Solution Guide

Solution Guide 2008

Inhaltsverzeichnis Seite I

Inhaltsverzeichnis

Vorwort...............................................................................1

Hinweis für alle Leser..........................................................3

Wir über uns........................................................................5

Kurzprofil..................................................................................5

Secure Networks™....................................................................5

Was die Analysten sagen…........................................................6

Weitere Informationen..............................................................7

Secure Networks™...............................................................8

Access Control.........................................................................10

Authentisierung als Maßnahmezum Schutz des Netzwerk-Ökosystems..............................11

Authentisierungsmethoden – Der technische Ansatz.....................................................13

Policy Enforcement..................................................................20

RFC 3580 - Der kleinste gemeinsame Nenner?...................20

Policys – Regeln am Rand der Zivilisation..........................20

(Multi-) User Authentication and Policy (MUA+P) im Detail. .24

Sichere Gastfreundschaft mit Default Policys......................25

RFC 3580 und Distribution Layer Security..........................27

Port Protection...............................................................28

Enterasys Networks – Solution Guide 2008

Seite II Inhaltsverzeichnis

Policy Enforcement in der Praxis.......................................29

Detect and Locate....................................................................32

Angriffe.........................................................................32

IDS Erkennungstechnologien...........................................36

Hostbasierte Erkennung versus netzwerkbasierte Erkennung............................................39

Host Intrusion Detection / Prevention (HIDS/HIPS).............40

Network IDS/IPS............................................................42

IDS versus IPS versus DIRS.............................................43

System Information and Event Management......................45

Respond and Remediate..........................................................52

Proactive Prevention / NAC.....................................................54

Definition von NAC.........................................................54

Der Prozess NAC.............................................................55

Lösungsansätze..............................................................56

Enterasys NAC...............................................................59

Standard based Convergence and Availability..............................................................................66

Quality of Service im Netzwerk.........................................66

Wireless LAN..................................................................76

Power over Ethernet.......................................................84

Standard Based Availability.....................................................86

Redundanz....................................................................86


Inhaltsverzeichnis Seite III

IPv6..............................................................................96

MPLS...........................................................................101

Simple Network Management Protocol.............................105

Produktportfolio..............................................................106

Advanced Security Applications.............................................107

Dragon Security Command Console...............................108

Dragon Intrusion Defense.............................................113

Network Access Control.................................................119

Centralized Visibility and Control...........................................123

NetSight Console.........................................................125

NetSight Policy Manager...............................................127

Policy Control Console...................................................130

NetSight® Automated Security Manager...........................130

NetSight® Inventory Manager.........................................132

NetSight® - Komponenten im Überblick...........................133

NetSight® Lizenzierung..................................................136

Security Enabled Infrastructure.............................................137

Matrix® X-Serie............................................................138

Matrix® N-Serie............................................................146

SecureStack™ Familie...................................................167

D-Serie.......................................................................180


Seite IV Inhaltsverzeichnis

G-Serie.......................................................................185

I-Serie........................................................................190

Übersicht Secure Networks™/HW Kapazität......................195

Lizenzübersicht............................................................197

MGBICs, XENPAKs und XFPs...........................................198

Enterasys VDSL Optionen..............................................210

X-Pedition Security Router.............................................212

Literaturhinweise.............................................................218

Downloads............................................................................218

Enterasys GTAC.....................................................................219

Enterasys Knowledgebase.....................................................219

Enterasys Webguide..............................................................219

Impressum......................................................................221


Vorwort Seite 1

VorwortSehr geehrte Leserin,

sehr geehrter Leser,

wieder einmal halten Sie die neuste Ausgabe des Enterasys Solution Guide in Ihren Händen. Seit einigen Jahren ist der Solution Guide bei unseren Kunden als umfangreiches, informatives Nachschlagewerk beliebt, das sowohl über Entwicklungen auf dem Netzwerkmarkt und neue Technologien, als auch über die neuen Strategien, Lösungen und Produkte von Enterasys Networks berichtet.

Das Lösungsportfolio wurde zum Thema Enterasys NAC und Dragon® Security Suite überarbeitet, hier wurden insbesondere die Integrationsmöglichkeiten der einzelnen Produkte untereinander beschrieben.

Das Kapitel Produktportfolio zeigt einen Überblick über das gesamte Angebot von Enterasys Networks. Neu hinzugekommen ist der Nachfolger des Matrix® E1 mit der G-Serie als modularem System sowie die D-Serie als Miniswitch. Des Weiteren wird das neue Enterasys NAC Portfolio mit Inline und Out-of-Band Komponenten sowie dem neuen, integrierten Enterasys Assessment vorgestellt. Ebenso sind die Enterasys VDSL-Komponenten als Long-Reach Ethernet-Extender hinzugekommen.Das Thema Lizenzierung wurde für NetSight® und Dragon® in ein eigenes Kapitel ausgegliedert, um einen Überblick über die unterschiedlichen Varianten und Möglichkeiten zu geben.

