOS Feld Die 3 IP Precedence Bits ermöglichen es, dem IP Paket einen Prioritäts­ wert zwischen 0 und 7 zu zu weisen. Die weiteren Bits waren dafür ge­ dacht optimal bezüglich Delay, Throughput, Reliability oder Monetary Costs zu routen. Das letzte Bit war immer noch ungenutzt und musste deswegen auf 0 gesetzt sein (MBZ Must Be Zero). Routingprotokolle wie OSPF unterstützen zwar laut Definition die Auswertung dieser ToS-Bits, al­ lerdings gibt es keine Implementierungen, die dies auch wirklich tun. Anders sieht es mit den 3 Prioritätsbits, der so genannten IP Precedence aus. Mit 3 Bits kann man folgende 8 Werte beschreiben: • 000 (0) - Routine • 001 (1) - Priority • 010 (2) - Immediate • 011 (3) - Flash • 100 (4) - Flash Override • 101 (5) - Critical • 110 (6) - Internetwork Control • 111 (7) - Network Control Die beiden höchsten Prioritäten sind für Netzwerktraffic reserviert. So schicken zum Beispiel Routingprotokolle ihre Nachrichten meist mit der IP Precedence 6 (Internetwork Control). Delay-sensitive Daten wie Voice werden im Allgemeinen mit der IP Precedence 5 versandt. Während der Defaultwert für normale Daten die IP Precedence 0 ist, bieten die verblei­ Enterasys Networks – Solution Guide 2008
    77. Seite 72 Secure Networks™ benden Werte von 1-4 die Möglichkeit, den Datentraffic weiter zu unter­ scheiden und zu priorisieren. Bei der Wahl der bisher definierten DSCP-Werte hat man Wert auf Rück­ wärtskompatibilität gelegt. So wird zum Beispiel VoIP-Traffic mit Expedi­ ted Forwarding EF = 101110 versandt, die ersten drei Bits entsprechen also dem IP Precedence Wert 5. Betrachtet man Quality of Service Lösungen auf anderer Ebene, wie zum Beispiel 802.1p für Ethernet oder die Experimental Bits für MPLS, finden sich auch hier 3 Bits, um Prioritäten darzustellen. Nutzt man diese QoS- Verfahren, so werden im Allgemeinen die 3 IP Precedence Bits in die ent­ sprechenden Felder für 802.1p oder MPLS kopiert. Die Realisierung von Quality of Service mit IP Precedence Werten ist also trotz der neueren Technik mit DSCP Werten immer noch aktuell und wird es in absehbarer Zeit auch bleiben. Die Produkte von Enterasys Networks unterstützen dementsprechend auch sowohl das Auslesen bzw. Setzen von IP Precedence als auch von DSCP Werten. Priorisierung nach IEEE 802.1p Der Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der Servicequalität. Hierbei werden bestimmte Datenpakete auf dem Netz­ werk priorisiert übertragen. Man versieht die Datenpakete mit einer be­ stimmten Markierung, die entsprechend des Ende-zu-Ende-Ansatzes von jedem Glied in der Kette erkannt und danach mit bestimmter Priorität übertragen werden. Beispiele für solch einen Ansatz sind IEEE 802.1p und Differentiated Service (DiffServ). Bei IEEE 802.1p handelt es sich um eine Erweiterung des IEEE 802.1d Standards, wodurch ein so genanntes Tag in das Datenpaket eingeschoben wird. Dieses Tag besteht aus 2 Byte und er­ möglicht zum Einen Prioritätenvergabe durch 3 Bits (was 8 Prioritäten ent­ spricht) und zum Anderen die Bildung von Virtuellen LANs (VLANs) nach dem Standard IEEE 802.1q. IEEE 802.1p liefert damit eine Datenpriorisie­ rung auf Layer 2. IEEE 802.1p Tag Enterasys Networks – Solution Guide 2008
    78. Secure Networks™ Seite 73 Queuing Verfahren DSCP, IP Precedence und IEEE 802.1p geben uns die Möglichkeit Pakete mit einem entsprechenden Wert zu markieren und so festzulegen, welchen Service ein Paket bekommen soll. Um diesen Service nun zu ermöglichen, braucht man dedizierte Queuing Verfahren. Enterasys Geräte unterstützen verschiedene Queuing Methoden wie Strict, Hybrid oder Weighted Round Robin Queuing. Dabei existieren für jeden Port mehrere Hardware Queues. Während kleinere Geräte meist mit 4 Hardware Queues pro Port arbeiten, hat die N-Serie bis zu 16 Hardware Queues pro Port, abhängig von der Art des Moduls. Fifo Queuing Die einfachste Art des Queuings ist das Fifo Queuing: First In, First Out. Die Pakete werden also in der Reihenfolge, in der sie einem Outgoing Port zugeordnet werden, auf diesem weitergeleitet. Dieses Basis Queuing Ver­ fahren ist per Default auf allen Ports und gilt auch für alle Subqueues bei den komplexeren Queuing Methoden. Strict Priority Queuing Strict Priority Queuing Beim Strict Priority Queuing werden den verschiedenen Subqueues Priori­ täten zugeordnet und diese dann streng entsprechend dieser Priorität ab­ gearbeitet. Solange für die Queues der höchsten Priorität Pakete anliegen, werden diese weitergeleitet. Erst wenn diese Queues geleert sind, wird die Queue mit der nächsten Priorität bearbeitet. Dieses Verfahren hat den Vorteil, dass Pakete der höchsten Priorität mit minimaler Latenzzeit das Gerät wieder verlassen. Daher wird Strict Priori­ ty Queuing gerne für VoIP Pakete genutzt. Der Nachteil besteht darin, dass man in der Planung und Klassifizierung der Pakete sehr vorsichtig Enterasys Networks – Solution Guide 2008
    79. Seite 74 Secure Networks™ sein muss. Bekommen zu viele Pakete fälschlicherweise eine hohe Priori­ tät, kann der Traffic der unteren Klassen ‚verhungern’, also nicht mehr weitergeleitet werden, da alle Kapazitäten von den höher eingestuften Pa­ keten verbraucht werden. Weighted Round Robin Queuing Weighted Round Robin Queuing Beim Weighted Round Robin Queuing werden die verschiedenen Queues im Wechsel bedient. Um den Traffic aber unterschiedlich gewichten zu können, wird jeder Queue eine bestimmte Prozentzahl der Kapazität zuge­ standen, das so genannte Weight. Auf diese Weise kann man Paketen durch eine höhere Gewichtung der zugehörigen Queue einen besseren Service garantieren. Dabei ist es aber immer noch gewährleistet, dass jede Queue eine gewisse Bandbreite zugestanden bekommt. Hybrid Queuing Hybrid Queuing Eine Mischform zwischen Priority Queuing und Weighted Round Robin Queuing bietet das Hybrid Queuing, in dem die Vorteile beider Verfahren Enterasys Networks – Solution Guide 2008
    80. Secure Networks™ Seite 75 kombiniert werden. Dabei wird einem Weighted Round Robin Queuing eine Priority Queue vorgelagert. Diese Priority Queue wird im Allgemeinen für VoIP Pakete oder vergleich­ baren zeitsensiblen Traffic genutzt. Da die entsprechenden Pakete norma­ lerweise wenig Bandbreite benötigen, ist die Gefahr des ‚Verhungerns’ des übrigen Traffics gering, die VoIP Pakete bekommen aber die benötigte be­ vorzugte Behandlung, um kurze Latenzzeiten zu garantieren. Der andere Traffic erhält gemäß dem Weighted Round Robin Verfahren die ihm zugestandene Bandbreite. Rate Limiting und Rate Shaping Manchmal ist es auch notwendig, die von bestimmtem Traffic genutzte Bandbreite zu begrenzen. Dies ist durch Rate Limiting oder Rate Shaping möglich. Rate Limiting kann für ankommende (Inbound Rate Limiting) oder ausgehende (Outbound Rate Limiting) Pakete geschehen, dabei wer­ den Pakete, welche die konfigurierte Rate überschreiten, verworfen. Beim Rate Shaping versucht man, den Traffic innerhalb der vorgegebenen Rate zu halten, indem man Pakete zwischenspeichert. Rate Shaping macht da­ her nur für ausgehenden Traffic Sinn. Zur Konfiguration von QoS auf Enterasys Komponenten finden Sie weiter­ gehende Informationen unter http://secure.enterasys.com/support/manuals/hardware/QoS.pdf Enterasys Networks – Solution Guide 2008
    81. Seite 76 Secure Networks™ Wireless LAN Wireless LAN ermöglicht Unternehmen erhöhte Flexibilität (zum Beispiel mobile Büros, schnelle Anbindung neuer Bereiche), aber auch Kostensen­ kung durch Prozessintegration (zum Beispiel Scanner im Logistikbereich), direkte Dokumentation auf digitaler Ebene, mobile Visite im Bereich Ge­ sundheitswesen, Lokation-Tracking zum Auffinden von mobilen Gütern und Personen). Oft wird auch die Bereitstellung von Gastzugängen über Wireless LAN realisiert. Insbesondere die Trends in Unternehmen, zum Einen bestehende DECT Systeme durch VoIP over Wireless LAN (WLAN) zu ersetzen als auch zum Anderen die Anforderung neuer Multifunktionssysteme (insbesondere SmartPhones, PDAs) mit GSM/GPRS, UMTS, Bluetooth und WLAN Schnitt­ stellen gerecht zu werden und ein kostenoptimiertes Roaming anzubieten (ein Mitarbeiter, der heute mit dem GSM Handy im eigenen Unternehmen telefoniert, wird in Zukunft direkt ins WLAN seines Unternehmens einge­ bucht und telefoniert dann über VoIP - „kostenlos“) sind hier die wesentli­ chen Faktoren. Viele der oben genannten Technologien und Mehrwerte wurden erst durch die WLAN Switching Architektur vollwertig und praktikabel umsetzbar. Hierbei wird die bei der „Thick-AP“-Architektur vorhandene verteilte Intelligenz je Access Point in eine zusätzliche Komponente, dem so ge­ nannten WLAN Switch oder Controller zentralisiert. Die Access Points selbst werden in so genannte „Thin-APs“ umgewandelt und fungieren nur noch als „intelligente Antennen“. Dadurch wird eine skalierbare, flexible und zukunftssichere WLAN Umgebung geschaffen die Hunderte von WLAN Switchen und Tausende von APs umfassen kann. Als oberste Hierarchie­ ebene wird meist auch noch ein WLAN Management System eingesetzt, das zentral über WLAN Switch Grenzen hinweg Planungs-, Konfigurations-, Monitoring- und Alarmierungsdienste zur Verfügung stellt. Typische Funk­ tionen einer WLAN Switching Lösung sind z.B.: • Automatische Kanalwahl • Automatische Regelung der Sendeleistung • Loadbalancing zwischen den APs • Verarbeiten von Gebäude/ Geländeplänen, um die Funkausbrei­ tung/ Clients/ RFID-Tags/ Fremd-APs visuell darzustellen • Verkürztes, subnetübergreifendes Roaming • Automatisiertes Erkennen, Lokalisieren und Bekämpfen von Fremd-APs und Clients • Zentralisierte Planung, Deployment, Reporting & Alarmierung Enterasys Networks – Solution Guide 2008
    82. Secure Networks™ Seite 77 Sicherung von WLAN Netzen Zur Sicherung der Luftschnittstelle wurde ursprünglich der Sicherheits­ standard Wired Equivalent Privacy (WEP) eingeführt. Dieser erwies sich je­ doch schon nach kurzer Zeit als lückenhaft, dass heißt durch das Aufzeich­ nen und Analysieren der Kommunikation ist es möglich den Netzwerk­ schlüssel zu ermitteln und somit die „Privacy“ zu kompromittieren. Der eigentliche Standard (IEEE 802.11i) zur Sicherung von WLANs war zu diesem Zeitpunkt noch in Arbeit, daher etablierte sich WPA als Zwischen­ lösung. Hier wurden durch diverse Hilfsmittel wie dynamische Schlüssel, bessere Authentifizierung, insbesondere durch Berücksichtigung von RA­ DIUS Authentifizierung, eine höhere Sicherheit gewährleistet, welche noch nicht kompromittiert wurde. Das Thema Sicherheit im Wireless LAN ist nach langer Diskussion nun final gelöst: Der Standard 802.11i (auch WPA2 genannt) ist verabschiedet und bietet für alle existierenden Sicherheitslücken innerhalb der 802.11 Fami­ lie eine adäquate Lösung. Die Authentifizierung via 802.1x (Port Based Authentication) und dessen gängige Methoden EAP-TLS, PEAP und EAP- TTLS (zertifikats- und passwortbasiert) stellen neben der eigentlichen Au­ thentifizierung die Basis für das Key Management dar. Die Verschlüsselung ist 128-Bit AES (Advanced Encryption Standard) -basiert. Die Integrität von Daten und Header wird durch CCM (CCM = Counter Mode Encryption mit CBC-MAC) gewährleistet. Replay Attacks werden durch ein IV (Initiali­ zation Vector) Sequencing mit 48 Bit IV verhindert. Ein weiterer Punkt zur Sicherung von WLAN Netzen ist der Umgang mit Fremd-APs/Clients sowie 802.11-fremden Störungen, wie z.B defekten Mi­ krowellen oder DECT-Stadionen, die das gesamte RF-Spektrum stören. Hierzu scannen die APs automatisch nach anderen Geräten, die im selben RF-Band arbeiten. Dadurch werden fremde Sender sowie natürlich die APs, die zum eigenen System gehören, erkannt. Alle fremden Sender stellen potentiele Rogues dar. Hierbei ist eine automatische Unterscheidung zwischen „Interfering AP“, „Rogues“ und „Ad-hoc Clients“ wichtig. Ein interfering AP wird auf der RF-Schnittstelle von den APs gesehen. Die­ ser hat jedoch keine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt daher nur eine Störung auf der Funkseite dar. Meist sind dies Netze in benachbarten Gebäuden oder interne, unabhängige WLANs. Ein Rogue hingegen hat auch eine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt damit ein erhöhtes Sicherheitsrisiko dar, da sich über diesen AP auch fremde Clients in das interne Netz einloggen können. Ad-hoc Clients kommunizieren direkt miteinander ohne Verbindung zum eigentlichen Netzwerk. Dies stellt ähnlich wie die interfering APs kein di­ rektes Sicherheitsrisiko dar, allerdings werden sie als Störung auf der Funkseite erkannt. Enterasys Networks – Solution Guide 2008
    83. Seite 78 Secure Networks™ Diese Unterscheidung wird automatisch vom den Systemen vorgenom­ men und kategorisiert. Weiterhin stellen die Systeme Möglichkeiten zur Verfügung, um Gegenmaßnahmen zu ergreifen, die verhindern, dass sich WLAN Clients mit einem Rogue AP verbinden. Hierbei gibt sich das WLAN Switching System als Rogue AP aus und sendet disassociation frames zu den am eigentlichen Rogue AP eingeloggten Clients. Diese verlieren da­ durch die Verbindung und es kann keine saubere Kommunikation mehr aufgebaut werden. Zusätzlich können alle Arten von Fremd-APs/Clients mit Hilfe von Gebäudeplänen lokalisiert werden. QoS/WLAN Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale geliefert werden. Der IEEE 802.11e Standard beschreibt einige Erweiterungen, um diese Merkmale in einer WLAN Umgebung zu ermöglichen. Einige Unterfunktio­ nen dieses Wireless Standards werden als WiFi Multimedia (WMM) ver­ marktet. WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den Kanalzugriff (Medium Access Control - MAC) sind in IEEE 802.11 zwei Ver­ fahren spezifiziert worden: Die Distributed Coordination Function (DCF) ist ein verteilter, zufallsgesteuerter Zugriffsmechanismus (Carrier Sense Mul­ tiple Access with Collision Avoidance, kurz: CSMA/CA), der einen Best-Ef­ fort-Dienst liefert. Die Point Coordination Function (PCF) ist ein zentral ge­ steuerter Mechanismus bei dem die beteiligten Stationen in regelmäßigen Abständen durch einen Master (typischerweise ein Access Point) per Pol­ ling ein Senderecht erhalten. Auf diese Weise kann für die beteiligten Sta­ tionen eine gewisse Bandbreite zugesichert werden. Die Implementierung der DCF ist in IEEE 802.11 zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional klassifiziert. Daher wundert es nicht, dass in allen bekannten Implementierungen lediglich die DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared Medium, wie Wireless LAN, ar­ beitet, ist bei dieser Technik jedoch keine Bandbreitengarantie möglich – die Latenzzeit kann stark schwanken (Jitter) was für VoIP sehr negative Auswirkungen auf die Sprachqualität hat. Ein weiteres Thema für VoIP over WLAN ist der Handover zwischen ver­ schiedenen Zellen. Es gibt zwar das IAPP (Inter Access Point Protocol) Pro­ tokoll nach 802.11f, jedoch werden hier keine Authentifizierungsinforma­ tionen ausgetauscht, dass heißt ein nach 802.1x authentisierter Client muss sich beim Roaming neu authentisieren, was eine kurze Unterbre­ chung (für Daten typischerweise problemlos, für Sprache jedoch hörbar) erzeugt. WLAN Switching Lösungen haben hier eine Lösung parat (meist auch für subnetzübergreifendes Roaming), ein Standard ist jedoch erst am Horizont in Sicht: 802.11r Fast BSS Transition. Enterasys Networks – Solution Guide 2008
    84. Secure Networks™ Seite 79 Ein weiterer Bestandteil von WMM beschreibt die “Unscheduled Automatic Powersave Delivery“-Funktion (U-APSD), die die Akkulaufzeit von VoIP- Clients erheblich verbessert und somit die Praxistauglichkeit von VoIP over WLAN Netze erheblich erhöht. Lokation-Tracking in WLAN Netzen Ein weitere Technologie, die erst durch WLAN Switching ermöglicht wurde, sind location based services. Mit Hilfe dieser Technologie können Geräte geortet werden, die eine WLAN Karte besitzen (Notebooks, VoIP WLAN Phones) sowie dedizierte Location Tags, in denen z.B. Panic-Buttons und Bewegungssensoren integriert sind. Diese können an wichtigen Gütern, z.B. mobilen Infusionspumpen im Krankenhausbereich oder an Staplern in der Logistik, befestigt werden. Durch die lokationsbezogenen Daten kann sehr einfach eine Prozessoptimierung durchgeführt werden wie z.B stand­ ortabhänige Disponierung von Staplern im Logistikbereich. Für die Ortung selbst werden verschiedene Technologien eingesetzt: Anwesenheit: Ein Tag sendet z.B alle 2 Minuten oder sobald er bewegt wird ein Signal. So wird sichergestellt, dass immer die aktuelle Lokation angezeigt wird. Echtzeit: Ein Client/Tag wird gezielt vom User/System abgefragt und die aktuelle Lokation zurückgemeldet. Lokationsbezogen: Ein Tag wird bei Passieren einer bestimmten Lokation über einen so ge­ nannten Exiter gezwungen, seine Lokation an das System zu melden. Weiterhin gibt es verschiedene Ortungsmethoden: AP Connection und RSSI-Wert: • Die bekannte AP Lokation sowie der RSSI-Wert des Client ergibt eine Abstandsabschätzung • Der Client befindet sich auf der RSSI-Kontour • RF-Hindernisse haben Einfluss auf die RSSI-Kontour • Zur Lokationsbestimmung wird die Client Sendestärke verwendet Enterasys Networks – Solution Guide 2008
    85. Seite 80 Secure Networks™ Lokation-Tracking in WLAN Netzen Trilateration: • Bekannte AP Lokationen und Client RSSI-Werte ermöglichen Di­ stanzangaben • Ab einer Anzahl von 3 Distanzwerten (APs) kann die Lokation sau­ ber bestimmt werden • RF-Hindernisse können die Qualität der Werte beeinflussen • Folgende Faktoren können die Werte verbessern: Anzahl der Aps, die den Client sehen o Geometrie der APs o Qualität des RF-Models des Gebäudeplans o Trilateration Enterasys Networks – Solution Guide 2008
    86. Secure Networks™ Seite 81 Serverbasierendes Pattern Matching: • Der von mehreren APs gesehene RSSI-Pattern eines Clients krei­ ert einen eindeutigen „Fingerabdruck“ • Hat ein weiterer Client den selben RSSI-Pattern, ist er an der glei­ chen Lokation • Client Sendestärke ist nicht relevant • kein RF-Model des Gebäudes notwendig Serverunterstützte Lokation 802.11n- ein neuer Standard Mit der Einführung des neuen 11n-Standards, der nun in 2008 endgültig verabschiedet werden soll, werden einige signifikante Änderungen und Verbesserungen in der WLAN Technologie Einzug halten. Aus technischer Sicht sind dies 3 Hauptkomponenten: Multiple Input Multiple Output (MIMO) Technologie Bei 11a/b/g wurde bisher die gesamte Datenmenge über eine Antenne ge­ sendet und empfangen. Mit der MIMO Technologie wird der Datenstrom über einen Splitter auf mehrere Sende-/Empfangsantennen (2 oder mehr Stück je nach Produkt) aufgeteilt. Enterasys Networks – Solution Guide 2008
    87. Seite 82 Secure Networks™ Übertragung über mehrere Antennen - MIMO Die Anordnung der Antennen auf den WLAN Karten ist so gestaltet, dass die Ausbreitung des Funksignals räumlich versetzt erfolgt und es so zu keinen gegenseitigen Störungen bei der Übertragung kommt. Während die bisherigen Technologien teilweise Probleme mit Reflexionen hatten, nutzt MIMO diese bewusst und erreicht dadurch einen erhöhten Durchsatz sowie auch eine robustere Kommunikation. Kanalbündelung: Der einfachste Weg, um den Durchsatz in einem WLAN Netz zu erhöhen, ist die Verdopplung des genutzten Frequenzbandes. 11n nutzt dies um 2 benachbarte 20 Mhz-Kanäle zusammen zu fassen. Diese Technologie ist am effektivsten im 5 Ghz Bandbereich in dem 19, überlappungsfrei 20 Mhz-Kanäle zu Verfügung stehen. Im 2,4 Ghz-Bereich ist diese Technik weniger effektiv, da bereits mit der alten Technologie nur 3 überlappungs­ freie Kanäle verfügbar sind. Durch Kanalbündelung wird dies auf einen Ka­ nal vermindert, was einen praktikablen Einsatz ausschließt. Packet Aggregierung: Bei konventionellen WLAN Techniken ist der Overhead, um ein Datenpaket zu übermitteln fix, egal wie groß das Paket selbst ist. Bei 11n werden mehrere Nutzdatenpakete zu einem einzigen Sende-Frame zusammenge­ fügt. Dadurch können mehrere Pakete mit den Overhead-Kosten eines Einzigen gesendet werden. Die Effektivität dieser Technologie ist je nach Anwendung verschieden. Besonders groß ist der Vorteil z.B bei großen Fi­ letransfers, wobei aber z.B. Echtzeitanwendungen wie Voice oder Video davon nicht profitieren. Enterasys Networks – Solution Guide 2008
    88. Secure Networks™ Seite 83 Vorteile durch 802.11n Erhöhte Kapazität Bei 11n wird die Kapazität einer WLAN Zelle von 14-22 Mbps bei 11a/g auf 100-200 Mbps erhöht. Verteilt auf mehrere User pro Zelle sind damit Geschwindigkeiten von bis zu 100 Mbps pro User möglich, was sich in der Praxis in einer größeren Bandbreite für mehr User zeigen wird. Erhöhte Reichweite Durch die MIMO Technologie und das bewusste Arbeiten mit Reflexionen durch die räumlich versetzte Funkausbreitung der Funkwellen wird die Reichweite je AP erhöht. Dies wird auch dazu führen, dass die Datenrate mit steigendem Abstand vom AP zum Client langsamer fällt als bei den bisherigen Technologien und somit eine größere Abdeckung mit weniger APs erreicht wird. Höhere Verfügbarkeit / Robustheit Bei den bisherigen Technologien kann die Performance eines WLAN Clients schon bei kleinsten Bewegungen oder Änderungen an der Umgebung (Schließen einer Tür, geänderter Einrichtung) stark beeinträchtigt werden. Dieses Problem wird durch Einsatz von unterschiedlichen Antennen ent­ schärft. Fast jedes WLAN Gerät hat 2 Antennen, wobei immer nur die aktiv ist, die das beste Signal bekommt. Durch die MIMO Technologie sind bei 11n immer 2-3 Antennen gleichzeitig aktiv, die dadurch die Robustheit und Verfügbarkeit erhöhen. Design Durch die Abwärtskompatibilität von 802.11n mit a/b/g wird auch die Per­ formance in einer 11n-Funkzelle auf die Geschwindigkeit der bisherigen Technologien verringert. Der größte Teil der bisherigen WLAN Clients ar­ beitet im 2,4 Ghz-Bereich. Durch die Einschränkung bei der Kanalbünde­ lung in diesem Frequenzband und einer oft geforderten Unterstützung der bisherigen WLAN Clients, wird im 2,4 Ghz-Bereich zukünftig 11n sehr oft in einem Kompatibilitätsmodus betrieben werden. Im 5 Ghz-Bereich hin­ gegen wird der Vorteil durch Kanalbündlung voll ausgespielt und die neue Technik in einem 11n-only Modus gesetzt werden, wodurch die oben ge­ nannten Vorzüge voll zum Zuge kommen. Abwandlungen dieses Designs können je nach Anforderungen und Randbedingungen auftreten, so z.B. wenn man komplett neue WLAN Netze (Access Points & Clients unterstüt­ zen 11n) aufgebaut (Greenfield) oder wenn ein komplett unabhängiges 11n-Netz zu einem bestehenden 802.11a/b/g Netz aufgebaut wird (Over­ lay). Enterasys Networks – Solution Guide 2008
    89. Seite 84 Secure Networks™ Power over Ethernet Im Convergence Bereich stellt sich auch die Frage der Stromversorgung für Geräte, wie zum Beispiel IP-Telefone. Der große Vorteil von PoE ist, dass keine zusätzliche Stromversorgung zu den Endgeräten verlegt wer­ den muss und deren Installation damit einfacher wird. Das ist insbesondere wichtig für IP-Telefone, schließlich ist es für den Anwender äußerst unkomfortabel gleich zwei Kabel auf dem Schreibtisch liegen zu haben, wobei das Eine meist noch ein externes Netzteil enthält. Ansonsten ist PoE vor allem für Wireless Access Points, Kartenlesegeräte oder Kame­ ras interessant. Der IEEE 802.3af Standard ist eine Ergänzung des 802.3 Standards, wel­ cher die Stromversorgung mit Gleichstrom über 10, 100 und 1000Base-T twisted pair-Verkabelung beschreibt. Dabei sind auf jedem Port ausgangs­ seitig maximal 15,4 Watt Leistung mit einer Spannung bis zu 48 Volt ver­ fügbar, wobei sich die Verbraucher auch mit geringerem Maximalver­ brauch anmelden können, wenn die optionalen Klassen 1 (max. 4 W) oder 2 (max. 7,0 W) unterstützt werden. Unter Berücksichtigung der Verlust­ leistung auf den Leitungen, darf das Endgerät eingangsseitig dann maxi­ mal 12,95 W bzw. 3,84 bei Klasse 1 und 6,49 bei Klasse 2 verbrauchen. Der gelieferte Strom wird dabei auf jedem der Ports ständig überwacht, so dass das so genannte „Power Sourcing Equipment“ (PSE), welches den Strom liefert (dass heißt der Switch) entscheiden kann, ob ein neu hinzu­ gekommener Port überhaupt noch mit Strom versorgt werden darf. Würde die insgesamt verfügbare Leistung des Switches überschritten, würde der Port nicht mit Strom versorgt und damit eine Überlastung verhindert. Die Überwachung der PoE-spezifischen Porteigenschaften mittels SNMP wurde durch die IETF in RFC 2665 standardisiert. IEEE 802.3af-fähige Geräte müssen diverse Anforderungen erfüllen. Die Wichtigsten beziehen sich auf Kompatibilität zwischen PoE- und nicht PoE- fähigen Geräten. Schließlich darf es nicht passieren, dass beim Anschluss eines nicht PoE-fähigen Geräts an einen PoE-fähigen Switch das Gerät durch eine Überspannung beschädigt wird. Weiterhin muss PoE über die vorhandene (drahtgebundene) Ethernetverkabelung möglich sein (Cat3, Cat5, Cat5e und Cat6). Offiziell bezeichnet der Standard die stromeinspei­ senden Geräte als PSE (Power Sourcing Equipment). Um PoE sowohl mit PoE-fähigen als auch mit nicht PoE-fähigen Switchen einsetzen zu können, wurden zwei Methoden der Stromeinspeisung vorge­ sehen: Zum Einen durch den Switch direkt, zum Anderen über Midspan Geräte, dass heißt Geräte, die in das Kabel zwischen Switch und Verbrau­ cher eingeschleift werden und dann das Endgerät mit Strom versorgen. Es gibt zwei Gründe warum man Switch und Midspan anstelle von PoE-fä­ higen Switchen einsetzt. Einerseits gibt es alte Geräte, die den Standard Enterasys Networks – Solution Guide 2008
    90. Secure Networks™ Seite 85 noch nicht unterstützen, andererseits lohnt es sich manchmal auf Grund der geringen Anzahl von benötigten PoE-Ports nicht alle Switche mit PoE auszustatten. Die Übertragung des Stroms kann bei PoE sowohl über die Datenleitungen als auch über die bei Ethernet bzw. Fastethernet ungenutzten Adernpaare 4,5 und 7,8 erfolgen. Im Falle von Gigabitethernet erfolgt die Einspeisung zwangsweise über Leitungspaare, die auch für die Datenübertragung ge­ nutzt werden. PoE enabled Switche Enterasys bietet eine Reihe von Geräten an, die als PSE arbeiten können: Bei der Matrix® N-Serie ist dies mit einem 48 Port 10/100Base-TX Board mit externem Powershelf realisiert. Der N5 hat dafür 4 integrierte, modu­ lare 1200 Watt PoE Netzteile. Die gesamte SecureStack™ Serie ist eben­ falls als PoE-Variante erhältlich. Mehr Power – IEEE 802.3at Draft Die IEEE hat unter dem Kürzel 802.3at eine Arbeitsgruppe zur Weiterent­ wicklung von Power over Ethernet gebildet. Ziel der auch als PoE+ be­ zeichneten Initiative ist es, über die vier Adern eines Minimum-Ethernet- Kategorie-5-Kabels bis zu 56 Watt Leistung zu übertragen. Damit wird es möglich Geräte mit höherem Leistungsbedarf wie z.B. 802.11n Access Points direkt über ein Kabel mit Strom zu versorgen. Enterasys Networks – Solution Guide 2008
