Aspekte von „NETng“ - ITEK - ETH Zürich

itek.ethz.ch

Aspekte von „NETng“ - ITEK - ETH Zürich

Aspekte von „NETng“29.10.20031 EinleitungDas bestehende Datennetzwerk ist im Normalfall sehr leistungsfähig und stabil. Es erfüllt die bisherigenAnforderungen in einem sehr hohen Masse. Wie wir schon mehrfach erlebt haben, ist es jedocheine Tatsache, dass bei einem sicherheitsrelevanten Vorfall die Stabilität des Netzwerkes (zu) schnellnicht mehr gewährleistet werden kann. Vor allem sind sofort sehr viele Rechner betroffen. Mit demProjekt NETng soll sich diese Situation in mehrfacher Hinsicht verbessern. Die Auswirkungen einessicherheitsrelevanten Vorfalls werden durch Segmentierung so weit wie möglich auf die verursachendeOrganisationseinheit limitiert. Mit dem Einsatz eines dedizierten Firewalls pro Organisationseinheitkönnen wir zudem auf die Sicherheitsbedürfnisse jeder Organisationseinheit weitgehend eingehen.Mit der User- resp. Rechner-Authentisierung wird die Kontrollier- und Nachvollziehbarkeit der Netzwerkbenutzunggenerell deutlich verbessert.Tritt ein Störfall ein, bindet die Bewältigung eines sicherheitsrelevanten Vorfalls bindet extrem vieleRessourcen, indem die „normale“ Arbeit nicht mehr verrichtet werden kann und allenfalls auch wertvolleArbeitsergebnisse verloren gehen. Solche Vorfälle werden in Zukunft leider vermehrt auftreten,auch wenn mit hohem Aufwand versucht wird, alle Rechner möglichst gut zu warten.Die Implementation des Projekts NETng benötigt erhebliche Investitionen in Hardware, Software undBetreuung. Die Anzahl der Vorfälle werden mit NETng wahrscheinlich nicht wesentlich abnehmen.Auch der notwendige Aufwand zur Pflege der Rechner wird nicht wesentlich abnehmen. Die Auswirkungenvon Vorfällen werden jedoch erheblich geringer werden. Dadurch wird die Bewältigung dieserVorfälle wesentlich vereinfacht und verschnellert. Der Gegenwert zu den Investitionen in NETng liegtdamit vorwiegend darin, dass die Angehörigen der ETH in Zukunft ihre eigentliche Arbeit sicherer undnachhaltig tun können.2 ZusammenfassungMit NETng wird das Datennetzwerk der ETH Zürich ein neues Gesicht erhalten. Die Gruppe Datenkommunikationsieht sich neu in der Rolle eines Service-Providers (analog etwa der Swisscom); dieeinzelnen Departemente, Institute oder Professuren werden als untereinander unabhängige Firmenangesehen, die über die Infrastruktur des Service-Providers ihr eigenes Datennetz mit eigener Sicherheitspolitikhaben. Jede Firma hat ihre diversen Subnetze, die über die ganze ETH verteilt seinkönnen und untereinander hoch performant gerouted werden. Beim Übergang zum Internet befindetsich eine Firewall, die dem Firmennetz einen gewissen Schutz gegenüber dem Internet und den anderenETH-Firmen bietet.In NETng erhält das Docking-Netz eine grössere Bedeutung. Docking-Dosen werden in jedem Büro,Sitzungszimmer, usw. zu finden sein. Wer seinen Rechner über diese Docking-Dosen mit dem Datennetzverbinden will, muss sich zuerst mittels IEEE802.1x authentisieren, bevor es ihm oder ihrüberhaupt möglich ist, eine Datenverbindung aufzubauen. Hat sich die Person erfolgreich authentifiziertwird sie direkt auf ihr Firmennetz geschaltet, sofern sie von der Firma dieses Privileg erhaltenhat. Ohne ein solches Privileg wird sie automatisch auf ein Public-Netz geschaltet. Dieses erlaubt ihr,mit dem Internet zu kommunizieren, ihr Rechner wird aber von allen ETH-Firmen gleich behandelt,wie irgendein Rechner aus dem weiten Internet. Ist der Rechner nicht IEEE802.1x fähig, so kann diePerson über das klassische VPN immer noch Netzzugriff erhalten.NETng Aspekte 1.6.doc 1/19


3 Netzwerktechnischer Aspekt3.1 Wandel von einem Enterprise-Netz zu einem Service-Provider-NetzSeit dem Wechsel von der Breitbandtechnologie (KOMETH) zur Ethernettechnologie (KOMETHngund Vorläufer) in den späten Neunziger Jahren des letzten Jahrtausend, hat sich das Datenvolumenauf dem Netzwerk der ETH um mehr als das Dreissigfache gesteigert. Der tägliche Betrieb in Forschung,Lehre und Administration ist heute ohne ein gut funktionierendes Datennetz nicht mehr denkbar.Um ein solches Funktionieren auch in Zukunft weiter zu gewährleisten zu können, ist ein weitererParadigmenwechsel notwendig. Bis anhin weist das Datennetz der ETH Zürich kaum Sicherheitselementein Form von Access-Filtern auf und der Schutz der Geräte wird einzig und alleine in den Gerätenselbst implementiert. Mit NETng werden neben der Möglichkeit einer Aufteilung des Datennetzesnach Organisationseinheiten auch Sicherheitselemente im Datennetz selbst eingebaut. Dadurch könnendie verantwortlichen Personen in ihrem Alltagsbetrieb in Bezug auf IT-Sicherheit stark unterstütztwerden.3.1.1 Enterprise-NetzDas heutige Datennetz KOMETHng ist auf der physischen Ebene sternförmig aufgebaut. Es bestehtaus mehreren so genannten Netzwerkzonen, welche sternförmig miteinander verbunden sind (dem sogenannten Backbone). Jede Netzwerkzone besitzt einen zentralen Knoten, der alle Gebäude seinerZone verbindet. Der Gebäude-Knoten wiederum erschliesst alle Etagen. An den Etagenknoten werdendann letztlich über die UTP-Dose, die Endgeräte (Computer, Drucker, ...) angeschlossen. Werdenin einem Raum mehr Geräte betrieben, als UTP-Anschlüsse vorhanden sind, müssen so genanntePortvermehrer eingesetzt werden.OfficeEdgeCore• Router•• Switch•• Portermehrer F.K. 16. Okt. 2003NETng Aspekte 1.6.doc 2/19