Wir wünschen Ihnen ein informatives Lesevergnügen.

Ihr Enterasys Team

Enterasys Networks Germany GmbHSolmsstr. 8360486 FrankfurtTel. +49 (0)69/47 860-0Fax +49 (0)69/47 860-109


Seite 2 Vorwort


Hinweis für alle Leser Seite 3

Hinweis für alle LeserDas Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt, deshalb kann es jederzeit zu Änderungen des bestehenden Lösungsportfolio kommen.

Die aktuellen Informationen der Lösungen finden Sie auf der Enterasys Networks Homepage unter http://www.enterasys.com oder http://www.enterasys.com/de/.

Wir freuen uns auf ein persönliches Gespräch mit Ihnen und stehen Ihnen in unseren Niederlassungen jederzeit gerne zur Verfügung:

Frankfurt /Main +49 (0)69 47860-0

Berlin +49 (0)30 39979 5

Leipzig +49 (0)341 528 5350

Wien +43 (0)1 994 60 66 05

Zürich +41 (0)44 308 39 43

Einen vollständigen Überblick über Deutschland und die europäischen Länder sowie deren Kontakte finden Sie unter: http://www.enterasys.com/corporate/locations/

Informationsstand: 30.04.08


Seite 4 Hinweis für alle Leser


Wir über uns Seite 5

Wir über uns

KurzprofilEnterasys Networks ist ein globaler Anbieter von Secure Networks™ für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs- und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche Service und Support-Leistungen an. Das Produktangebot reicht von Multilayer Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention Systemen.

Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile umzusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unabhängig von Hersteller und Technologie.

Über 20 Jahre Erfahrung und über 26.000 weltweite Kunden bilden das Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich nach dem Motto „There is nothing more important than our customer“, in dem unsere Kunden im Mittelpunkt stehen.

Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unternehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Weitere Informationen zu Enterasys Secure Networks™ und den Produkten für Festnetze und drahtlose Netzwerke finden Sie unter www.enterasys.com.

Secure Networks™Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein Servicemodell – Benutzer, Systeme, Applikationen, Event Management, automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu können. Eine flexible Infrastruktur stellt einen authentifizierten Zugang an allen Punkten zur Verfügung, an denen ein Zugriff auf Ressourcen erfolgt und verringert mit einer dynamischen Authorisierung die Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine flexible und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und sichert für geschäftskritische Anwendungen die entsprechenden Bandbreiten.


Seite 6 Wir über un

Was die Analysten sagen…

“Enterasys has the most tightly integrated security capabilities of any LAN switch vendor, including strong support for all IP telephony offerings”

Gartner, Magic Quadrant for Global Campus LAN (März 2008)

„Enterasys Secure Networks for Virtual Data Centers assures the connectivity and compliance of virtualized computing and storage while reducing equipment, energy and cooling costs in data centers“

Gartner, Magic Quadrant for Global Campus LAN (März 2008)

“At a product level, Enterasys was the initial innovator in embedded network security. Enterasys coined the "secure networks" approach and delivered key aspects of embedded network security before the rest of the market.”

Gartner, Magic Quadrant for Global Campus LAN (Oct 2006)

„The networking background of Enterasys is evident in that the Dragon IDS/IPS product line has an overall small rack space footprint, making the products well-suited for deployments such as MSSP/carrier/ISP where detection is valued over blocking.“

Gartner, Magic Quadrant for Network IPS Appliances (Feb 2008)

“Longtime IDS vendor Enterasys has moved to producing in-line IPS products. Its first customers are primarily managed security system provider (MSSP) customers who report a high degree of satisfaction with Enterasys' support with the IDS products and are converting over as customer demand shifts.”

Gartner, Magic Quadrant for IPS (2006)

“DSCC accurately detected more known attacks, as well as network anomalies than did Cisco Security MARS. Thus DSCC provides a level of protection of business assets exceeding that offered by Cisco…both products demonstrate that they can process flow and security network event data, though DSCC was able to correlate events into a single offense. Ultimately, poor event correlation and anomaly detection in MARS could lead to missed threats.”