    91. Seite 86 Secure Networks™ Standard Based Availability In der heutigen Zeit ist Business ohne Nutzung von IT und dem darunter liegenden Netzwerk fast nicht mehr denkbar. Dementsprechend wichtig ist es, dass das Netzwerk und die darauf laufenden Services permanent zur Verfügung stehen. Um die Verfügbarkeit beliebiger Systeme ganzheitlich zu realisieren, muss auch hier vor allem auf Standards gesetzt werden. Redundanz Woraus besteht hohe Verfügbarkeit? Typischerweise versteht man darun­ ter, dass die über das Netzwerk operierenden Dienste wie VoIP, SAP, etc. weitgehend unbeeinflusst von Ausfällen oder Umstrukturierungen im Netz­ werk bleiben. Um das zu realisieren, müssen die einzelnen Schichten der Netzwerkkommunikation einzeln betrachtet und gesichert werden. Für die eigentliche Sicherung gibt es zwei grundlegende Ansätze: Zum Einen die zu sichernde Komponente so stabil wie möglich zu machen, zum Anderen eine Redundanz (zum Beispiel in Form eines zweiten Gerätes) bereitzuhal­ ten, durch die alle Funktionen der ausgefallenen Komponente übernom­ men werden. Im Folgenden werden die einzelnen Schichten zusammen mit den verfügbaren Redundanzen vorgestellt. Layer1 – physikalische Redundanzen In der physikalischen Schicht betrachtet man grundlegende Dinge, wie eine redundante Stromversorgung durch mehrere Netzteile, verbunden mit verschiedenen Versorgungspfaden. Ein wichtiger Aspekt ist auch die physikalische Absicherung der Standorte von Netzwerkkomponenten – was nutzt die sicherste Firewall, wenn sie öf­ fentlich zugänglich in einem nicht abgeschlossenen Rack im Lager steht? Datenübertragungsschicht Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit der eingesetzten Technologie verschiedene Verfahren, um Redundanzen zu ermöglichen. In der Regel bestehen diese immer aus zusätzlichen Lei­ tungen bzw. physikalischen Übertragungswegen in einem Layer 2 Netz­ werk (auch Broadcastdomain genannt). Bei Ethernet wurde diese Redun­ danz erstmalig mit dem Spanning Tree Algorithmus möglich. Dazu wurden Weiterentwicklungen, wie Rapid Spanning Tree und Spanning Forest, ge­ schaffen, um schnellere Konvergenz im Fehlerfall und Verwaltung von Spanning Trees in einer VLAN Umgebung möglich zu machen. Link Aggregation IEEE 802.3ad Sind zwei Switche durch mehrere physikalische Links verbunden, so kann dies aus reinen Redundanzzwecken sein. In diesem Fall kann man eine Redundant Port Lösung auf Layer 1 oder Spanning Tree als Protokoll auf Layer 2 einsetzen, um Loops und damit Broadcast Storms zu verhindern. Enterasys Networks – Solution Guide 2008
    92. Secure Networks™ Seite 87 Link Aggregation Eine bessere und gerne genutzte Möglichkeit ist aber, diese physikalischen Links zu einem logischen Link zu bündeln und so gleichzeitig Redundanz und höhere Bandbreiten zu schaffen. Diese Technik hieß früher auf den Enterasys Komponenten Smarttrunk, heute unterstützen alle neuen Enterasys Switche den entsprechenden Standard nach IEEE 802.3ad - Link Aggregation. Während es zwar möglich ist, die Bündelung der physikalischen Links und den daraus resultierenden virtuellen Link statisch zu konfigurieren, ist es besser, ein entsprechendes Kontrollprotokoll zu nutzen. Durch das Kon­ trollprotokoll ist es möglich zu überprüfen, dass die dazugehörigen Links auch sauber laufen und beide Switche darin übereinstimmen, welche Ports zu dem virtuellen Link gehören. Frühere Smarttrunk Lösungen nutzten das so genannte Huntgroup Proto­ koll. Switche, die nach dem Standard IEEE 802.3ad arbeiten, kommunizie­ ren über LACP - Link Aggregation Control Protocol. Dabei werden virtuelle Links gebildet, die als LAG - Link Aggregation Group, bezeichnet werden. Wichtig ist, dass alle Links, die einem virtuellen LAG Port angehören, gleich konfiguriert sind. Sie müssen Full Duplex sein und die gleiche Ge­ schwindigkeit haben. Dieser virtuelle LAG Port wird dann in der Konfigura­ tion der Switche genutzt wie ein ganz normaler physikalischer Port, kann also zum Beispiel einem VLAN zugehören oder als 802.1q Trunk definiert werden. In einem chassisbasierten System ist es möglich, einen LAG mit Ports ver­ schiedener Module zu bilden, das Gleiche gilt für ein stackbasiertes Sys­ tem mit mehreren Switchen. Dies erhöht die Ausfallsicherheit, denn selbst falls ein ganzes Board ausfällt, ist weiter eine Verbindung zwischen den beiden chassisbasierten Switchen gegeben. Der Standard IEEE 802.3ad bietet eine Interoperabilität zwischen ver­ schiedenen Herstellern. Zusätzlich sind einige Switche von Enterasys Net­ works, wie zum Beispiel die N-Serie, in den Default Einstellungen schon so Enterasys Networks – Solution Guide 2008
    93. Seite 88 Secure Networks™ vorkonfiguriert, dass sie automatisch einen LAG bilden, wenn sie mit einer entsprechenden Gegenstelle verbunden werden. Sollte es aber nötig sein, einen Enterasys Switch mit einer Gegenstelle zu verbinden, die kein LACP unterstützt, so kann man den LAG auch statisch konfigurieren. Man ver­ zichtet dann zwar auf das Kontrollprotokoll, das vor Fehlern und Netzpro­ blemen durch Misskonfiguration schützt, kann aber trotzdem die Vorteile eines virtuellen, gebündelten Links nutzen. Der Traffic kann nach verschiedenen Methoden auf die physikalischen Links verteilt werden. Möglichkeiten sind zum Beispiel durch ein einfaches Round Robin Verfahren gegeben oder basierend auf MAC oder IP Adressen der Pakete. Meist bietet die Untersuchung von Absende- und Ziel-IP eine ausgewogene Verteilung auf die physikalischen Links. Diese Methode ist daher auch der Default auf der N-Serie. IEEE 802.3ad und Spanning Tree schließen sich natürlich nicht aus. Während 802.3ad Link Aggregation immer zwischen zwei direkt mitein­ ander verbundenen Switchen läuft, kann und sollte man weiterhin Span­ ning Tree nutzen, um Loops im gesamten Layer 2 geswitchten Netz zu verhindern. Spanning Tree betrachtet dann bei der Berechnung des auf­ spannenden Baumes den logischen LAG Port anstatt der dazugehörigen physikalischen Ports; auch die Kosten für diesen virtuellen LAG Port entsprechen dabei der Summe der Bandbreiten aller zugehörigen physikalischen Ports. Spanning Tree IEEE 802.1d Der Spanning Tree Algorithmus verhindert Loops auf der Datenübertra­ gungsschicht. Die Notwendigkeit entsteht dadurch, dass Broadcasts in ei­ nem Ethernetnetzwerk, in dem redundante Pfade vorhanden sind, unend­ lich lang kreisen und somit die verfügbare Bandbreite immer weiter ver­ ringern bis kein normaler Datenverkehr mehr möglich ist. Der heutzutage gebräuchliche 802.1d Standard ging aus der von Radia Perlman für die Firma DEC entwickelten, ersten Implementierung des Algorithmus hervor. Um Loops zu verhindern, tauschen die Netzwerkkomponenten (Switche) eines Layer 2 Netzwerks untereinander Nachrichten aus, die vom norma­ len Datenverkehr unterscheidbar sind. Anhand dieser Nachrichten wird dann eine der Komponenten zur Wurzel eines Baumes gewählt. Alle ande­ ren Komponenten gliedern sich in diesen Baum ein. Pfade, die nicht inner­ halb dieses Baums liegen (dass heißt redundante Pfade) werden dabei ausgeschaltet. Wenn ein neuer Switch oder Link hinzugefügt wird oder ein Switch aus­ fällt, wird dieser Baum neu berechnet. Solange dieser Baum nicht voll­ ständig aufgebaut ist, leiten die Switche nur die Nachrichten weiter, die Informationen enthalten, die für das Aufbauen des Baumes relevant sind. Dass heißt, solange der Baum nicht vollständig ist, ist der normale Daten­ verkehr im Netzwerk unterbrochen. Die Neuberechnung des Baumes Enterasys Networks – Solution Guide 2008
    94. Secure Networks™ Seite 89 dauert typischerweise bis zu 60 Sekunden. Zur Konfiguration von Spanning Tree auf Enterasys Komponenten finden Sie weitere Informationen unter http://secure.enterasys.com/support/manuals/hardware/STP.pdf Rapid Spanning Tree IEEE 802.1w Der 802.1d Spanning Tree Algorithmus wurde zu einer Zeit entwickelt, in der es ausreichend war, wenn sich das Netz nach einem Ausfall in einem Zeitraum von circa einer Minute erholte. Heutzutage sind solche Ausfallzeiten nicht mehr akzeptabel. Daher wurde der Spanning Tree Standard zum Rapid Spanning Tree Standard (RSTP) weiterentwickelt, um schnellere Konvergenzzeiten zu ermöglichen. Prinzi­ piell wurde die Art und Weise der Berechnung des Baumes beibehalten. Die Nachrichten, die unter den Switchen ausgetauscht werden, enthalten nun mehr Informationen. Außerdem wurde die Verarbeitung der Nachrich­ ten verbessert. Die wichtigste Neuerung im 802.1w Standard war die Möglichkeit, einen Port schneller in den Forwarding Modus zu bringen, in dem normale Datenpakete ausgetauscht werden können. Im alten Stan­ dard wurden die Ports erst dann aktiviert, wenn der gesamte Baum kon­ vergiert war. Der neue Standard ist in der Lage sicherzustellen, dass ein Port früher ak­ tiviert werden kann, hierfür können Endnutzerports als so genannte Edge Ports konfiguriert werden, die dann beim Aktivieren des Ports sofort aktiv werden (die entsprechende Konfigurationsoption heißt adminedge= true). Außerdem können auch Ports in der Infrastruktur im Fehlerfall schneller auf einen alternativen Port Richtung Root umschalten, da die RSTP Switches aktiv Rückmeldungen austauschen können. In entsprechend kon­ figurierten Netzwerken kann die Konvergenzzeit des Baums so auf wenige hundert Millisekunden gesenkt werden. VLANs IEEE 802.1q VLANs erlauben es, einen Switch mit einer Vielzahl physikalischer Ports lo­ gisch zu unterteilen, so dass bestimmte Portgruppen jeweils verschiedene Broadcastdomains bilden, obwohl sie physikalisch zum gleichen Switch ge­ hören. Der IEEE 802.1q Standard erlaubt es, die Daten aus solchen lo­ gisch getrennten Portgruppen eindeutig (für die jeweilige Gruppe) zu kennzeichnen und sie in dieser Form zu einem anderen Switch zu trans­ portieren. Der Link, über den diese markierten Pakete transportiert wer­ den, wird in der Regel Trunk genannt. Dort können die Daten wieder den einzelnen Gruppen zugeordnet werden und, falls diese Gruppen auf die­ sem Switch ebenfalls existieren, zu den entsprechenden Ports geschickt werden. Man ist also in der Lage, eine logische Broadcastdomain-Struktur über eine physikalisch vorgegebene Struktur von untereinander verkabel­ ten Switches zu legen. Dadurch können die Mitarbeiter einer Abteilung mit Enterasys Networks – Solution Guide 2008
    95. Seite 90 Secure Networks™ ihren Rechnern in derselben Broadcastdomain sein, obwohl die Abteilung auf verschiedene Gebäude verteilt ist. Multiple Spanning Trees IEEE 802.1s Multiple Spanning Trees (MST) ist eine Ergänzung des 802.1q Standards. Der 802.1w Rapid Spanning Tree Standard wurde erweitert, um mehrere Spanning Trees zu unterstützen. Diese Ergänzung erlaubt sowohl schnelle Konvergenz als auch Load Sharing in einer VLAN Umgebung. Mit MST wird es möglich, mehrere Spanning Tree Instanzen über Trunks hinweg aufzubauen. Dabei können in Gruppen zusammengefasste VLANs einzelnen Spanning Tree Instanzen zugeordnet werden. Die einzelnen In­ stanzen können dabei unabhängig voneinander verschiedene Topologien haben. Dafür werden die Spanning Tree Parameter wie Root Priorität, etc. für jede Instanz angepasst. Damit wird ein Load Sharing für unterschiedli­ che VLAN Gruppen über redundante Layer 2 Wege möglich. MST benutzt dabei eine modifizierte Variante des Rapid Spanning Tree Protokolls, ge­ nannt das Multiple Spanning Tree Protocol (MSTP) oder IEEE 802.1s. Netzwerkschicht Auf der Netzwerkschicht wird Redundanz hauptsächlich durch intelligente Routingprotokolle wie OSPF und die Verbesserung der Erreichbarkeit des Default Gateways mit VRRP erreicht. Um dies sinnvoll zu ermöglichen, müssen schon auf der Netzwerkebene verschiedene Wege zum selben Ziel vorhanden sein. Open Shortest Path First Open Shortest Path First (OSPF, RFC 2328) ist ein hierarchisch aufgebau­ tes Link State Routingprotokoll und hat sich als De-Facto-Standard für Interior Gateway Protokolle entwickelt. Im Gegensatz zu BGP (Border Gateway Protokoll), das als Exterior Gate­ way Protokoll für das Routing zwischen autonomen Systemen genutzt wird, dienen Interior Gateway Protokolle dazu Routinginformationen inner­ halb einer Organisation auszutauschen. Distance-Vector-Protokolle, wie RIP, sind dafür mittlerweile meist unge­ eignet, da diese sehr schlechte Konvergenzzeiten aufweisen. Und Ausfall­ zeiten bis zu mehreren Minuten sind in heutigen Netzwerken nicht mehr zu tolerieren. Link State Protokolle arbeiten eventgesteuert, die Informationen über To­ pologieänderungen werden sofort durch das ganze Netz geflutet. Alle Rou­ ter reagieren sofort darauf und berechnen bestehende Ersatzwege. Somit haben Link State Protokolle Konvergenzzeiten im Sekundenbereich. Diese schnellen Berechnungen von Ersatzwegen werden dadurch möglich, dass bei Link State Protokollen die gesamte Topologie eines Netzes allen Rou­ tern bekannt ist; gespeichert in der Topologie-Datenbank. Enterasys Networks – Solution Guide 2008
    96. Secure Networks™ Seite 91 Da dadurch außerdem die periodische Verbreitung der gesamten Routing­ informationen nicht mehr notwendig ist, arbeiten Link State Protokolle ressourcenschonender als Distance-Vector-Protokolle. Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalier­ bar, OSPF eignet sich daher auch für sehr große Netze. Die Hierarchie ba­ siert auf einem zweistufigen Area Konzept. Es gibt eine zentrale Backbone Area, an die alle anderen Areas direkt angebunden sind. Durch Verfahren wie Route Summarization und das Definieren von Areas als Stub Area oder Not-So-Stubby Area (NSSA, RFC 3101) wird die Auswirkung von To­ pologieänderungen auf das gesamte Netz minimiert. OSPF Area Konzept OSPF ist im Moment das Standard Protokoll für Routing innerhalb des ei­ genen Netzwerks. Als offener Standard, der von allen Herstellern unter­ stützt wird, bietet es Kompatibilität zwischen allen Komponenten. Die schnellen Konvergenzzeiten, die OSPF als Link State Protokoll besitzt, sind für heutige Netze unverzichtbar. Der hierarchische Ansatz unterstützt die Implementierung in Netzwerken jeder Größe. Netze mit OSPF als Routingprotokoll sind mit dem entspre­ chenden Netzwerk- und Adressdesign einfach zu erweitern. Als modernes Routingprotokoll unterstützt OSPF natürlich VLSM (Variable Length Subnet Mask) und ermöglicht so Optimierungsverfahren wie Route Summarization. Auf Grund seiner allgegenwärtigen Präsenz wurde OSPF auch als Routing­ protokoll für das aufkommende IP Protokoll IPv6 spezifiziert (RFC 2740) und wird auch in Zukunft nicht aus den Netzwerken wegzudenken sein. Enterasys Networks – Solution Guide 2008
    97. Seite 92 Secure Networks™ Equal Cost Multi Path (ECMP) Ein Paket kann in einem gerouteten Netzwerk über unterschiedliche, gleichwertige Pfade ans Ziel gelangen. Bei “Equal Cost Multi Path” wer­ den diese Pfade gleichzeitig zur Lastverteilung genutzt. Eine Redundanz wird hiermit jedoch nicht gewährleistet, dafür muss das darunterliegende Routingprotokoll sorgen. Bei Verwendung von ECMP wählt der Router an dem sich der Pfad gabelt, unterschiedliche next-hops für die Pakete. Idealerweise sollten sich die Pakete natürlich gleichmäßig auf die beiden Pfade verteilen, was natürlich mit paketeweisem Aufteilen am einfachsten möglich wäre. Dies ist aber in der Regel nicht sinnvoll, da es dann zu un­ terschiedlichen Laufzeiten und Paketreihenfolgen kommen kann. Es wird meist versucht, die Pakete flowbasiert, dass heißt Absender-IP/Ziel-IP oder Absender-IP+Port/Ziel-IP+Port -basiert aufzuteilen, da die zu einer Kommunikation gehörigen Pakete dann den gleichen Weg nehmen. Prinzipiell kann ECMP in jedem gerouteten Netzwerk verwendet werden. In der Regel wird die maximale Anzahl der Pfade gleicher Qualität (in Ein­ heiten der Metrik des entsprechenden Routingprotokolls) allerdings beschränkt. Virtual Router Redundancy Protocol Das Virtual Router Redundancy Protocol (VRRP, RFC 2338) dient dazu, dem Benutzer Redundanz bezüglich des Default Gateways zur Verfügung zu stellen. Während Router untereinander Routing Protokolle nutzen, um die aktuellsten Routing Informationen auszutauschen und so bei einem Ausfall Ersatzwege zu lernen und zu nutzen, haben sehr viele Endclients statische Einträge für das Default Gateway. Was nun, wenn dieser Router ausfällt? Selbst wenn es einen Ersatzweg gibt, wie sollen die Clients dar­ auf reagieren? VRRP Konzept Die Lösung dazu liefert das Protokoll VRRP. Die Grundidee besteht darin, einen virtuellen Router zu nutzen und diese IP Adresse als Default Gate­ way auf den Hosts zu konfigurieren. Die physikalischen, redundanten Router kommunizieren dann über das Protokoll VRRP und handeln aus, wer die Routing Aufgabe des Default Enterasys Networks – Solution Guide 2008
    98. Secure Networks™ Seite 93 Gateways übernimmt. Dieser Router wird dann als Master bezeichnet, weitere redundante Router sind Backup Router. Fällt der Master aus, so wird das über VRRP erkannt und einer der Backup Router übernimmt die Aufgabe des Masters. Für den Client ist das absolut transparent. Damit es keine Probleme bezüglich der ARP Einträge gibt, nutzt der virtuelle Router eine zugehörige, für VRRP reservierte MAC Adresse. Emulation eines virtuellen Routers So dient VRRP dazu, den Single Point of Failure, den die statische Konfigu­ ration eines Default Gateways darstellt, zu eliminieren. Normalbetrieb Enterasys Networks – Solution Guide 2008
    99. Seite 94 Secure Networks™ VRRP Redirection im Fehlerfall Durch die Konfiguration von zwei virtuellen Routern kann man eine zu­ sätzliche Lastverteilung auf die redundanten Geräte erreichen. Man nutzt zwei virtuelle IP Adressen, jeder der Router ist dann für eine der beiden Adressen der Master, für die andere der Backup Router. Zusätzlich müs­ sen die Clients dementsprechend entweder mit der Einen oder der ande­ ren IP Adresse als Default Gateway konfiguriert werden. Eine gleichmäßi­ ge Verteilung kann man zum Beispiel mit dem Dynamic Host Configuration Protocol (DHCP) erreichen. So werden beide Router als Default Gateway genutzt und man hat Lastverteilung in Kombination mit Redundanz. Weitere Informationen findet man im zugehörigen RFC 2338 . Server Load Balancing Heutige Netzwerkdesigns sind, unter Zuhilfenahme von Protokollen wie Virtual Router Redundancy Protocol (VRRP) und Open Shortest Path First (OSPF), meist schon redundant ausgelegt. Die Redundanz hat aber oft ihre Grenzen, wenn es um den Anschluss der Server geht. Auch hier muss die Netzwerkkomponente eine entsprechende Lösung bereitstellen. Server Load Balancing oder Load Sharing Network Address Translation be­ zeichnen das Konzept wichtige Server redundant auszulegen, um somit sowohl Ausfallsicherheit als auch höhere Performance zu erreichen. Die Produkte von Enterasys realisieren dies über eine Implementierung des RFC 2391 Load Sharing Network Address Translation (LSNAT). Dabei wird auf Anfragen an einen virtuellen Server (IP) reagiert und die Anfra­ gen werden entsprechend auf reelle Serveradressen umgesetzt - in Ab­ hängigkeit des angesprochenen Layer 4 Ports. Zwischen den reellen Ser­ vern werden dann die Anfragen nach wählbaren Algorithmen, wie zum Beispiel Round-Robin, Weighted Round-Robin oder Least Weighted Load First, verteilt. Parallel dazu überprüft man die Verfügbarkeit der Server und verteilt die Anfragen beim Ausfall eines Servers auf die verbleibenden Serversysteme. Enterasys Networks – Solution Guide 2008
    100. Secure Networks™ Seite 95 Verwendung von LSNAT Dieses System sorgt zum Einen für eine sehr gute Ausfallsicherheit, zum Anderen kann dieses virtuelle Serversystem sehr gut skalieren, da man beliebig viele Server hinzufügen kann. Diese Server müssen natürlich auf eine einheitliche Datenstruktur zugreifen, was von dem Betriebssystem der Server unterstützt werden muss. Unter Verwendung dieser Methode und der weiter oben beschriebenen Redundanzverfahren lässt sich damit folgendes Szenario realisieren: Business Continuity Services Scenario Hier ist einmal der Zugang des Hosts zum Netz via VRRP redundant aus­ gelegt; außerdem werden die Anfragen am Ziel, dass heißt beim Server, per LSNAT verteilt. Die redundanten Wege können durch den Multi Path Support von OSPF beide genutzt werden. Bei einem Defekt sorgt die schnelle Konvergenz von OSPF für annähernd keine Ausfallzeit. Zwischen den Switchen werden 802.3ad Trunks gebildet, die höhere Bandbreite und weitere Redundanz zur Verfügung stellen. Enterasys Networks – Solution Guide 2008
    101. Seite 96 Secure Networks™ IPv6 Das Internet hat sich in den vergangenen Jahren von einem reinen Daten­ netzwerk zu einer Multi Service Plattform entwickelt. Neue Kommunikati­ onsbeziehungen reichen von Multimedia Anwendungen über Peer-to-Peer (P2P) bis hin zu mobilen, kabellosen Technologien. Daher rückt im Zeital­ ter persönlicher und mobiler Endgeräte mit dauerhafter Internetanbindung das Protokoll IPv6 wieder ins Interessenblickfeld von Anwendern und An­ bietern. Die neue Generation der aktuellen Version 4 soll den steigenden Anforde­ rungen und dem rasanten Wachstum des Internets gerecht werden. Mit IPv6 sollen ganz neue, flexiblere Strukturen zur Verbindung der Knoten­ punkte untereinander realisiert werden. Die vorhandene Adressknappheit unter IPv4 wird mit IPv6 der Vergangen­ heit angehören. Die heute weit verbreitete Technologie Network Address Transalation (NAT) wird genauso verschwinden wie Classless Inter Domain Routing (CIDR). IPv6 baut auf 128 Bit Adressen auf. Das ist viermal so viel wie heute unter IPv4. Das bedeutet, dass IPv6 in der Lage ist, die un­ vorstellbare Zahl von 665.570.793.348.866.943.898.599 Adressen/qm Erdfläche bereitzustellen. Die Angst vor einem Mangel an Adressen ist nicht unbegründet. Denn der Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschied­ lich verteilt. So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA ein Netz, in dem sich mit rund 16 Millionen Rech­ nern mehr Adressen ansprechen lassen als in ganz China. Doch im Web sind gerade 90.000 vom MIT verwendete Adressen zu identifizieren. Bei li­ nearer Fortschreitung der Vergabepraxis für die restlichen IP Adressen sind Engpässe daher in wenigen Jahren vorgezeichnet. Zusätzlich, wie mit jeder neuen Technologie, kommt auch hier die Frage nach Sicherheit auf. War IPv4 ursprünglich nur zum einfachen Datenaus­ tausch entwickelt worden, besitzt IPv6 von Anfang an Sicherheitsfunktio­ nalitäten, die heutzutage elementar wichtig sind. Im Folgendem sollen diese näher beschrieben werden. Sicherheitsfunktionalitäten unter IPv6 IPv6 wurde im Jahre 1994 als Standard verabschiedet. Es hat die Grund­ funktionen von IPv4 beibehalten, aber zukunftssichere Neuerungen imple­ mentiert, um den gestiegenen Anforderungen gerecht zu werden. Um die grundsätzlichen Vorteile von IPv6 in Bezug auf Sicherheit zu verstehen, ist es wichtig, das Protokoll näher zu betrachten. Erhöhter Adressraum im IPv6 Datengrammformat Prinzipiell besteht ein IPv6-Datengramm aus dem Basis Header gefolgt von den optionalen Zusatz Headern und den Nutzdaten. Enterasys Networks – Solution Guide 2008
    102. Secure Networks™ Seite 97 Allgemeine Form eines IPv6-Datengramms Der Ipv6 Basis Header ist doppelt so groß wie der Ipv4 Header. Der Ipv6 Basis Header enthält weniger Felder als der Ipv4 Header, dafür ist aber die Adressgröße für die Quell- und Zieladresse von bisher 32 Bit auf nun­ mehr 128 Bit erweitert worden. IPv6 Basis Header Erweiterungsheader Die wichtigste Erweiterung bei IPv6 im Vergleich zu IPv4 ist das Konzept der Erweiterungsheader, um eine effiziente Datenübertragung und eine Erweiterung des Protokolls zu ermöglichen. Der Basis Header enthält nur Felder, die unbedingt für die Übermittlung eines Datengramms notwendig sind. Erfordert die Übertragung weitere Optionen, so können diese über einen Erweiterungsheader angegeben werden. IPv6 sieht vor, dass einige Merkmale des Protokolls nur gezielt benutzt werden. Ein gutes Beispiel ist hier die Fragmentierung von Daten­ grammen. Obwohl viele Ipv4 Datengramme nicht fragmentiert werden müssen, enthält der Ipv4 Header Felder für die Fragmentierung. IPv6 glie­ dert die Felder für die Fragmentierung in einen separaten Header aus, der wirklich nur dann verwendet wird, wenn das Datengramm tatsächlich frag­ mentiert werden muss. Dies ist bei IPv6 höchst selten, da hier in der Re­ gel mittels Path MTU Discovery (RFC 1981) die maximale Paketgröße via ICMPv6 ausgehandelt wird. Daher sollte IPv6 Fragmentierung nur genutzt werden, wenn die Anwendungen nicht ihre Paketgrößen individuell adap­ tieren können. Ein weiterer wesentlicher Vorteil des Konzepts der Erweiterungsheader ist die Erweiterung des Protokolls um neue Funktionen. Es genügt, für das Enterasys Networks – Solution Guide 2008
    103. Seite 98 Secure Networks™ Feld Next Header einen neuen Typ und ein neues Header Format zu defi­ nieren. IPv4 erfordert hierzu eine vollständige Änderung des Headers. Derzeit sind 6 optionale Erweiterungsheader definiert. Werden mehrere Erweiterungsheader verwendet, so ist es erforderlich sie in einer festen Reihenfolge anzugeben. Header Beschreibung Zwingend erforderlicher IPv6 Basis IPv6 Basis Header Header Optionen für Teilstrecken Verschiedene Informationen für Router (Hop-by-Hop Options Header) Optionen für Ziele Zusätzliche Informationen für das Ziel (Destination Options Header) Routing Definition einer vollständigen oder teil­ (Routing Header) weisen Route Fragmentierung Verwaltung von Datengrammfragmen­ (Fragment Header) ten Authentifikation Echtheitsüberprüfung des Senders (Authentication Header) Verschlüsselte Sicherheitsdaten Informationen über den verschlüsselten (Encapsulating Security Payload Hea­ Inhalt der) Zusätzliche Informationen für das Ziel Optionen für Ziele (für Optionen, die nur vom endgültigen (Destination Options Header) Ziel des Paketes verarbeitet werden müssen) Header der höheren Schichten Header der höheren Protokollschichten (Upper Layer Header) (TCP, UDP, ...) IPv6 Erweiterungsheader nach RFC 2460, 2402 und 2406 Nach Sicherheitsgesichtspunkten sind zwei Erweiterungsheader inter­ essant, die eine Integrität der Daten bereitstellen. Authentisierung Mit Hilfe des Authentication Headers ist es möglich, die Echtheit eines Pa­ ketes zu überprüfen sowie die Unversehrtheit der Daten während ihrer Übertragung zu garantieren. Mit Hilfe einer Sequenznummer kann sich der Empfänger vor Angriffen schützen, die aus einer mehrmaligen Wiederho­ Enterasys Networks – Solution Guide 2008