Die zentralen Knoten der verschiedenen Netzwerkzone werden durch Router miteinander verbunden.Innerhalb einer Netzwerkzone können die Ports der Etagenswitches zu VLANs (Virtual Local AreaNetwork) zusammengeschaltet werden. Theoretisch können VLANs Netzwerkzonen übergreifendsein. Die Praxis zeigt aber, dass übergreifende VLANs die Netzwerkstabilität erheblich negativ beeinflussen.Aus diesem Grund werden netzwerkzonenübergreifende VLANs nur in Ausnahmefällen eingesetzt.Das heutige Datennetz hat weiter die schwerwiegende Einschränkung, dass Institute oderOrganisationseinheiten, die geographisch auf verschiedene Standorte verteilt sind, netzwerktechnischnicht zu einer Einheit zusammengefasst werden können.Ein VLAN entspricht an der ETH Zürich meistens einem Subnetz das durch einen IP-Nummernbereich definiert ist und durch einen Router, ohne ein Sicherheitselement, von allen anderenSubnetzen abgegrenzt ist. Die meisten Organisationseinheiten besitzen heute ein oder mehrereSubnetze. Wenn immer möglich, wird ein Subnetz nicht von mehreren Organisationseinheiten benutzt.Leider befinden sich in einem Subnetz alle Arten von Geräten (PC, Drucker, Server usw.). Auchdie Benutzerschaft (Administration, Forschung, Lehre) ist bunt gemischt, was eine klare Zugriffsregelungverunmöglicht.3.1.2 Service Provider NetzNETng verwendet die an unsere Umgebung angepassten Methoden und Technologien der grossenCarriernetzwerke. Dadurch wird es neu möglich, die ETH-Benutzerschaft in ihren Organisationseinheitennetzwerktechnisch in „Virtual Private Zones“ zusammenzufassen. Jede dieser Zonen hat ihreeigenen Server-, Docking-, Client- und Spezial-Subnetze und ist von anderen Zonen vollständig entkoppelt.Eine „Virtual Private Zone“ entspricht im Carrier-Business einer Firma, die ihre Standorte inverschiedenen Regionen habt und mit anderen Firmen dieselbe Carrier-Backbone-Infrastruktur benutzt.Jede „Virtual Private Zone“ hat dabei ihre eigene Sicherheitspolitik.3.1.3 Einführung der MPLS TechnologieDas Schlüsseltechnologie für „Virtual Private Zones“ ist das Multiprotocol Label Switching (MPLS),welches seinen Ursprung im Tag-Switching hat und Mitte der 90er Jahre auf Basis der ATM Technologieentwickelt wurde. MPLS wurde Ende der Neunziger Jahre auf die Ethernet-Technologie adaptiert.Im Carrier-Bereich wird diese Technik seit ein paar Jahren erfolgreich eingesetzt. Im Enterprise-Bereich wird die ETH eine der ersten sein, die damit arbeiten werden. Die erforderliche Hardware dazuist relativ neu auf dem Markt und muss daher gut getestet werden. Der Hersteller, in unserem Falldie Firma Cisco, hat im Carrier-Business reichlich Erfahrung und wir können davon ausgehen, dassdiese Erfahrung in die Entwicklung der neuen Hardware eingeflossen ist.Wir von der Gruppe Datenkommunikation haben mittlerweile grosse Erfahrung im Betrieb von herkömmlichenEnterprise-Netzen. Das Betreiben der MPLS-Technologie ist jedoch für uns Neuland.Deswegen legen wir grossen Wert darauf, die Personen, welche das Netz betreiben werden, vorgängigauszubilden. Zudem sind umfangreiche Labor- und Betatests durchzuführen. Trotzdem ist zu erwarten,dass zu Beginn Stabilitätsprobleme auftreten werden, denn Labor-Netze verhalten sich immeranders als ein Produktionsnetz.NETng Aspekte 1.6.doc 3/19


3.2 Firewall als Sicherheitselement3.2.1 Status QuoBis anhin gilt an der ETH Zürich der Grundsatz, dass das Netzwerk und die Internetanbindung möglichstwenig Restriktionen haben sollten. Die notwendigen Sicherheitsvorkehrungen müssen in den andas Datennetzwerk angeschlossenen Computer selbst vorgenommen werden. Das Netzwerk bietetkeinen Schutz, die Computer schützen sich selbst.Durch den SecITEK-Bericht (siehe http://www.secitek.ethz.ch) wird dieser Zustand als nicht mehr zeitgemässtaxiert.3.2.2 SecITEKDie IT-Expertenkommission der ETH (ITEK) stellte vor ca. 2 Jahren eine erhebliche Diskrepanz zwischender Wichtigkeit von IT-Funktionalitäten und dem Grad an Sicherheitsdenken und -handeln indiversen IT-Bereichen fest. Um die Situation zu verbessern, hat sie den Arbeitsschwerpunkt definiertund die Arbeitsgruppe SecITEK gebildet, welche nach eingehender Analyse auch Sicherheitselementemit der Möglichkeit einer Segmentierung im Datennetz verlangt. Durch eine Segmentierung miteingebauten Sicherheitselementen soll eine robuste Netzstruktur, sowohl gegen innen (Entkoppelung)als auch nach aussen (Firewall) geschaffen werden.3.2.3 Firewall Einsatz in NETngDen Vorschlag des SecITEK-Berichtes, alle Subnetze mit einer klassifizierten Accessliste (ACL) imRouter zu schützen, haben wir ausgiebig getestet und er hat sich aus den folgenden Gründen alsnicht praktikabel erwiesen:- 1400 Accesslisten (700 Subnetze mit je einem „In“- und „Out-Access-Filter) zu administrieren,bedeutet einen sehr hohen Aufwand.- Die Anzahl Accesslisten, die ein Router mit Hardwareunterstützung abarbeiten kann, sindsehr beschränkt. Dies bedeutet, dass die meisten der 1400 Accesslisten im Router ohneHardwareunterstützung in Software abgearbeitet werden müssen, was diese Router nichtleisten können.- Da ACLs fast nicht „stateful“ sind, werden die systembedingten nicht gewollten Einschränkungenumso grösser, je dichter ein Filter ist.- Je „statefuler“ ein Filter ist, desto schneller wird die CPU des Routers ausgelastet sein.- Protokollspezifische Eigenschaften werden von Filtern auf der Router-Ebene nicht unterstützt.A priori können Firewalls Filtering besser handhaben. Da sie „stateful“ sind und sie mit den spezifischenEigenschaften von wichtigen Protokollen wie ftp, h.323 … umgehen können, wären die meistenoben erwähnten Probleme mit einem Firewall als Routerersatz besser handhabbar.Die Umsetzung des SecITEK-Berichtes mit Firewalls ist technisch möglich, aber nur mit einem hohenAufwand für das Firewall-Management. Weiter ist zu beachten, dass die besten und schnellsten Firewallsheute einen Durchsatz von etwa 3-5 Gbit/sec haben. Auch wenn alle 10 Backbone-Knoten imNetz mit solchen Firewalls bestückt werden, wird dieser Durchsatz mit zukünftigen Applikationen nichtmehr genügend sein. Das Konzept der „1000 Firewalls“ skaliert im Bereich Performance schlecht.NETng Aspekte 1.6.doc 4/19