Tolly Group White Paper (Jan 2007)


Wir über uns Seite 7

Weitere Informationen

Unser Management Team Mike Fabiaschi

President and Chief Executive Officer

Chris Crowell

Chief Technology Officer

Gérard Vivier

Vice President EMEA

Edward Semerjibashian

Vice President CEE/Russia & APAC

Pressekontakt Enterasys Networks

Markus Nispel

Director Solution Architecture

Solmsstraße 83

60486 FrankfurtTelefon:

Fax:

+49 69 47860 0

+49 69 47860 109


Seite 8 Secure Networks™

Secure Networks™Secure Networks™ ist die Strategie, die Enterasys seit Jahren erfolgreich verfolgt. Von Gartner oftmals als Technologieführer definiert, hat Enterasys mit der Einführung von 802.1x ein neues Zeitalter für die Sicherheit in Netzwerken eingeläutet.

Secure Networks™ Komponenten

Enterasys bildet die fünf wesentlichen Punkte einer holistischen IT Infrastruktur mit eigenen Produkten ab. So wird sichergestellt, dass lediglich authentifzierte User Zugriff auf das Netzwerk erhalten. Das Sicherheitslevel und das Zugriffsniveau der User wird dabei in Abhängigkeit zum Sicherheitslevel des benutzten Gerätes gesetzt. Angriffe, die von authentifizierten oder nicht authentifzierten Usern auf Ressourcen im Netzwerk durchgeführt werden, können durch die verschiedenen Angriffserkennungstechnologien erkannt, verifiziert und verhindert werden. Ferner ist es möglich, nachdem der Angriff erfolgreich verhindert wurde, den Angreifer aus dem Netzwerk zu verbannen oder ihm neue Zugriffsrechte zuzuweisen. Durch die Abbildung verschiedenster Technologien wird ein Maximum an Sicherheit erreicht, so dass auch Angriffe auf sehr komplexe und neue Technologien (wie Voice over IP) erkannt und verhindert werden können.


Secure Networks™ Seite 9

Im Folgenden sind einige der Kernziele der Secure Networks™ Strategie aufgeführt:

● Präventive Angriffsverhinderung

● Reaktionen auf Angriffe auf Userbasis (nicht nur auf Gerätebasis)

● Das Absichern von Netzwerken unterschiedlicher Hersteller

● Bereitstellen von Compliance Hilfsmitteln

Die nachfolgenden Abschnitte zeigen die Grundzüge der 5 Säulen der Secure Networks™ Strategie auf und erklären, welchen Beiträge die verschiedenen Komponenten aus diesen Bereichen zur Abbildung einer ganzheitlichen Security Infrastruktur leisten.



Access ControlSecure Networks™ bietet mit seinem breiten Spektrum verschiedenster Funktionalitäten technische Lösungselemente für all diese Fragen.

In der Praxis gilt es nun diese Elemente in ein durchgängiges Konzept zu integrieren und Schritte für die Implementierung und den Betrieb festzulegen.

Die Frage nach der Realisierbarkeit der ermittelten Schutzmaßnahmen geht über Features und Algorithmen weit hinaus. Nicht alles was technisch möglich ist, stellt sich im Endeffekt auch als praktikabel heraus.

Sicherheit und freie Kommunikation stehen sich auf den ersten Blick diametral gegenüber. Eine Sicherheitspolicy, welche dem Anwender unzumutbare Prozeduren auferlegt (mehrfache Anmeldung, geringe Flexiblität), hemmt die Produktivität des Unternehmens und wird sich kurzerhand selbst aushebeln.

Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompliziert und stelle selbst eine Gefahr für den kontinuierlichen Betrieb einer IT-Infrastruktur dar, muss hierbei durch geeignete Ansätze begegnet werden.

Es hat sich gezeigt, dass sich der zusätzliche, administrative Aufwand einer sicherheitsbasierten Netzwerklösung nur kompensieren lässt, wenn gleichzeitig Werkzeuge zur Verfügung stehen, welche die Transparenz und ein möglichst einfach zu handhabendes Management garantieren.

Im Gegensatz zur Administration einzelner Netzwerkkomponenten, bieten datenbankbasierte Managementsysteme die notwendige Unterstützung, um auf Basis von Templates und Policys eine flächendeckende Anpassung des Netzes an sich ändernde Anforderungen rationell vorzunehmen.



Authentisierung als Maßnahmezum Schutz des Netzwerk-ÖkosystemsDas Netzwerk eines Unternehmens entwickelt sich zunehmend zu der universellen Plattform für Kommunikation und Geschäftsprozesse und damit zum unternehmenskritischen Faktor.

Nach Aussage von Analysten ist durch die fortlaufende Einbindung von mobilen Endgeräten, Sprachdiensten, Facility Management sowie der steigenden Integration industrieller Produktionsanlagen mit einer Verdopplung der Endgeräte zu rechnen.

Lediglich ein Teil dieser Endgeräteplattformen (PCs, Workstations und Notebooks) lässt sich mit geeigneten Sicherheitsmechanismen wie Personal Firewalls, Virenscannern und einem gehärteten Betriebssystem ausstatten.