    104. Secure Networks™ Seite 99 lung des selben Paketes hervorgehen können. Der Authentication Header (AH) ist dabei identisch mit dem von IPv4 unter der Nutzung von IPSec. Bei der Anwendung der Authentisierung wird zwischen zwei Verfahren un­ terschieden - dem Transportmodus und dem Tunnelmodus. Verschlüsselte Sicherheitsdaten Der Encapsulating Security Payload (ESP) Header wird verwendet, um vertrauliche Daten zu verschlüsseln und ihre Unversehrtheit zu garantie­ ren. Außerdem bietet ESP einen wirksamen Schutz vor so genannten Data-Replay Attacken. Wie auch bei der Authentisierung unterscheidet man bei der Anwendung der Verschlüsselung zwischen dem Transportmo­ dus und dem Tunnelmodus. Die erste Variante wird bei der Kommunikati­ on zwischen zwei Rechnern verwendet. Im Normalfall geht man hier davon aus, dass sich die Rechner nicht kennen bzw. keine gültigen Keys für eine Verbindung besitzen. Es muss daher von einem Trust Center von beiden Rechnern ein One Session Key angefordert werden, welcher dann für eine begrenzte Zeit Gültigkeit hat. Der IP Header selbst bleibt beim Transportmodus unverschlüsselt, so dass Hacker Informationen darüber erhalten können, wohin ein Rechner Ver­ bindungen aufbaut und wann er wie viele Daten sendet. Zur Verbindung von zwei Firmennetzen über öffentliche Leitungen bietet sich daher der Tunnelmodus an. Hier ist nach außen hin nur die Kommunikation der bei­ den Router sichtbar; weitere Informationen werden nicht nach außen be­ kannt. Sollte bei der Übertragung der AH Header ausschließlich genutzt werden, sind IPv6 fähige Firewalls sogar in der Lage, die höheren Schichten im Da­ tenpaket zu überprüfen und somit Pakete zu sperren oder frei zu schalten. ICMPv6 ICMPv6 ist integraler Bestandteil der Ipv6 Protocol Suite. Es wird zum Bei­ spiel für die Auto Configuration Funktion innerhalb IPv6 genutzt, bei dem die Clients automatisch eine IPv6 Adresse beziehen. Auch das Neighbour Discovery läuft über einen bestimmten Typ innerhalb ICMPv6. Viele Firewalls filtern jedoch die ICMP Messages; teilweise wird diese Art des Verkehrs auch komplett geblockt. Unter IPv6 ist es aber wichtig, dass bestimmte Typen unbedingt zugelassen werden. Daher müssen beim Aus­ rollen von IPv6 zwangsläufig die Firewalls mitbetrachtet werden. Es muss zudem auch sichergestellt werden, dass keine unerlaubten ICMP Messages vom Zugangspunkt zur Infrastruktur geschickt werden. DHCP- und DNS-Server sind meistens bekannt und befinden sich im Inneren des Netzes. Daher können diese Pakettypen auch am Zugangspunkt heraus gefiltert werden, wie es Enterasys im Rahmen der Secure Networks™ Ar­ chitektur macht. Enterasys Networks – Solution Guide 2008
    105. Seite 100 Secure Networks™ IP bleibt IP Es bleibt festzuhalten, dass sowohl IPv6 als auch IPv4 reine Transportpro­ tokolle sind. Attacken, die auf höheren Ebenen, wie Buffer Overflow oder Angriffe auf WEB Applikationen, sind bei beiden IP Varianten möglich. IKE aus der IPSec Protokollsuite oder auch IEEE 802.1x sind als weitere Si­ cherheitsmechanismen unumgänglich, um zukünftig Attacken wie Flooding und Man-in-the-Middle zu verhindern oder die Erkennung und Entfernung von „Rogue Devices“ zu ermöglichen. Enterasys Networks – Solution Guide 2008
    106. Secure Networks™ Seite 101 MPLS MPLS wurde aus den Technologien von IBM ARIS, Ascend IP Navigator, Ip­ silon IP Switching und Cisco TAG Switching in den 90er Jahren entwickelt und standardisiert. Das erste Ziel dieser Technologien war die Beschleuni­ gung des Routing Prozesses (des Forwarding Prozesses, um genau zu sein) durch die Fokussierung auf das so genannte Label: Dass heißt ein Router musste nicht mehr den gesamten IP Header lesen, um eine Ent­ scheidung zu treffen - nur noch das dem IP Header vorangestellte Label musste ausgewertet werden. Dies half insbesondere den Service Providern beim Wachstum ihrer Netze. Durch die neuen Generationen von Hardware bzw. NPU (Network Processor Unit) -basierten Routern ist dieser Vorteil in den Hintergrund getreten. Heutzutage stehen andere Funktionen für die Service Provider (SP) im Vordergrund: VPN – Virtual Private Networks, um mehrere Kunden auf der glei­ ● chen Infrastruktur zu betreiben TE - Traffic Engineering und Quality of Service (QoS) ● Eine Reduktion der Route Tabelle für die Core Router Systeme ei­ ● nes SPs Sehr schnelle Umschaltzeiten mit Protection Switching, die im SDH ● (Synchrone Digitale Hierarchie) Bereich unter 50 ms liegen. IP Integration in SP Netze ● Lösung des N² Problems bei voll vermaschten Netzen (mit ATM ● oder FrameRelay PVC´s in der Vergangenheit) Unterstützung zukünftiger Technologien mit GMPLS (Generalized ● MPLS) Das Thema VPN gliedert sich hierbei in 2 Bereiche: Network based Layer 3 VPNs, die es dem SP ermöglichen, mehre­ ● ren Kunden (ggf. sogar mit den gleichen privaten IP Adressberei­ chen) auf der gleichen IP Infrastruktur einen any-to-any Routing Dienst anzubieten. Die Kunden werden untereinander durch ver­ schiedene Labels von einander getrennt transportiert und die Core Systeme müssen sich nicht um die Routing Tabellen der einzelnen Kunden kümmern. Transparente Layer 2 VPNs (Punkt zu Punkt VLL Virtual Leased ● Line oder auch Punkt zu Mehrpunkt VPLS Virtual Private LAN Ser­ vice) bieten den SP´s die Möglichkeit, SDH-like bzw. Ethernet Dienste auf der gleichen Infrastruktur ihren Kunden anzubieten. Das Thema TE wiederum bietet Quality of Service Möglichkeiten durch das dynamische oder statische Routen von VPNs/Labels, nicht nur anhand des kürzesten Weges, sondern anhand der verfügbaren Bandbreite und weite­ ren Parametern wie die Verzögerung oder auch Jitter auf dem Weg (so ge­ nannte Constraint Based Routing). Enterasys Networks – Solution Guide 2008
    107. Seite 102 Secure Networks™ MPLS Bausteine Die Komponenten von MPLS sind der LER (Label Edge Router) und der LSR (Label Switch Router) sowie die Gesamtstrecke - der LSP (Label Swit­ ched Path). Label Edge Router: LER ● Der Ingress LER klassifiziert die eingehenden Pakete und asso­  ziiert einen LSP mit ihnen. Das MPLS Label wird hier eingefügt. Der Egress LER entfernt den MPLS Header und das Label.  Label Switch Router: LSR ● Der Transit/Core Router, der die Pakete anhand des Labels  weiterleitet und gegebenenfalls das Label austauscht (da die­ ses nur zwischen 2 Hops gilt). Label Switched Path ● Die Ende zu Ende Strecke, über die Pakete weitergeleitet wer­  den. LSP´s können statisch oder dynamisch etabliert werden. MPLS - Label Switched Path Die Verteilung der Labels erfolgt über ein zusätzliches LDP (Label Distribu­ tion Protokoll). Im Kontext von BGP MPLS VPNs nach RFC 2547 wird auch von P (Provider, entspricht LSR) und PE (Provider Edge, entspricht LER) Routern gespro­ chen. Die Router auf der Kundenseite werden als CE (Customer Edge) Router bezeichnet. Hierbei läuft zwischen allen Routern ein IGP (Interior Gateway Protocol) wie OSPF oder IS-IS (bevorzugt) bzw. die Protokolle OSPF-TE und IS-IS TE, wenn constraint based Routing genutzt werden soll (die meisten SP Netze sind statisch provisioniert in Bezug auf TE und auf Protection Swit­ ching). Zwischen den PEs kommt dann iBGP im Full Mesh zum Austausch der Kundenrouten zum Einsatz. Im PE selbst erfolgt die Zuordnung von Kunden zu VPNs. Die Kunden werden über VR Virtual Router oder VRF Vir­ tual Routing and Forwarding logisch voneinander getrennt und dann den VPNs zugewiesen. Wenn die Anzahl der PEs zu groß wird, um effektiv Enterasys Networks – Solution Guide 2008
    108. Secure Networks™ Seite 103 einen iBGP Mesh zu fahren, werden so genannten Route Reflectors (RR) eingesetzt, die die Verteilung der Routen an die PEs übernehmen. MPLS Übersicht Falls bei einem CE Router mehrere Kunden zusammengefasst werden, kommt eine lokale Erweiterung auf dem CE Router zum Einsatz: VRF Lite. Diese bietet die Möglichkeit, die Routen verschiedener Kunden auf einer Routerinstanz voneinander zu trennen ohne die restlichen MPLS Funktio­ nen abbilden zu müssen. Zwischen PE und CE Router kommt dann typi­ scherweise 802.1q Tagging oder verschiedene ATM/FR PVCs zum Einsatz. Eine Zuordnung anhand der IP Adressen am PE ist auch möglich (dies schließt dann aber überlappende IP Adressbereiche aus). In den einzelnen VLANs (Virtual LANs nach IEEE 802.1q und auch damit Routing Peers zwi­ schen PE und CE) werden dann pro Kunde die Routen (mit verschiedenen Routingprotokollen) übertragen. Anwendung von MPLS in LANs MPLS hat seinen Ursprung in großen Routernetzen von SPs. Dort sind die Vorteile klar ersichtlich. Auch ist es heute gängig, dass ein Unternehmen sein WAN Netzwerk durch eine MPLS Lösung eines SPs abbilden lässt. Da­ her kommt oft die Diskussion zutage, ob nicht auch MPLS in der LAN Infrastruktur der Unternehmen Sinn macht. Zuvor sollte man sich noch­ mals bewusst machen, dass die Einführung von MPLS typischerweise mit teurer Hardware und auch mit einer Reihe von für Unternehmen eher un­ typischen und unbekannten Protokollen einhergeht. Zu nennen sind hier die TE Erweiterungen der Protokolle OSPF und IS-IS - IS-IS an sich als Routingprotokoll - iBGP und auch die Label Distribution Protokolle wie z.B. RVSP-TE. Dass heißt der Betrieb eines MPLS Netzes ist mit mehr Kosten verbunden als ein standardisiertes LAN Netzwerk mit OSPF als Routing­ Enterasys Networks – Solution Guide 2008
    109. Seite 104 Secure Networks™ protokoll und VLAN Technik. Hierzu eine Analyse der vermeintlichen Vor­ teile: VPN – Virtual Private Network ● Wenn ein Unternehmen VPNs intern für verschiedene Abteilun­  gen oder Unternehmensbeteiligungen anbieten muss, eignet sich typischerweise die VLAN Technologie bzw. die zuvor er­ wähnte VRF Lite Funktion. Der Konfigurationsaufwand ist hier­ bei geringer als bei einer PE Konfiguration für MPLS. Falls der LAN Router Core dabei aus wenigen Routern (<10, ohne die „PE“ Router selbst) und Hops (<5) besteht, ist diese Technik einem vollen MPLS Rollout vorzuziehen TE - Traffic Engineering und QoS ● Quality of Service auf den einzelnen Verbindungen muss auch  im LAN durch die bekannten Mechanismen wie Queuing, Rate Limiting und Buffer Management sowie Traffic Marking erreicht werden. Loadsharing geschieht meist durch OSPF ECMP Equal Cost Multipath, da heute im LAN gleichartige 1 oder 10 Gbit/s Ethernet Verbindungen im Core zum Standard gehören Die weitreichenden Traffic Engineering Optionen machen nur  bei sehr vielen Router Hops (>5) Sinn Eine Reduktion der Route Tables für die Core Router Systeme ei­ ● nes Service Providers Dies spielt für Unternehmensnetze typischerweise keine Rolle  Sehr schnelle Umschaltzeiten mit Protection Switching, die im SDH ● (Synchrone Digitale Hierarchie) Bereich unter 50 ms liegen Mit den LAN Technologien IEEE 802.1w RSTP und IEEE  802.3ad LACP sind Umschaltzeiten im unteren Hundert-ms- Bereich möglich. Der Aufwand, noch tiefer zu kommen, ist hier nicht berechtigt IP Integration in SP Netze ● In Unternehmen findet man heute ausschließlich IP  Lösung des N² Problems bei voll vermaschten Netzen ● dies spielt bei LANs keine Rolle  Unterstützung zukünftiger Technologien mit GMPLS (Generic ● MPLS) dies spielt bei LANs keine Rolle  MPLS ist die richtige Technologie für große WAN Netze und Service Provi­ der. Hier führt kein Weg daran vorbei. Für größere LAN Campus Netze sind jedoch der Aufwand und die Kosten für den Betrieb nicht gerechtfer­ tigt. Hier ist mit bestehenden Technologien wie IEEE 802.1q und VRF Lite ein optimales Kosten/Nutzen-Verhältnis zu erzielen. Enterasys Networks – Solution Guide 2008
    110. Secure Networks™ Seite 105 Für Metro Netze zeichnet sich ein neuer Trend zu einfacheren Technologi­ en als MPLS ab – IEEE 802.1ad Provider Bridge Network und IEEE 802.1ah Provider Backbone Bridge Network stellen einfache Layer 2 Dienste für den Metro SP Markt zur Verfügung. Diese Techniken sind eher geeignet, einfache Virtualisierungsdienste zur Verfügung zu stellen. Die Technik ist jedoch noch am Anfang (und teilweise noch im Draft Status) und somit mit Vorsicht zu genießen, was eine Implementierung angeht. Simple Network Management Protocol Simple Network Management Protocol (SNMP) ist das Standard Protokoll, welches von Netzwerk Management Systemen verwendet wird, um mit entfernten Netzwerkkomponenten zu kommunizieren. Es wird dazu ver­ wendet, deren Konfiguration und Leistungsinformationen auszulesen. Die erste Version dieses Protokolls, SNMPv1, wurde 1988 veröffentlicht und lieferte fortgeschrittene Möglichkeiten zum entfernten Netzwerk Manage­ ment. Es wird heute noch von den meisten der konkurrierenden Netzwerk Management Systemen auf dem Markt verwendet. Da SNMPv1 ursprünglich entwickelt wurde, um die Ressourcen der Rech­ ner zu schonen, verwendete es einen minderwertigen Authentifizierungs­ mechanismus zur Sicherung der Kommunikation. Dieser bestand aus ei­ nem einfachen Klartextpasswort, dem Community String. Daher wurden und werden vielerorts immer noch IP adressbasierte Accesslisten als Zu­ griffsbeschränkung für SNMPv1 verwendet, was in Anbetracht der Tatsa­ che, dass SNMP auf dem verbindungslosen UDP-Protokoll aufbaut, natür­ lich auch wieder eine Sicherheitslücke ist. Das liegt daran, dass die Absen­ deradresse des IP Pakets nicht stimmen muss, da kein Handshake zum Aufbau einer Verbindung benötigt wird. Mit SNMPv2 wurden einige neue Methoden für das Protokoll bereitgestellt. Es gab auch mehrere Ansätze, um die Sicherheitsproblematik in den Griff zu bekommen. Davon hat sich jedoch keiner wirklich durchgesetzt. Mit der Weiterentwicklung der Netzwerke wurde die sichere Kommunikati­ on zwischen Managementstation und Netzwerkkomponenten immer wich­ tiger. Die aktuellste Version des Protokolls, SNMPv3, erhöhte die Sicher­ heit der Kommunikation durch Authentifizerung, Verschlüsselung und Zu­ griffskontrolle. SNMPv3 (RFC 2571-2575) definiert verschiedene Security- Modelle. Die nutzerbasierte Zugriffskontrolle wird durch die Definition von Views (View Based Access Control Model (VACM)) ergänzt. Die Nutzer er­ halten dadurch nur Zugriff auf Teilbereiche der MIB. Enterasys Networks unterstützt SNMPv3 in fast allen Geräten. Selbstver­ ständlich wird es auch von allen Komponenten der NetSight® Suite unter­ stützt. Enterasys Networks – Solution Guide 2008
    111. Seite 106 Produktportfolio Produktportfolio Dieses Kapitel gibt Ihnen einen Überblick über das breite Produktportfolio von Enterasys Networks. Die Produkte gliedern sich in drei Familien, die unterschiedliche Bereiche abdecken: Produktportfolio • Advanced Security Applications Dieser Bereich umfasst die Dragon® Security Suite bestehend aus DSCC (SIEM+NBAD) und IDP sowie die Enterasys Network Access Control Lösung. • Centralized Visibility and Control Die NetSight® Netzwerk Management Lösung. • Security Enabled Infrastructure Hier sind die klassischen Connectivity Hardware Komponenten wie Switche, Router, Wireless und WAN Router enthalten. Jedes Produkt wird zunächst kurz, bei neueren Produkten auch ausführli­ cher beschrieben. Es folgt eine Liste der verfügbaren Komponenten mit Abbildungen und den zugehörigen Produktnummern. Im Anschluss folgen die technischen Eigenschaften der Produkte wie unterstützte Funktionali­ täten, Kapazitäten, Spezifikationen und unterstützte RFC- und IEEE-Stan­ dards. Enterasys Networks – Solution Guide 2008
    112. Produktportfolio Seite 107 Advanced Security Applications Enterasys Networks entwickelt die sicherheitsrelevanten Merkmale seiner Netzwerkkomponenten ständig weiter und bietet gleichzeitig dedizierte Sicherheitsprodukte wie die Dragon® Security Suite und Enterasys Net­ work Access Control. Das Secure Networks™ Konzept sichert alle Teile des Unternehmensnetzwerks mit Intrusion und Network Defense sowie Net­ work Access Control Lösungen. Im Gegensatz zu anderen industriellen Sicherheitsmodellen schützt Secure Networks™ die gesamte Netzwerkin­ frastruktur. Dragon® Security Suite und Enterasys NAC Die Enterasys NAC Lösung ermöglicht eine umfassende Zugangskontrolle im Netzwerk, unabhängig von der eingesetzten Topologie. Die Dragon® Security Suite ermöglicht mit der Dragon ® Security Command Console (DSCC) ein Umbrella Security Information und Event Manage­ ment, welches mit einer verhaltensbasierten Netzwerkanomalieanalyse (NBAD) in einem Produkt kombiniert wird. Dies ermöglicht die Auswertung aller Verkehrsströme im Netzwerk. Erkannte Anomalien werden mit Events aus bestehenden Systemen wie Firewalls, Proxys, Domänencontrollern, etc. korreliert. Über externe Schnittstellen, wie Enterasys NAC, wird ein reaktiver Eingriff ins Netzwerk, wie die Quarantäne eines auffälligen Sys­ tems, möglich. Das Dragon® Intrusion Detection und Prevention System sichert zusätzlich das Netzwerk mit den oben erläuterten IDS/IPS Methoden ab und kann die gewonnenen Informationen der DSCC zur weiteren Korrelation zur Verfügung stellen. Enterasys Networks – Solution Guide 2008
    113. Seite 108 Produktportfolio Dragon® Security Command Console Die Dragon® Security Command Console (DSCC) ermöglicht eine zentrale Übersicht über alle Ereignisse und Flows und ist die zentrale Schlüssel­ komponente, bei der alle Meldungen zusammenlaufen. Zentrales Event- und Flow-Management mit der DSCC In der DSCC erfolgt eine Normalisierung von Eventdaten, eine Eventkor­ relation über Produktgruppen hinweg sowie die Event Priorisierung/Roll- Up. False Positives können durch diese umfassende Korrelation besser er­ kannt werden. Durch die vordefinierten Importfilter für die meisten Event­ formate ist eine einfache Darstellung des Security Status möglich. Mandantenfähige Übersicht mit dem DSCC-Dashboard Enterasys Networks – Solution Guide 2008
    114. Produktportfolio Seite 109 Einen Überblick der momentan unterstützen Ereignisquellen, Flowtypen sowie Vulnerability Scanner finden Sie unter: http://www.enterasys.com/products/advanced-security-apps/DSCC_Supported_Devices.aspx Reporting Die DSCC ermöglicht ein einfaches Zusammenstellen eigener Reports mit dem Report Wizard. Damit ist das Erstellen von Executive Level Reports genauso einfach wie die Erstellung technischer Reports für den laufenden Betrieb. DSCC Reports Selbstverständlich sind die Reports in offenen Formaten, unter anderem XML, HTML, PDF und CSV exportierbar. DSCC und Distributed IPS Im Zusammenspiel mit dem NetSight® Automated Security Manager kann direkt auf Vorfälle im Netzwerk reagiert werden. So können betroffene Systeme mit einer Quarantäne belegt werden. DIR mit NetSight® ASM und DSCC Assetmanagement Über die Integration von Vulnerability Scannern wie z.B. Qualys und die Einbindung von Authentisierungslogs oder NAC Events können Kontextda­ ten zu den Systemen im Netzwerk gesammelt. Enterasys Networks – Solution Guide 2008
    115. Seite 110 Produktportfolio Kontextinformationen im Assetmanager Damit werden die relevanten Daten zu einem Angreifer oder einem ange­ griffenen System auf einen Blick sichtbar. NBAD - verhaltensbasierte Netzwerkanomalieerkennung Hier wird das normale Verhalten eines Netzwerks analysiert. Durch statis­ tische Methoden werden dann Anomalien erkannt, indem nach bekannten Signaturen wie Portscans oder plötzlichen Veränderungen und Abweichun­ gen vom bisherigen Verhalten gesucht wird. Dazu kann ein kurzfristiger Anstieg der Bandbreite oder der Anzahl der Verbindungen zählen oder bis­ her nicht beobachtete Verbindungen. Damit können insbesondere Day Zero Attacken erkannt werden. Verarbeitung von Flows und Applikationserkennung mit QFlow Um das Verhalten des Netzwerks zu untersuchen, werden die Flow Infor­ mationen der Netzwerkkomponenten ausgewertet. Damit ist eine genaue Analyse des Netzwerkverkehrs von Layer 2-4 (je nach Quelle – NetFlow/SFlow/JFlow) möglich. Weiterhin können dedizierte Flow Senso­ ren eingesetzt werden, die eine Analyse bis auf Layer 7 sowie das Mit­ schneiden von bis zu 64 Byte jeden Flows ermöglichen. Enterasys Networks – Solution Guide 2008
    116. Produktportfolio Seite 111 DSCC – Appliances Die Einstiegsappliance ist die DSIMBA7-SE. Sie ermöglicht alle Funktiona­ litäten der DSCC in einem Gerät zu nutzen, inklusive eines Qflow Sensors mit 250 Mbps Kapazität. Die nächstgrößere Appliance unterstützt 750 Ge­ räte mit 2500 Events/Sek und 100k Flows in der Minute. Mit den Upgrades DSPLUS7-UP und DSIMBA7-DEV kann die Leistung erhöht werden. Mit dem Upgrade DSPLUS7-UP kann die Appliance auf insgesamt 5000 Events/Sek und 200k Flows aufgerüstet werden. Für jedes Gerät, welches über 750 hinausgeht, muss eine DSIMBA7-DEV Lizenz erworben werden. DSIMBA7-LU Events/Sek Flows/Min Devices DSIMBA7-SE 1000 25k 750 +1500 DSSES7-UP (2500 total) (für DSIMBA7-SE) DSIMBA7-LU 2500 100k 750 +2500 +100k - DSPLUS7-UP (5000 total) (200k total) (für DSIMBA7-LU) DSIMBA7-DEV +1 DSCC – Event Appliance Diese Appliance ermöglicht es, hohe Ereignisraten zu verarbeiten. Das Ba­ sismodel unterstützt 5.000 Events/Sek und kann bis auf 10.000 Events/Sek erweitert werden. Enterasys Networks – Solution Guide 2008
    117. Seite 112 Produktportfolio Events/Sek 5000 DSIMBA7-EVP DSEVPS7-UP +2500 (7500 total) +2500 DSEVPS7-UP (10000 total) DSCC – Flowappliance Bei hohem Flowaufkommen kommt diese Appliance zum Einsatz. Sie ver­ arbeitet in der Basisvariante 200k Flows/Min und kann bis auf 600k Flows/ Min aufgerüstet werden. Flows/Min DSIMBA7-FAP 200k +200k DSFAPS7-UP (400k total) DSFAPS7-UP +200k (600k total) DSCC - Behavioral Flow Appliances Ist es nicht möglich aus der Netzwerkinfrastruktur Flowdaten zu erzeugen oder sollen Layer 7 Daten zusätzlich extrahiert werden, so können die QFlow Appliances ähnlich einem IDS aus gespiegeltem Datenverkehr die benötigten Flowdaten erzeugen. Ein großer Vorteil ist hier, dass durch die Layer 7 Analyse eine genaue Zuordnung der Applikationen möglich wird. NBAD Qflow Sensor Dragon® Behavioral Flow Sensor GE250-SX DSNBA7-GE250-SX Dragon® Behavioral Flow Sensor GE250-TX DSNBA7-GE250-TX Dragon® Behavioral Flow Appliance GIG-SX DSNBA7-GIG-SX Dragon® Behavioral Flow Appliance GIG-TX DSNBA7-GIG-TX Mehr Informationen dazu unter: http://www.enterasys.com/products/ids/DSIMBA7/ Enterasys Networks – Solution Guide 2008
    118. Produktportfolio Seite 113 Dragon® Intrusion Defense Die Dragon® Intrusion Defense deckt die klassische Intrusion Detection und Prevention Lösung ab. Dabei kommen Network und Host Intrusion Detection und Prevention Systeme zum Einsatz. Alle Komponenten der In­ trusion Defense können über eine einheitliche Oberfläche, den Enterprise Management Server, verwaltet und konfiguriert werden. Mit Dragon® Version 7.3 wurde die Reporting Oberfläche komplett überar­ beitet. Hier steht ein modernes Interface mit vordefinierten Reports zur Verfügung. Dragon® 7.3 Reporting Interface Auf der Appliance Seite wird nun einheitlich auf Dell als Basissystem ge­ setzt, so dass im gesamten Security Portfolio ein einheitliches Hardware Management möglich ist. Enterasys Networks – Solution Guide 2008
    119. Seite 114 Produktportfolio Enterprise Management Server Der Enterprise Management Server (EMS) besteht aus einer Vielzahl von Komponenten. Die Policy Management Tools unterstützen eine einfache, zentrale und unternehmensweite Verwaltung und Überwachung der Dra­ gon® Intrusion Defense Komponenten. Das Alarmtool bietet eine zentrale Alarm- und Benachrichtigungsverwaltung. Die Security Information Mana­ gement Anwendungen ermöglichen das zentrale Überwachen, Analysieren und Erstellen von Reports für alle Security Ereignisse mit einer Realtime, Trending und Forensics Konsole. Dragon® EMS Frontend Der Enterprise Management Server ist die Grundlage jeder Dragon® Intru­ sion Defense Installation und wird zur Konfiguration und Verwaltung benö­ tigt. Der Server ist als eigenständige Appliance, als Software zur Installati­ on auf eigener Hardware sowie als integrierte Appliance (EMS+NIDS+HIDS) verfügbar. Die EMS Client Software ist für die Be­ triebssysteme Windows, Solaris und Linux verfügbar unter http://dragon.enterasys.com Enterasys Networks – Solution Guide 2008
    120. Produktportfolio Seite 115 Dragon® IDS Komponenten Eine Dragon® Installation setzt sich aus einem EMS sowie Network und Host Sensoren zusammen. Dabei stehen EMS und Netzwerksensor als Ap­ pliance oder reine Software zur Verfügung. Für kleine Installationen gibt es hier auch eine Integrated Appliance, welche in einem Gerät EMS und Netzwerksensor Funktionalität ermöglicht. Alle Appliances sind in einer Hardware-only Variante erhältlich, in der Preisliste an der Endung „H“ in der Produktnummer erkennbar. Dragon® Appliance Die Produktnummern für die EMS Appliances beginnen in der Preisliste mit DEMA-xx, die letzten beiden Stellen stehen für die Anzahl der verwalteten Systeme. Dabei ist zu beachten, dass jede verwaltete Appliance als ein System zählt – eine EMS Appliance und ein Netzwerksensor zählen z.B. als 2 Systeme. Größe Anzahl verwalteter Systeme SE 2 (nur als Software, nicht als Ap­ pliance verfügbar) ME 25 LE 100 U unbegrenzt Die Dragon® Enterprise Management Server Appliances beinhalten die Hardware (unabhängig von der Lizenz), die vorinstallierte Dragon® EMS Software sowie die EMS Lizenz. Als neue Hardwarebasis wird hier seit An­ fang des Jahres auf Dell Appliances gesetzt. Diese tauchen in der Preisliste nun als DEMA-ME statt DSEMA7-ME auf. Der Upgrade auf die nächsthöhe­ re Lizenz ist in der Preisliste mit DSEMA7-XL-UG gekennzeichnet, M/L ste­ hen hier für den jeweiligen Upgrade Schritt (ME-LE, LE->U). Beim Einsatz der reinen Softwarelösung ist auch eine SE-Lizenz erhältlich – die Produkt­ nummern beginnen hier mit DSEMS7-XX, die Upgrades entsprechend mit DSEMS7-XX-UG. Enterasys Networks – Solution Guide 2008