Mit dem skizzierten technischen Konzept von NETng werden die wichtigen Anliegen des SecITEK-Konzepts implementiert. Dies jedoch nicht pro Subnetz, sondern pro „homogene“ Usergruppe resp.Organisationseinheit (VPZ). Damit kann innerhalb einer Organisationseinheit die sehr sinnvolle, zumTeil bereits erfolgte Aufteilung in User- und Server-Subnetze weiter verfolgt werden, ohne längerfristigeNetzwerk-Performance Probleme befürchten zu müssen. Die Netzwerk-Sicherheit kann auch fürjede Organisationseinheit massiv erhöht werden. Die Anzahl der (virtual) Firewalls wird von 1000 aufmaximal 200 verkleinert, was die Lizenzkosten massiv senkt. Ausserdem wird die Komplexität desFirewall-Managements gesenkt. Das Konzept der Vereinbarungen zur Ausgestaltung der Sicherheits-Regeln wird ebenfalls vereinfacht, weil nicht mehr pro Subnetz, sondern „nur“ noch pro VPZ eine Vereinbarunggetroffen werden muss.3.2.4 Firewall als ein SicherheitselementMit einer Firewall-Struktur wird das Datennetz nicht einfach sicherer. Eine Firewall ist nur ein Sicherheitselementinnerhalb einer Sicherheitsstrategie. Sie kann allenfalls verhindern, dass Maschinen vonausserhalb gescannt und auf Verletzlichkeiten und Schwachstellen untersucht werden Sie kann abernicht verhindern, dass Maschinen innerhalb einer VPZ sich gegenseitig angreifen. Auch Viren, diesich über Mails verbreiten, werden zurzeit durch eine Firewall nicht verhindert.3.3 Dynamisierung der NetzwerkumgebungIm Bereich des Einzelplatzcomputers sehen wir zurzeit zwei „neue“ Tendenzen:- PCs (meist Windows-Rechner), die immer kleiner und flexibler werden und ein ständiger Begleitersind. Sie werden somit auch in verschiedenen Räumlichkeiten benutzt. Es kann davonausgegangen werden, dass Notebooks die klassischen PCs im Office-Bereich langfristigverdrängen werden.- PCs (meist Linux-Rechner), die ab einem Server booten und deren CPU-Leistung, wenn sienicht durch den lokalen Benutzer gebraucht wird, in einem Cluster verwendet wird.Das Datennetz an der ETH soll in Zukunft so gestaltet sein, dass die Mobilität der BenutzerInnen unterstütztwird und sie von jedem Datenanschluss aus in ihre „Virtual Private Zones“ geschaltet werden,wie an ihrem eigene Arbeitplatz.Realisiert wird dies, indem die UTP-Dose bzw. das damit verbunden Port am Switch nicht mehr einemfesten VLAN/Subnetz zugewiesen wird. Vielmehr wird es in einen Docking-Mode gesetzt und automatischüber die Authentisierung der NetzwerkbenutzerIn „ihrer“ „Virtual Private Zone“ zugeordnet.Um diesen Komfort erreichen zu können, ist es wichtig, dass möglichst viele Ports im ETH-Netz auf„Docking“ geschaltet werden.Häufig besteht die Problematik, dass MitarbeiterInnen oder StudentenInnen ihr privates Notebookmitnehmen, um an der ETH arbeiten zu können. Diese Geräte sind nicht unter der Kontrolle einerentsprechenden Organisationseinheit und weil sie vielfach ein sicherheitstechnisches Problem darstellen,werden sie von den Informatik-Supportgruppen der entsprechenden Einheiten nicht gern gesehen.Mit dem neuen Konzept können diese Geräte an einem Docking-Port angeschlossen werden und dieVerantwortlichen einer „Virtual Private Zone“ können entscheiden, unter welcher Netzberechtigungdas Gerät arbeiten darf.NETng Aspekte 1.6.doc 5/19