Monolithische Komponenten, wie z.B. IP-Telefone, Webcams und Industriesteuerungen liegen ebenso außerhalb des administrativen Zugriffs, wie die Notebooks externer Mitarbeiter und Studenten.

Medizinische Komponenten, Analysegeräte und bildgebende Systeme (Röntgen und MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifikation des Betriebssystems durch geeignete Sicherheitsupdates erfordert in der Regel eine Neukalibrierung und Rezertifizierung des Systems und lässt sich somit in der Praxis kaum zeitnah ausführen.



Eine solch heterogene Endgerätelandschaft stellt für den Betreiber eines Unternehmensnetzwerkes also einen Risikofaktor dar, welcher in zunehmenden Maße außerhalb einer verlässlichen Kontrolle liegt.

Die Sicherheitsbetrachtung eines Netzwerkes fokussierte bisher externe Verbindungen wie WAN und Internet als Hauptrisikofaktor.

Das Absichern dieser Übergabepunkte mittels Firewall, Virenschutz und Contentfiltering gehört mittlerweile zum üblichen Standard.

Von einem ganzheitlichen Ansatz ausgehend ist nun in Betracht zu ziehen, welchen Risiken interner Angriffe das Ökosystem Netzwerk ausgesetzt ist.

Die Antwort liegt in intelligenten Komponenten und Lösungen, welche das Netzwerk in seiner Rolle als unternehmenskritischen Produktionsfaktor schützen.



Authentisierungsmethoden – Der technische AnsatzDie Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk. Dabei können die Endgeräte unterschiedlicher Natur sein.

Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unabhängig vom Betriebssystem des Endgeräts, den Anwender interaktiv zu authentifizieren. Viele Switche und die meisten Betriebssysteme für Personal Computer und Workstations unterstützen heutzutage den Authentisierungsstandard IEEE 802.1x.

Der ganzheitliche Lösungsansatz erfordert jedoch die lückenlose Erkennung von Endgeräten im Netz. Dies ist nur möglich, wenn alternative Authentisierungsmethoden auch zur Verfügung stehen.

Dieser Ansatz soll hier detailliert beleuchtet werden.

IEEE 802.1x im Detail

IEEE 802.1x liefert ein komplettes Authentication Framework, das port-basierende Zugriffskontrolle ermöglicht.

Dieses Modell sieht dabei verschiedene Abstrahierungen vor:

● Supplicant ist das Endgerät, welches einen Netzwerkzugang anfordert.

● Authenticator ist das Gerät, welches den Supplicant authentifiziert und den Netzwerkzugang versperrt oder frei gibt.

● Authentication Server ist das Gerät, welches den Backend-Authentication-Dienst (z.B. RADIUS) bereitstellt.

Dabei nutzt 802.1x bestehende Protokolle, wie EAP und RADIUS, die empfohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ethernet, Token Ring und IEEE 802.11.

Eine Fülle von Authentifizierungsmechanismen wie Zertifikate, Smart Cards, One-Time Passwörter oder biometrische Verfahren sind ebenfalls vorgesehen. Diese Flexibilität wird durch die Nutzung des Extensible Authentication Protocol (EAP) erreicht.

Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs- und Verschlüsselungsmechanismus (802.11i und WiFi WPA) zu versehen, hat sich 802.1x im WLAN durchgesetzt findet aber zusehends auch Beachtung innerhalb herkömmlicher Ethernet-Netzwerke.

Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol) eine einheitliche Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen.



In der Praxis ist es also möglich, das Modell der Network Access Control unter Nutzung bestehender Authentisierungsinstanzen flächendeckend und benutzerfreundlich zur Verfügung zu stellen.

Die eigentliche Authentisierung erfolgt durch die Weiterleitung der EAP Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS Server.

Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten wie Active Directory ADS von Microsoft oder Novell´s NDS über LDAP oder XML sowie Plug-ins für Secure ID Card Integration haben.

Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokollen zur Anwendung kommen. Folgende Tabelle soll eine kurze Übersicht geben:

Client Server Authentisierung

Dynamisches Keymanagement

MD5 Klartextübertragung von Userdaten. Nur selten genutzt Nein Nein

PEAP Einbindung von MS-CHAPv2 Ja Ja

EAP-TLS Zertifikatsbasierendes Verfahren, benötigt PKI Ja Ja

EAP-TTLS Aufbau eines verschlüsselten, authentisierten Tunnels zwischen Sender und Empfänger.

Ja Ja



Funktionsweise von MD5Wegen der unsicheren Methode Authentisierungsdaten unverschlüsselt zu übertragen wird die unsprünglichste Methode MD5 heute nur noch in Ausnahmefällen genutzt.

