Absicherung administrativer Netzwerk-Zugriffe
Ausgangssituation:
- Netzwerkinfrastruktur bestehend aus Firewalls, WLAN/LAN- oder Datacenter-Komponenten
- Absicherung und Kontrolle administrativer Zugriffe auf Netzwerkgeräte werden zunehmend wichtiger
- Delegieren einfacher Konfigurationsänderungen an Mitarbeiter im Helpdesk, dem User-Support oder IT-Standortverantwortliche ist geplant
- Ausrollen komplexer Konfigurationen im Datacenter erfolgt bereits (teil)automatisiert über Software (SDN)
- Monitoring- und Überwachungs-Systeme, die den Zustand der Netzwerkkomponenten stetig überwachen und dabei Wartungs-Kommandos über das CLI absetzen, sind im Einsatz.
Lösungskonzept:
- Mit der Cisco ISE (Identity Service Engine) wird der Zugriff auf Netzwerkgeräte abgesichert und reglementiert, indem detaillierte Berechtigungs-Regelwerke für administrative Zugriffe auf Netzwerkgeräte erstellt werden.
- Dazu wird eine Festlegung getroffen welcher Benutzer welchen Satz an CLI-Befehlen auf dem Netzwerkgerät absetzen darf.
Ergebnis
- Die Sicherheit, dass Zugriffe stets bemerkt und Kompetenzgrenzen nicht überschritten werden.
- Ein weiterer Vorteil resultiert aus der Performance der Cisco ISE hinsichtlich der automatischen Verteilung von Konfigurationen und der stetigen Überwachung von Netzwerkgeräten
- Monitoring- und Konfigurations-Management-Systeme führen auf vielen Netzwerkkomponenten gleichzeitig zahlreiche Aufrufe in Bruchteilen von Sekunden durch. Dabei geht jeder Aufruf – nach der erstmaligen Authentifizierung – mit einer Berechtigungs-Anfrage (Authorization) einher. Zugleich werden die Aktionen über das Accounting protokolliert.
Fazit:
Behalten Sie mit der Cisco ISE nicht nur die Netzwerkzugriffe durch User im Auge, sondern nutzen Sie auch die Möglichkeiten der Überwachung der administrativen Zugriffe auf die Netzwerkgeräte, um Ihr Netzwerk noch sicherer zu machen.