    121. Seite 116 Produktportfolio Netzwerk Sensor Der Netzwerk Sensor stellt das klassische NIDS dar. NIDS (Network Intru­ sion Detection Systeme) haben die Aufgabe Datenpakete innerhalb des Netzwerks zu untersuchen. Sie arbeiten wie oben bei Intrusion Detection Systeme beschrieben. Durch die Einführung der Host Intrusion Detection Systeme hat sich der Begriff NIDS für diese \"ursprünglichen\" Intrusion De­ tection Systeme herausgebildet. Der Network Sensor ist als Appliance sowie als Software verfügbar. Für die Matrix® N-Serie gibt es einen integrierten Security Prozessor mit Network Sensor, der direkt in die Hardware integriert werden kann. Eine hochver­ fügbare Network Sensor Lösung wird im Moment in Kooperation mit Crossbeam Systems realisiert. Die Artikelnummern für die Appliances beginnen mit DNSA-<Bandbreite>- <HW>, wobei die Bandbreiten unten erläutert werden, die HW entspricht entweder SX-Glas, oder TX-Kupfer. Die Software Artikelnummern beginnen mit DSNSS7-<Bandbreite>. Lizenz Durchsatz E 10 Mbit/s, (nur als Software verfügbar) FE 100 Mbit/s GE250 250 Mbit/s GE500 500 Mbit/s GIG 1 Gbit/s 3GIG 3 Gbit/s, 10Gigabit Interface (appliance) 10GIG 10 Gbit/s Als Einstiegsprodukt ist eine integrierte Netzwerk Sensor/Server Appliance verfügbar, die beide Funktionalitäten in einem Gerät vereint – unter DSI­ SA7-(S/T)X verfügbar. Matrix N-Series Dragon® Security Processor (IDS) Mit dem Dragon® Security Processor kann das Dragon® NIDS direkt in den NEM-Slot einer Matrix® N-Serie integriert werden (7S-DSNSA7-01/NPS). Eine genauere Beschreibung findet sich auch weiter oben bei der Übersicht zur Matrix® N-Serie. Enterasys Networks – Solution Guide 2008
    122. Produktportfolio Seite 117 Dragon® Intrusion Prevention und Detection Die IDP Appliances beinhalten die Hardware, die NIPS Lizenz sowie eine HIDS Lizenz (für dieses System). Die Appliances sind außerdem mit Fail Safe Open NICs ausgerüstet, dass heißt bei einem Stromausfall kann das IPS so konfiguriert werden, dass der Datenverkehr durchgeschleift wird. Die Artikelnummern beginnen mit DSIPA7-<Bandbreite>-(S/T)X; als Bandbreiten sind im Moment 100,250,500 und 1000 Megabit/s verfügbar. Der Einsatz in einer Crossbeam Lösung ist mit der Artikelnummer DSIPS7- GIG-CXB möglich. Dragon® IDS to IPS Upgrade Die Dragon® IDS Appliances können auf IPS aufgerüstet werden. Dafür ist eine neue, zusätzliche Lizenz sowie für die Fail-Open Funktionalität eine andere Netzwerkkarte notwendig. Die Artikelnummern beginnen mit DSIPS7-<Bandbreite>-(S/T)X. Host Sensor und Web Server Intrusion Prevention Der Host Sensor ist ein hostbasiertes Intrusion Prevention Werkzeug, das Web Attacken abwehren kann und die heute gängigen Betriebssysteme in Echtzeit auf Missbrauch und verdächtige Aktivitäten überwachen kann. Host Sensoren in Form von Host Intrusion Detection Systeme (HIDS) ver­ fügen in den meisten Fällen über Komponenten, die Systemprotokolle un­ tersuchen und Benutzerprozesse überwachen. Fortschrittliche Systeme bieten auch die Möglichkeit Viren und Trojanercodes zu erkennen. Das Enterasys HIDS zeichnete sich dadurch aus, dass es den bekannten NIM­ DA-Virus bereits bei seiner Verbreitung im September 2001 erkannte ohne ein Update der Signaturdatenbank durchführen zu müssen. HIDS sind agentenbasiert, dass heißt es sollte auf jedem zu schützenden Server/PC oder auch auf Firewalls separat installiert werden. Zu beachten ist, dass die IDS Lösung auch das entsprechende Betriebssystem bzw. Firewall Sys­ tem unterstützen muss. Der Host Sensor kann auch auf einem dedizierten Analysesystem dazu dienen Logs von kommerziellen Firewalls, Routern, Switchen und anderen IDS Geräten auszuwerten. Die Korrelation der Meldungen solcher Kompo­ nenten ist ein weiterer wichtiger Baustein der EIP (DIRS). Dragon® Host Sensor Software Beinhaltet die Host Sensor Software Lizenz. Die Software ist für die Be­ triebssysteme Windows, Linux, Solaris, HPUX und AIX auf https://dra­ gon.enterasys.com verfügbar. Die Host Sensoren stehen unter der Artikel­ nummer DSHSS7-(1/25/100/500)-LIC zur Verfügung; die Zahl gibt dabei die verfügbaren Lizenzen an. Zusätzlich steht eine WebIPS Lizenz als Add- on für den Hostsensor unter DSHSS7-WebIPS zur Verfügung. Enterasys Networks – Solution Guide 2008
    123. Seite 118 Produktportfolio Implementierungsmöglichkeiten von IDS im Netz In heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung zu platzieren. Strategische Knotenpunkte (Internetzugang, Partnerzugänge, Serverfarmen, Domaincontroller, Personalabteilung, etc.) sollten von einem IDS abgedeckt werden. Mögliche Angreifer werden auf der Suche nach einem lohnenden Ziel von den Sensoren frühzeitig er­ kannt. Dragon® IDS Lizenzierung Die Lizenzverwaltung für das Dragon® IDS/IPS erfolgt über das Dra­ gon®Portal unter https://dragon.enterasys.com. Dort kann ein Account an­ gelegt werden über den auch Testlizenzen erstellt werden können. Des Weiteren werden die nach dem Kauf eines Dragon ® Produkts erhaltenen Li­ zenznummern in diesem Portal aktiviert und an die Hostnamen der jewei­ ligen Systeme gebunden. In Zukunft wird dieses Portal voraussichtlich im Extranet zentral mit eingebunden. Des Weiteren wird mit Dragon® 7.3 auch die Macrovision Lizenzierung für das Dragon ® IDS Produkt verwen­ det. Dabei werden auf Seiten des EMS die Anzahl der verwalteten Systeme, so­ wie für die Sensoren, deren Funktion und Durchsatz lizenziert. Für den EMS sind die Varianten SE-2, ME-25, LE-100, U-Unlimited verfügbar – 2 bedeutet hier die Verwaltung zweier Systeme, wird also der EMS für das Reporting verwendet, zählt er hier auch als verwaltetes Gerät. Somit kann nur EMS und ein Netzwerk Sensor verwaltet werden. Zu beachten ist, dass die genutzten Funktionen auf einem Gerät hier nicht zählen, dass heißt für den EMS zählt ein System, welches IDS, IPS und Host Sensor betreibt als ein System. Auf Seiten der Sensoren sind die Funktionalitäten IDS, IPS , Host IDS und WebIPS verfügbar. Bei IDS bzw. IPS wird außerdem die verfügbare Band­ breite über die Lizenz freigeschaltet. Die Funktionen werden jeweils an einen Hostnamen gebunden. Weitere Informationen finden Sie unter http://www.enterasys.com/products/ids. Enterasys Networks – Solution Guide 2008
    124. Produktportfolio Seite 119 Network Access Control Mit Enterasys Network Access Control kann in allen Netzwerken ein wirk­ samer Schutz des Netzwerkzugangs gewährleistet werden – unabhängig von dem gewählten Policy Enforcment Point Typ (Out-of-Band, Inband, etc). Für bestehende Enterasys Kunden werden die Secure Networks™ Features der bestehenden Komponenten durch die Out-of-Band Lösung zu einer vollständigen NAC Lösung aufgewertet. Dies ist natürlich auch in ei­ nem Drittherstellernetzwerk möglich, sofern die verwendeten Komponen­ ten Authentisierung (möglichst standardnah – IEEE 802.1x) sowie Authori­ sierung (RFC 3580) unterstützen. Out-of-Band NAC Inband NAC In heterogenen, älteren Netzwerken kann die Inline Lösung verwendet werden, um diesen Netzabschnitt auf einen Schlag abzusichern. Auch zur Absicherung einer Wireless Switching Lösung oder der VPN User kann die Inband Lösung eingesetzt werden, um für alle Zugänge eine einheitliche, nahtlose Zugangskontrolle zu gewährleisten. Mit der Einführung der Inband NAC Lösung wurde gleichzeitig ein Augen­ merk auf die Unterstützung vieler neuer und innovativer Features gelegt. So ist das im Lösungsportfolio beschriebene RADIUS und Kerberos Snooping in die Lösung integriert und ermöglicht somit an zentraler Stelle, z.B. im Distribution Layer, die Einführung von benutzerbezogener Authen­ tisierung und Authorisierung ohne die Hürde eines kompletten 802.1x Rol­ louts. Des Weiteren wurde die Remediation Lösung über ein Captive Web Portal weiter ausgebaut, so dass nun zusätzliche Merkmale wie die oben be­ schriebene MAC Registration nutzbar sind. Das Assessment wurde sowohl in einer agentenbasierten sowie -losen Version von Enterasys in die NAC Lösung integriert, dass heißt ein Assess­ ment ist auch ohne zusätzlichen Assessment Server möglich. Selbstver­ ständlich ist die Ankopplung externer Assessment Dienste möglich. Dafür wurde eine komplett offene Assessment API geschaffen. Die gesamte Enterasys NAC Lösung wird über die selbe Oberfläche, den NetSight® NAC Manager verwaltet. Dieser ist Bestandteil der NetSight® Suite und dient der zentralen Verwaltung aller NAC Gateways und NAC Enterasys Networks – Solution Guide 2008
    125. Seite 120 Produktportfolio Controller. Der NAC Manager ist auch zentrale Sammelstelle für alle Infor­ mationen bezüglich neuer Endsysteme und dedizierter Endsystemkonfigu­ rationen. Im Betrieb liegt die gesamte Konfiguration dezentral auf den je­ weiligen NAC Gateways und Controllern, der NAC Manager wird nur für Konfigurationsänderungen und Reporting Funktionalitäten benötigt. NAC Manager Oberfläche und Konfiguration Im NAC Manager werden außerdem die Authentisierungsparameter vorge­ geben. So kann bestimmt werden, ob die Authentisierungsanfragen für MAC Authentisierung lokal beantwortet werden oder an den zentralen RADIUS Server weitergeleitet werden. Weiterhin wird die Assessment Konfiguration festgelegt, dass heißt welche Überprüfung für die jeweiligen Endsysteme vorgenommen werden. Die bei der Authentisierung gewonnenen Informationen werden auf dem NAC Manager in einer zentralen, offenen SQL Datenbank abgelegt und stehen somit über eine Standardschnittstelle zur Verfügung. Da hier für alle Endsysteme die Daten bei der Anmeldung hinterlegt wer­ den, kann somit jeder Benutzer im Netzwerk in Sekundenbruchteilen loka­ lisiert werden. Diese Informationen dienen dem NetSight® Console Com­ pass sowie dem Automated Security Manager zum Suchen und können auch zur Realisierung einer E911 Notrufortung verwendet werden. Enterasys Networks – Solution Guide 2008
    126. Produktportfolio Seite 121 Die NAC Controller kommen bei der Inband Lösung zum Einsatz und wer­ den in den Datenpfad eingeschleift. Sie stehen im Moment in zwei Varian­ ten – Kupfer und Glas – zur Verfügung. 2S4082-25-SYS 7S4280-19-SYS 2xSFP, 24x10/100/1000Tx 20xSFP Beide NAC Controller Varianten unterstützen bis zu 2000 Benutzer und können im Layer 2 oder Layer 3 Modus betrieben werden je nachdem, ob sie z.B. vor einem VPN Gateway oder im Distribution Layer eingesetzt werden. Die Controller können über einen eigenen Out-of-Band Port ver­ waltet werden oder zusammen mit dem Nutzdatenverkehr Inband. Die Assessment Funktionalität ist bei den NAC Controllern direkt inte­ griert, dass heißt diese können direkt für das Enterasys onboard Assess­ ment genutzt werden. Für die switchbasierte Out-of-Band Lösung wird das NAC Gateway einge­ setzt. Damit können sowohl Enterasys auch als Drittherstellerkomponen­ ten in der NAC Lösung eingesetzt werden. Das NAC Gateway dient dabei aus Sicht des Switches als Authentisierungsbroker, dass heißt es leitet die Authentisierungsanfragen gegebenenfalls an einen RADIUS Server weiter oder beantwortet sie selbst. NAC Gateway Des Weiteren ist es natürlich in der Lage die angeführten Zusatzfunktiona­ litäten abzubilden. Das NAC Gateway wird in unterschiedlichen Varianten angeboten, die sich vor allem an der Zahl der unterstützten, gleichzeitig authentisierten Benutzer orientiert. End Users NAC Gateway Supported SNS-TAG-LPA 2000 SNS-TAG-HPA 3000 SNS-TAG-ITA (onboard Assessment Supported) 3000 Matrix® N-Series DFE 2000 Daughter Card (7S-NSTAG-01/NPS) Zusätzlich ist zu beachten, dass im Moment nur das SNS-TAG-ITA per Li­ zenz auf das Enterasys onboard Assessment aufgerüstet werden kann. Enterasys Networks – Solution Guide 2008
    127. Seite 122 Produktportfolio Assessment Die Enterasys NAC Lösung erlaubt die zentrale Konfiguration des Endsys­ tem Assessments über den NAC Manager. Hierbei ist zu beachten, dass im Moment nur die NAC Controller sowie das NAC Gateway SNS-TAG-ITA in der Lage sind diese Assessment Funktionalität onboard zur Verfügung zu stellen. Für die anderen Gateways oder den Einsatz der offenen Assess­ ment API ist ein eigener Assessment Server zu betreiben. Agentbased Assessment Agentless Asessment Zum Freischalten der Assessment Funktionalitäten in der Enterasys NAC Lösung wird zusätzlich eine NAC-ASSESS-LIC pro Appliance benötigt. Die Liste der verfügbaren Assessment Dienste wird ständig erweitert, ins­ besondere Microsoft NAP wird hier auch verfügbar sein. Durch eine Kombination der Secure Networks™ Distributed IPS Funktiona­ lität und Enterasys NAC kann Endsystemen der Zugang zum Netzwerk dauerhaft verwehrt werden. Damit ist ein – nach Gartner unverzichtbarer Bestandteil von NAC möglich – ein kombiniertes Pre- und Post-Connect Assessment der Endsysteme. Damit ist auch eine der letzten Lücken geschlossen. Schließlich war es ei­ nem infizierten Endnutzer bis jetzt möglich nach der Aktivierung der Qua­ rantäne durch den ASM einfach auf einen anderen Port zu wechseln. Durch die Integration des ASM mit dem NAC Manager wird die MAC Adresse des Endsystems jetzt bei auffälligem Verhalten in eine Blacklist aufgenommen, so dass dem Endsystem bei erneuter Authentisierung direkt der Zugang zum Netzwerk verwehrt wird. Enterasys Networks – Solution Guide 2008
    128. Produktportfolio Seite 123 Centralized Visibility and Control Mit der NetSight® Enterprise Management Suite bietet Enterasys Networks Centralized Visibility and Control an, die es ermöglicht, Netzwerke effizient zu administrieren. Dies trägt wesentlich zur Senkung der Betriebskosten bei. Selbstverständlich sind alle NetSight® Management Komponenten dar­ auf abgestimmt, eine Secure Networks™ Lösung optimal zu unterstützen. Besondere Bedeutung kommt hier dem NetSight® Policy Manager und dem NetSight® Automated Security Manager zu, da diese Tools speziell für das autonome Management von Secure Networks™entwickelt wurden. NetSight® – Zentrale Weboberfläche Enterasys Networks liefert Ihnen eine durchdachte Management Lösung, mit der Sie die von Ihnen benötigten Komponenten als Plug-In zu Ihrem zentralen Management hinzufügen können. Mit NetSight® Version 3 wur­ den alle Komponenten in einer Oberfläche bereitgestellt und können über eine zentrale Weboberfläche aufgerufen werden. Eine Installation unter­ schiedlicher Client Plug-ins oder deren Aktualisierung entfällt. Enterasys Networks – Solution Guide 2008
    129. Seite 124 Produktportfolio NetSight® Console Zentrales Management zum Konfigurieren, Überwachen und • Troubleshooten des gesamten Netzwerks Client Server Architektur • Verteiltes Management • Basis für das Management der Secure Networks™ Lösungen, hierzu • existieren verschiedene Plug-In Anwendungen Einheitliches Management und Überwachung der Wireless Infra­ • struktur mit dem Wireless Manager NetSight® Policy Manager Zentrales Management zur Administration der rollenbasierten • Secure Networks™ Policys Support für Quality of Service Administration • NetSight® NAC Manager Konfiguration von Enterasys Network Access Control • NetSight® Automated Security Manager Management Lösung zum dynamischen Schutz vor Gefahren wie Vi­ • ren und Attacken Kombiniert die Elemente von Enterprise Network Management und • Intrusion Defense Aktiviert automatisiert Policys auf den Netzwerkkomponenten sobald • eine Gefahr erkannt wurde Netzwerkweite Firmwareupgrades sofort oder zu einem bestimmten • Zeitpunkt NetSight® Inventory Manager Auf einen Klick Hardware, Software und Konfigurationen aller Gerä­ • te sichern und verwalten Überwachung und Archivierung der Konfigurationen Ihres Netzes • NetSight® Policy Control Console Einfache Kontrolle der Zugriffsrechte für Endnutzer, z.B. zur geziel­ • ten Freigabe von Ressourcen in Seminarräumen Enterasys Networks – Solution Guide 2008
    130. Produktportfolio Seite 125 NetSight® Console Die NetSight® Console ist das Herzstück der NetSight® Enterprise Manage­ ment Produktlinie. Sie wurde entwickelt, um den Workflow der Netz­ werkadministratoren wieder zu spiegeln. So bietet die NetSight® Console umfassende Managementunterstützung für sämtliche Komponenten und Lösungen von Enterasys Networks, aber auch alle anderen SNMP Geräte können mit der NetSight® Console administriert werden. Mit der NetSight ® Console lassen sich viele Netzwerkaufgaben automatisieren, was zu er­ heblichen Zeit- und Kostenersparnissen in unternehmenskritischen Umge­ bungen führt. Die modernen Funktionen sorgen für verbesserte Netzwerk Performance und vereinfachtes Troubleshooting. Dazu gehören auch um­ fangreiche Überwachungsfunktionen, robustes Alarm- und Event-Manage­ ment, Netzwerk-Discovery, Gruppen-Element-Management und integrierte Planung. Tasks wie Subnet Discovery, Alarm Paging, TFTP Downloads, System Backups und vieles mehr werden automatisch durchgeführt. Topology Manager und Topology Maps Mit dem Topology Manager ist es möglich, automatisch Topology Maps er­ stellen zu lassen. Dadurch bekommt der Administrator mit einem Klick einen Überblick über die Netzwerktopologie. Er sieht die einzelnen Verbin­ dungen der Komponenten untereinander. Informationen über Link Ge­ schwindigkeit oder Link Aggregation können einfach abgelesen werden. Darstellung der aktuellen Spanning Tree Topologie Damit wird die Problemfindung extrem vereinfacht und die Troubleshoo­ tingzeit verkürzt sich enorm. Eine Senkung der Betriebskosten ist das Re­ sultat. Enterasys Networks – Solution Guide 2008
    131. Seite 126 Produktportfolio Compass Zur Fehlerbehebung ist es enorm wichtig, ein gewisses Maß an Transpa­ renz über das Netzwerk zu bekommen. Eine weitere herausragende Funk­ tionalität der NetSight® Console ist es, mit dem Compass Tool Benutzer und Geräte anhand des Benutzernamens, der IP oder MAC Adresse oder des Hostnamens suchen und anzeigen zu lassen. Der Anwender bekommt innerhalb von Sekunden ein aktuelles Bild und muss keine umständlichen oder chronisch veralteten Tabellen pflegen. NetSight® Compass So kann man in kürzester Zeit Fragen folgender Art beantworten: Wo ist diese IP in meinem Netzwerk? • Wo sind alle Teilnehmer eines IP Subnetzes im Netzwerk? • Welche Benutzer sind auf einem Switch authentifiziert? • Dies funktioniert natürlich nicht nur mit Enterasys Komponenten, sondern kann auch mit Geräten anderer Hersteller kombiniert werden. Compass sucht die Informationen aus bekannten MIB Variablen und Tabellen. Enterasys Networks – Solution Guide 2008
    132. Produktportfolio Seite 127 NetSight® Policy Manager Durch den Einsatz des NetSight® Policy Managers sind Unternehmen in der Lage Business- und IT-Konzepte aufeinander abzustimmen. Die Kombina­ tion aus intelligenten Hardware Komponenten von Enterasys Networks zu­ sammen mit dem NetSight® Policy Manager ermöglicht eine optimale Be­ nutzerverwaltung innerhalb der IT Infrastruktur. Dazu gehört neben den Klassifizierungsregeln am Netzwerkzugang auch die Unterstützung des Port Authentifizierungsstandards IEEE 802.1x. Eine optimale Sicherheitslö­ sung für den Zugang zum Netzwerk wird dadurch bereitgestellt. Der NetSight® Policy Manager ist das zentrale Element der rollenbasierten Administration in der Secure Networks™ Lösung von Enterasys Networks, dass heißt in der Kombination und Aufeinanderabstimmung von IT- und Business-Konzepten. NetSight® Policy Manager Das Erstellen von Policys und den dazugehörigen Regelwerken ist hier übersichtlich und einfach, auch ohne Kenntnisse der einzelnen Netzwerk­ komponenten, möglich. So kann zum Beispiel das bekannte Problem mit DHCP Servern auf den Rechnern von Mitarbeitern mit einer Regel gelöst werden. Dabei laufen auf Rechnern von Mitarbeitern ab und an eigenstän­ dige DHCP Server. Werden diese nun ohne Einschränkung an die Infra­ Enterasys Networks – Solution Guide 2008
    133. Seite 128 Produktportfolio struktur angeschlossen, so wird dadurch das lokale Netzwerk quasi lahm gelegt, da der Rechner des Mitarbeiters für dieses Netzwerk teilweise die DHCP Funktionalität übernimmt. Verbieten nicht erlaubter DHCP Server Mit dem Policy Manager kann dies nun mit einer Regel verhindert werden. Dafür wird der Datenverkehr des Endnutzers mit UDP Absenderport 68, dem DHCP Server Port , verworfen und der Rolle des Endnutzers hinzuge­ fügt oder statisch als Default Regel auf die Access Ports verteilt. Möglichkeiten beim Erstellen von Regeln Der Anwender hat hier die Möglichkeit beim Zutreffen einer Regel den Verkehr zu verbieten, zu erlauben oder in ein dediziertes VLAN zu senden. Dabei kann auch eine Meldung erzeugt werden oder sogar der Port deakti­ viert werden, Funktionalitäten die man so eher von Firewalls kennt. Enterasys Networks – Solution Guide 2008
    134. Produktportfolio Seite 129 Statische Zuordnung einer Default Rolle Die statische Zuordnung der Rollen auf den Geräten sowie die Konfigurati­ on der Authentisierungsparameter erfolgt ebenfalls einheitlich und zentral über den Policy Manager. Damit können bekannte Würmer und Viren mit einem Klick aus dem Netzwerk verbannt werden, indem einfach eine Regel aktiviert wird, die genau diesen Datenverkehr verbietet. So lässt sich zum Beispiel der Sasser Wurm mit drei Regeln verbieten. Verbieten des Sasser-Wurms Das Tool liefert zudem Funktionen wie Rate Limiting und QoS Konfigurati­ on, die von zentraler Bedeutung für den Erfolg von E-Business Infrastruk­ turen sind. Dazu gehört auch die Aufteilung in virtuelle Arbeitsgruppen vor Enterasys Networks – Solution Guide 2008
    135. Seite 130 Produktportfolio dem Hintergrund unterschiedlicher Anforderungen. In der Produktion hat SAP beispielsweise eine höhere Priorität als E-Mail. Zur optimalen Sicherheit lässt sich mit effektivem Management der Zugriff auf sensible Informationen beschränken. Man kann beispielsweise einen Port schließen oder die Adresse eines Users vom VLAN entfernen und ihm so den Zugriff verwehren. Keine kritischen Protokolle für Endnutzer Auch das Sperren von MAC Adressen oder eine fixe Zuordnung einer MAC Adresse pro Port kann eingerichtet werden. Damit lässt sich auch ohne Probleme der sonst schwierige Gastzugang realisieren. Mit Hilfe eines Prio­ rity Classification Wizards lassen sich Priorisierungs- und Klassifizierungs­ regeln erstellen, um den Netzdatenverkehr unterschiedlich zu priorisieren. Automatisierte Funktionen, die einfache Implementierung und Administra­ tion sorgen für Zeit- und Kosteneinsparungen. Da der NetSight ® Policy Ma­ nager mit bestehenden Securitysystemen, wie einem schon genutzten RADIUS Server und einem User Directory, zusammenarbeitet und keine zusätzlichen Authentification Server notwendig sind, sind die Investitionen optimal geschützt. Jeder Anwender hat nur Zugriff auf die für ihn notwen­ digen Services. Damit sind umfassende Kontrollen und Sicherheit gewähr­ leistet, um ein effektives Sicherheits- und Accountingmanagement zu ge­ währleisten. Policy Control Console Die Enterasys Policy Control Console (PCC) ist eine Anwendung, die nor­ malen Anwendern das Potential der Secure Networks™ Policys zur Verfü­ gung stellt. Damit kann die IT-Administration gezielt eine vordefinierte Reihe von Netzwerk Policys auch nicht-technischen Mitarbeitern in deren Arbeitsumgebung zur Verfügung stellen. Für diese ist ein einfacher Zugriff auf diese Einstellungen über ein Webinterface möglich. Damit kann ein Trainer oder Lehrer über ein einfaches Webinterface den Zugang zum In­ ternet für seine Teilnehmer mit einem Klick ein- bzw. ausschalten. Diese Delegation ermöglicht es der IT-Abteilung sich auf wichtigere Aufga­ ben zu konzentrieren, indem die alltäglichen Anforderungen durch Erstel­ lung und Anwendung von Netzwerk Policys an die Benutzer delegiert wird. NetSight® Automated Security Manager Der NetSight® Automated Security Manager (ASM) ist ein elementarer Be­ standteil der Secure Networks™ Architektur. Mit diesem Tool kann dyna­ Enterasys Networks – Solution Guide 2008
    136. Produktportfolio Seite 131 misch auf Attacken und Anomalien innerhalb des Netzwerks reagiert wer­ den. Sollte es zu auffälligen Aktivitäten in der Infrastruktur kommen, kön­ nen diese über ein Intrusion Defense System wie Enterasys Dragon® er­ kannt werden. Informationen über Sender-IP und Art der Attacke werden sofort vom IDS bereitgestellt. Um zeitnah auf diese Attacke zu reagieren, werden diese Informationen über SNMPv3 an den ASM weitergeleitet. Die­ ser kann unmittelbar die Lokation der auffälligen IP Adresse erkennen und lokalisieren (z.B. Standort A, Gebäude B, Etage C, Verteiler D, Switch E, Port F). Damit kann sofort die Regel auf dem entsprechenden Switch Port geän­ dert werden. Es können nur noch bestimmte Dienste freigeschaltet wer­ den oder der Port wird komplett gesperrt. Das Ganze kann auch mit einer zeitlichen Komponente verbunden werden. Je nach Art des Angriffs kann individuell die Regel geändert werden. Damit kann überprüft werden, ob beispielsweise nach zwei Minuten die Auffälligkeit wieder auftritt und da­ nach erst der Port komplett gesperrt werden. Somit werden diese IP Adresse und der damit verbundene Rechner vom Netz genommen. Die anderen Systeme können ohne Behinderung weiter arbeiten. Es kommt zu keiner Unterbrechung der Geschäftsabläufe. Zudem wird Zeit gewonnen, um den befallenen Rechner zu überprüfen und gegebenenfalls zu warten. NetSight® Automated Security Manager Die entsprechende Aktion kann jederzeit über die so genannte „Undo Acti­ on“ manuell wieder zurückgenommen werden. Durch den NetSight® Automated Security Manager können erstmals in der Industrie dynamische Reaktionen auf kritische Events erfolgen. Es ist nicht Enterasys Networks – Solution Guide 2008
    137. Seite 132 Produktportfolio mehr notwendig, einen Mitarbeiter abzustellen, der ständig vor einer IDS Konsole sitzt, um im Angriffsfall zeitnah reagieren zu können. Das Secure Network™ nimmt diese Aufgabe gerne ab. NetSight® Inventory Manager Eine große Herausforderung innerhalb eines Unternehmens ist die Inven­ tarisierung der vorhandenen Komponenten. Dies gilt nicht nur für die IT, sondern zieht sich über alle Geschäftsbereiche hinweg. Mit Hilfe des NetSight® Inventory Managers lässt sich eine einfache und schnelle Katalogisierung von IT Informationen durchführen. Vorhandene Hardware und zugehörige Seriennummer, eingesetzte Firmware Versio­ nen, eingebaute Speicherausstattung oder aktuelle Konfigurationen kön­ nen beispielsweise ausgelesen, zentral abgelegt und verwaltet werden. Äl­ tere Firmware Versionen können automatisiert aktualisiert werden. Konfi­ gurationen können regelmäßig, zeitgesteuert gespeichert und archiviert werden. NetSight® Inventory Manager Damit ermöglicht der NetSight® Inventory Manager ein effektives Change Management, was die Verwaltung vereinfacht und die Betriebskosten enorm senkt. Enterasys Networks – Solution Guide 2008