Funktionsweise von EAP-TLSEAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptographische Authentisierung des Clients gegenüber dem Netzwerk. Das geschieht, indem sich beide Seiten, also der Client und der Anmeldeserver, kryptographische Zertifikate vorzeigen, um ihre Identität zu beglaubigen. Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infrastructure), welche mit dem Directory in Verbindung steht.

Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden. Gespeichert auf einer so genannten Smart Card stellen sie gemeinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslösung dar.

Funktionsweise von EAP-TTLSEAP-TTLS wurde unter anderem von den Firmen Funk Software und Certicom aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, welches der Client beim Verbindungsaufbau überprüft.

Funktionsweise von PEAPHierbei handelt es sich um die gebräuchlichere Microsoftvariante , die im Grunde die schon vorhandenen Merkmale von EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat, auch hier wird zuerst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit Username / Passwort stattfindet.

Web-Authentication

Endgeräte externer Mitarbeiter (Gäste, Servicepersonal, Studenten) entziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwendige Konfiguration vorzunehmen.

Eine webbasierte Anmeldung, wie sie mittlerweile z.B. innerhalb öffentlicher WLAN HotSpots üblich ist, ist ohne Konfigurationsaufwand möglich und stellt somit eine akzeptable Alternative dar.



Die automatische Umleitung eines beliebigen HTTP-Aufrufes durch den Browser des Endgeräts präsentiert dem Benutzer eine Webseite mit integrierter Authentisierungsabfrage.

MAC-Authentication

Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Drucker, IP-Telefone und Industrieanlagen stellen eine weitere Herausforderung dar.

MAC adressbasierte Authentisierungsmethoden sowie die automatische Endgeräteklassifizierung durch Protokolle wie CEP und LLDP-MED sind grundsätzlich als schwächere Sicherheitsbarriere anzusehen, da sie sich mit verhältnismäßig einfachen Mitteln kompromittieren lassen.

Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht. Die im Weiteren erläuterte Kombination von Authentisierung und Access Policys ermöglicht den Zugriff in eingeschränkter Form.

Daraus resultiert, dass der Versuch, sich z.B. mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommunikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum.

Phone Detection (CEP)

Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk angeschlossenes IP-Phone als Solches erkannt wird. Im Netzwerk werden dann automatisch passende Parameter für Quality of Service gesetzt. Zum Beispiel kann nach der Erkennung eines IP-Phones dessen Datenverkehr via 802.1p getagged und damit höher priorisiert werden als anderer Datenverkehr.

Die Telefonerkennung kann dabei durch den LLDP-Standard oder spezielle Protokollnachrichten, wie zum Beispiel Enterasys CDP, erfolgen. Ansonsten können auch beliebige andere Protokolle, wie Cisco Discovery Protocol 2.0 oder das Snooping aller Pakete mit Ziel UDP Port 4060 wie bei Siemens, verwendet werden.

Link Layer Discovery Protocol (LLDP, IEEE802.1AB)

Der gegenseitige Austausch von Identität und Eigenschaften zwischen den Netzwerkkomponenten optimiert deren Zusammenspiel und ermöglicht darüber hinaus auch die Visualisierung von Layer 2 Verbindungen in grafischen Netzwerkmanagmenttools.

Die bisher verwendeten Discovery Protokolle (CDP, EDP) waren jedoch proprietärer Natur und boten damit eine eingeschränkte Interoperabilität.



Aus dieser Konzeption ratifizierte die IEEE im Jahre 2005 unter der Bezeichnung 802.1ab das herstellerunabhängige Link Layer Discovery Protokoll.

Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponenten ermöglicht die Rekonstruktion der kompletten Layer 2 Netzwerktopologie sowie das Erkennen neuer Netzwerkkomponenten.

Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des Standards Wert gelegt. Ein Beispiel hierfür ist das Link Layer Discovery Protocol-Media Endpoint Discover oder LLDP-MED.

Mit LLDP-MED wird es möglich Netzwerkeinstellungen von Endgeräten wie VLAN Priorität oder Diffserv-Werte automatisch zu erkennen.

Dies erleichtert die Integration besonderer Endgerätetypen wie z.B. IP- Telefonen.

LLDP Informationen stellen darüber hinaus auch eine Entscheidungsgrundlage für die automatische Zuordnung von Secure Networks™ Policys dar.

Multi-User-Authentication

Als Mitautor der IEEE Standards und somit Wegbereiter sicherer LANs hat Enterasys Networks schon frühzeitig damit begonnen auch bestehende Produkte nachträglich mit den erforderlichen Funktionen zu versehen.

Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron SmartSwitch Komponenten aus dem Jahr 1998, welche über die notwendigen Authentisierungsmöglichkeiten verfügen.

In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass nicht alle Accesskomponenten über Authentisierungsfeatures verfügen.