3.4 NetzwerkauthentisierungEine Netzwerkauthentisierung soll aus folgenden Gründen eingeführt werden:- Wir betrachten das Datennetzwerk als eine Ressource, die nicht jedeR einfach so benutzendarf. Analog wie es bei anderen Ressourcen schon immer der Fall war.- Die Zuweisung IP-Nummer zu Benutzer muss aus sicherheitstechnischen Gründen nachvollziehbarsein.- Es erlaubt die Dynamisierung des Datennetzwerkes und die Kontrolle darüber, wer in welchesVPZ geschaltet werden darf.3.4.1 Authentisierung über den Standard IEEE802.1xSeit ein paar Jahren gibt es vom IETF den Standard IEEE802.1x, der es erlaubt, Netzwerkauthentisierungdurchzusetzen. Im Wesentlichen beruht er darauf, dass ein Port eines Switches erst frei geschaltetwird, wenn sich der User mit Username und Passwort (später auch Zertifikaten) validiert hat.Zur Validierung wird auf dem Computer ein Programm gestartet, welches sich beim Port des Switchesanmeldet, ihm den Usernamen und das Passwort übergibt. Der Switch überprüft diese Angaben beieinem zentralen Radius Server, schaltet, bei erfolgreicher Anmeldung, den Port ein und verbindet denComputer mit dem für diesen User vorgesehenen VLAN/Subnetz.Leider geschieht die Implementierung auf den Betriebssystemen nur zögerlich und hat sich erst imBereich der WLAN (Wireless LAN) etabliert. Bis jetzt ist IEEE802.1x auf den folgenden Plattformen(eingeschränkt) funktionsfähig:- Auf Win95 ist keine IEEE802.1x Client vorhanden und wird es wohl auch nie geben.- Für Win98, WinNT, WinME und Win2000 gibt es von Microsoft einen Zusatz, der gratis erhältlichist.- Für WinXP gibt es einen integrierten IEEE802.1x Client- Für MacOS8/9 gibt es keinen Client und wird es wohl auch nie geben.- Für MacOSX gibt es bisher keinen Client von Apple, jedoch einen Versuch einer OpenSourceImplementation. Die MacOSX Version 10.3 (Panther) soll IEEE802.1x fix implementierthaben.- Für Linux gibt es eine bisher von uns nicht getestete OpenSource Implementation.- SunOS ?- HP/UX ?Wir sind aber überzeugt, dass sich IEEE802.1x mittelfristig durchsetzen und von allen modernen Betriebsystemenunterstützt wird. Die flächendeckende Implementierung von IEEE802.1x ist neu. Wirwerden uns deswegen noch mit allen Tücken der Technik auseinander setzen müssenDa die Umsetzung von NETng über mehrere Jahre dauern wird, ist es durchaus sinnvoll, diese Technik,auch mit den bekannten Problemen, jetzt schon anzuwenden.Grössere Probleme ergeben sich bei Geräten, die über das Datennetz booten und eine Freischaltungbenötigen, bevor sie in der Lage sind IEEE802.1x zu starten. Solche Geräte müssen zurzeit in spezifischenClient-Subnetzen betrieben werden.NETng Aspekte 1.6.doc 6/19


3.4.2 Authentisierung über VPNIm Wireless-Bereich setzen wir zurzeit die VPN-Technologie ein, um sicher zu stellen, dass die Datenverbindungverschlüsselt ist. Dazu muss sich ein Benutzer über einen zentralen Server validieren.Diese Technologie setzen wir bereits seit einem Jahr erfolgreich ein.Wer seinen Computer in NETng an ein Docking Port anschliesst und dabei nicht IEEE802.1x fähig ist,wird automatisch in ein Public-VPZ geschaltet, von wo er unter anderem sich über VPN authentisierenund sich so mit dem Internet verbinden kann.3.4.3 Alternative AuthentisierungsmethodeFür Personen/Rechner, die weder IEEE802.1x noch VPN machen können, bieten wir eine Alternativean. Mittels http(s) und ssh wird trotzdem noch eine Validierung möglich sein, wenn auch allenfalls mitetwas eingeschränkten Möglichkeiten.3.5 Problematik PortvermehrerPortvermehrer sind kleine billige Switches, die zurzeit dort eingesetzt werden, wo es einen Mangel anUTP-Dosen gibt. Häufig werden Sie auch eingesetzt, um Ports bei den Switches in den Kommunikationsräumeneinzusparen. Des weiteren werden sie auch auf Pulten aufgestellt, damit weitere Computerauf einfache Art zugeschaltet werden können. Zurzeit haben wir etwa 3’000 Portvermehrer im Einsatz.NETng setzt auf IEEE802.1x und dieses Protokoll unterstützen die heutigen „dummen“ Portvermehrernicht. Deswegen können solche Portvermehrer im Docking-Bereich nicht mehr eingesetzt werden. Siewerden durch eine neue Generation von „intelligenten“ Geräten ersetzt, die das IEEE802.1x Protokollunterstützen.NETng Aspekte 1.6.doc 7/19


3.6 NETng Tauglichkeit der HardwareCatalyst2924 XL nicht tauglich Diese können keine Radius basierendeVLAN-Zuordnung und haben die Einschränkungvon max. 64 VLANs in einer Netzwerkzone.Sie müssen daher ersetzt werden.Catalyst 3550-24Catalyst 2948Catalyst 2980Catalyst 4000Catalyst 4500tauglichtauglichtauglichtauglichtauglichCatalyst 5500 nicht tauglich Diese können keine Radius basierendeVLAN-Zuordnung und müssen daher ersetztwerden. Die HW ist vor allem noch im CLAinstalliert und wird im Jahr 2004 sowiesoersetzt.Catalyst 6500tauglichSupervisory 720 MPLS im Beta-Status MPLS ist noch nicht freigegeben. Der Zeitpunktder Freigabe ist noch unklar. In unseremLabor funktioniert MPLS bereits.FW-BladeVirtual Firewall im Beta-StatusWir sind im Beta-Programm involviert underwarten die Produktionsversion im November2003.Zurzeit rechnen wir mit 200 Firewalls. Weilwir nicht 200 HW-Firewall wollen, setzen wirauf „Virtual Firewalls“. Momentan gibt esdrei Anbieter von „Virtual Firewalls“. Weil wirvorwiegend Cisco-Produkte im Einsatz haben,passt das Cisco-FW-Blade am bestenin unsere Infrastruktur. Falls dieses neueProdukt nicht für gut genug befunden wird,haben wir aber noch die Möglichkeit, einanderes Produkt einzusetzen.Portvermehrer bedingt tauglich Sie können weder IEEE802.1x noch Radiusbasierende Zuordnung. Daher können sieim Dockingbereich nicht weiter eingesetztwerden. Alternativ zu diesen Portvermehrernsollen in Büroräumlichkeiten zuerst allefreien UTP-Ports verwendet werden. Beiweiterem Bedarf an Portvermehrern, sollendiese mit dem Catalyst 2940TT ersetzt werden.Catalyst 2940TT bedingt tauglich Diese können keine Radius basierendeVLAN-Zuordnung und haben die Einschränkungvon max. 64 VLANs in einer Netzwerkzone.Es ist uns von Cisco versprochenworden, dass sie diese Probleme lösenwerden.NETng Aspekte 1.6.doc 8/19