    138. Produktportfolio Seite 133 NetSight® - Komponenten im Überblick Historisch bedingt ist die NetSight® Suite in zwei Varianten erhältlich. Gab es bisher nur die Möglichkeit, einzelne NetSight® Komponenten in den ent­ sprechenden Ausbaustufen zusammenzustellen, so bietet das neue Modell eine vereinfachte Lizenzierung. Beide Varianten sind augenblicklich verfügbar und lassen sich parallel be­ treiben. Lediglich der Router Services Manager wird nach wie vor im Standalone Modus eingesetzt. NetSight® á la Carte Gemeinsame Basis einer NetSight® Installation ist die Console (NSA-X- LIC). Darauf aufbauend können fünf unterschiedliche Plug-ins lizenziert werden: - Inventory Manager (IM-X-LIC) - Policy Manager (PM-X-LIC) - Automated Security Manager (ASM-X-LIC) - NAC Manager (NSTAM-X-LIC) - Policy Control Console (SNS-PCC-X) Die Serverlizenz ermöglicht es einer definierten Anzahl von Clients (Con­ sole, PM, IM, etc.) auf den zentralen Server zuzugreifen. Die die in den Paketen zusätzlich enthaltenen Standalone Lizenzen bieten einen ausschließlich lokalen Zugriff des Clients auf die NetSight® Installation. Diese Möglichkeit wird z.B. von Feldtechnikern genutzt. Die in der Tabelle genannten Device Limits beziehen sich auf gemanagte IP Adressen. Chassis (Matrix® N) oder Stacks zählen jeweils als ein Device. Licence Server/Standalone Clients Devices SE 1/1 3 <25 ME 1/5 5 <250 LE 1/10 10 <600 U 1/15 25 600+ Diese Lizenzen sind, wie in der obigen Tabelle ersichtlich, in vier unter­ schiedlichen Größen (Small=SE, Medium=ME, Large=LE, Unlimited=U) er­ hältlich; dabei müssen alle Lizenzen die gleiche Größe haben, dass heißt beim Einsatz einer ME-Console muss auch der ME-Policy Manager verwen­ det werden. Ein Upgrade der Lizenzgröße ist möglich, dafür muss die passende Lizenz für das jeweilige Produkt erworben werden – z.B. Console-Small auf Con­ sole-Medium: NSA-SM-UG. Enterasys Networks – Solution Guide 2008
    139. Seite 134 Produktportfolio NetSight® Basic & Flatrate - Das neue Modell Das neue Lizenzmodell umfasst zwei Stufen, vorgegeben durch die Conso­ len Lizenz (NS-CON-50/U). Die 50-Device Lizenz lässt sich mittels eines Upgrades zur Unlimited Li­ zenz erweitern. Auch die Anzahl simultan zugreifender Clients lässt sich schrittweise aus­ bauen (NS-USER). License Clients Devices -50 3 <50 -U 25 50+ Die Lizenzen für weitere Plug-ins (NS-IM/PM/ASM/NAC) werden nun ohne weitere Größenfestlegung hinzugefügt. NetSight® Pakete Der Einsatz mehrerer NetSight® Komponenten wird nun durch Komplett­ pakete vereinfacht. Hier sind mehrere Varianten erhältlich: Console + Policy Für die Implementierung von Secure Networks™ bietet sich eine Kombina­ tion aus Console, Policy Manager und Policy Control Console an. Das Paket NS-PB-X ist als 50-Device bzw. Unlimited Lizenz verfügbar. Auch hier (und in der Advanced Lizenz) erlaubt der Upgrade auf Unlimited ein schrittweises Wachsen der Managementinfrastruktur. NetSight® Advanced Das Advanced Paket beinhaltet fast alle im Moment verfügbaren NetSight ® Komponenten – Console, Policy Manager, Policy Control Console, ASM, Inventory Manager, NAC Manager. Fault Tolerance Optional ist das Advanced Paket als NS-AB-xFT für den redundanten Be­ trieb zweier NetSight® Server verfügbar. In Zukunft wird damit ein syn­ chroner HA-Betrieb ermöglicht werden. LAB-Lizenz Die LAB Lizenz (NS-LAB) erlaubt den Betrieb von NetSight® für Testzwe­ cke. Mit einem Limit von 50 Devices und 2 simultanen Client Sessions las­ sen sich anspruchsvolle Laboraufbauten realisieren, ohne dass neben dem Anschaffungspreis Wartungskosten anfallen. Die LAB-Lizenz ist Bestandteil des Fault Tolerance Paketes, lässt sich je­ doch auch einzeln beziehen. Enterasys Networks – Solution Guide 2008
    140. Produktportfolio Seite 135 Single User Lizenz Auch kleine Netzwerkinstallationen erfordern Transparenz und ein durch­ gängiges Monitoring redundanter Strukturen. Das Einsteigerpaket NS- SU-10 umfasst Console, Policy Manager und Inventory Manager. Bis zu 10 Devices können von einem Client (analog zu den Standalone Li­ zenzen) bei vollem Funktionsumfang verwaltet werden. NetSight® Appliance Die NetSight® Appliance SNS-NSS-A stellt in Kombination mit der entspre­ chenden Softwarelizenz (NS-x-50) die leistungsfähige Hardwarebasis für eine komplett supportete Managementlösung dar. Enterasys Networks – Solution Guide 2008
    141. Seite 136 Produktportfolio NetSight® Lizenzierung Die Lizenzierung für die NetSight® Produktreihe wurde in der Entwicklung über unterschiedliche Mechanismen abgedeckt – in den frühen 1.x und 2.x Varianten wurde die Lizenzierung mittels eines einzeiligen Schlüssels vor­ genommen, der nach der Installation eingespielt werden konnte. Dieser hatte folgendes Format: „PEVGI06XXXXXXXXX“. Der erste Buchstabe stand für das Produkt (C=Console, P=Policy Manager, I=Inventory Mana­ ger, A=ASM, T=Trusted Access Manager bzw. NAC Manager); der zweite Buchstabe stand für die Lizenzgröße (S=Small, M=Medium, L=Large, U=Unlimited). Dieser Key wurde bei der Bestellung per Post zugesandt. Mit NetSight® 3.x wurde mit Macrovision ein industrieweit genutztes Lizen­ zierungsverfahren eingeführt. Dabei wurden die unterschiedlichen Lizen­ zierungsgrößen (SE,ME,LE,U) sowie die Kürzel für die einzelnen NetSight ® Komponenten (C,P,I,A,T) beibehalten, die Policy Control Console mit PCC ist neu hinzugekommen. Die Lizenzverwaltung erfolgte dabei über ein bei Enterasys gehostetes Lizenzierungsportal, welches zunächst unter https:// myportal.enterasys.com erreichbar war. Heute ist die Lizenzierung unter https://extranet.enterasys.com/MySup­ port/Licensing/ in das globale Kundenportal integriert. Hier kann, auch nur zu Evaluierungszwecken, ein Account erzeugt und eine für 30 Tage gültige Testlizenz erzeugt werden. Beim Kauf einer NetSight® Lizenz erhält der Kunde eine Entitlement ID. Im Lizenzportal aktiviert diese unter Angabe der MAC Adresse des einge­ setzten Servers den gültigen Lizenzkey. Dieser ist unmittelbar abrufbar und lässt sich zusätzlich via Mail oder Post versenden. Das Format dieser Lizenz geht über mehrere Zeilen und enthält alle Infor­ mationen bezüglich Lizenzgröße, etc.: INCREMENT NetSightEval ets 2008.0601 1-jun-2008 uncounted \\ VENDOR_STRING=\"type=server tier=m devices=250 clients=25 \\ model=all\" HOS­ TID=ANY ISSUED=17-jan-2008 START=17-jan-2008 \\ SIGN=\"03D3 3151 DC2C 67C7 936B C202 55E7 A254 62B5 8D5F 8FAF \\ 78E8 97EE C2CF 3625 186D 269E 84BF 7AFC C414 60C5 7967 2EF3 \\ XXXX ECA8 5109 0E7C XXXX XXXX XXXX\" Kunden mit einem bestehenden Wartungsvertrag können ohne weitere Kosten über das Lizenzportal unter https://extranet.enterasys.com/My­ Support/Licensing/Pages/NetSightUpgrade.aspx auf die neuste Version upgraden. Enterasys Networks – Solution Guide 2008
    142. Produktportfolio Seite 137 Security Enabled Infrastructure Diese Produktlinie bietet eine komplette Lösung für den LAN Switching und Routing Bereich vom Access bis zum Core. Abgerundet wird sie durch WAN und WLAN Komponenten. Applikationsbasierte Dienste (Sicherheit, Quality of Service, etc.) durch Layer 2/3/4 Klassifizierung und Unterstützung von Secure Networks™ zeichnen diese Produktlinie aus. Sowohl standalone, als auch stackable und chassisbasierte Systeme sind verfügbar. Infrastruktur Portfolio Neu hinzugekommen ist die G-Serie als modulares System und Nachfolger des E1 sowie die D-Serie als flexibler Miniswitch mit vollständiger Secure Networks™ Unterstützung. Enterasys Networks – Solution Guide 2008
    143. Seite 138 Produktportfolio Matrix® X-Serie Durch Konvergenzstrategien verwenden immer mehr Applikationen mit unterschiedlichsten Anforderungen an Quality of Service (Bandbreite und Verfügbarkeit) und Sicherheit das Netzwerk als Transportmedium. Dies stellt besondere Anforderungen an ein Core Produkt. Neben optimalem In­ vestitionsschutz sind dies insbesondere Kapazität und Performance, Ver­ fügbarkeit, Quality of Service und Sicherheit. Einsatzbereich der Matrix® X-Serie Um den genannten Anforderungen gerecht zu werden, integriert die Matrix® X-Serie auch Anforderungen aus dem Service Provider Umfeld, wie zum Beispiel Hochverfügbarkeit auch bei einem Firmware Upgrade. Im Folgenden wird die Architektur der X-Serie umrissen, um deren Vorzü­ ge für die Erfüllung der oben beschriebenen Anforderungen zu erläutern. Architektur Die Architektur ist eine Virtual Output Queue Architektur, die für die bis zu 8000 Queues pro System eine garantierte Übertragung durch das System hindurch unter allen Umständen garantiert. Pakete werden auf dem In­ gress I/O Modul zwischengespeichert und erst dann über die Crossbar Backplane übertragen, wenn der entsprechende Output Port auch frei ist. Die einzelnen I/O Module arbeiten in einer voll verteilten Forwarding Um­ gebung und sind über eine Crossbar Backplane miteinander verbunden. Enterasys Networks – Solution Guide 2008
    144. Produktportfolio Seite 139 Virtual Output Queue Architektur An den Ports der I/O Module können dann Queuing Verfahren wie Strict und Weighted Fair für die 8 Queues pro Port gemischt und mit Rate Limi­ ting/Shaping Funktionen kombiniert werden. Buffermanagement wie Ran­ dom Early Detection (RED) ist selbstverständlich. Alle Komponenten sind voll redundant ausgelegt, damit eine optimale Ver­ fügbarkeit gewährleistet werden kann – natürlich auch Stromversorgung, Lüfter etc. Die I/O Module können unabhängig von den Control Modulen Pakete forwarden, dass heißt selbst im Falle eine Failovers zwischen den Control Modulen findet keine Unterbrechung der Verkehrsflüsse in der Data Plane statt. Kommunikation zwischen den Komponenten Enterasys Networks – Solution Guide 2008
    145. Seite 140 Produktportfolio Der High Availability Manager (HA Manager) übernimmt nach dem Starten des Betriebssystems die Aufgabe alle folgenden Module zu starten und zu überwachen. Der HA Manager ist dann auch für das unterbrechungsfreie Umschalten zwischen den Control Modulen zuständig. Failover Kapazität und Performance Mit bis zu 2,56 Tbps Swichting Kapazität und einem maximalen I/O Throughput von 640 Gbps ist die Matrix ® X-Serie für die Anforderungen an zukünftige Core Netze, insbesondere auch bei Anwendungen im Data Cen­ ter und GRID Computing Bereich, optimal aufgestellt. Verfügbarkeit Neben der reinen Hardware Verfügbarkeit führt die Separierung von Con­ trol und Data Plane zu einer wesentlichen Steigerung der Gesamtverfüg­ barkeit. Hinzu kommt die Möglichkeit, in der Control Plane Software Upda­ tes, etc. unterbrechungsfrei durchzuführen. Graceful Restart Funktionen für OSPF, IS-IS und BGP gehören ebenfalls zum Leistungsumfang. Sicherheit Die Matrix® X-Serie ist in die Secure Networks™ Architektur von Enterasys voll eingebunden und kann dann mit den dort verfügbaren Tools optimal gemanaget werden. Damit werden Access und Core Policys optimal auf­ einander abgestimmt und ergeben eine durchgängige Lösung. Komponen­ ten im Überblick: Enterasys Networks – Solution Guide 2008
    146. Produktportfolio Seite 141 Chassis X16 X8 X4 160Gb Durchsatz 640Gb Durchsatz 320Gb Durchsatz 2.56Tb Switching 1.28Tb Switching 640Gb Switching Kapazität Kapazität Kapazität Matrix® X4 Starter Bundle, which includes an 4 Slot Chassis, 2 Fan Assy., 1 CM, 1FM, 1 AC power supplies, X4-CS(-DC) and 1 ENS Software License Matrix® X4 Chassis X4-C Matrix® X-Series Stater Pack which includes an 8 Slot Chassis, 3 Fan Assy., 1 CM, 1FM, 1 AC power supplies, X8-CS(-DC) and 1 ENS Software License 8 Slot Matrix® X-Series Chassis X8-C Matrix® X-Series Starter Pack which includes an 16 Slot Chassis, 3 Fan Assy., 1 CM, 1 FM, 1 AC power X16-CS(-DC) supplies and 1 ENS Software License 16 Slot Matrix® X-Series Chassis X16-C Für alle X-Serie Chassis ist eine DC-Power Option möglich, dafür sind die entsprechenden Starter-Chassis inklusive DC-Power/Fans zu verwenden. Enterasys Networks – Solution Guide 2008
    147. Seite 142 Produktportfolio Optionen Matrix® X-Series AC/DC Power Supply X-AC/DC Matrix® X-Series Fan Assembly (for AC/DC) X-FAN/-DC Matrix® X4/8/16 Cable Mgmt Assembly X4/8/16-CBLMG-KIT Matrix® X4/8/16 Mid Mount Bracket X4/8/16-MBRKT Matrix® X 4GB Control Module Speichererweiter­ ung (Reqs. Ver. 1.3.1 oder Größer nötig). Er­ X-4G-MEM möglicht eine bessere Skalierung bei Ver­ wendung von BGP. Matrix® X-Series Enterasys Networking System License , wird einmal pro Chassis benötigt, auch X-ENS-LIC wenn zwei Control Module verwendet werden. Control/Fabric Module Matrix® X-Series Control Module X-CM-00 Matrix® X4/8/16 Fabric Module X4/8/16-FM Input/Output Module X-G32-00 X-GT16-00 X-T32-00 X-M2-00 X-M8-01 1000Base-SX SFP 32 16* 10/100/1000Base-T RJ45 8 32 10GBase-X XFP 2 8 * Insgesamt 16 aktive Ports, dass heißt statt 16 SFP-Ports können 8 SFP und 8 TX Ports verwendet werden. Enterasys Networks – Solution Guide 2008
    148. Produktportfolio Seite 143 Technische Eigenschaften Matrix® Matrix ® Matrix ® X-4 X-8 X-16 Switching Kapazität 640 Gbps 1.28 Tbps 2.56 Tbps Durchsatz 160 320 Gbps 640 Gbps Gbps I/O Slots 4 8 16 10 GbE I/O Module (# Ports) 8 8 8 Max. 10 GbE Per Chassis 32 64 128 Max. 10 GbE Per Rack 192 192 256 1 GbE I/O Module (# Ports) 32 32 32 Max. 1 GbE Per Chassis 128 256 512 Max. 1 GbE Per Rack 768 768 1,024 Switching 802.1s Multiple Spanning Tree 802.1p Priorities 802.1q VLAN Tagging 802.3ad Link Aggregation 802.3ae 10 GbE 802.1w Rapid STP GVRP IGMP v3 (RFC 2236) IGMP Snooping Jumbo Frame Support – 9K bytes) ECMP (8 Paths) Diff Serv Security DoS Prevention ACLs – up to 32.000 per system AAA RADIUS (RFC 2138) SSHv2,Secure Copy v2 802.1x Client Enterasys Networks – Solution Guide 2008
    149. Seite 144 Produktportfolio Management und Statistiken SNMPv1/v2/v3 Multi-Access CLI DHCP Client/Server/Relay Syslog Telnet Client/Server FTP TFTP NTP Client Cabletron Discovery Protocol (CDP) RMON 1(4 groups) Policy MIB Allgemeine Protokolle IP (RFC 791) ICMP (RFC 792, 1256) TCP (RFC 793) UDP (RFC 768) TELNET (RFC 854) BootP (RFC 951, 1542) Routing General Routing (RFC 1812) RIP v1/v2 (RFC 2453) RIP ECMP OSPF v2 (RFC 2328) OSPF Graceful Restart OSPF ECMP OSPF NSSA (RFC 1587) IS-IS (RFC 1195) IS-IS Graceful Restart IS-IS ECMP BGP-4 (RFC 1771) BGP-4 Graceful Restart VRRP (RFC 2338) DVMRP PIM-SM Route Redistribution Enterasys Networks – Solution Guide 2008
    150. Produktportfolio Seite 145 System Multiple Images Multiple Configurations Hitless Software Upgrade Hitless Software Failover Network Management NetSight® Console NetSight® Policy Manager NetSight® Inventory Manager NetSight® Automated Security Manager Spezifikationen Matrix® -X16 Abmaße: 97.28cm (38.3\")Hx 44.7cm (17.6\")Wx 60.96cm (24\")D • Gewicht: 33.57 kg (74.0 lb) • Matrix® -X8 Abmaße: 57.4cm (22.6\")Hx 44.7cm (17.6\")Wx 60.96 cm (24\")D • Gewicht: 23.59 kg (52.0 lb) • Matrix® -X4 Abmaße: 30.9cm (12.18\")Hx 44.8cm (17.72\")W x 60.96 cm (24\")D • Gewicht: 22.68 kg (50 lb) • Matrix® -X4/8/16 • Betriebstemp. 5° C to 40° C (41° F to 104° F) • Temperaturgrenzwerte -30° C to 73° C (-22° F to 164° F) • Zulässige Feuchtigkeit 5% to 95%, non-condensing • Stromversorgung (pro Powersupply): 100 bis 125 VAC Max oder 200 to 250 VAC, 50 to 60 Hz, 1160/1500 Watt Leistung Mehr dazu unter: http://www.enterasys.com/products/routing/x/X16-C/ Enterasys Networks – Solution Guide 2008
    151. Seite 146 Produktportfolio Matrix® N-Serie Die Matrix® N-Serie ist die High End Produktlinie mit Switching, Routing und Secure Networks™ Funktionen für alle Anwendungsbereiche im LAN, vom Core bis zum Access. Mit vier Chassisvarianten (1,3,5,7 Slots) sowie einer Standalone Variante und einer voll verteilten Architektur, die keinen Single Point of Failure auf­ weist und hohe Skalierbarkeit bietet, sowie mit einer passiven Backplane, ist die Matrix® N-Serie eine zukunftssichere Investition. Die Möglichkeiten gehen heute von 10 Megabit Ethernet bis hin zu 10 Gigabit Ethernet. Matrix® N-Series mit flowbasierter Architektur Im Gegensatz zu vielen anderen Architekturen auf dem Markt arbeitet die Matrix® N-Serie rein flowbasiert und ist damit in der Lage ohne Performan­ ceverluste auf jeden Kommunikationsfluss zuzugreifen. Ein sehr interessantes Einsatzgebiet für die Matrix ® N-Serie ist das Distri­ butionlayer. Hier bietet sich aufgrund der Fähigkeiten der Platinum DFEs bei Multi-User-Authentication in Kombination mit Secure Networks™ Poli­ cys ein großes Einsparpotential, da selbst bei nicht-intelligenten Work­ group-Switches im Accesslayer höchste Sicherheit im Distributionlayer ge­ währleistet wird, die so kein anderer Hersteller bieten kann. Enterasys Networks – Solution Guide 2008
    152. Produktportfolio Seite 147 Architektur Die Platinum DFE Module der Matrix® N-Serie sind in Bezug auf Architektur und Design völlig anders aufgebaut als die meisten Produkte am Markt: Hierbei wird auf ein voll verteiltes Switching und Routing Design in Verbin­ dung mit einer passiven Punkt-zu-Punkt Backplane gesetzt, was spezifi­ sche Vorteile bietet. Switch Architekturen Vorteile der Backplane Architektur Auf der technischen Ebene bietet eine passive voll vermaschte Punkt-zu- Punkt Backplane folgende Vorteile gegenüber einer traditionellen – teil­ weise aktiven - Punkt-zu-Punkt Backplane (wie zum Beispiel Crossbar Ar­ chitekturen): • Kein Single Point of Failure durch die passive Backplane • Keine Bandbreitenbegrenzung durch zentrale Engines oder Back­ planetaktung • Punktuelle Erhöhung der Bandbreite zwischen Slots durch einfa­ ches Hinzufügen neuerer und schnellerer Module möglich (unter­ stützt damit mehrere Modulgenerationen ohne zusätzliche Hard­ ware Upgrades) Enterasys Networks – Solution Guide 2008
    153. Seite 148 Produktportfolio Bezogen auf die aktuelle Matrix® N-Serie bedeutet dies: • Vorhersagbare Performance unabhängig von der Bestückung des Systems • Mehr Module = mehr Performance • Einfache Migration zu neuen Geschwindigkeiten und Funktionen durch Hinzufügen neuer DFE Module • Eine volle Redundanz ohne Zusatzmodule • Geringe Anzahl von Ersatzteilen Die Architektur wird bei Enterasys Networks schon seit 1997 erfolgreich in den verschiedensten Modulgenerationen älterer Systeme (SmartSwit­ ch6000 und nachfolgend Matrix® E7) genutzt und hat sich bewährt. Selbst die aktuellen Platinum DFE Module sind mit diesen Modulen interoperabel in einem einzigen Chassis OHNE Performanceeinbußen! Die Module – die so genannten Distributed Forwarding Engines (DFE) – sind in drei Varianten erhältlich und passen in alle Chassis: Die Gold DFEs für den Access Bereich optimiert. • Die Platinum DFEs für den High End Access sowie Distribution, Ser­ • ver und Core Bereich. Die Diamond DFEs für den Distribution und Core-Routing Bereich. • Vorteile der verteilten Switching und Routing Architektur Zu der passiven voll vermaschten Punkt-zu-Punkt Backplane kommt die Tatsache, dass jedes DFE Modul volle Switching-, Routing- und auch Ma­ nagement-Intelligenz besitzt. Die Redundanz der Module untereinander ist vollautomatisch und reagiert typischerweise weit unter 1 Sekunde (keine Relevanz für normalen IP Verkehr) und im Worst Case bis zu 2 Sekunden. Dennoch agiert das Gesamtsystem als ein einziger Switch bzw. Router und bietet die Vorteile einer zentralen Architektur in Bezug auf Administration und Management. Neue Module werden automatisch konfiguriert. Enterasys Networks – Solution Guide 2008
    154. Produktportfolio Seite 149 Optimierte High Availability Services Auf der technischen Seite bietet dies folgende Vorteile: • Optimierter Verkehr – Ausnutzung der Bandbreite - durch das Sys­ tem direkt von Modul zu Modul (Switching und Routing) • Keine Begrenzung der Bandbreite durch zentrale Systeme • Verbindungsaufbau dezentral, dass heißt stabiler bei Netzwerkpro­ blemen wie Würmern, etc. • Hohe CPU Performance durch verteilte CPUs pro DFE ermöglichen auch lastintensive Dienste wie zum Beispiel Multi User Authentica­ tion pro Port • Automatische Hochverfügbarkeit direkt im System implementiert • Einfache Verwaltung wie ein zentral gemanagtes System • Vorhersagbare Performance unabhängig von der Bestückung des Systems • Mehr Module = mehr Performance • Einfache Migration zu neuen Geschwindigkeiten und Funktionen durch Hinzufügen neuer DFE Module Enterasys Networks – Solution Guide 2008
    155. Seite 150 Produktportfolio Integrierte Security Features Die Matrix® N-Serie ist mit einer Vielzahl integrierter Sicherheitsfeatures ausgestattet. Sie bietet nicht nur die schon erwähnte Unterstützung von Policys, auch bei dynamischer Zuweisung mittels Multiuser- und Method Authentication, sondern auch Policy-Hit Accounting, dass heißt die Proto­ kollierung von angewandten Regeln wie bei herkömmlichen Firewalls oder die dynamische Rollenänderung bei Erkennung bestimmter Attacken. Eine verhaltensbasierte Netzwerk Anomalieerkennung ist mit dem Flow Setup Throttling möglich. Dabei kann nicht nur der Port bei Überschreiten eines vordefinierten Grenzwertes deaktiviert werden, sondern es kann auch eine Meldung generiert werden. Im Zusammenspiel mit dem NetSight® ASM kann so eine Policyänderung erfolgen, damit ist quasi eine integrierte In­ trusion Prevention möglich. Die umfassende Unterstützung der Secure Networks™ Policys erlaubt es bis zu 2048 Benutzer gleichzeitig an einem Port zu authentisieren, damit wird die Nachrüstung von Port Security für Access Layer Switche, die sol­ che Features nicht unterstützen, möglich. Hier besteht großes Einsparpotential mit Multi-User-Authentication und Policing in der Matrix® N-Serie Platinum, da nicht-intelligente Workgroup- Switche verwendet werden können und man hat trotzdem höchste Sicher­ heit, die kein anderer Hersteller bieten kann. In Kombination mit den Si­ cherheitsfeatures EAP-Passthrough und Private-Port in der SecureStack™ Serie kann dieses Feature mit maximaler Sicherheit genutzt werden. EAP- Passthrough gewährleistet die Funktionalität von Spanning Tree, auch wenn 802.1x Frames weitergeleitet werden, Private-Port verbietet die Kommunikation zwischen Access Ports, so dass nicht authentisierte Benut­ zer nicht untereinander kommunizieren können. Standardmäßig können sich bei der Matrix® N-Serie Platinum bei den Fi­ ber-Ports 128 User/Devices pro Port authentisieren (+Policys), bei den Kupfer-Ports nur 8. Mit der Lizenz N-EOS-PPC kann das auf 2048 User/De­ vices pro Port erweitert werden. Mit der Lizenz N-EOS-PUC kann die An­ zahl der User/Devices pro Chassis von 1024 auf 2048 User erweitert wer­ den. Aufgrund der flowbasierten Architektur der Matrix® N-Serie wird ein Export von NetFlow Daten für geswitchte als auch geroutete Pakete ermöglicht. Die einzigartige Architektur bietet hier ein völlig ungesampeltes NetFlow, dass heißt eine hundertprozentige Genauigkeit. Für die Module mit NEM Erweiterungsslot steht ein integrierter Sicher­ heitsprozessor mit einem IDS System bereit, damit wird die Dragon® In­ trusion Defense in die Matrix® N-Serie integriert. In Kombination mit dem dynamischen Schalten von Portmirrors mit Policy-Hits, dass heißt dem Eintreffen einer definierten Regel, kann die Kapazität des IDS Systems hier um mehrere Größenordnungen erweitert werden. Enterasys Networks – Solution Guide 2008
    156. Produktportfolio Seite 151 Unterschied Gold/Platinum/Diamond DFEs Die Gold DFEs bieten eine kostengünstige Alternative zu den Platinum DFEs. Dafür gibt es in den Gold DFEs weniger Features, zum Beispiel bie­ ten die Gold DFEs nur optional eine mit einer Lizenz erwerbbare 1-1 Red­ undanz während die Platinum DFEs von Haus aus eine 1-N Redundanz mitbringen. Wichtig ist, dass Gold und Platinum DFEs wegen der unterschiedlichen Ar­ chitektur nicht im selben Chassis mischbar sind. Die Platinum DFEs können im E7 Chassis verwendet werden und sind nur dort mit Boards der 1.-3. Generation mischbar. Die Gold DFEs können zwar im E7 Chassis verwendet werden, aber dann ist es nicht möglich gleichzeitig Boards aus den Generationen eins bis drei zu nutzen. Die Diamond DFEs sind eine Weiterentwicklung der Platinum DFEs speziell für anspruchsvolle Routing Umgebungen und komplettiert so die X-Serie durch eine kostengünstige Unterstützung von kleinen und mittleren Netz­ werk Backbones. Von Haus aus enthalten die Diamond DFEs 256 MB Speicher sowie die N- EOS-L3 und N-EOS-PPC Lizenzen. Platinum um Diamond DFEs können im selben Chassis verwendet werden, dafür benötigen die Platinum DFEs ein 256 MB Speicherupgrade sowie eine Layer 3 N-EOS-L3 Lizenz. Die Diamond DFEs werden ab der Firmwa­ reversion 6.0 in einem gemischten Chassis eine höhere Routerpriorität als die Platinum DFEs haben. Diamond DFEs können auch im E7 Chassis verwendet werden. Backplane Die N-Serie arbeitet ausschließlich mit der FTM2 Backplane. Die Leistung der FTM2 Backplane liegt im Moment bei 420 Gbps. Die Module sind untereinander voll vermascht, dass heißt insgesamt gibt es 21 Links. Bei einer momentanen Taktung von 20 Gbps erreicht man so die Gesamtkapazität von 420 Gbps. Die Slots einer Backplane können untereinander mit verschiedenen Tak­ traten von 20 bis 80 Gbps arbeiten. Die zukünftige Leistung der FTM2 wird bei 21 Links mit einer Taktung von 80 Gbps liegen und damit 1.68 Tbps erreichen. Enterasys Networks – Solution Guide 2008
    157. Seite 152 Produktportfolio Rückwärtskompatibilität zur FTM1 Backplane im E7 Der E7 hat sowohl eine FTM1 als auch eine FTM2 Backplane. Die FTM1 ist ebenso vermascht wie die oben beschriebene FTM2 Backplane. Sie wird von den Modulen der ersten, zweiten und dritten Generation benutzt. Proxy Feature im E7 Werden im E7 Modul der vierten Generation eingesetzt, so kann man mit einem Proxy Modul der vierten Generation, das dementsprechend Verbin­ dungen zu beiden Backplanes hat, weiterhin die alten FTM1 Module ver­ wenden. Als Proxy Module der vierten Generation können die Module 7H4383-49, 7H4382-25, 7H4385-49 und 7H4383-49 verwendet werden. Die Module der ersten und zweiten Generationen können allerdings nur in den ersten fünf Slots betrieben werden, da sie ursprünglich für das E6 (5 Slot) Chassis entworfen wurden. Daher gab es schon immer ein Proxy Modul, das zwischen den Modulen erster/zweiter Generation in den ersten fünf Slots und den Modulen dritter Generation im sechsten und siebten Slot vermittelt hat. Diese Aufgabe können selbstverständlich auch die Proxy Module der vierten Generation übernehmen. Enterasys Networks – Solution Guide 2008