Die Matrix® N-Serie löst dieses Problem durch eine integrierte Multi-User-Authentication, welche es ermöglicht auf den Uplinks bis zu 256 Benutzer individuell zu authentisieren.

Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei welchen simple Kanalswitche im Accessbereich eingesetzt werden, lassen sich somit flächendeckend realisieren.



Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwendeten EAPoL Pakete von diesen „simplen“ Accessswitchen weitergeleitet werden müssen. Dies wird auch als EAP-Passthrough bezeichnet und ist bei allen Enterasys SecureStacks™ verfügbar. Bei älteren Komponenten muss sichergestellt sein, dass dies auch möglich ist; manchmal muss hierfür Spanningtree ausgeschaltet oder ähnliche Konfigurationsänderungen vorgenommen werden.

Multi-Method Authentication

Mit der Matrix® N-Serie ist Enterasys Networks nicht nur in der Lage mehrere User gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zu zu weisen, es ist auch möglich verschiedene Authentifizierungsmethoden gleichzeitig auf dem Port zu betreiben.

Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal authentifiziert; also der User an seinem PC über 802.1x, der Gast mit seinem Laptop über PWA, der Drucker basierend auf MAC Authentication.

Aber was passiert, wenn der PC auch über MAC Authentication authentifiziert ist und sich die entsprechenden Profile auch noch widersprechen? Abgesehen davon, dass dann das Security Design und die Policys überarbeitet werden sollten, hat Enterasys Networks dieses Problem im Griff.

Die Authentifizierung läuft über so genannte Authentication Sessions. Hat ein User jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder MAC Authentication angemeldet sein.

Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die Default-Prioritäten sehen folgendermaßen aus:

1. IEEE 802.1x

2. Port Web Authentication

3. MAC Authentication

4. CEP (Convergent Endpoint Detection)

Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert, aber basierend auf seiner MAC Adresse lief auch MAC Authentication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese angewandt und die entsprechende Rolle dem User zugewiesen.



MACSec IEEE 802.1ae

Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, dient in der verbindungslosen 802 Welt zur Sicherung der Integrität jedes übertragenen Datenpaketes, zur Sicherung der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten Daten. Der Standard dient hierbei zur „Hop by Hop“ Verschlüsselung, Authentifizierung und Integritätsprüfung. Er wird zwischen Endsystemen und dem nächsten Switch bzw. auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kommen können. Das dazu notwendige Schlüsselmanagement nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch etwas Geduld notwendig ist.

Die Hersteller von MAC Phy´s versprechen sich natürlich hiervon mehr Geschäft, da komplexere Chips inklusive Verschlüsselung teurer werden können. Jedoch geht man davon aus, dass eine breite Anwendung erst stattfindet, wenn die Preise zu bestehenden MAC Phy´s vergleichbar sind.

Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile etc.) über die Sicherung von MAN Netzen zwischen Unternehmungen hin zur erweiterten Sicherung von heutigen 802.1x Unternehmensinstallationen mit Verschlüsselung und Integritätswahrung von Endgerät zum Switch (wie es heute auch schon in der Wireless LAN 802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindungen zu Geräten erstellt, die einem gewissen Trust-Level entsprechen.



Policy EnforcementDie eindeutige Authentisierung eines Gerätes / Benutzers stellt einen wichtigen Teil der Access Control dar.

Auf dieser Basis müssen nun Regelwerke zugewiesen werden, welche den Zugang mit allen Rechten und Einschränkungen kontrollieren.

Denn bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung hier abzubilden ist.

RFC 3580 - Der kleinste gemeinsame Nenner?Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche Unzulänglichkeiten birgt.

Allein die Notwendigkeit einen Campus mit weitverzweigten Layer 2 Segmenten zu überziehen widerspricht dem allgemeinen Trend hin zu gerouteten Segmenten.

Eine Usergruppen-/ VLAN-Assoziierung generiert in der Praxis mindestens eine umfangreiche Gruppe von Standardusern, vor welchen zwar der Netzwerkkern durch entsprechende Accesslisten geschützt wird, die jedoch untereinander frei und hemmungslos kommunizieren können.

Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die gesamte Gruppe einer Verbreitung ausgesetzt.

Daher wäre es wünschenswert, bereits am ersten Access Port zu entscheiden, welche Informationen überhaupt in das Ökosystem Netzwerk eingespeist werden dürfen.

Policys – Regeln am Rand der ZivilisationDiese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems. Bereits mit der zweiten Generation der SmartSwitch-Familie wurde in den späten 90er Jahren die dezidierte Frameklassifizierung etabliert. Die Idee, einen Layer 2 Switch zu einer Layer 2/3/4 Analyse zu bewegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen wie Voice und Video heraus geboren.

Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access Port die erste Grundlage darstellt, um unerwünschte Dienste und Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines Netzwerkes hatte etwas Faszinierendes.

„Das Konzept von Zugriffsregeln im Accessbereich hat lediglich akademischen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden...“



Diese Aussage eines namhaften Herstellers von Netzwerkkomponenten bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurückschrecken wird.

Doch bereits im Jahre 2001 stellte Enterasys Networks mit dem NetSight®

Policy Manager ein Werkzeug vor, mit welchem das Erstellen und Verbreiten komplexer Regelwerke zu einem Baukastenspiel wird.

Der Schlüssel liegt in einer dreistufigen Hierarchie:

Policys - Hierarchisches Regelwerkzeug

Die oberste Ebene definiert sich zunächst aus der Rolle, welche ein Benutzer in der Struktur des Unternehmens selbst spielt. Da sich diese Rolle bereits in den Regelwerken des Usermanagements einer zentralen Betriebssystemplattform abzeichnet, liegt es nahe, bereits bei der Authentisierung auf diese Informationen zuzugreifen.

Unterhalb dieser Ebene sind die Services definiert, welche bereits im Groben beschreiben, was der Benutzer tun darf – und was nicht.



Diese Services setzen sich nun aus einzelnen Regeln zusammen, welche den Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizieren.

Trifft die Regel zu, so wird eine zugewiesene Aktion ausgeführt:

• Access Control – zulassen oder verwerfen

• Tagging des Frames mit einer definierten VLAN ID

• Redefinition von Quality of Service Parametern

• Rate Limiting (Port, Applikations-Flow, Protokoll, Nutzer - IP oder MAC)

Mittels des Policy Managers ist es nun möglich ein solches Konstrukt aus Rollen und Regeln zusammenzustellen und per SNMP auf allen Netzwerkkomponenten bekannt zu machen. Die flächendeckende Bereitstellung von Zugriffsinformationen im Access-/Distributionbereich ist ein Garant für Skalierbarkeit einer solchen Lösung.

Granularität der Secure Networks™ Policys

Wie in der Grafik dargestellt, liegt die Stärke von Policy Enforcement bei Secure Networks™ in der Kombination aus Authentisierung, Klassifizierung und Kontrolle.



Mit diesen Maßnahmen ist es nun möglich einem breiten Spektrum von Bedrohungen zu begegnen, von denen einige hier beispielhaft aufgezeigt werden sollen:

Risiko Lösung

Illegitime DHCP-Server tauchen immer wieder in LANs auf und stören den Betrieb durch Zuweisung eigener IP-Adresse.

Eine Deny Regel auf SourcePort TCP69 verhindert dies.

Portscanner versuchen das Netz auszuspähen.

Das Blockieren des ICMP Protokolls für Standardbenutzer unterbindet Scan-Versuche.

Rogue Access Points schaffen offene WLAN-Zugänge.

Auch ein AP muss sich via 802.1x authentisieren bevor er am Netzverkehr teilnimmt.

Priorisierte Protokolle sind anfällig für Packet Flooding.

Die Kombination aus Priorisierung und Rate Limiting schützt das Netz.

Nicht alle IT-Komponenten lassen einen Schutz der Managementports zu.

Layer 4-Regeln filtern Dienste wie Telnet und SSH aus, sofern der Benutzer keine Administratorenrolle spielt.

Würmer verbreiten sich exzessiv in lokalen Netzen.

Für zahlreiche Attacken bietet der Policy Manager vorgefertigte Filterregeln an.



(Multi-) User Authentication and Policy (MUA+P) im DetailDie bisher aufgezeigte Kommunikationskette für den Authentisierungsprozess wird nun also um die Managementfunktion erweitert, mit deren Hilfe Rollen und Regeln verteilt werden.

Kombination von Access Control und Policy Enforcement

Nun gibt das zentrale Verzeichnis neben der positiven Authentisierungsbestätigung auch die Gruppenmitgliedschaften des Benutzers an den RADIUS-Server zurück. Mittels eines kleinen Filterwerks ermittelt dieser die relevante Gruppe, deren Name dem Switch nun als Schlüssel dient, um dem Port die entsprechende Policy zu zu weisen.

Die Authentisierungsmethode wird also lediglich um eine Filter-ID erweitert, alle weiteren Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an sich sehr schlanke Standard-RADIUS Protokoll bietet damit die Grundlage für eine hoch skalierbare Gesamtlösung.

Im Kontext heterogener Netze, in welchen nicht alle Accesskomponenten den Einsatz von Policys unterstützen, ist es, wie bereits beschrieben, notwendig mehrere Benutzer an einem Port des nachgeschalteten Distributionlayers zu authentisieren. Die Flexiblität der Matrix® N-Serie Switche erlaubt nun eine Kopplung der benutzerabhängigen Policy an die jeweils involvierte MAC Adresse.