3.7 Zu beschaffendes MaterialFür die Umsetzung von NETng ist das meiste Material schon vorhanden. Neu anzuschaffen sind dieFirewalls und die VPN-Server. Geräte, die ersetzt werden müssen, werden in ihrem „normalen Lebenszyklus“ersetzt. Dieser Ersatz ist in den nächsten 2 Jahren vorgesehen.Neu anzuschaffen sind:8 FW-Blade 4 Produktion4 Fallback2 VPN-Blade 1 Produktion1 Fallback2004: 4 Stück2005: 4 Stück2003: 1 Stück2004: 1 Stück2 Radius-Server 2003: 1 Stück2004: 1 StückZu ersetzende Hardware ist:15 Catalyst 5500 Ersetzt mit Catalyst 4500 2004:55 Catalyst 2924 XL Ersetzt mit Catalyst 3550 und Catalyst29481500 Portvermehrer Voraussichtlich ersetzt mit Catalyst2940TT2004: 40 Stück2004: 1000 Stück2005: 500 Stück3.8 Technischer Planungshorizont von NETngNETng hat etwa die folgenden Grössenordnungen:- 30'000 Computer- 10 Netzwerkzonen (VTP-Domain)- 200 – 250 Virtual Private Zones (VPZ)- 3'000 Subnetze- 10 Core-Router mit je 300 VLAN-Interfaces- 4 - 8 Firewall Blades- 450 Catalyst Switches- 300 WLAN-Accesspoints- 2000 IEEE802.1x fähige PortvermehrerNETng Aspekte 1.6.doc 9/19


3.9 Problem IPv4-Nummer-RangeDie ETH Zürich verwendet in Ihrem Datennetz hauptsächlich ihr B-Netz 129.132.0.0 mit rund 65’000IP-Nummern. Dieser Bereich ist bis jetzt zu ca. 80% vergeben, und es ist kein Spielraum mehr vorhanden,um administrative Aufteilungen für den Arbeitsalltag vorzunehmen.Das neue Konzept NETng hat, weil jedes VPZ in jeder Netzwerkzone eine IP-Nummer haben muss,einen relativ grossen Bedarf an IP-Nummern. Durch das Zuteilen von dynamischen IP-Nummern anEndgeräte wie Laptops via DHCP kann dieser Mehrbedarf weitgehend abgedeckt werden.Um vom alten Datennetzwerk auf das neue Konzept umzusteigen, braucht es während des Übergangsaber einen grossen Bereich an zusätzlichen IP-Nummern, welcher mit dem heutigen B-Netznicht abgedeckt werden kann. Um den Umbau einigermassen bequem und zügig gestalten zu können,ist noch einmal ein halbes B-Netz, d.h. 32’500 IP-Nummern, notwendig.Auf der ganzen Welt sind IP-Nummern Mangelware und es ist nicht gewährleistet, dass uns RIPEdiese IP-Nummern geben werden. Die Datenkommunikation möchte dem Umstand, dass es weltweiteinen Mangel an IP-Nummern gibt, Rechnung tragen und würde es als sinnvoll erachten, wenn dieETH Zürich ihren Bedarf an IP-Nummern über das B-Netz des CSCS in Manno decken könnten.Technisch wäre dies möglich. Das CSCS wurde bereits in dieser Frage kontaktiert.3.10 Implikationen von NETng auf die Kabel-InfrastrukuturEiner der Eckpfeiler von NETng ist, dass das Netzwerk als Ressource betrachtet wird und Endusersich zuerst am Netzwerk anmelden müssen, bevor sie Netzwerk-Konnektivität bekommen. Dies geschiehtmittels des Protokolls IEEE802.1x und des N-Accounts. Das hat weitreichende Folgen auchfür die Netzwerk-Infrastruktur. 802.1x ist nur möglich, wenn der Enduser-Rechner alleine und direktan einem Port eines intelligenten Switches angeschlossen ist. Über herkömmliche (dumme) Portvermehrerfunktioniert dies nicht. Damit wären Rechner, die via Portvermehrer ans Netzwerk angeschlossenwerden, gezwungen auf die elegante Art der Validierung via 802.1x zu verzichten und aufeine der alternativen Möglichkeiten der Validierung zurückzugreifen, was einen nicht-transparentenNetzwerkzugang zur Folge hat.Die Netzwerk-Anschlüsse für Enduser müssen also wenn immer möglich direkt an die User-Switchesin den Kommunikationsräumen angeschlossen werden und benötigen dazu eine eigene UTP-Dose.Der Einsatz von dummen Portvermehrern muss sich beschränken auf Maschinen ohne eigentlichenBenutzer wie Drucker und ähnliches. Es zeichnet sich ab, dass es ab 2004 intelligente Portvermehrer(klein, keine Lüfter, in unser Management-Konzept integrierbar, einfaches Deployment) geben wird.Diese Switches sind jedoch vergleichsweise teuer und bringen einen nicht unerheblichen Mehraufwandim Netzwerk-Management mit sich.Aufgrund der langjährigen Erfahrung mit der Art der Belegung von ETH-Räumlichkeiten (chronischeÜberbelegung) und der absehbaren Anforderungen, wie oben erwähnt, an die Kommunikations-Infrastruktur müssen wir auf einer minimalen Anzahl von drei UKV Dosen pro regulären Arbeitsplatzresp. 3 Dosen pro 8m 2 Bürofläche bestehen. Die mehr als zehnjährige Erfahrung im Betrieb von UKV-Installationen an der ETH zeigt, dass die generelle Anzahl von drei Dosen pro Arbeitsplatz eherknapp ist in einem sehr Computer-lastigen Umfeld, wie es die meisten ETH-Institute sind.3.11 Antispoof-Filter und deren Konsequenz in der ServeranbindungUm zu verhindern, dass Rechner, die z.B. von einem Virus befallen wurden, ihre Absender-IP-Nummer fälschen, wird an jedem Subnetzausgang ein Antispoof-Filter im Router eingebaut. Dieserverhindert, dass Datenpakete mit gefälschter Absenderadresse ausserhalb des Subnetzes gelangen.Bei Maschinen mit Anbindungen in verschiedenen Subnetzen, kann dies zu Routing-Problemen führen.Maschinen mit mehreren Interfaces sollen daher neu nur noch an ein Subnetz angeschlossenwerden, dafür sollen die verschieden Interface zu einem Channel gebündelt werden. Dies löst einer-NETng Aspekte 1.6.doc 10/19