    158. Produktportfolio Seite 153 Komponenten im Überblick Chassis N1 N Standalone N3 N7 N5 1 Slot N-Series Chassis 7C111 Matrix® N3 Chassis 7C103 Matrix® N5 POE Chassis 7C105-P Matrix® N7 Chassis 7C107 Nicht-Modular N Standalone Series with 48 port 10/100/1000 Base-TX ports via RJ45 and 4 1000Base-X ports via mini-GBIC. In­ 2G4072-52 cludes redundant internal power supplies. Enterasys Networks – Solution Guide 2008
    159. Seite 154 Produktportfolio Modular, nur im N1 verwendbar Dieses Platinum DFE-Modul ermöglicht eine Migration für Kunden, welche 2H252-25R oder XP2400 (SSR2000/SSR2) Router im Einsatz haben und einen Austausch mit vergleichbarer Portdichte, aber denselben Features suchen. Dieses Modul ist nur im N1 verwendbar, da das Modul keine klas­ sische Backplaneverbindung wie die übrigen DFE-Module besitzt. Durch den NEM-Slot kann es um entsprechende Glasports- oder den integrierten Security Prozessor ergänzt werden. 24 Port 10/100/1000Base-T mit Network Expan­ 2G4082-25 sion Modul Slot (NEM) – nur im N1 verwendbar Bundle aus 2G4082-25 und N1 (7C111) 2G4082-25-SYS Bundle aus 2G4082-25, N1 (7C111) und 2G4082-25-SYS-U 7G6MGBIC-A Chassis Optionen Matrix® N3 863 Watt AC Netzteil (erfordert einen 15 Amp 7C203-1 Stromanschluß) Matrix® N3 Fan unit (Spare) 7C403 Matrix® N5 1200W Watt AC Power Supply 7C205-1 Matrix® N5 Fan Unit (Spare) 7C405 Matrix® E7 und Matrix® N7 1600 Watt AC Netzteil 6C207-3 Matrix® E7 and Matrix® N7 Fan Unit (Spare) 6C407 E7-Chassis 7 slot Matrix® E7 Chassis, requires two 15 AMP power out­ 6C107 lets per supply Optionen Enterasys Operating System Advanced Routing N-EOS-L3 Package for Matrix® N-Series Switches Enterasys Operating System Matrix® DFE Platinum N-EOS-PPC Port Kapazität Erweiterungskey (265 User/Port) Enterasys Operating System Matrix® DFE Platinum Extra User Capacity Activation Key (2048 N-EOS-PUC User/Chassis) 256 megabyte DRAM upgrade kit DFE-256MB-UGK Enterasys Networks – Solution Guide 2008
    160. Produktportfolio Seite 155 Die Lizenzen N-EOS-L3, N-EOS-PPC und N-EOS-PUC werden einmal pro Chassis benötigt. Bei der Verwendung von Platinum und Diamond DFEs in einem Chassis wird die N-EOS-L3 Lizenz einmal für alle Platinum DFEs be­ nötigt. Alle Diamond-DFEs beinhalten die Lizenzen N-EOS-L3 und N-EOS- PPC. Mit der N-EOS-PPC (Per Port Capacity) Lizenz erhöht sich die Anzahl von Benutzern, die sich auf einem Port (auch auf einem logischen Port, z.B. Bündel lag.x.x) authentisieren können, auf 256. Ansonsten stehen auf DFEs mit Kupferports 8, auf Uplink-DFEs mit modularen SFP, 10 Gig oder 100Base-FX Ports 128 User zur Verfügung. Die N-EOS-PUC (Per User Capacity) Lizenz erhöht die Anzahl der Benutzer, die für das gesamte Chassis authentisiert werden können von 1024 auf 2048. Das 256 MB Speicherupgrade ist erforderlich, wenn LSNAT, PIM-SM oder NetFlow genutzt werden soll. Es ist sowohl für Platinum als auch Gold DFE's anwendbar. Das Platinum 7G4280-19 DFE sowie alle Diamond DFE's beinhaltet von Haus aus schon 256 MB Speicher. Gold-Serie HA Option Bei der Gold-Serie wird mit der N-EOS-RED Lizenz eine 1+1 Redundanz möglich. Diese Lizenz wird einmal pro Chassis benötigt. Enterasys Operating System (EOS) 1+1 High Availab­ N-EOS-RED ility upgrade for Matrix® N-Series Gold DFE switches Enterasys Networks – Solution Guide 2008
    161. Seite 156 Produktportfolio PoE-Optionen Um PoE über die entsprechenden DFE-Module zu beziehen, ist eine zusätz­ liche Spannungsversorgung notwendig. Die Spannung wird über das N- POE bereitgestellt, was im Prinzip ein Chassis für die N-POE-1200W Netz­ teile darstellt. Im Matrix® N5 Switch ist dieses „Chassis“ im Gehäuse inte­ griert, bei den N1, N3 und N7 Switchen muss es als eigenständige Kompo­ nente betrieben werden. Je nach Bedarf werden dann die N-POE-1200W Netzteile installiert, maximal kann das N-POE vier Stück aufnehmen. Beim Matrix® N5 erfolgt die Kopplung zwischen den Netzteilen und den Modulen intern, bei den weiteren Matrix ® N-Serie Switchen muss die Koppelung ex­ tern über das DFE-POE-CBL-2M Kabel erfolgen. Pro PoE-Einschub wird hier also ein Kabel vom Modul zum N-PoE Chassis benötigt. Matrix® N-Serie PoE-Shelf N-POE TO DFE POE Cable - 2 Meters DFE-POE-CBL-2M Matrix® POE Power System (for 802.3af support w. N-POE Matrix® N1/N3/N7) Matrix® POE 1200 Watt AC Power Supply (for N-POE-1200W 802.3af support) Enterasys Networks – Solution Guide 2008
    162. Produktportfolio Seite 157 Gold-Distributed Forwarding Engines 4H4282-49 4G4285-49 4G4205-72 4H4283-49 4G4202-72 4H4202-72 4H4203-72 4H4284-49 4G4282-49 4H4285-49 10/100 48 72 Base-T RJ45 10/100 48 72 Base-T RJ21 10/100 Base-T RJ45 48 PoE 10/100/1000Ba­ 72 48 se-T RJ45 10/100/1000Ba­ se-T RJ45 48 72 PoE 100 Base-FX 48 MTRJ NEM-Slot* x x x x x x * Der Network Expansion Module (NEM) Slot kann für ein zusätzliches Mo­ dul wie z.B. 7G-6MGBIC-A, dass heißt 6 SFP Slots verwendet werden Enterasys Networks – Solution Guide 2008
    163. Seite 158 Produktportfolio Platinum-Distributed Forwarding Engines 7H4385-49 7G4285-49 7G4205-72 7G4282-49 7H4284-49 7H4382-49 7H4383-49 7H4382-25 7G4202-72 7H4202-72 7H4203-72 7G4202-30 7G4270-12 7G4280-19 7K4290-02 7K4297-02 7K4297-04 10/100 48 24 72 Base-T RJ45 10/100 48 72 Base-T RJ21 10/100 Base-T RJ45 48 PoE 10/100/1000Ba­ 48 72 30 se-T RJ45 10/100/1000Ba­ se-T RJ45 48 72 PoE 100 Base-FX 48 MTRJ 1000Base-SX 12 18 SFP 10GBase-X 2 XENPAK 10GBase-X 2 4 XFP FTM1-Proxy* x x x x NEM-Slot** x x x x x x x x * Diese Module können als Proxy zu Modulen der 1ten, 2ten und 3ten Ge­ neration in E-Serie Chassis benutzt werden. ** Der Network Expansion Module (NEM) Slot kann für ein zusätzliches Modul wie z.B. 7G-6MGBIC-A, dass heißt 6 SFP Slots verwendet werden Enterasys Networks – Solution Guide 2008
    164. Produktportfolio Seite 159 Diamond-Distributed Forwarding Engines Diamond DFEs beinhalten die Routing und Port Capacity Increase Lizenzen N-EOS-L3, N-EOS-PPC sowie eine Speicherausstattung von 256 MB. 7GR4280-19 7GR4270-12 7GR4202-30 7KR4290-02 7KR4297-02 7KR4297-04 10/100/1000Base-T RJ45 30 1000Base-SX SFP 18 12 10GBase-X XENPAK 2 10GBase-X XFP 2 4 NEM-Slot* x * Der Network Expansion Module (NEM) Slot kann für ein zusätzliches Mo­ dul wie z.B. 7G-6MGBIC-A, dass heißt 6 SFP Slots verwendet werden Network Expansion Module Die NEM Slots der DFEs können ein zusätzliches Modul aufnehmen, hier sind im Moment Module mit zusätzlichen Gigabit Glasports oder einem in­ tegrierten Sicherheitsprozessor zum Betreiben eines Dragon® Intrusion Detection Systems oder eines Enterasys NAC Gateways verfügbar. Network Expansion Module (NEM) with 6 1000Base-X / 7G-6MGBIC-B 100Base-FX ports via Mini-GBIC connectors Network Expansion Module (NEM) with 6 1000Base-X / 7K-2XFP- 100Base-FX ports via Mini-GBIC connectors and 2 10 6MGBIC Gigabit Ports via XFP-connectors Enterasys Networks – Solution Guide 2008
    165. Seite 160 Produktportfolio Matrix® Security-Modul Das Matrix® Security Modul integriert die Möglichkeiten des Enterasys Dra­ gon® IDS oder der Enterasys NAC Engine in die Matrix® N-Serie. Matrix® Security-Modul Im Moment sind zwei unterschiedliche Module verfügbar, eines mit exter­ ner sowie eines mit interner Stromversorgung wie unten beschrieben. Das Enterasys Dragon® Modul wird mit DSNSA7, das NAC Modul mit NSTAG bezeichnet. Network Expansion Module (NEM) with Integrated Security Processor and external Power-Supply, in al­ 7S-DSNSA7-01, len “legacy” DFEs ohne interne Stromversorgung verwendbar, dass heißt nicht in den DFEs 7S-NSTAG-01 7G4280-18, 7G4282-49, 4G4282-49, 7G4285-49 und 4G4285-49. Network Expansion Module (NEM) with Integrated Security Processor, No Power-Supply included. 7S-DSNSA7-01N­ Dieses Modul kann nur in neuen DFEs mit interner PS, Stromversorgung verwendet werden, dazu gehören 7S-NSTAG-01NPS 7G4280-18, 7G4282-49, 4G4282-49, 7G4285-49 und 4G4285-49. Enterasys Networks – Solution Guide 2008
    166. Produktportfolio Seite 161 Technische Eigenschaften Gold DFEs Switching/VLAN Services Generic VLAN Registration Protocol (GVRP) IGMP v1/v2 Jumbo Packet with MTU Discovery Support for Gigabit Ethernet ports Flow Set-Up Throtting Span Guard Strict/Weighted Round Robin Queuing Basic IP-Routing Package Static Routes RIPv1/v2 RIP Equal Cost Multipath (ECMP) IGMPv1/IGMPv2 ICMP Virtual Router Redundancy Protocol (VRRP) ACL Basic DHCP Relay Proxy-ARP, local Proxy-ARP Extended IP-Routing Package (N-EOS-L3) OSPF with Multipath Support OSPF gracefull restart (ab FW 6.0) DVMRP Extended ACLs PIM-SM LS-NAT - Serverloadbalancing Enterasys Networks – Solution Guide 2008
    167. Seite 162 Produktportfolio Security (User, Network and Host) Telnet (Inbound/Outbound) Secured Shell (SSHv2) (switch interface only) Syslog 802.1x Port based Network Access Control Web based authentication MAC based authentication Multiple authentication types (802.1x, MAC address, web) per port RFC 3580 with Policy Support Management, Control and Analysis SNMP v1/v2c/v3 Web Support Industry Standard CLI Support CLI-Scripting Interface Single IP Address Management Support for Multiple, Editable Configuration Files DHCP Client RADIUS Client Support with PAP and CHAP TACACS+ Client Entity MIB COM Port Boot Prom Download via ZMODEM RMON (Nine Groups) High-Capacity RMON (64-bit counters) Simple Network Time Protocol (SNTP) Trace Route Dynamic Egress Inbound Rate Policing Node and Alias Table Cabletron Discovery Protocol (CDP) Cisco Discovery Protocol (CiscoDP) LLDP, LLDP-MED Port Based MAC Locking Access Control Lists Enterasys Networks – Solution Guide 2008
    168. Produktportfolio Seite 163 IEEE Standards IEEE 802.3 - Ethernet IEEE 802.3ae – 10 Gigabit Ethernet IEEE 802.3ad – Link Aggregation IEEE 802.3x – Flow Control IEEE 802.3af – Power over Ethernet IEEE 802.1d – Briding – TP/STP IEEE 802.1t – Spanning Tree Cost Change IEEE 802.1p – Layer2 Priority Marking IEEE 802.1Q - VLANs IEEE 802.1w – Rapid Spanning Tree IEEE 802.1s – Multiple Instances Spanning Tree IEEE 802.1x - Authentication IEEE 802.1ab LLDP, LLDP-MED Sicherheitsstandards UL 160950, CSA 60950, EN 60825, EN 60950, IEC 60950 Elektromagnetische Kompatibilität (EMC) 47 CFR Parts 2 und 15, CSA C108.8, EN 55022, EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZS CISPR 22, VCCI V-3 Platinum DFEs unterstützen zusätzlich noch Multilayer Packet Processing Multi-stage Packet Classification IP TOS Re-write, VLAN/Priority Tag Re-Write Flow Setup Throtteling Switching/VLAN Services SMON Port Redirect, VLAN Redirect IP Multicast (IGMP support v1, v2, querier) VLAN-to-policy mapping Automatic port disabling FTM1 Proxy Bridge with the following modules: 7H4385-49, 7H4382-49, 7H4383-49, 7H4382-25 Enterasys Networks – Solution Guide 2008
    169. Seite 164 Produktportfolio Monitoring und Management RMON Matrix® groups, Host, HostTopN, Events, Capture and Filter Netflow v5 Anmerkung zu Port Mirroring Können eine Mischung aus Ports, VLANs und IDS Mirrors sein. One to many, many to one wird unterstützt. IDS Mirrors beinhalten 8 Ausgangs­ ports, die als LAG gebündelt und adressiert werden. Für VLAN-Mirrors muss zunächst ein VLAN-Interface mit „set vlan interface <no>“ angelegt werden, dieses kann dann per vlan.0.<no> für die Port Mirrors adressiert werden. Spezifikationen Matrix® N-Standalone • Abmaße 8.51 cm (3.35\") H x 44.45 cm (17.5\") W x 47.90 cm (18.86\") D • Gewicht 13.15 kg (29 lbs) Matrix® N1 • Abmaße 8.81 cm (3.48\") H x 144.46 cm (17.62\") W x 51.92 cm (20.44\") D • Gewicht 6.36 kg (14 lbs) Matrix® N3 • Abmaße 35.56 cm (14\") H x 49.53 cm (19.5\") W x 44.45 cm (17.5\") D • Gewicht 19.1 kg (42 lbs) Matrix® N5 • Abmaße 58,67 cm (23,1\") H x 44.45 cm (17.5\") W x 47.50 cm (18.7\") D • Gewicht 27.2 kg (60 lbs) Matrix® N7 • Abmaße 77.47 cm (30.5\") H x 36.83 cm (14.5\") W x 44.04 cm (17.34\") D • Gewicht 23.6 kg (52 lbs) Enterasys Networks – Solution Guide 2008
    170. Produktportfolio Seite 165 Matrix® N-Standalone, N1, N3, N5, N7 • Betriebstemp. 5° C to 40° C (41° F to 104° F) • Temperaturgrenzwerte -30° C to 73° C (-22° F to 164° F) • Zulässige Feuchtigkeit 5% bis 90% RH, non-condensing • Stromversorgung: 100 bis 125 VAC Max oder 200 to 250 VAC, 50 to 60 Hz Mehr Informationen unter http://www.enterasys.com/products/switching/7C10x/. Enterasys Networks – Solution Guide 2008
    171. Seite 166 Produktportfolio Enterasys Networks – Solution Guide 2008
    172. Produktportfolio Seite 167 SecureStack™ Familie Die SecureStack™ Serie sind kostengünstige Switche mit Routing und Secure Networks™ Unterstützung, die im Access Bereich (in der 10/100 Ethernet Variante) sowie im Server Bereich (in der 10/100/1000 Ethernet Variante mit 10Gbit Uplink) zum Einsatz kommen. Sie sind in drei unterschiedlichen Varianten verfügbar, die C-, B- und A- Serie. Diese bieten beim Stacking ein einfaches Management bei gleichzei­ tig hoher Portdichte von 48 Enduser-Ports und 4 Uplink-Ports pro Switch und bis zu 384 Enduser Ports pro Stack. Dabei können bis zu 8 Switche miteinander verbunden werden. Alle Varianten bieten hochverfügbares Stacking mittels einer Closed Loop Stacking Lösung, bei der der klassische Single Point of Failure beim Stacken vermieden wird. Die Modelle der C-, B- und A-Serie sind dabei nicht untereinander, aber sehr wohl innerhalb derselben Serie kombinierbar. Die SecureStacks™ sind außerdem in einer PoE-fähigen Variante verfüg­ bar (am P am Ende der Bestellnummer erkennbar). Eine Besonderheit ist hier die adaptive Erkennung des durch die Endgeräte verbrauchten Stroms, die eine optimale Verteilung der maximal verfügbaren Leistung erlaubt. Alle SecureStack™ Module verwenden die selben, optionalen red­ undanten Netzteile. Für die Verwendung in einem Distribution Layer Security Szenario haben die SecureStacks™ noch die Fähigkeit, EAP-Forwarding zu unterstützen, so dass auch eine zentrale 802.1x Authentisierung über den SecureStack™ hinweg möglich ist, ohne dass auf Spanning Tree verzichtet werden muss. Weiterhin kann die Kommunikation zwischen den Access Ports so eingeschränkt werden, dass nur noch zwischen Access- und Uplink Ports ein Datenaustausch möglich ist und somit eine optimale Si­ cherheit auch bei nachgelagerter Authentisierung erreicht wird. SecureStack™ Limited Lifetime Warranty Die Switche aus der SecureStack™ Familie können bis zu 30 Tage nach dem Eingang der Ware beim Kunden bei Enterasys registriert werden. Da­ durch erhält man eine Limited Lifetime Warranty (LLW), welche die fehler­ freie Funktion der Switche für mindestens fünf Jahre nach der Einstellung des Produktes bei Enterasys Networks garantiert. Die Garantie umfasst kostenlose Firmware Bugfixes sowie das Bereitstel­ len von Ersatzgeräten nach vorhergehender Beratung durch das GTAC. Mehr Informationen dazu unter http://www.enterasys.com/products/switching/securestack-warranty.pdf Enterasys Networks – Solution Guide 2008
    173. Seite 168 Produktportfolio SecureStack™ C3/C2 Eine highspeed, voll redundante Stackverbindung mit 640 Gbps bietet skalierbare Backplane Leistung und sorgt dafür, dass das Gesamtsystem wie ein einziger Switch managebar ist. Bei Ausfall des Management Mas­ ters oder einer Stackverbindung wird automatisch ein Failover eingeleitet und der Betrieb des gesamten Stacks sichergestellt. Die Portdichten erreichen bis zu 384 10/100 Ports mit max. 32 Gigabit Uplinks oder bis zu 336 10/100/1000 Ports. Ein Switch unterstützt außer­ dem zwei 802.3ae konforme 10Gbit Ethernet Ports. Die SecureStack™ C3 Familie ermöglicht Ipv6 Routing in Hardware sowie ein höheres Sicherheitsniveau. Durch die Integration eines SecureStack™ C3 in einen Stack von C2s steht Ipv6 für den gesamten Stack zur Verfü­ gung. Der C3 bietet eine höhere Anzahl von Regeln sowie eine Maske für jede Regel bei der Erstellung von Policys . Werden Stacks unterschiedlicher Generationen wie C2 und C3 gemischt, so steht das kleinste gemeinsame Featureset aus beiden Generationen für den gesamten Stack zur Verfügung, dass heißt das die Gesamtzahl verfüg­ barer Regeln pro Port im Stack auch für die C3s auf C2-Niveau liegt, ob­ wohl diese ja potentiell mehr unterstützen. Komponenten im Überblick C3G124-24 C2K124-24 C3G124-48 C3G124-48P Enterasys Networks – Solution Guide 2008
    174. Produktportfolio Seite 169 C2H124-48 C2H124-48P C2K122-24 C2G134-24P C2G170-24 C3G124-24 C3G124-48 C3G124-24P C3G124-48P C3K122-24 C3K172-24 C3K122-24P 10/100 48 Base-T RJ45 10/100/1000 Base-T RJ21 24 PoE 10/100 Base-T RJ45 48 PoE 10/100/1000Ba­ 24 24 48 24 se-T RJ45 10/100/1000Ba­ se-T RJ45 24 48 24 PoE 100Base-FX 1000Base-SX 4 4 4* 24 4* 4* 4* 4* 24 SFP 10GBase-X 2 2** 2** 2** XFP * Combo-Ports: Die 1000Base-SX Ports können alternativ zu einem 1000­ Base-TX Port verwendet werden. ** Die C3K-Modelle erfordern das Trägermodul C3K-2XFP zur Verwendung der XFP-Ports Enterasys Networks – Solution Guide 2008
    175. Seite 170 Produktportfolio Optionen C2L3-LIC SecureStack™ C2 Enhanced Layer 3 Routing License (OSPF, PIM, DVMRP, VRRP) C2IPV6-LIC Mixed C2/C3 Stack IPV6 Router License C3L3-LIC ADV. ROUTER WITH OSPF, PIM, DVMRP, VRRP (per switch license) C3IPV6-LIC C3 IPV6 ROUTER LICENSE C3K-2XFP Add-in Module for 10Gbase-XFP Ports, requires XFP's to use Bei den Lizenzen ist zu beachten, dass für gemischte C2/C3 Stacks die C2L3-LIC oder C2IPV6-LIC verwendet werden muss, es wird eine Lizenz pro Stack benötigt. Für reine C3 Stacks werden die C3L3-LIC oder C3IP­ V6-LIC benötigt und zwar eine Lizenz pro Switch. Technische Eigenschaften Address Table Size 16,000 Throughput Capacity 148,810 pps per Fast Ethernet port 1,488,100 pps per Gigabit Ethernet port 14,881,000 pps per 10-Gigabit port VLANs 4,096 VLAN IDs 1,024 VLAN entries per stack Priority Queues 8 per port Stacking Bandbreite 40 Gbit Enterasys Networks – Solution Guide 2008
    176. Produktportfolio Seite 171 Unterstützte Funktionalität 802.1p - Traffic Management, Dyna­ 802.1x, Web, MAC Authentication mic Multicast Filtering 802.1q – VLAN tagging and identifi­ SSHv2 Secure Telnet support cation Auto Negotiation Runtime Download Broadcast Suppression SNMP v1/v2c/v3 802.1w Rapid Spanning-Tree Configuration Upload\\Download 802.3ad Link Aggregation TOS Rewrite 802.3x Flow Control Priority Classification L2-L4 Port Mirroring (many to 1) 8 Transmit Queues per port CLI Management (via local console Enterasys EDP and telnet) Web-based management RMON Groups 1,2,3 and 4 IGMP V1\\V2 Snooping Power-over-Ethernet RIP v1 and v2 IEEE 802.3af compliant StaticRoutes Total PoE power of 375 W ICMP Average of 7.5 watts per port (Class 2) OSPF2 Maximum of 15.4 watts per port ARP & ARP Redirect Per-port enable/disable PIM-SM/DM Per-port priority safety DVMRP Per-port overload and short circuit VRRP protection DHCP/BOOTP Relay System power monitor Strict and Weighted Round Robin Outbound Rate Limiting IEEE 802.1S Spezifikationen • Abmaße H/B/T: 44.1 cm (17.36\") x 4.4 cm (1.73\") x 36.85 cm (14.51\") • Gewicht: 5.05 kg bis 6.94 kg (11.12 lbs to 14.32 lbs) • Betriebstemp. 5° C bis 40° C (41° F to 104° F) • Temperaturgrenzwerte -30° C bis 73° C (-22° F to 164° F) • zulässige Feuchtigkeit 5% to 90%, non-condensing • Stromversorgung: 100 – 120; 200 – 240 VAC, 50/60 Hz Mehr dazu unter http://www.enterasys.com/products/switching/c/. Enterasys Networks – Solution Guide 2008
    177. Seite 172 Produktportfolio SecureStack™ B3/B2 Die SecureStack™ B2 Switche zeichnen sich durch fortschrittliche Layer 2+ Switchingfunktionalität in einem Stack mit bis zu 360 Gigabit Ports oder 384 10/100/1000 Ports mit 32 Gigabit Uplinks aus. Zuverlässigkeit und Verfügbarkeit wird durch die Unterstützung von Closed Loop Stacking, redundante Uplinks, redundante Stromversorgungsmöglichkeiten und red­ undantes Stackmanagment gesichert. Die SecureStack™ B-Serie bietet die optionale Unterstützung von Secure Networks™ Features. Mit der Aktivierung der Policy Lizenz stehen auf der B-Serie unter anderem Secure Networks™ Policys zur Verfügung. Die SecureStack™ B3 Switche stellen zusätzlich Basic Routing mit RIP so­ wie eine größere Anzahl von Regeln und für Secure Networks™ Policys zur Verfügung. Selbstverständlich sind die neuen B3 Switche mit bestehenden B2-Stacks kombinierbar. Komponenten im Überblick B2G124-24 und B2G124-48 Enterasys Networks – Solution Guide 2008
    178. Produktportfolio Seite 173 B2G124-24 B2G124-48 B2G124-48P B2H124-48 B2H124-48P B3G124-24 B3G124-48 B3G124-24P B3G124-48P 10/100 48 Base-T RJ45 10/100 Base-T RJ45 48 PoE 10/100/1000Ba­ 24 48 24 48 se-T RJ45 10/100/1000Ba­ se-T RJ45 48 24 48 PoE 100Base-FX 1000Base-SX 4* 4* 4* 4 4 4* 4* 4* 4* SFP * Combo-Ports: Die 1000Base-SX Ports können alternativ zu einem 1000­ Base-TX Port verwendet werden. Optionen Security Policy Upgrade B2POL-LIC 25 Pack Of B2POL-LIC Policy Licenses B2POL-LIC25 50 Pack Of B2POL-LIC Policy Licenses B2POL-LIC50 B3 POLICY LICENSE - QTY 1 B3POL-LIC B3 POLICY LICENSES - QTY OF 25 B3POL-LIC25 B3 POLICY LICENSES - QTY OF 50 B3POL-LIC50 Enterasys Networks – Solution Guide 2008
    179. Seite 174 Produktportfolio Technische Eigenschaften Address Table Size 16,000 Throughput Capacity 148,810 pps per Fast Ethernet port 1,488,100 pps per Gigabit Ethernet port VLANs 4,096 VLAN IDs 1,024 VLAN entries per stack Priority Queues 8 per port Stacking Bandbreite 20 Gbit Unterstützte Funktionalität 802.1p - Traffic Management/ Dynamic 802.1x Authentication Multicast Filtering 802.1q – VLAN tagging and identification SSHv2 Secure Telnet support Dynamic VLAN Assignment (RFC3580) RADIUS Auto Negotiation Runtime Download Broadcast Suppression SNMP v1/v2c/v3 802.1w Rapid Spanning-Tree Configuration Upload\\Download 802.3ad Link Aggregation TOS Rewrite 802.3x Flow Control Priority Classification L2-L4 802.1s Multiple Spanning Trees 8 Transmit Queues per port CLI Management (via local console and Enterasys EDP telnet) Web-based management Port Mirroring (many to 1) IGMP V1\\V2 Snooping Jumbo Frame Support Tagged/Port-based Vlan GVRP/GARP Strict and Weighted Round Robin RMON Groups 1,2,3 and 4 Queuing Enterasys Networks – Solution Guide 2008
    180. Produktportfolio Seite 175 Spezifikationen • Abmaße H/B/T: 44.1 cm (17.36\") x 4.4 cm (1.73\") x 36.85 cm (14.51\") • Gewicht: 5.05 kg bis 6.94 kg (11.12 lbs to 14.32 lbs) • Betriebstemp. 0° C bis 50° C (32° F to 122° F) • Temperaturgrenzwerte -40° C bis 70° C (-22° F to 164° F) • zulässige Feuchtigkeit 10% bis 90%, non-condensing • Stromversorgung: 100 – 120; 200 – 240 VAC, 50/60 Hz Mehr dazu unter http://www.enterasys.com/products/switching/b/. Enterasys Networks – Solution Guide 2008
    181. Seite 176 Produktportfolio SecureStack™ A2 Die SecureStack™ A2 Switche ermöglichen kostengünstiges Layer2 Swit­ ching mit bis zu 384 10/100 Ports und 16 Gigabit Uplinks. Auch hier ist die Verfügbarkeit durch Closed Loop Stacking über Standard Cat-5 Kabel, red­ undante Uplinks und zusätzliche Netzteile gesichert. Jeder SecureStack™ A2 besitzt zwei Mini-GBIC Ports und zwei feste 10/100/1000 Ports, die als Standard Ethernet Uplinks oder zum Stacken mit 2Gbit bidirektionaler Bandbreite zwischen zwei Switchen verwendet werden können. SecureStack™ A2 protected Port ist ideal mit Multi-User-Authentication und Policy auf einer N-Serie im Distribution Layer zu verwenden und sorgt hier für enorme Kosteneinsparungen. Komponenten im Überblick A2H124-48 A2H124-24 A2H124-24FX A2H124-24P A2H124-48 A2H124-48P A2H254-16 A2H123-24 10/100 Base-T RJ45 24 48 8 24 10/100 Base-T RJ45 PoE 24 48 100 Base-FX MTRJ 24 8 2 10/100/1000 Base-T RJ45 2* 2* 2* 2* 2* 2* 2* 1000Base-SX SFP 2 2 2 2 2 2 * Combo-Ports: Die 10/100/1000Base-T Ports können zum Stacken oder konfigurationsabhängig als normale Base-T Ports genutzt werden. Enterasys Networks – Solution Guide 2008
    182. Produktportfolio Seite 177 Technische Eigenschaften Address Table Size 8,000 Throughput Capacity 148,810 pps per Fast Ethernet port 1,488,100 pps per Gigabit Ethernet port VLANs 4,096 VLAN Ids, 1,024 VLAN s per stack Priority Queues 4 per port Stacking Bandbreite 1 Gbit Unterstützte Funktionalität 802.1p - Traffic Management/ Dynamic 802.1x Authentication Multicast Filtering 802.1q SSHv2 Secure Telnet support Dynamic VLAN s (RFC3580) RADIUS Auto Negotiation Runtime Download Broadcast Suppression SNMP v1/v2c/v3 802.1w Rapid Spanning-Tree Configuration Upload\\Download 802.3ad Link Aggregation TOS Rewrite 802.3x Flow Control Priority Classification L2-L3 802.1s Multiple Spanning Trees 4 Transmit Queues per port CLI Management Enterasys EDP Web-based management Port Mirroring (many to 1) IGMP V1\\V2 Snooping GVRP/GARP Tagged/Port-based VLAN RMON Groups 1,2,3 and 4 Spezifikationen • Abmaße H/B/T: 44.1 cm (17.36\") x 4.4 cm (1.73\") x 21 cm (8.27\") • Gewicht: 2.61 kg bis 5.78 kg (5.75 lbs to 12.73 lbs) • Betriebstemp. 0° C bis 50° C (32° F to 122° F) • Temperaturgrenzwerte -40° C bis 70° C (-22° F to 164° F) • zulässige Feuchtigkeit 5% bis 95%, non-condensing • Stromversorgung: 100 – 120; 200 – 240 VAC, 50/60 Hz Mehr dazu unter http://www.enterasys.com/products/switching/a/. Enterasys Networks – Solution Guide 2008
    183. Seite 178 Produktportfolio Optionen für alle SecureStacks™ Einige Komponenten können für die gesamte SecureStack™ Familie ver­ wendet werden. Dazu zählen insbesondere die redundante Stromversor­ gung sowie die Konsolekabel. Redundante Stromversorgung für nicht-PoE SecureStacks™ Die redundante Stromversorgung für PoE-SecureStacks™, C2RPS-PSM, wird als alleinstehendes Chassis auf einer Höheneinheit eingebaut. C2RPS-SYS SecureStack™ C2 RPS Chassis plus one C2RPS-PSM (chas­ sis supports up to 8 C2RPS-PSMs) C2RPS-CHAS8 SecureStack™ C2 RPS Chassis supporting up to 8 C2RPS- PSMs C2RPS-CHAS2 C2 2 Slot C2 RPS C2RPS-PSM SecureStack™ C2 150 watt Redundant Non-PoE Power Sup­ ply with one DC cable C2RPS-POE C2 500 watt Redundant PoE Power Supply with one DC ca­ ble SSCON-CAB Console Cable For SecureStack™ Enterasys Networks – Solution Guide 2008
    184. Produktportfolio Seite 179 Stackingkabel für SecureStack™ B- und C-Serie Die Stackingkabel sind notwendig, um SecureStack™ B- und C-Serie Swit­ che untereinander zu koppeln. Maximal können 8 Switche gekoppelt wer­ den. Dabei muss beachtet werden, dass 7 beliebige Switche und als achter nur eine eingeschränkte Auswahl gestackt werden dürfen – siehe auch den Installationsguide. Wünschenswert ist aus Redundanzgründen ein Closed- Loop Stacking. Hierbei dürfen beliebige Stackingkabel kombiniert werden. Die einzige Einschränkung betrifft das C2CAB-5M Kabel. Dieses kann nicht an die 24 Port C2 oder B2 Switche angeschlossen werden. C2CAB-SHORT SecureStack™ C2 stacking cable for connecting adjacent switches (30 cm) C2CAB-LONG SecureStack™ C2 stacking cable for connecting the top switch to the bottom switch (1m) C2CAB-2M SecureStack™ B3/C3 2m Stacking Cable C2CAB-5M 5 Meter Closed Loop Stack Cable, cannot be used with 24 Port C2/B2 Enterasys Networks – Solution Guide 2008
    185. Seite 180 Produktportfolio D-Serie Die D-Serie ist im Prinzip eine miniaturisierte Variante des SecureStack™ B2 zum Einsatz in Konferenzräumen oder Verteilerräumen ohne Klimati­ sierung. Der lüfterlose Betrieb bis zu Temperaturen von 40° Celsius – so­ wie mit Lüfter bis zu 60° Celsius ermöglichen einen flexiblen Einsatz bei Unterstützung aller Secure Networks™ Features. Der D2 bietet 12 Kupfer Gigabit Ethernet Ports sowie 2 Gigabit SFP-Ports, insgesamt können 12 Gigabit Ports gleichzeitig aktiv sein. Es steht eine Variante mit, sowie eine ohne PoE Unterstützung zur Verfügung. Dabei ist eine redundante Stromversorgung über ein zweites Powersupply möglich. Für die Stromversorgung kommen in beiden Varianten ausschließlich ex­ terne Powersupplys zum Einsatz, die sich über zwei redundante Anschlüs­ se im Betrieb wechseln lassen. Für den D2 wird eine Vielfalt an Montagemöglichkeiten geboten – zum Einsatz in Konferenz-, Büro- oder Schulungsräumen stehen Montagekits für eine Wandbefestigung, die Anbringung unter einem Schreibtisch sowie für Schulungsräume auch abschließbare Metallcontainer zur Verfügung. Für den Einsatz im Rack wird ein Kit zur Installation zweier D2s nebenein­ ander angeboten. Die D-Serie unterstützt analog zur SecureStack™ B-Serie mit einer optio­ nalen Policy-Lizenz alle SecureNetworks™ Features. Komponenten im Überblick Chassis D-Serie 12 X 10/100/1000 FIXED CONFIG L2 SWITCH & POWER D2G124-12 BRICK 12 X 10/100/1000 FIXED POE L2 SWITCH & POWER D2G124-12P BRICK Enterasys Networks – Solution Guide 2008
    186. Produktportfolio Seite 181 Optionen D2-PWR SECURESWITCH D2 EXTERNAL POWER BRICK D2-PWR-POE EXTERNAL POE POWER BRICK FOR D2 SWITCHES D2-RMT SECURESWITCH D2 RACK MOUNT KIT D2-TBL-MNT SECURESWITCH D2 UNDER TABLE MOUNT KIT D2-WALL-MNT WALL MOUNT FOR SECURESWITCH D2 Policy Erweiterung D2POL-LIC POLICY LICENSE FOR D2 SWITCHES D2POL-LIC25 25 PACK OF D2POL-LIC POLICY LICENSES D2POL-LIC50 50 PACK OF D2POL-LIC POLICY LICENSES Enterasys Networks – Solution Guide 2008
    187. Seite 182 Produktportfolio Technische Eigenschaften Unterstützte Funktionalität Layer 2 Unterstützung IEEE 802.1d — Spanning Tree IEEE 802.1t — 802.1d Maintenance IEEE 802.1p— Traffic Management/Mapping to 6 of 8 hardware queues IEEE 802.1q — Virtual LANs w/ Port based VLANs IEEE 802.1s — Multiple Spanning Tree IEEE 802.1v — Protocol-based VLANs IEEE 802.1w — Rapid Spanning Tree Reconvergence IEEE 802.1x — Port-based Authentication IEEE 802.3 — 10 Base-T IEEE 802.3ab — 1000 Base-T IEEE 802.3ac — VLAN Tagging IEEE 802.3ad — Link Aggregation IEEE 802.3u — 100 Base-T IEEE 802.3x — Flow Control Private Port (Private VLAN) Many-to-One Port Mirroring, One-to-One Port Mirroring Port Description Per-Port Broadcast Suppression Spanning Tree Backup Route STP Pass Thru RFC 1213 — MIB II RFC 1493 — Bridge MIB RFC 1643 — Ethernet-like MIB RFC 2233 — Interfaces Group MIB using SMI v2 RFC 2618 — RADIUS Authentication Client MIB RFC 2620 — RADIUS Accounting MIB RFC 2674 — VLAN MIB RFC 2737 — Entity MIB version 2 RFC 2819 — RMON Groups 1, 2, 3 & 9 IEEE 802.1x MIB (IEEE 802.1-pae-MIB) IEEE 802.3ad MIB (IEEE 802.3-ad-MIB) Enterasys Networks – Solution Guide 2008
    188. Produktportfolio Seite 183 Authentisierung MAC Authentication Web Authentication (PWA) 802.1x Authentication RFC 3580— Dynamic VLAN Assignment RADIUS Client RADIUS Accounting for MAC Authentication EAP Pass Through Dynamic and Static Mac Locking QoS Strict or weighted Round Robin 8 Hardware Queues/Port 802.3x Flow Control 64 kbps increment granularity Management NetSight® Console NetSight® Policy Manager NetSight® Inventory Manager NetSight® Automated Security Manager WebView, SSL Interface to WebView Telnet with SSH RADIUS Control to Management Interface RMON (4 Groups: History, Statistics, Alarms and Events) Text-based Configuration Upload/Download Simple Network Time Protocol (SNTP) Alias Port Naming Node/Alias Table RFC 854 — Telnet RFC 1157 — SNMP RFC 1901 — Community-based SNMP v2 RFC 2271 — SNMP Framework MIB RFC 3413 — SNMP v3 Applications RFC 3414 — User-based Security Model for SNMP v3 RFC 3415 — View-based Access Control Model for SNMP Enterasys Networks – Solution Guide 2008
    189. Seite 184 Produktportfolio Kapazitäten • Address Table Size – 8k MAC Addresses • 1024 VLANs supported • 8 Hardware Queues/Port • VLAN Spanning Tree (802.1S) — 4 Instances Supported • 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported • Main memory: 256 MB • Flash memory: 32 MB • PoE – (D2G124-12P): bei unter 40°C können insgesamt 100W PoE Leistung beliebig auf die Ports verteilt werden. Für jedes °C über 40°C sinkt die PoE-Leistung um 2,16W Spezifikationen • Abmaße H/B/T: 4,6 cm (1.6\") x 20,95 cm (8.25\") x 21,59 cm (8,5\") • Gewicht: D2G124-12: 1,66kg (3.65lb) D2G124-12P: 1,82kg (4,02lb) • Betriebstemp.: D2G124-12: 0°C bis 60 °C (32 °F bis 140 °F) D2G124-12P: 0°C bis 50 °C (32 °F bis 122 °F) • Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F) • Zulässige Feuchtigkeit: 5 bis 95% non-condensing • Stromaufnahme: D2G124-12: 100-240V AC, 50-60Hz, 2,0A, 30W D2G124-12P: 100-240V AC, 50-60Hz, 3,2A, 130W • Wärmeabgabe: D2G124-12: 102,39 (BTU/H) D2G124-12P: 443,69 (BTU/H) Unterstützte Standards • Standard Safety: UL/CB/LVD • Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI • Stoßfestigkeit: ISTA 2A, ASTM D5276 Mehr dazu unter http://www.enterasys.com/products/switching/ Enterasys Networks – Solution Guide 2008
    190. Produktportfolio Seite 185 G-Serie Die neue G-Serie verbindet die geringe Größe und das Preis/Leistungsver­ hältnis eines stackbaren Switches mit der Modularität eines chassisbasier­ ten Systems. Sie bietet alle Voraussetzungen zur Unterstützung von QoS Priorisierung und Sicherheitsanforderungen in konvergierten Voice, Video und Datennetzen. Die vollständige Unterstützung der SecureNetworks™ Features mit erwei­ terten Kenngrößen wie z.B. eine Multiuserauthentisierung mit bis zu 8 Be­ nutzern pro Port sowie eine mehr als doppelt so perfomante Policyunter­ stützung im Vergleich zum SecureStack™ C3 sind nur eines der Merkmale dieser neuen Switching Linie. Ein großer Mehrwert ist insbesondere die große, von vielen Kunden beim Matrix® E1 geschätzte Flexibilität des Geräts. Der G3 bietet bis zu 96 Gi­ gabit Ethernet Ports in Kupfer – mit PoE oder als SFP, bis zu 12 10 Gigabit Ethernet Ports können über XFP bereitgestellt werden. Ein besonderes Alleinstellungsmerkmal ist die Nachrüstbarkeit von PoE auf den 24x10/100/1000baseT Modulen. Diese sind bereits im Auslieferzu­ stand PoE enabled. Wird dann eine zusätzliche, kostengünstige PoE-Opti­ on-Card auf dem Modul eingesteckt, liefert dieses PoE nach dem 802.2af Standard. Durch diese Möglichkeit bietet der G3 den Kunden maximalen Investitionsschutz im Hinblick auf eine spätere Einführung von VoIP oder WLAN und der damit verbundenen Spannungsversorgung der Geräte mit PoE. Die Leistung und Anzahl der unterstützten Ports richtet sich nach den installierten, modularen Powersupplys (400 oder 1200 Watt). Komponenten im Überblick Chassis Die Chassis werden in drei Basisvarianten ausgeliefert, alle verfügen über drei freie Slots zur Erweiterung mit den unten genannten Modulen. G-Serie Enterasys Networks – Solution Guide 2008
    191. Seite 186 Produktportfolio Chassis Das C3G124-24 Chassis ist, ebenso wie die G3G-24TX Module, mit der G3G-POE Option auf PoE aufrüstbar. Das Chassis wird ohne Stromversorgung ausgeliefert, diese muss zusätz­ lich geordert werden. 24TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER G3G124-24 SUPPLY SEPARATELY 24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER G3G124-24P POWER SUPPLY SEPARATELY 24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER G3G170-24 POWER SUPPLY SEPARATELY G3-PWR G3 POWER SUPPLY - NON-POE G3-PWR-POE G3 POWER SUPPLY - POE Module Für 24 Ports 10/100/1000 mit PoE-Unterstützung werden das Modul G3G-24TX und die Erweiterung G3G-POE kombiniert. G3G-24SFP G3 I/O CARD - 24 SFP PORTS G3G-24TX G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS G3K-2XFP G3 I/O CARD - DUAL 10GB XFP PORTS G3K-4XFP G3 I/O CARD - QUAD 10GB XFP PORTS Optionen G3G-POE G3 POE OPTION CARD FOR 24 PORTS Softwareoptionen G3L3-LIC G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP G3IPV6-LIC G3 IPV6 ROUTING LICENSE Enterasys Networks – Solution Guide 2008
    192. Produktportfolio Seite 187 Technische Eigenschaften Unterstützte Funktionalität Layer 2 Unterstützung IEEE 802.1d — Spanning Tree IEEE 802.1t — 802.1d Maintenance IEEE 802.1p— Traffic Management/Mapping to 6 of 8 hardware queues IEEE 802.1q — Virtual LANs w/ Port based VLANs IEEE 802.1s — Multiple Spanning Tree IEEE 802.1v — Protocol-based VLANs IEEE 802.1w — Rapid Spanning Tree Reconvergence IEEE 802.1x — Port-based Authentication IEEE 802.3 — 10 Base-T IEEE 802.3ab — 1000 Base-T IEEE 802.3ac — VLAN Tagging IEEE 802.3ad — Link Aggregation IEEE 802.3u — 100 Base-T IEEE 802.3x — Flow Control Private Port (Private VLAN) Many-to-One Port Mirroring, One-to-One Port Mirroring Port Description Per-Port Broadcast Suppression Spanning Tree Backup Route STP Pass Thru RFC 1213 — MIB II RFC 1493 — Bridge MIB RFC 1643 — Ethernet-like MIB RFC 2233 — Interfaces Group MIB using SMI v2 RFC 2618 — RADIUS Authentication Client MIB RFC 2620 — RADIUS Accounting MIB RFC 2674 — VLAN MIB RFC 2737 — Entity MIB version 2 RFC 2819 — RMON Groups 1, 2, 3 & 9 IEEE 802.1x MIB (IEEE 802.1-pae-MIB) IEEE 802.3ad MIB (IEEE802.3-ad-MIB) Enterasys Networks – Solution Guide 2008
    193. Seite 188 Produktportfolio Authentisierung MAC Authentication Web Authentication (PWA) 802.1x Authentication RFC 3580— Dynamic VLAN Assignment RADIUS Client, Radius Accounting for MAC Authentication EAP Pass Through Dynamic and Static Mac Locking Multiuserauthentication mit bis zu 8 Usern QoS Strict or weighted Round Robin 8 Hardware Queues/Port 802.3x Flow Control 64 kbps increment granularity Management NetSight® Console NetSight® Policy Manager NetSight® Inventory Manager NetSight® Automated Security Manager WebView, SSL Interface to WebView Telnet with SSH RADIUS Control to Management Interface RMON (4 Groups: History, Statistics, Alarms and Events) Text-based Configuration Upload/Download Simple Network Time Protocol (SNTP) Alias Port Naming Node/Alias Table RFC 854 — Telnet RFC 1157 — SNMP RFC 1901 — Community-based SNMP v2 RFC 2271 — SNMP Framework MIB RFC 3413 — SNMP v3 Applications RFC 3414 — User-based Security Model for SNMP v3 RFC 3415 — View-based Access Control Model for SNMP Enterasys Networks – Solution Guide 2008
    194. Produktportfolio Seite 189 Kapazitäten • Address Table Size – 32k MAC Addresses • 1024 VLANs supported • 8 Hardware Queues/Port • VLAN Spanning Tree (802.1s) — 4 Instances Supported • 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported • Main memory: 256 MB • Flash memory: 32 MB Spezifikationen • Abmaße H/B/T: 8,8 cm x 44,1 cm x 48,1 cm • Gewicht: G3G124-24: 9,598kg G3G124-24P: 9,662kg G3G170-24: 9,866kg • Betriebstemp.: 0 °C bis 50 °C • Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F) • Zulässige Feuchtigkeit: 5 bis 95% non-condensing • Stromaufnahme: 100-240V AC, 50-60Hz, 0.7-1.8A, 92.18-130W • Wärmeabgabe: G3G124-24: 429,66 BTU/H G3G124-24P: 443,3 BTU/H G3G170-24: 214,3 BTU/H Unterstützte Standards • Standard Safety: UL/CB/LVD • Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI • Stoßfestigkeit: ISTA 2A, ASTM D5276 Mehr dazu unter http://www.enterasys.com/products/switching/ Enterasys Networks – Solution Guide 2008
    195. Seite 190 Produktportfolio I-Serie Die I-Serie ist der erste gehärtete Enterasys Switch mit Secure Networks™ Unterstützung für den industriellen Bereich. Er wird – wie in Produktionsumgebungen üblich – mit Gleichstrom betrieben und kann auf eine Hutschiene aufgesetzt werden. Das Gehäuse ist versiegelt und wird ohne Lüfter gekühlt. Dennoch ist es modular aufgebaut und verfügt über zwei Einbauslots, die mit unterschiedlichen Modulen bestückt werden kön­ nen. Es sind 12 Port 10/100Mbit, ein 4 Port 100Base-FX und ein 8 Port 100Base-FX Modul sowie ein 8 Port 10/100Mbit+2Port 100Base-FX Modul verfügbar. Des Weiteren sind zwei Module mit 6 Port 10/100Mbit oder 4 Port 100Base-FX und einem Speicherkarteneinschub verfügbar. Diese kön­ nen eine Speicherkarte aufnehmen, welche die Konfiguration des Switches enthält. Damit wird ein Austausch des Switches im Feld einfach gemacht. Die I-Serie verfügt über zwei 1000Base Uplinks, die mit speziellen Mini- GBICs für den industriellen Einsatz bestückt werden können. Die I-Serie beinhaltet standardmäßig die Enterasys Secure Networks™ Features und schützt damit industrielle Automatisierungsprozesse. Nutzer und Maschinen können durch individuelle Policys zugeordnet werden, selbstverständlich interagiert die I-Serie auch mit dem vollständigen Secure Networks™ Portfolio, um zum Beispiel NAC oder Distributed IPS auch in Produktionsumgebungen zur Verfügung zu stellen. Komponenten im Überblick Chassis I-Serie I3H252-02 INDUSTRIAL SWITCH W 2 I/O SLOTS + 2 SFP I3H252-4FXM FACTORY CONFIG'ED I3H252-02 & I3H-4FX-MM Enterasys Networks – Solution Guide 2008
    196. Produktportfolio Seite 191 Chassis-Fortsetzung I3H252-8FXM FACTORY CONFIG'ED I3H252-02 & I3H-8FX-MM I3H252-12TX FACTORY CONFIGURED I3H252-02 & I3H-12TX I3H252-8TX-2FX FACTORY CONFIGURED I3H252-02&I3H-8TX-2FX I3H252-6TX-MEM FACTORY CONFIG I3H252-02 & I3H-6TX-MEM I3H252-4FX-MEM PRE-CONFIG I3H252-02 & I3H-4FXM-MEM Module I3H-12TX INDUSTRIAL SWITCH 12 PT 10/100 I/O CARD I3H-4FX-MM INDUSTRIAL SWITCH 4 PT MMF FX I/O CARD I3H-8FX-MM INDUSTRIAL SWITCH 8 PT MMF FX I/O CARD INDUSTRIAL SWITCH 8 PT 10/100 I/O, 2 PT MMF FX I/O I3H-8TX-2FX CARD I3H-6TX-MEM INDUSTRIAL SWITCH 6 TX MEM SLOT I/O CARD I3H-4FXM-MEM INDUSTRIAL SWITCH 4 FX MEM SLOT I/O CARD Optionen I3H-DIN-KIT DIN RAIL KIT FOR I-SERIES SWITCH I3H-PWR 24VDC POWER UNIT FOR I-SERIES SWITCH I3H-RACK-MNT 19“ RACK MOUNT KIT FOR I-SERIES SWITCH I-MGBIC-GLX INDUSTRIAL 1000LX SFP - I-SERIES ONLY I-MGBIC-GSX INDUSTRIAL 1000SX SFP - I-SERIES ONLY I3H-MEM INDUSTRIAL SWITCH MEMORY CARD Enterasys Networks – Solution Guide 2008
    197. Seite 192 Produktportfolio Technische Eigenschaften Unterstützte Funktionalität Layer 2 Unterstützung IEEE 802.1d — Spanning Tree IEEE 802.1t — 802.1d Maintenance IEEE 802.1p— Traffic Management/Mapping to 6 of 8 hardware queues IEEE 802.1q — Virtual LANs w/ Port based VLANs IEEE 802.1s — Multiple Spanning Tree IEEE 802.1v — Protocol-based VLANs IEEE 802.1w — Rapid Spanning Tree Reconvergence IEEE 802.1x — Port-based Authentication IEEE 802.3 — 10 Base-T IEEE 802.3ab — 1000 Base-T IEEE 802.3ac — VLAN Tagging IEEE 802.3ad — Link Aggregation IEEE 802.3u — 100 Base-T IEEE 802.3x — Flow Control Private Port (Private VLAN) Many-to-One Port Mirroring, One-to-One Port Mirroring Port Description Per-Port Broadcast Suppression Spanning Tree Backup Route STP Pass Thru RFC 1213 — MIB II RFC 1493 — Bridge MIB RFC 1643 — Ethernet-like MIB RFC 2233 — Interfaces Group MIB using SMI v2 RFC 2618 — RADIUS Authentication Client MIB RFC 2620 — RADIUS Accounting MIB RFC 2674 — VLAN MIB RFC 2737 — Entity MIB version 2 RFC 2819 — RMON Groups 1, 2, 3 & 9 IEEE 802.1x MIB (IEEE 802.1-pae-MIB) IEEE 802.3ad MIB (IEEE802.3-ad-MIB) Enterasys Networks – Solution Guide 2008
    198. Produktportfolio Seite 193 Authentisierung MAC Authentication Web Authentication (PWA) 802.1x Authentication RFC 3580— Dynamic VLAN Assignment RADIUS Client RADUIS Accounting for MAC Authentication EAP Pass Through Dynamic and Static Mac Locking QoS Strict or weighted Round Robin 8 Hardware Queues/Port 802.3x Flow Control 64 kbps increment granularity Management NetSight® Console NetSight® Policy Manager NetSight® Inventory Manager NetSight® Automated Security Manager WebView, SSL Interface to WebView Telnet with SSH RADIUS Control to Management Interface RMON (4 Groups: History, Statistics, Alarms and Events) Text-based Configuration Upload/Download Simple Network Time Protocol (SNTP) Alias Port Naming Node/Alias Table RFC 854 — Telnet RFC 1157 — SNMP RFC 1901 — Community-based SNMP v2 RFC 2271 — SNMP Framework MIB RFC 3413 — SNMP v3 Applications RFC 3414 — User-based Security Model for SNMP v3 RFC 3415 — View-based Access Control Model for SNMP Enterasys Networks – Solution Guide 2008
    199. Seite 194 Produktportfolio Kapazitäten • Address Table Size – 8k MAC Addresses • 1024 VLANs supported • 8 Hardware Queues/Port • VLAN Spanning Tree (802.1S) — 4 Instances Supported • 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported • Main memory: 256 MB • Flash memory: 32 MB Spezifikationen • Abmaße H/B/T: 8.89 cm (3.5\") x 18.41 cm (7.25\") x 33.85 cm (13.33\") • Gewicht: I3H252-12TX 4.6 kg (10.12 lb), I3H252-4FXM 4.58 kg (10.08 lb), I3H252-8FXM 5.06 kg (11.13 lb) • Betriebstemp.: -40 °C bis 60 °C (-40 °F bis 140 °F) • Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F) • Zulässige Feuchtigkeit: 5 bis 90% non-condensing • Strom: Die I-Serie arbeitet nur mit 24 Volt Gleichstrom. Eine Gleichstromquelle muss vom Kunden gestellt werden oder ist als optionales Netzteil erhältlich (I3H-PWR). • Stoßfestigkeit: 50 G trapezoidal shock Unterstützte Standards • Standard Safety: UL 60950-1, CSA 22.2, EN60950-1 • Electromagnetic compatibility: 47 CFR Parts 2 and 15, CSA C108.8, EN 55022, EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZS CISPR 22, and VCCI V-3 • Standard EMC: FCC Part 15-Class A, ICES-003 Class A, BSMI, VCCI-Class I, CISPR 22-Class A, EN 55024, EN 55022B Class A • Industrial EMC: EN55011 • Hazardous Locations: ISA12.12.01 Class I, Div 2 A-D Mehr dazu unter http://www.enterasys.com/products/switching/I3H252-xxxx/ Enterasys Networks – Solution Guide 2008
    200. Produktportfolio Seite 195 Übersicht Secure Networks™/HW Kapazität Im Folgenden finden Sie eine kurze Übersicht über die Merkmale der En­ terasys Networks Switching Produktlinie sowie die Unterstützung von Si­ cherheitsmerkmalen. DFE SecureStack™ Plt/ D2/ 5 X Dmn Gold I G3 C2 C3 A2 B3 5 B2 d Bandbreite pro 40 18 18 384 40 40 20 20 2 DFE/IOM/Stackport Gbps Gbps Gbps Gbps Gbps Gbps Gbps Gbps Gbps Swichting/Routing Durch­ 13,5 6,5 214 satz (64byte) Mpps Mpps Mpps MAC – FDB Tabellengröße 64k 64k 32k 8k 32k 16k 16k 16k 16k 8k Unterstützte VLANs 1024 1024 1024 1024 1024 1024 1024 1024 1024 1024 1024 Queues (depending on HW) 4/16 4 8 8 8 8 8 8 4 - QE1 8/2 8/2 8/2 Rate Limiter 8/32 4/8 - - - Gb/ Gb/ Gb/ (depending on HW) Fe Fe Fe 48/ IEEE 802.3ad 32/8 no 4/4 8/6 8/6 6/8 6/8 6/8 6/8 6/4 Groups/Ports per Group limit Port Mirrors, 16/ 4 1(8) 2 1(8) 2 1(8) 2 1(8) 2 1(8) 2 1(4)2 3 1/FE destination Ports (all/N1) 64 IEEE 802.1s instances 16 64 9 4 4 4 4 4 4 4 8/12 Authenticated Users 8/10 2 8 1(2) 2 1(2) 2 1 6 per Port 24 Policy 64k/- 1k/-/ 256/- 1536 100/ 768/- 100/ 768/- - /- 63 /15 /-/31 18 /15 18 /15 Regeln/Masks/Roles x/x/x x/x/x x/x/x x/x/x x/x/x x/-/x x/-/x x/-/x 802.1x/Web/MAC/CEP /x /x /- /- /- /- /- /- Multimethod Authentication x x x x x x x VLAN/MAC/IP Mapping x/x/x x/x/x x/-/- x/-/- x/-/- x/-/- - RFC 3580 x x x x x x x 3 3 Protected Port x x x x x x x EAP--Passthrough - - x x x x x 2 Mirror to 1 destination from a max Portcount in (#) 3 Possible by VLAN-Config+IVL/SVL Config 4 one unique Port Mirror per Forwarding Engine (many to one) 5 requires Policy license for Policy – else Diff Serve 6 Anzahl bei der N-Serie Platinum/Diamond ist wie folgt: Kupferports – 8 User, Glas- oder LAG-ports – 128 User, mit N-EOS-PPC lizenz – 1024 User unabhängig vom Porttyp Enterasys Networks – Solution Guide 2008
    201. Seite 196 Produktportfolio Routerkapazitäten - Übersicht X DFE-Pt DFE-Gold C2 G3/C3 B3 ARP Entries (per router) 100k 16,000 4,000 2024 2024 2024 Static ARP Entries 32k 1,024 512 512 512 512 Route Table Entries (X-1/4Gb), 1600k/ 12,276/2 10k/- 2500 2500 2500 (DFE-128/256MB) RAM 300k 5k Static Routes 1,024 512 64 64 64 VRRP Interfaces/per interface 1024/7 1024 128 20 20 Routed Interface/Secondarys 1024/128 256/50 96 /50 24/31 24/31 Bandbreite pro DFE/IOM/Stackport 40 Gbps 18 Gbps 18 Gbps 40 Gbps 40 Gbps IP Helper/interface 3 3 100/ 1 1 ACL Rules/pro ACL 5k/5k 1k/999 2k/1k 100/9 2 (20/60) IGMP Entries 64 64 256 256 RIP Routes 3,000 1,000 2500 2500 2500 Configured RIP Nets 300 300 RIP ECMP Paths 8 4 4 4 4 OSPF Areas 16 6 4 4 4 Total OSPF LSA Type - - 2500 2500 1 – Router Links 512 100 <2500 <2500 2 – Networks Links 512 400 <2500 <2500 3,000/ 3 – Summary Net 128/256 MB RAM 2,000 <2500 <2500 8,000 4 – Summary ASBRs 3,000 2,000 <2500 <2500 4,000/ 5 – AS External 128/256 MB RAM 3,000 <2500 <2500 10,000 7 – NSSA External Links 4,000 3,000 <2500 <2500 9 – Opaque Subnet-only 64 64 n/a n/a 10 – Opaque Area 512 n/a n/a 11 – Opaque AS 64 n/a n/a OSPF Neighbors 60 Router Links in Area 100 100 OSPF ECMP Links 8 4 4 4 1 inbound only 2 20 per list, 60 per interface Enterasys Networks – Solution Guide 2008
    202. Produktportfolio Seite 197 Lizenzübersicht Die Produkte enthalten teilweise optionale Features, welche über Lizenzen freige­ schaltet werden. Hier finden Sie eine Übersicht der Basis – und optionalen Featu­ res. SecureStack™ B-Serie, D-Serie Standardmäßig wird Authentisierung ohne Policy unterstützt. Mit den Li­ zenzen B2POL-LIC und B3POL-LIC, welche pro Switch lizenziert werden müssen, wird die Verwendung der Policy Features möglich. Bei der D-Serie wird die Policy Funktionalität analog der B-Serie mit der D2POL-LIC freigeschaltet. SecureStack™ C-Serie Die C-Serie unterstützt im Basisimage statisches Routing und RIP. Mit der C2L3- LIC, welche pro Stack lizenziert wird und für C2s sowie gemischte C2/C3 Stacks verwendet wird, werden zusätzlich die Features VRRP, OSPF, PIM-SM und DVMRP freigeschaltet. Mit der C3L3-LIC werden dieselben Features in einem reinen C3 Stack freigeschaltet, dann wird eine Lizenz pro Switch benötigt. Mit der C3IPV6-LIC Lizenz wird Ipv6-Routing in einem reinen C3 Stack aktiviert. G-Serie Die G-Serie unterstützt im Basisimage statisches Routing und RIP. Mit der G3L3- LIC werden zusätzlich die Features VRRP, OSPF, PIM-SM und DVMRP freigeschaltet. Mit der G3IPV6-LIC Lizenz wird Ipv6-Routing aktiviert. Matrix® N-Serie Gold Die Gold Blades unterstützen standardmäßig VRRP sowie statisches und ripv1/2 Routing. Mit der N-EOS-L3 Lizenz lassen sich OSPF, PIM-SM und DVMRP aktivieren. Eine 1+1 Redundanz wird mit der N-EOS-RED Lizenz freigeschaltet. Matrix® N-Serie Platinum/Diamond Die Matrix® N-Serie unterstützt im Basisimage Policys für bis zu 8 Benutzer pro Kupferport und 128 Benutzer pro Glas- oder LAG-Port. Des Weiteren wird eine N+1 Redundanz sowie VRRP, statisches und ripv1/2 Routing bereitgestellt. Mit der N-EOS-L3 Lizenz wird zusätzlich OSPF, PIM-SM, DVMRP und LSNAT freige­ schaltet. Mit der N-EOS-PPC Lizenz können pro Port bis zu 1024 Benutzer authentisiert wer­ den, unabhängig vom Porttyp. Die N-EOS-PUC Lizenz ermöglicht die Authentisie­ rung von bis zu 2048 Benutzern in einem Chassis, macht also nur bei N3/N5/N7 Sinn, da die Anzahl pro Blade auf 1024 beschränkt ist. Für die Verwendung von PIM-SM, LSNAT und NetFlow werden außer den Lizenzen noch 256 MB Speicher auf allen Blades im Chassis benötigt. Basisaustattung unterschiedlicher N-Serie Module: N-EOS-L3 N-EOS-PPC 256 Mb Platinum - - x Platinum 2G4072-52 - - x Platinum 2G4082-25 x - x Diamond x x x Enterasys Networks – Solution Guide 2008
    203. Seite 198 Produktportfolio MGBICs, XENPAKs und XFPs Die herstellerunabhängigen, mehrfach verwendbaren Module bedeuten für den Netzwerkadministrator eine große Flexibilität. Die Möglichkeit, die Schnittstellen nach Bedarf zu bestücken oder im Fehlerfall schnell auszut­ auschen, erleichtert die Administration und stellt nicht zuletzt einen großen finanziellen Vorteil dar. Hier sind die dafür bei Enterasys verfügba­ ren MGIBCs und 10 Gigabit Ethernet Module beschrieben. MGBICs (SFPs) 1000Base-SX Mini GBIC, Multimode Fiber, 50/125 oder MGBIC-LC01 62.5/125 µm MMF, 2-550m Reichweite, 850nm Wellenlän­ ge, LC connector 1000Base-SX Mini GBIC, Multimode Fiber, 50/125 oder MGBIC-LC03 62.5/125 µm MMF, 2km Reichweite, 1310nm Wellenlänge, LC connector 1000Base-LX Mini GBIC, Multimode oder Singlemode Fiber, 50/125, 62.5/125 µm MMF oder 9, 10 µm SMF, 2-555m MGBIC-LC09 (MMF) oder 2m-10km (SMF) Reichweite, 1310nm Wellen­ länge, LC connector 1000Base-SX Mini GBIC, Multimode Fiber, 50/125 oder MGBIC-MT01 62.5/125 µm MMF, 2-550m Reichweite, 850nm Wellenlän­ ge, MTRJ connector 1000Base-T Mini GBIC, CAT-5, 100m Reichweite, RJ45 MGBIC-02 connector, ermöglicht 1000Base-T, 10/100Base-T ist nicht verfügbar. 1000Base-LX/LH, Singlemode Fiber, 9 oder 10µ SMF, 70 MGBIC-08 km Reichweite, 1550 nm Wellenlänge, LC connector For use in selected SFP-Ports only - 100Base-FX Multimode MGBIC-LC04 Mini GBIC w/LC connector For use in selected SFP-Ports only - 100Base-FX Single­ MGBIC-LC05 mode Mini GBIC w/LC connector 1 Gb, Extended Long Reach, 1000Base-EZX, IEEE 802.3 MGBIC-LC07 SM, 1550 nm Long Wave Length, 110 KM, LC SFP Enterasys Networks – Solution Guide 2008
    204. Produktportfolio Seite 199 Industrielle MGBICs für die I-Serie I-MGBIC-GLX INDUSTRIAL 1000LX SFP - I-SERIES I-MGBIC-GSX INDUSTRIAL 1000SX SFP - I-SERIES I-MGBIC-GTX INDUSTRIAL 1000TX SFP - I-SERIES I-MGBIC-GZX INDUSTRIAL 1000ZX SFP for up to 80km XENPAKs 10 Gb, 10GBASE-LR, IEEE 802.3 SM, 1310 nm Long Wave 10GBASE-LR Length, 10 Km, SC Xenpak 10 Gigabit interface for 850 nm, 62.5 & 50 micron, MMF 10GBASE-SR (33 m and 66 m) via SC connector 10 Gigabit interface for 1550 nm, 9 micron SMF (40 km) 10GBASE-ER via SC connector 10 Gigabit interface for 1310 nm, 62.5 & 50 micron, MMF 10GBASE-LX4 (300 m and 240 m) or SMF (10 km) via SC connector 10GBASE CX4 Cabling CX4-CBL-02 CX4 CABLE, 2 METER CX4-CBL-05 CX4 CABLE, 5 METER CX4-CBL-15 CX4 CABLE, 15 METER XFPs XFP with 10-Gigabit Ethernet Extended Reach (40KM 10GBASE-ER-XFP over SMF) via LC connector XFP with 10-Gigabit Ethernet Long Reach (10KM over 10GBASE-LR-XFP SMF) via LC connector 10GBASE-SR-XFP XFP with 10-Gigabit Ethernet Short 10GBASE-SR-XFP Reach (300m over MMF) via LC connector 10GBASE-ZR-XFP 10GBASE ZR XFP 80KM OPTIC 10 Gb, 10GBASE-CX4, IEEE 802.3 TwinAxial, CX4 Cop­ 10GBASE-CX4-XFP per, 15 M, XFP Enterasys Networks – Solution Guide 2008