seits das Routing-Problem und anderseits wird die Redundanz erhöht und zusätzlich die Performanceoptimiert.Wer aus technischen Gründen einen Rechner trotzdem in verschiedenen Subnetzen haben muss,kann dies tun, ist aber für das Abstimmen der richtigen Routingeinträge, und das korrekte Eintragenim DNS selbst verantwortlich.3.12 Erhöhte Komplexität der DatentechnologieMit der Einführung von MPLS, der dynamischen Portzuordnung, dem Authentisierungsverfahren überIEEE802.1x und der Einsatz von Firewalls, kommen zusätzliche Komplexitäten in das Datennetzwerk,welche neben den vielen Vorteilen auch einige Schwierigkeiten bringen werden:- 4 neue Technologien, die Hardware- und Softwaretechnisch funktionieren müssen- 4 neue Technologien, die es erlauben neue Fehler zu implementieren- eine Vielzahl neuer Möglichkeiten, bei denen Fehler auftreten können.Diesen Problemen werden wir mit grossem Aufwand an Schulung und Laborarbeiten entgegen treten.Unsere langjährige Erfahrung in Datennetzwerk zeigt uns aber, dass wir nicht verhindern können,dass Fehler im produktiven Datennetz auftreten werden, denn kein Labor kann ein so grosses produktivesDatennetzwerk, wie die ETH es besitzt, nachbilden. Für uns bedeutet dies, dass wir denUmbau anfänglich sehr kontrolliert und nicht überhastet angehen werden.3.13 Chancen und Risiken der neuen TechnologieWie bereits in der Einleitung erwähnt, müssen wir, um auch in Zukunft stabile Netzwerkdienste anbietenzu können, zu umfangreichen Massnahmen greifen. Dies bedeutet für uns und die ETH einigeRisiken aber auch Chancen.Chancen:Mit der Einführung von hochgradig differenzierten Sicherheits-Services im Datennetzwerk in Abstimmungmit den Bedürfnissen der Benutzerschaft werden die Auswirkungen von Vorfällen und die unproduktiveArbeitszeit zur Behebung von Störungen an der ganzen ETH minimiert.Wir sind überzeugt, dass das Konzept von NETng und die damit verbundenen Technologien für Universitätenund auch andere Grossfirmen wegweisend sein werden. Damit beweist die ETH wiedereinmal, dass sie nicht nur in der Forschung, sondern auch in der internen Dienstleistung in technologischeraber auch sicherheitstechnischer Hinsicht eine „leading edge“ Rolle zu übernehmen gewilltist.Risiken:“leading edge“ bedeutet auch „bleading edge“. Die Technologien sind sehr neu und die Implementationensind wahrscheinlich noch mit Fehlern behaftet. Es gibt auch noch keine Erfahrungswerte auseinem vergleichbaren Umfeld, auf die man sich abstützen könnte. Die massive Erhöhung der Komplexitätim Management eines solchen Datennetzes ist zumindest herausfordernd. Management-Software zur Maskierung der Komplexität muss erst noch geschrieben werden. Die Fehlersuche ist zuBeginn eher schwierig und zeitraubend, weil es an Erfahrung fehlt und die Zusammenhänge nochnicht selbstverständlich sind. Das Konzept setzt auch auf eine enge Zusammenarbeit mit den Organisationseinheiten.Die Bereitschaft der Organisations-IT-Verantwortlichen zur Zusammenarbeit mussaber auch mit einer entsprechenden Unterstützung mit Tools und Informationen einhergehen. Die organisatorischenProzesse und die diese unterstützende Software muss auch zuerst noch geschriebenwerden.Abwägung:Das Projekt NETng bringt grosse Investitionen und nicht unerhebliche Risiken mit sich. Wir sind jedochdavon überzeugt, die technischen Herausforderungen meistern und während der Labor-, Beta-NETng Aspekte 1.6.doc 11/19


und Pilotphasen das Know-How und die notwendige Erfahrungen aufbauen zu können, so dass biszum Rollout die technischen Risiken minimiert werden. Durch eine sehr gute Einbindung der IT-Verantwortlichen der Departemente sind auch die organisatorischen Fragen der Zusammenarbeitlösbar. Die entsprechenden Diskussionen sind in vollem Gang und das Feedback viel versprechend.Die grosse Herausforderung liegt im Software-Bereich. Da braucht es noch grosse Anstrengungenum die Anforderungen von NETng zu erfüllen.[Armin Brunner]NETng Aspekte 1.6.doc 12/19