    205. Seite 200 Produktportfolio RoamAbout® Wireless Switching Mit dem RoamAbout® Wirless Switching wird das Verwalten großer Wire­ lessumgebungen genauso einfach und sicher wie Sie es von Ihrem Entera­ sys LAN gewohnt sind. Kernkomponenten der Lösung sind dabei die Thin APs, die WLAN Switche, auf welchen der Datenverkehr der Access Points zentral zusammengeführt wird, sowie der RoamAbout® Switch Manager (RASM) der zentrale Planungs-, Konfigurations-, Monitoring-, Alarmie­ rungs- und Reportingfunktionen für die gesamte WLAN Infrastruktur zur Verfügung stellt. RoamAbout® Switch Manager Die RoamAbout® Switch Manager Suite ist das zentrale Management Tool für eine RoamAbout® Wireless Switching Umgebung. Hier können alle Wi­ reless Switche zentral verwaltet werden. Mit einem Klick kann so eine neue SSID auf allen Access Points ausgerollt oder gesperrt werden. Ein virtuelles Site Survey Tool ist mit dem RF Planning Tool optional erhältlich. RoamAbout® Switch Manager Suite Eine Vielzahl von Wireless Switchen und Access Points steht zur Auswahl, neu hinzugekommen ist der TRPZ-MP-422 mit Unterstützung von Distribu­ ted Path Forwarding und Meshing. Enterasys Networks – Solution Guide 2008
    206. Produktportfolio Seite 201 Komponenten im Überblick Access Points Als Thin Mode Access Points für die Wireless Switching Lösung stehen der RBT-1002, RBT-1602, MP-422 und der Outdoor AP MP-620 zur Verfügung. RBT-1602, MP-422, MP-432 MP-620 RBT-1002, 4102 • APs für Indoor & Outdoor Anwendungen mit PoE Versorgung, der RBT-1002 kann zusätzlich über ein externes Netzteil versorgt wer­ den • Dual Radio für 802.11a+b/g inkl. 2 externen Antennenanschlüssen (RBT-1002 hat keine externen Antennenanschlüsse) • Dual-homed LAN – 2 LAN-Anschlüsse je AP, um vollständige Red­ undanz (PoE & Daten) zu gewährleisten bei RBT-1602 und MP-422 • Verschlüsselter Control-Traffic bei RBT-1602 und MP-422 • Unterstützung von WLAN-Briding & Mesh- Anbindung von APs ohne direkte LAN-Verbindung sowie Direkt-Path-Forwarding, was ein Ausbrechen des Client Traffics direkt am AP ermöglicht und so­ mit nicht mehr der gesamte Traffic zum Controller muss, dies er­ möglicht Filialstrukturen ohne WLAN Switch in der Außenstelle bei MP-422 • Bis zu 64 unabhängige SSIDs gleichzeitig je AP • Unterstützung von ACL-basierenden Policys • MP620 mit wetterfesten Gehäuse für Outdoor-Anwendungen Der Access Point AP-4102 ist per Firmware sowohl im Thin- als auch im Thick-Mode betreibbar. Er ist mit zwei Sendern für 802.11a sowie 802.11b/g ausgestattet und bietet zwei Anschlüsse für optionale externe Antennen, um sowohl den Innen- als auch den Außenbetrieb zu ermögli­ chen. Der AP4102 bietet Sicherheitsfeatures wie WPA2/802.11i/AES, WPA/TKIP, WEP und SNMPv3 sowie NetSight® Policy. Enterasys Networks – Solution Guide 2008
    207. Seite 202 Produktportfolio RBT-1002-EU Thin AP 1002 for countries other than NA RBT-1602 Thin AP with connector for external antenna RBT-4102-EU AP 4102 (Multi Band AP) for Europe RBT-4102-BG AP 4102 supporting 802.11b/g radio ONLY TRPZ-MP-620 Dual Band Outdoor AP TRPZ-ANT-620 Wall Mount Kit for the MP-620 ONLY TRPZ-MP-372-IL Trapeze Branded MP 372-IL for Israel Only TRPZ-MP-422 Indoor 802.11 a/b/g AP with DPF and meshing support TRPZ-MP-432 802.11 a/b/g/N AP Wireless Switche • Unterstützung von 3-128 APs- einfache Erweiterung der AP-Anzahl via Lizenz • ACL-basierende User Policys getriggert über einen zentralen Au­ thentifizierungsserver egal ob der User via LAN oder WLAN ange­ schlossen ist • Integriertes WLAN-IDS/IPS System ohne zusätzliche Sensoren Erkennt, ob Fremd-APs im eigentlichen LAN angeschlossen o sind oder nur auf der Funkschnittstelle stören (Klassifizie­ rung Ad-hoc, Rough-AP oder Interfering-AP) Bekämpfung von Rough-APs sowohl auf der Luftschnitt­ o stelle durch Abstoßen der WLAN Clients, als auch an der LAN-Schnittstelle durch MAC-Locking und Policys Erkennen von Flood Attacks, RF-jamming, AP MAC Maskie­ o rung und schwachen WEP Keys Unterstützung von Client Black Lists o • Integrierter RADIUS Server inkl. WEB Authentifizierung zur Abbil­ dung einer vollständigen HotSpot Lösung ohne zusätzliche Kompo­ nenten • 802.11n ready • Loadbalancing, Automatische Kanal- & Sendeleistungseinstellung • Unterstützung von Voice WLAN Infrastrukturen durch SVP und WMM Zertifizierung sowie der Möglichkeit den User-/Voice-Traffic direkt am AP in das LAN zu bridgen ohne das dieser zuerst zum WLAN Switch muss. Dadurch werden höhere Latenzzeiten vermie­ den und die Gesprächsqualität verbessert. Enterasys Networks – Solution Guide 2008
    208. Produktportfolio Seite 203 TRPZ-MXR-2 RBT-8110/8210 RBT-8400 Wireless Controller Produkt Interfaces Aktive Aps/ Konfigurationen 1 x 10/100 RJ45 with PoE, Up to 3/3 TRPZ-MXR-2 1 x 10/100 RJ45 without PoE RBT-8110 1 x Gigabit RJ45, 1 x 10/100 RJ45, 1 x Console Up to 24/120 RBT-8210 2 x Gigabit RJ45, 1 x console Up to 72/300 4 x Gigabit (GBIC or RJ45), 1 x Console, up to 120/480 RBT-8400 1 x Flash Card Slot 2 x Gigabit SFP (MGBIC), 1 x console, up to 128/480 RBT-8500 1 x Flash Card Slot Wireless Controller Optionen RoamAbout® 8200 AP Licence Upgrade from 24 AP sup­ RBT-8200-24 port to 48 and 48 to 72 RBT-8400-PSU RBT-8400 spare Power Supply RoamAbout® Wireless Switch 8400 License upgrade RBT-8400-40 40-80 RoamAbout® Wireless Switch 8400 License upgrade RBT-8400-80 40-120 RBT-8500-32 RBT-8500 32 AP LICENSE UPGRADE Management Software • Integriertes RF-Planning & Site Survey Tool. Dadurch werden Pla­ nungsdaten direkt in die Echtumgebung übernommen (Kostener­ sparnis). Das Tool unterstützt sowohl Off-Site Planung, die Inte­ gration von On-Site Planungsdaten (Ekahau) sowie das Erstellen von kompletten Workorders, um die Installation der APs & Switche zu steuern • Effektive & einfache Planung, Konfiguration, Optimierung & Über­ wachung der gesamten WLAN Infrastruktur. • Device & User Management via Templates, um auch großflächige WLANs einfach zu managen Enterasys Networks – Solution Guide 2008
    209. Seite 204 Produktportfolio • Performance-Tracking Auswertung von campusweiten Daten bis hin zum einzelnen User in Echtzeit sowie mit einer Historie von bis zu 30 Tagen • Location-Tracking zur schnellen Lokalisierung von Clients und Rough-APs • Fehler- & Ereignis-Tracking ermöglicht die schnelle Isolierung von Problemen sowohl von Clients als auch von APs • Integriertes WLAN-IDS/IPS System ohne zusätzliche Sensoren Erkennt, ob Fremd-APs im eigentlichen LAN angeschlossen o sind oder nur auf der Funkschnittstelle stören (Klassifizie­ rung Ad-hoc, Rough-AP oder Interfering-AP) Bekämpfung von Rough-APs sowohl auf der Luftschnitt­ o stelle durch Abstoßen der WLAN-Clients als auch an der LAN-Schnittstelle durch MAC-Locking und Policys Erkennen von Flood Attacks, RF-jamming, AP MAC Maskie­ o rung und schwachen WEP Keys Unterstützung von Client BlackLists o • Integrierter „Guest User Manager“ zum Anlegen und Verwalten von temporären Gastzugängen • Skaliert von 1 bis zu 100+ RoamAbout® Switche RoamAbout® Wireless RF Planning Tool RBT-RFPLAN RoamAbout® Switch Manager (RASM)- supports up to RBT-NMS-50 50 Access Points RoamAbout® Wireless Switch NMS upgrade from 50 AP RBT-NMS-50-200 to 200 AP support RoamAbout® Wireless Switch NMS upgrade from 50 AP RBT-NMS-50-UNL to Unlimited AP support RoamAbout® Switch Manager (RASM)- supports up to RBT-NMS-200 200 Access Points RoamAbout® Wireless Switch NMS upgrade from 200 AP RBT-NMS-200-UNL to an Unlimited number of AP support RoamAbout® Switch Management Software (RASM)- RBT-NMS-UNL Unlimited number of Access Points TRPZ-SP SMARTPASS GUEST ACCESS - BASE 50 GUEST TRPZ-SP-ENT LICENSE UPGRADE FOR 10K GUESTS Mehr dazu unter http://www.enterasys.com/products/security-enabled-infrastructure/ro­ amabout.aspx Enterasys Networks – Solution Guide 2008
    210. Produktportfolio Seite 205 Sonstige Komponenten Kabel 20\" Pigtail cable for the RBT-1102/-4102, RBT4K-AG-PT20F Reverse SMA Female connector to Reverse N Female Connector 20\" Pigtail cable for the RBT-1102/-4102, RBT4K-AG-PT20M Reverse SMA Female connector to Reverse N Male Connector RBTES-L200-C20F LMR200 - 20 FT cable Reverse N female RBTES-L400-C50F LMR400 - 50 FT cable Reverse N female RBTES-L400-C75F LMR400 - 75 FT cable Reverse N female RBTES-L600-C25F LMR600 - 25 FT cable Reverse N female RBTES-L600-C50F LMR600 - 50 FT cable Reverse N female TRPZ-ANT-CBL3MM 3m cable for the MP-620 ONLY CABLE REPLACEMENT KIT FOR XPS-620X-OUT TRPZ-XPS-CABL-OUT Antennen Die Verwendung von Frequenzen zum Einsatz von 802.1 a/b/g WLAN ist fast weltweit lizenzfrei möglich. Allerdings unterliegen die verwendbaren Kanäle sowie die maximal mögliche Sendeleistung unterschiedlichen Ein­ schränkungen. Diese sind für die EU im Folgenden aufgezählt. Zu den EU Ländern zählen: Österreich, Belgien, Zypern, Tschechien, Dä­ nemark, Estland, Frankreich, Finnland, Deutschland, Griechenland, Un­ garn, Irland, Italien, Litauen, Lettland, Luxemburg, Malta, Niederlande, Großbritannien, Portugal, Spanien, Slowakei und Polen. Zulässige Kanäle in diesen Ländern sind: für 802.11b/g: 1 – 13 Innenbereich/Außenbereich (2400-2483.5MHz) In Belgien nur Kanal 13 im Außenbereich In Frankreich nur Kanal 1-7 im Außenbereich für 802.11a: 36 – 64 nur Innenbereich (5150 – 5350MHz) 100 – 140 Innenbereich/Außenbereich (5470 – 5725MHz) Enterasys Networks – Solution Guide 2008
    211. Seite 206 Produktportfolio Reichweiten basierend auf dem ETSI Standard Mit RBT-4102-EU (802.11a) und 15dBi bis 15dBi Sektor Antenne (RBTES-AW-S1590M) Signalisie­ Durchsatz Empfohlene Empfohlene rungsrate [Mb/s] max. Reichweite max. Reichweite [Mb/s] (2-25“ L600 (2-50“ L600 Kabel) [km] Kabel) [km] 54 21 0.8 0.4 36 18 1.6 0.9 24 13 2.4 1.4 6 4.5 4.8 2.8 Mit RBT-4102-EU (802.11 b/g) 14dBi bis 14dBi Sektor Antenne (RBTES- BG-S1490M) Signalisie­ Durchsatz Empfohlene Empfohlene rungsrate [Mb/s] max. Reichweite max. Reichweite [Mb/s] (2-25“ L600 (2-50“ L600 Kabel) [km] Kabel) [km] 54 18.3 0.8 0.6 36 15.5 1.6 1.2 24 10 2.4 1.8 6 4 4.8 3.6 Wird eine 8dBi Omni (RBTES-BG-M08M) Antenne statt der 14dBi Sektor Antenne verwendet, ist in etwa mit der halben Entfernung zu rechnen. Anmerkung: Die Ausgangsleistung wird automatisch aufgrund der ausge­ wählten Antenne eingestellt, um den jeweiligen örtlichen regulatorischen Bestimmungen gerecht zu werden. Enterasys Networks – Solution Guide 2008
    212. Produktportfolio Seite 207 Montage Bei der Installation von Antennen im Innen- oder Außenbereich muss auf die richtige Zusammenstellung von Antenne, Kabel und evtl. Blitzschutz geachtet werden. Grundsätzlich erfolgt der Anschluss des Access Points (RBT-4102) an beliebige weitere Komponenten über ein proprietäres Pig­ tail-Kabel. Dabei ist auf Seiten des Access Points ein proprietärer An­ schluss (Reverse SMA Male), auf der anderen Seite ein Reverse N Male oder Female Anschluss vorhanden. Kombinationsbeispiel von Kabeloptionen Die Verbindungskabel haben alle Reverse N female Anschlüsse. Um also den Access Point direkt an ein Kabel anzuschließen, wird ein Pigtail mit Reverse N male Anschluss benötigt. Zum direkten Anschluss einer Anten­ ne oder des Blitzschutzes wird ein Pigtail mit Reverse N female Anschluss benötigt. Mehr Informationen finden Sie auch unter: http://www.enterasys.com/support/manuals/hardware/4254.pdf Enterasys Networks – Solution Guide 2008
    213. Seite 208 Produktportfolio Ohne Einschränkungen einsetzbare Antennen RoamAbout® Range Extender Antenna for RBT4K-AG-IA RBT-1102/4102 Reverse SMA Female Roamabout® Indoor Antenna with Reverse SMA RBT-AG-IA RoamAbout® 2.4GHZ 8DB Omni Ant RBTES-BG-M08M Reverse N Male RoamAbout® 4.9-5.9GHZ Sect Ant RBTES-AW-S1590M Reverse N Male RoamAbout® 2.4GHZ 14DB Sect Ant RBTES-BG-S1490M Reverse N Male Nur in Nordamerika einsetzbare Antennen (Ausnahme: RBTES-BG-P18M auch in Japan einsetzbar) RoamAbout® 2.4GHZ 18DB Pane Ant RBTES-BG-P18M Reverse N Male RoamAbout® 5.8GHZ 23DB Panel RBTES-AH-P23M Reverse N Male RoamAbout® 5.7-5.GHZ 10DB Omni RBTES-AH-M10M Reverse N Male RoamAbout® 2.4GHz 24dB Parabolic Anternna Re­ RBTES-BG-PAR24M verse N Male RoamAbout® 5.3GHZ 10DB Omni RBTES-AM-M10M Reverse N Male Blitzschutz Lightening Protector 2.4/5GHZ RBTES-AG-LPM Reverse N Male TRPZ-ANT-LGTNG 2.4GHz and 5GHz LP for the MP-620 ONLY Enterasys Networks – Solution Guide 2008
    214. Produktportfolio Seite 209 Degree Sector Antennen für RBT-1602 RoamAbout® 2.4GHz 10dBi X 60 Degree Sector for RBTES-BG-S1060 the RBT-1602 AP RoamAbout® 2.4GHz 7dBi X 120 Degree Sector for RBTES-BG-S07120 the RBT-1602 AP RoamAbout® 2.4GHz 6dBi X 180 Degree Sector for RBTES-BG-S06180 the RBT-1602 AP and TRPZ-MP-422 RoamAbout® 5.15-5.8GHz 14dBi X 60 Degree Sector RBTES-AW-S1460 for the RBT-1602 AP RoamAbout® 5.15-5.8GHz 12dBi X 120 Degree Sec­ RBTES-AW-S12120 tor for the RBT-1602 AP RoamAbout 5.15-5.8GHz 10dBi X 180 Degree Sector RBTES-AW-S10180 for the RBT-1602 AP Degree Sector Antennen für MP-620 2.4GHz 10dBi x 120 degree Sector Antenna for the TRPZ-ANT-1120 MP-620 ONLY. 2.4GHz 8dBi Omni Directional Antenna for the MP-620 TRPZ-ANT-1360 ONLY 5GHz 13dBi x 120 degree Sector Antenna for the MP-620 TRPZ-ANT-5120 ONLY 5GHz 8dBi Omni Directional Antenna for the MP-620 TRPZ-ANT-5360 ONLY Optionen für MP-620 TRPZ-XPS-6201-OUT HARDENED OUTDOOR POWER SUPPLY FOR MP-620 Enterasys Networks – Solution Guide 2008
    215. Seite 210 Produktportfolio Enterasys VDSL Optionen Mit den Enterasys VDSL Systemen können über bis zu 3km Länge Ether­ net und PoE über bestehende Zweidrahtleitungen übertragen werden. Neuartige Übertragungstechniken garantieren eine bislang nur von Glasfa­ sern bekannte Übertragungsqualität. Gleichzeitig wird beim Vierdrahtbetrieb eine vollautomatische Redundanz ermöglicht, welche eine zuverlässige Versorgung der entfernten Standorte garantiert. Damit können PoE fähige Komponenten wie IP Security Kameras, IP Pho­ nes oder Access Points praktisch an allen Standorten mit einfacher Ver­ drahtung eingesetzt werden. Longreach Ethernet+PoE über Klingeldraht Dabei wird ein Durchsatz von bis zu 75 Mbps im Up- und Downstream er­ reicht. Pro Port stehen auch bei 3km noch 24/2 = 12 Watt Leistung zur Verfügung. Durchsatz und Leistung vs. Drahtlänge Enterasys Networks – Solution Guide 2008
    216. Produktportfolio Seite 211 Komponenten im Überblick ETS43002 ETS43114 (Client-Unit) (Master-Unit) ETS43114 MOTOROLA XLP-6824 MASTER POE UNIT - 4 UTP PORTS – ROHS, Requires 1 to 4 XLP-6802 Client ETS43002 MOTOROLA XLP-6802 POE CLIENT UNIT-ROHS ETS42202 XL68A 2-WIRE ADAPTER OPTION FOR XLP68XX Technische Eigenschaften Management • Console, Telnet, Web • ACL's, Management VLAN • SNMPv1,2c Kapazitäten • 128 VLANs supported • 2 Hardware Queues Spezifikationen • Abmaße H/B/T: ETS43114: 35,5cm (14”)x 22,8cm (9”)x 4,4cm (1,75”) ETS43002: 10cm (4”)x 16,5cm (6,5”)x 3,8cm (1,5”) • Betriebstemp.: ETS43114: 0°C bis 50 °C ETS43002: -20°C bis 70 °C • Zulässige Feuchtigkeit: 5 bis 95% non-condensing • Stromaufnahme (ETS43114): 100-240V AC, 50-60Hz, 300W max, 30,8W pro ETS43002 Client Enterasys Networks – Solution Guide 2008
    217. Seite 212 Produktportfolio X-Pedition Security Router Die VPN Technologie verbindet die Vorteile des Internets (IP-basierte, ein­ fache Technologie – \"überall\" Zugriff möglich) und der modernen Krypto­ graphie zu einer völlig neuen Betrachtungsweise des Zugriffs auf Unter­ nehmensnetze. Anwendungsbereiche des XSR Enterasys Networks stellt mit den X-Pedition Security Routern eine ganze Palette von Lösungen für die sichere Anbindung von Mitarbeitern und Außenstellen bereit. Mehr Informationen unter http://www.enterasys.com/products/routing/xsr/. Enterasys Networks – Solution Guide 2008
    218. Produktportfolio Seite 213 XSR-1805, 1850 Der XSR-1805 ist das Einstiegsprodukt der Enterasys Familie von Sicher­ heitsroutern für Zweigstellen. Er bietet leistungsfähige IP-Routing Fähig­ keiten in Kombination mit fortschrittlichen Sicherheitsmerkmalen wie Ga­ teway-to-Gateway und Client-to-Gateway Virtual Private Networking. Der rack-mountable XSR-1850 ist das richtige Produkt für Zweigstellen mit geschäftskritischen Applikationen, die 24 Stunden am Tag, 7 Tage in der Woche verfügbar sein müssen. Er bietet über 200 parallel laufende IP­ Sec/3DES VPN Tunnels und zusätzlich eine optionale Stromversorgung und redundante Lüfter. Der XSR-1805 ist die kleinere Variante, von Haus aus mit weniger Spei­ cher ausgestattet, aber bis zur Kapazität des XSR-1850 aufrüstbar. Komponenten im Überblick Chassis XSR-1805 XSR-1850 Optionen XSR-1805-RKMT Rackmount kit for XSR-1805 XSR-18XX-VPN VPN code upgrade for XSR-1800 series XSR-18XX-FW Firewall code upgrade for XSR-1800 series XSR-18XX-VPN-FW VPN & Firewall code upgrade for XSR-1800 series XSR 1850 series Redundant power center, chassis and 1 pwr supply. Compatible w/XSR-1850 rev le­ XSR-RPC vel OL or higher. European ESD restrictions to some older hardware revisions Redundent Power supply for XSR1850,up to 4 XSR-RPOWER-1850 mount in XSR-RPC XSR-128MB-MEM 128 Mb Memory upgrade for XSR-1850 Enterasys Networks – Solution Guide 2008
    219. Seite 214 Produktportfolio XSR-3020, 3150, 3250 Die Security Router der XSR 3000 Serie ermöglichen ein einfaches und leistungsfähiges Betreiben von WANs durch die Kombination umfangrei­ cher IP-Routing Merkmale, eine breit gefächerte Auswahl an WAN-Schnitt­ stellen, vielfältige Sicherheitsfunktionalitäten wie Gateway-to- Gateway/Client-to-Gateway VPN und Policy Managed Stateful Inspection Firewalling. Im Gegensatz zu anderen WAN-Geräten bieten die XSR-Rou­ ter hoch entwickelte Sicherheitslösungen und sind in der Lage selbst dann Wirespeed-Leistung zu liefern, wenn alle Funktionalitäten aktiviert sind. Außerdem haben sie im Gegensatz zu typischen Sicherheitsappliances die Möglichkeit zum umfangreichen IP-Routing und eine Vielzahl verfügbarer WAN-Schnittstellen. Komponenten im Überblick Chassis XSR-3150 XSR-3250 Optionen XSR-3020-FW Firewall feature set for XSR-3020 XSR-3020-VPN VPN feature set for XSR-3020 XSR-3020-VPN-FW Firewall & VPN feature set bundle for XSR-3020 XSR-3XXX-FW Firewall feature set for XSR-3150, XSR-3250 XSR-3XXX-VPN VPN feature set for XSR-3150, XSR-3250 Firewall & VPN feature set bundle for XSR-3150, XSR-3XXX-VPN-FW XSR-3250 Upgrade to 512MB DRAM for the XSR-3150 and XSR-512MB-MEM XSR-3250. Kit contains two 128MB memory cards (available with XSR Release 6.0) XSR-NCC-250-4XX Spare NIM Carrier Card for XSR-3250 Enterasys Networks – Solution Guide 2008
    220. Produktportfolio Seite 215 Übersicht - XSR's Kapazitäten XSR-180 XSR-185 XSR-302 XSR-315 XSR-325 5 0 0 0 0 NIM Slots 2 2 2 2 6 Fixed 10/100/1000 - - 3 3 3 LAN Ports Fixed 10/100 2 2 - - - LAN Ports Optional Gigabit Mini-GBIC Mini-GBIC Mini-GBIC Ethernet * IP-Routing Perfor­ 50k PPS 60k PPS 250k PPS 525k PPS 600k PPS mance 3,000 3,000 VPN Tunnels 50 200 1000 (upgrade­ (upgrade­ able) able) VPN Throughput 100Mbps 100 Mbps 100 Mbps 350 Mbps 350 Mbps Firewalling Through­ 200 180Mbps 1.1Gbps 2Gbps 2+Gbps put Mbps Simultaneous 12,500 80,000 150,000 400,000 450,000 Firewall Sessions Redundant Power No Optional No Standard Standard Supplies * Use of optional Mini-GBIC disables use of 1 fixed LAN port. Enterasys Networks – Solution Guide 2008
    221. Seite 216 Produktportfolio Spezifikationen XSR-1805 • Abmaße 35.6 cm (14\") L x 25.4 cm (10\") W x 6.4 cm (2.5\") H • Gewicht 3.18 kg (7 lb) XSR-1850 • Abmaße 25.4 cm (10\") L x 43.1 cm (17') W x 5.0 cm (2\") H • Gewicht 4.08 kg (9 lb) XSR-3020 • Abmaße H/B/T: 53.3 cm (21\") L x 42.9 cm (16.9\") W x 4.2 cm (1.6\") H • Gewicht: 7.72 kg (17 lbs) XSR-3150 • Abmaße H/B/T: 53.3 cm (21\") L x 42.9 cm (16.9\") W x 4.2 cm (1.6\") H • Gewicht: 9.09 kg (20 lbs) XSR-3250 • Abmaße H/B/T: 53.34 cm (21\") L x 43.22 cm (16.9\") W x 6.4 cm (2.5\") H • Gewicht: 13.154 kg (29 lbs) XSR-1805, 1850, 3020, 3150, 3250 • Betriebstemperatur 0° C bis 40° C (32° F bis 104 ° F) • Temperaturgrenzwerte -40° C bis 70° C (-40° F bis 158° F) • Zulässige Feuchtigkeit 5% bis 90% (non-condensing) • Energieverbrauch (bei 100 bis -240~ Volts) 25W Weitere Informationen finden Sie unter http://www.enterasys.com/products/routing/XSR-3xxx/. Enterasys Networks – Solution Guide 2008
    222. Produktportfolio Seite 217 XSR Network Interface Module Für die X-Pedition Security Router Serie sind eine Vielzahl von Network In­ terface Modulen für alle wichtigen Technologien im WAN Bereich verfüg­ bar. NIM-BRI-ST-01 1 port ISDN BRI with S/T interface NIM-BRI-ST-02 2 port ISDN BRI with S/T interface NIM-ADSL-AC-01 1 port ADSL NIM (Annex AC – POTS) NIM-ADSL-B-01 1 port ADSL NIM (Annex B – ISDN) NIM-CT1E1/PRI-1 1 port chan T1/E1 ISDN PRI with CSU/DSU NIM- CT1E1/PRI-2 2 port chan T1/E1 ISDN PRI with CSU/DSU NIM- CT1E1/PRI-4 4 port chan T1/E1 ISDN PRI with CSU/DSU NIM-DIRELAY-02 2-port T1/E1 Drop and Insert Card G.703 Balun with 120-ohm UTP (RJ-45F) to NIM-E1-COAX-BLN 75W dual-BNC cables NIM-SER-02 2 port High speed serial NIM NIM-SER-04 4 port High speed serial NIM NIM-T1/E1-01 1 port fractional T1/E1 DSU/CSU NIM NIM-T1/E1-02 2 port fractional T1/E1 DSU/CSU NIM NIM-T1/E1-04 4 port fractional T1/E1 DSU/CSU NIM NIM-T3/E3-01 1 port fractional T3/E3 DSU/CSU NIM NIM-ETHR-01 One port 10/100 Copper ethernet NIM NIM-FIBR-01 One port 100Base-Fx MMF NIM 4 port RS232/EIA530 DTE serial cable for NIM-232-CAB-04 NIM-SER-xx 4 port combination V.35/RS232 DTE serial cable NIM-DBU1-CAB-04 for NIM-SER-xx NIM-V35-CAB-04 4 port V.35 DTE serial cable for NIM-SER-xx NIM-X21-CAB-04 4 port X.21 DTE serial cable for NIM-SER-xx Enterasys Networks – Solution Guide 2008
    223. Seite 218 Literaturhinweise Literaturhinweise www.enterasys.com - Unsere Homepage in Englisch • www.enterasys.com/de/ - Unsere Homepage in Deutsch • http://extranet.enterasys.com – Unser Portal für Enterasys Partner • und zentrale Dienste wie Lizenzverwaltung www.enterasys.com/products/ - Unsere Produktlinien • www.enterasys.com/support/manuals/ - Unsere Handbücher für die • verschiedenen Produkte www.enterasys.com/download/ - Unsere Downloadlibrary, unter der • Sie Firmware & Release Notes finden www.enterasys.com/products/ids/ - Enterasys Intrusion Defense • www.10gea.com/ - 10 Gigabit Ethernet Alliance • www.wi-fi.com – Wireless Fidelity • grouper.ieee.org/groups/ - IEEE Standards Working Groups • www.faqs.org – Internet FAQ Archives • Downloads http://www.enterasys.com/download/ - • Firmware, Software, Release Notes http://www.enterasys.com/products/management/downloads/ - • Software Downloads & Evaluations (NetSight®) http://www.enterasys.com/support/manuals/ - • Hardware & Software Manuals https://dragon.enterasys.com/ • DSCC und Dragon® IDP downloads+manuals Enterasys Networks – Solution Guide 2008
    224. Literaturhinweise Seite 219 Enterasys GTAC Support in Deutsch Montag - Freitag von 9:00 - 18:00 Uhr (MET) Support in Englisch Montag - Sonntag ganztägig Hotline Nummer für: Deutschland: 0800 / 1014-164 Österreich: 0800 / 2927-74 Schweiz: 0800 / 5620-89 per Email: eurosup@enterasys.com Einen Online RMA Antrag finden Sie unter: http://www.enterasys.com/support/email_forms/germanrma/ Enterasys Knowledgebase Dies ist ein wertvolles Werkzeug, welches Zugriff auf häufig gestellte Fra­ gen (FAQ), Anleitungen, Release Notes und weitere Artikel mit Know-How Ratschlägen, Beispielkonfigurationen, Problemlösungen und hilfreichem Material bietet.Für eine Übsicht zum Thema “Best Practice for Enterasys Knowledgebase Searches”, sehen Sie bitte auf folgender URL nach: https://knowledgebase-enterasys.talismaonline.com/article.aspx?article=10104&p=1. Ansonsten ist die Knowledgebase erreichbar über: https://knowledgebase-enterasys.talismaonline.com/ Enterasys Webguide Enterasys Web extern http://www.enterasys.com • Enterasys Feature Guides: • http://secure.enterasys.com/support/manuals/f.html#M EnteraNews http://www.lcoim.com/Enterasys/EnteraNews/ • Automatische Benachrichtigung http://sweval.enterasys.com/notify/ • File Exchange http://www.enterasys.com/support/exchange/ • Whitepapers http://www.enterasys.com/de/products/whitepapers/ • Handbücher: http://www.enterasys.com/support/manuals/ • Visio, Cat & Co • http://www.enterasys.com/support/graphic-icons/index.html MIBs http://www.enterasys.com/support/mibs/ • Partner WEB http://extranet.enterasys.com/ • Enterasys Networks – Solution Guide 2008
    225. Seite 220 Literaturhinweise Enterasys Newsletter (Registrierung) http://www.enterasys.com/cor­ • porate/pr/newswire/ Enterasys Events, Roadshows & Trade Fairs (Deutschland) • http://www.enterasys.com/de/events https://dragon.enterasys.com/ - • Dragon® Security Suite Enterasys Networks – Solution Guide 2008
    226. Impressum Seite 221 Impressum Herausgeber Enterasys Networks Germany GmbH Solmsstr. 83 60486 Frankfurt Tel: +49 (0)69/47860-0 Fax: +49 (0)69/47860-109 Überarbeitung David Prantl Jochen Müdsam Josef Brunner Sarah König Ralf Klockewitz Markus Nispel © 2008 Enterasys Networks Germany GmbH Enterasys Networks – Solution Guide 2008
    227. Seite 222 Impressum Enterasys Networks – Solution Guide 2008

    + guest1660396guest1660396, 6 months ago

    custom

    1042 views, 0 favs, 0 embeds more stats

    More info about this document

    © All Rights Reserved

    Go to text version

    • Total Views 1042
      • 1042 on SlideShare
      • 0 from embeds
    • Comments 0
    • Favorites 0
    • Downloads 13
    Most viewed embeds

    more

    All embeds

    less

    Flagged as inappropriate Flag as inappropriate
    Flag as inappropriate

    Select your reason for flagging this presentation as inappropriate. If needed, use the feedback form to let us know more details.

    Cancel
    File a copyright complaint
    Having problems? Go to our helpdesk?

    Categories

    -->
    Search
    RSS Feed
    What's new?

    © 2009 SlideShare Inc. All Rights Reserved