4 Softwaretechnischer AspektUm NETng administrativ unter Kontrolle zu haben, wird zusätzliche Software benötigt, die grösstenteilsselbst entwickelt werden muss. Es macht das Leben für alle Beteiligten erheblich einfacher, wenndiese Software so früh wie möglich, d.h. in der frühen Betaphase, möglichst vollumfänglich zur Verfügungsteht. Dies erlaubt uns einerseits, die Mängel der Software frühzeitig zu erkennen, und gewährleistet,dass die Testphase speditiv implementiert werden kann.4.1 Firewall Administration SWWir rechnen damit, dass NETng bis zu 200 virtuelle Firewalls unterhalten wird. Jede Firewall wird eineigenes Regelset mit einer grösseren Komplexität besitzen. Der Hersteller der Firewall hat zu diesemZeitpunkt zwar ein Konzept, wie diese grosse Anzahl Firewalls mit ihren Filtersätzen gemanagt werdensoll, aber die Software ist im Beta-Stadium. Eine qualitative Aussage kann diesbezüglich nochnicht gemacht werden. Wir werden, wenn immer möglich, beim Betatest mitmachen, um möglichstfrüh mit dieser Software in Kontakt zu kommen.Für die NETng-Betaphase gehen wir davon aus, dass wir die Firewall von Hand konfigurieren werden.Dies scheint uns gut machbar und im Notfall können wir uns vorstellen, das ganze Projekt NETng mitmanueller Konfiguration durchzuziehen. Grosse ISPs mit vielen Firewalls managen ihre Firewalls aufdiese Weise. Dies zeigt uns, dass es gehen könnte.4.2 AuthentisierungsserverZur Authentisierung über IEEE802.1x, Firewall und VPN brauchen wir 2 Radiusserver mit Datenbankanbindung.Da ohne Authentisierung das gesamte Docking nicht mehr funktioniert, müssen dieseMaschinen sehr robust, zuverlässig und hoch redundant sein. Einen Radius-Server, der dem authentisierendenBenutzer ein VLAN/Subnetz zuordnen kann, ist in der Grössenordnung, die wir brauchen,nicht käuflich. Wir haben uns daher für den Radius-Server Radiator, der bereits bei N eingesetzt wird,entschieden und werden die Datenbankschnittstelle, welche den User validiert und das entsprechendeVLAN/Subnetz zuordnet, selber schreiben.Um den Radius-Server möglichst unabhängig zu machen, wird jeder Server eine eigene DB bekommen,mit den notwendigen, replizierten Daten von den Datenbanken OM (Datenkommunikation) undN (Basisdienste).4.3 Zusatz in der OM-Datenbank und ein GUI dazuDa mit der Einführung von MPLS eine neue virtuelle Schicht in der Datennetzwerkstruktur implementiertwird, muss ein gewisser Teil des jetzigen Datenbank-Layouts neu definiert werden. Um die Datenbankder Gruppe Datenkommunikation zugänglich zu machen muss zusätzlich ein GUI, basierendauf NETPortal, geschrieben werden.NETng Aspekte 1.6.doc 13/19


4.4 Zusatz in der N-Datenbank und ein GUI dazuMit der Einführung von „Virtual Private Zones“ und der Möglichkeit, einzelne User den VPZs zuordnenzu können, braucht es eine Datenbank samt GUI, die diese Zuordnungen abbildet. Dieser Teil derDatenbank könnte sowohl in der N-Datenbank wie auch in der OM-Datenbank verwirklicht werden.Wir erachten es jedoch als sinnvoller, dass dieser Teil in der N-Datenbank verwirklicht wird, da dieDaten eher der Art entsprechen, wie sie N verwaltet.4.5 Reporting für die Datenkommunikation und der „Network Security Group“Um möglichst einfach und schnell Informationen darüber wer sich wann wo und mit welcher IP-Adresse im Datennetz befindet, herauszufinden, ist ein umfangreiches Logging und Reporting sehrwichtig. Wir sind heute schon daran, die nötigen Informationsquellen über eine Datenbank zugänglichzu machen. Das Reporting ist jedoch aus Kapazitätsgründen noch nicht auf dem Stand, auf dem wirsein sollten. Um der ganzen Authentisierung auch wirklich einen Sinn zu geben, muss auf das Reportinggrossen Wert gelegt werden.Wir gehen davon, dass hier in der SW-Entwicklung eine grosse Herausforderung liegt. Es kann jetztschon gesagt werden, dass, um ein sinnvolles Reporting zu erreichen, die Datenbanken OM (Datenkommunikation)und N (Basisdienst) sehr eng miteinander verbunden werden müssen. Zudem mussdie OM-Datenbank, in Anbetracht der Informationsflut, die sie handhaben muss, sehr leistungsstarksein.Vielleicht ist es eine Überlegung wert, ob es in Zukunft sinnvoll wäre, diese Datenbanken zusammenzu fassen.NETng Aspekte 1.6.doc 14/19


5 Administrativer Aspekt5.1 Aufwand der DepartementeNETng bringt nicht nur Arbeit für die Sektion Kommunikation, insbesondere der Gruppe Datenkommunikationmit sich. Auch die Informatikverantwortlichen in den einzelnen Departemente, Institute undProfessuren müssen aktiv am Umbau mitmachen. Wir sehen zurzeit, dass folgende Arbeiten getanwerden müssen:- Die Verantwortlichen auf Departementsebene müssen die Anzahl der „Virtual Private Zones“,die ein Departement haben soll, bestimmen und deren Benutzerschaft zuzuteilen. Sie müssenzudem unsere Ansprechpartner für die VPZs bestimmen.- Die Ansprechpartner einer VPZ müssen zusammen mit der Datenkommunikation ihre bestehendenSubnetze gemäss dem NETng Konzept neu aufteilen. Dies bedeutet auch, dassviele Computer neue IP-Nummern bekommen werden.- Die Ansprechpartner einer VPZ müssen zusammen mit der Datenkommunikation und derNetzwerk-Sicherheits-Gruppe deren Sicherheitspolitik festlegen.- Die Ansprechpartner einer VPZ müssen ihre Benutzerschaft administrativ einem VPZ zuweisenund sind dafür verantwortlich, dass alle neuen MitarbeiterInnen die richtigen VPZ Privilegienbekommen.- Bezüglich der Benutzerschaft eines VPZ sind sie der erste Ansprechpartner für die Datenkommunikationund die Netzwerk-Sicherheits-Gruppe.- Die Ansprechpartner einer VPZ sind für die Einweisung ihrer Benutzerschaft in das neueKonzept zuständig.Diese Aufgaben bedeuten einen grossen einmaligen Mehraufwand und einen fortlaufenden Mehraufwandim administrativen Bereich.5.2 Neustrukturierung der Ansprechpersonen aller ETH-Mitglieder, die nicht direkt einem Ansprechpartnerfür ein VPZ unterstellt sindEine Frage die sich immer wieder stellt, ist, wie kann die Netzwerk-Sicherheits-Gruppe bei einemProblem die Benutzerschaft möglichst einfach und effizient ansprechen. Mit der Netzwerkauthentisierungist es nun im Docking-Bereich möglich, von der IP-Nummer rasch auf den Usernamen zu schliessen.Nun ist es aber für die Netzwerk-Sicherheits-Gruppe nicht realistisch, dass sie bei einem Zwischenfallalle User direkt kontaktiert, weil einerseits die Gruppe zu klein ist und anderseits diese Spezialistenfür diese vorwiegend administrative Arbeit zu gut qualifiziert sind.Für Mitarbeiter die aus einer VPZ arbeiten, ist dieses Kommunikationsproblem gelöst, da die Netzwerk-Sicherheitsgruppedie zu kontaktierende Person über die Ansprechpartner einer VPZ anspricht.Für StudentInnen und BenutzerInnen, die über das Public VPZ mit dem Internet verbunden sind,müssen entsprechende Strukturen und Prozesse noch gebildet werden.Es ist wohl sinnvoll, wenn diese Funktion von den Informatikdiensten übernommen wird.NETng Aspekte 1.6.doc 15/19


6 Personeller Aspekt6.1 Bereich „Ansprechpartner einer Virtual Private Zone“Während der Umbau-Phase werden die zuständigen Ansprechpartner einer VPZ ganz klar gefordertsein (siehe 4.1). Anschliessend wird der fortlaufende Mehraufwand vor allem im Bereich User-VPZ-Administration und in der Wahrnehmung der Funktion als Bindeglied zwischen Netzwerk-Sicherheits-Gruppe und NetzwerkbenutzerInnen liegen.Wir gehen davon aus, dass bei einer genügenden Professionalisierung der Informatikstruktur, dieserMehraufwand in den Departemente ohne zusätzliche personelle Ressourcen erbracht werden kann.6.2 Bereich DatenkommunikationWie schon erwähnt wird das neue Datennetzwerk mehrere zusätzliche Komplexitäten erhalten:- Administrierung der Firewalls- Aufbau und Unterhalt der Filter im Firewall- Aufbau und Unterhalt eines Vielfachen an VLANs/Subnetzen gegenüber heute- Aufbau und Unterhalt der MPLS-Technologie- Aufbau und Unterhalt von intelligenten Portvermehrer- Komplexere Fehleranalyse im Bereich MPLS, Netzwerkauthentisierung und NetzwerkfilterDer Umbau und der spätere Unterhalt wird vor allem den „Service Network“-Bereich herausfordernund wir gehen davon aus, dass dieser Bereich um eine weitere 100%-Stelle ergänzt werden muss.Wie schon mehrfach erwähnt, muss für NETng ziemlich viel Software und Tools neu geschrieben undbestehende Software angepasst werden. Ein grosser Teil dieser Software wird ausserhalb der ETHim Auftrag geschrieben werden müssen. Diese Software muss anschliessend angepasst, gewartetund weiter entwickelt werden. Der andere Teil muss im Haus selbst entwickelt werden. Vor allemTools für das Reporting und zur Unterstützung im Management und Fehlersuche müssen sehr schnellangepasst oder neu geschrieben werden können. Für all diese Aufgaben haben wir deutlich zu geringeKapazitäten. Eine weitere 100%-Stelle ist dafür vorzusehen.NETng Aspekte 1.6.doc 16/19


6.3 Netzwerk-SicherheitsgruppeEs ist nicht zu erwarten, dass mit dem neuen Konzept die Arbeit der Netzwerk-Sicherheits-Gruppeabnehmen wird.Heute schon ist diese Gruppe bei einem Zwischenfall stark strapaziert. Wir gehen davon aus, dassdiese Zwischenfälle in den nächsten Jahren konstant zunehmen. Dies trotz zusätzlicher Sicherheitselemente,die zwar den Schaden eindämmen werden, aber die Anzahl der Zwischenfälle nicht wesentlichverringern können. Im Weiteren erwartet die Gruppe Datenkommunikation von der Netzwerk-Sicherheits-Gruppe für die aktive Filterpflege eine hohe Kompetenz im Bereich Datenprotokolle undderen Anwendung in den einzelnen Applikationen.Wir gehen davon aus, dass es unumgänglich sein wird, dass die Netzwerk-Sicherheitsgruppe mindestensum eine 100%-Stelle erhöht werden muss, will sie kompetent und effizient auftreten können.NETng Aspekte 1.6.doc 17/19


7 Finanzieller Aspekt7.1 Fortlaufende KostenAls fortlaufende zusätzliche Kosten werden die 3 zusätzlichen 100%-Stellen ins Gewicht fallen.7.2 Einmalige KostenWir sind in der glücklichen Lage, dass die meisten unserer Geräte NETng bereits heute unterstützenkönnen und für die meisten anderen ein Upgrade sowieso geplant ist. Daher müssen nur relativ wenigeGeräte zusätzlich gekauft werden.2004 2005Firewalls 450’000 250’000Intelligente Portvermehrer 300’000 200’000Total 750’000 450’000Alle folgenden Kosten müssen über den Grundauftrag der Datenkommunikation abgehandelt werdenkönnen.NETng Aspekte 1.6.doc 18/19


8 Zeitlicher AspektDas Projekt NETng möchten wir gerne in 4 Phasen einteilen:Phase IErstellen der Dokumente Konzept NETng undAspekte NETng.Akzeptanzabklärung bei einigen ausgewähltenMitgliedern von ITEK.Abklärung der technischen Machbarkeit mitPlausibilitätstests im Labor.Daraus folgt ein Schulleitungsantrag,zur grundsätzlichenAbsegnung des ProjektNETng und zur Durchführungder Phase II + IIIPhase II Umbau des Datennetzes zur Vorbereitung desBeta-Tests, der innerhalb der Informatikdienstedurchgeführt wird.Beta-TestsPhase III 4 bis 5 Pilotprojekte Daraus folgt ein Erfahrungsberichtund der Antrag für denRolloutPhase IV RolloutDie ungefähre Terminplanung sehen wir wie folgt:Abschluss Phase I Abgabe Ende Oktober 03Phase II (Beta) November 03 bis März 04Phase III (Pilot) März 04 bis Spätsommer 04 Abhängig davon, wann diedefinitive MPLS-HW geliefertwird.Phase IV (Rollout) ab Spätsommer 04Author:Adrian Lauener mit verdankenswerter Mitwirkung von Armin Brunner, Franz Koch und Derk ValenkampNETng Aspekte 1.6.doc 19/19

Weitere Magazine dieses Users
Ähnliche Magazine