Die folgende Grafik verdeutlicht das Konzept der so genannten Distribution Layer Security.

Diese Technik erlaubt die Integration

• unterschiedlicher Benutzer (bis zu 256)

• unterschiedlicher Authentisierungsmethoden (802.1x, MAC, PWA, CEP)

• unterschiedlicher Regelwerke (Policys)

am selben Uplinkport.

Multiuser Authentifizierung

Sichere Gastfreundschaft mit Default PolicysGäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderungen kontinuierlich ausgebaut werden.

Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitarbeiter fremder Firmen, die manchmal über lange Zeiträume im Unternehmen präsent sind – sie alle haben den Anspruch, an den Ressourcen der IT-Infrastruktur teilzuhaben. Ein Horrorszenario für jeden Administrator!

Der Balanceakt, einerseits diesem Bedarf nachzukommen ohne andererseits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren, stellt eine echte Herausforderung dar.

Ein Teil der genannten Personengruppen lässt sich organisatorisch registrieren und technisch mittels Webauthentication und einer restriktiven Policy in das Sicherheitskonzept integrieren.



Für die oft große Zahl sporadischer Besucher ist dieser Aufwand unangemessen hoch. Eine einfache Lösung muss her, die ohne Eingriff des Administrators funktioniert.

Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem nichtauthentisierten Benutzer den minimalen Zugriff auf die Netzwerkinfrastruktur. Eine solche „soziale Grundversorgung“ definiert sich beispielsweise über den Zugriff auf VPN-, HTTP-, DHCP- und DNS-Services sowie dem Zugang zum Webproxy des Unternehmens.

Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert exzessiven Gebrauch.

Der Gast erhält also an jedem freigegeben Port Basisdienste, ist jedoch von den internen Ressourcen der IT-Infrastuktur eindeutig ausgeschlossen.

Aber auch andere Szenarien lassen sich über Default Policys abbilden.

Softwareverteilung findet regulär außerhalb der Bürozeiten statt.

Eine angepasste Default Policy stellt den Zugriff eines Updateservers auf das Endgerät auch dann sicher, wenn der Benutzer nicht angemeldet ist.

Fazit: Default Policys schaffen die nötige Flexibilität in einem sicheren Netzwerk, um Nischenszenarien zu ermöglichen ohne die Security durch manuelle Schaffung von Ausnahmen und Lücken zu kompromittieren.



RFC 3580 und Distribution Layer SecurityDie Einführung flächendeckender Netzwerk Security in heterogenen Netzen stellt den Administrator, wie bereits beschrieben, vor eine Reihe spannender Herausforderungen.

Gerade im Bereich der Low-Cost Switche hat sich das Prinzip der User/ VLAN-Zuordnung gemäß Standard RFC 3580 weitgehend etabliert.

Daher soll dieses Thema nochmals eingehender mit Fokus auf eine Secure Networks™ Integration beleuchtet werden.

RFC 3580 ist eine Methode, welche der Authentisierungsantwort des RADIUS-Servers eine VLAN-ID beifügt, anhand welcher der Switch dem Userport ein entsprechendes VLAN zuweist.

In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponenten in eine policybasierte Lösung integrieren lassen.

Enhanced Policy mit RFC 3580



In dem abgebildeten Beispiel agiert der Distribution Layer Switch vom Typ Matrix® N-Serie N7 nicht als Authentisierungsinstanz, sondern weist den eingehenden Frames anhand der VLAN-ID eine entsprechende Policy zu.

Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kommunikation auf den Bereich des VLANs innerhalb des einzelnen Access Switchs.

Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy Manager konfigurieren und flächendeckend an alle Switches kommunizieren.

VLAN Mapping im NetSight® Policy Manager

Port ProtectionIm Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei allen Szenarien der Distributed Layer Security ein Restrisiko, da die Access Control erst in der nachgelagerten Instanz ausgeführt wird.

Um diese Lücke zu schließen, haben die Entwickler von Enterasys die Funktionalität des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den neuen Anforderungen angepasst und in das Portfolio der SecureStack™ Reihe integriert.



Das Port Protection oder Private VLAN Feature, welches Datenaustausch nur in Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kommunikation des Switchs direkt in die Distribution Zone und das Regelwerk der Policys. Diese Schutzmaßnahme bewahrt die Enduser vor unkontrolliertem Verkehr innerhalb des Switchs/VLANs.

Policy Enforcement in der PraxisDie Konfrontation mit einer Flut von Begriffen wie MUA+P, RFC 3580 und Distribution Layer Security impliziert die Vorstellung einer Netzwerkarchitektur, welche aufgrund ihrer Komplexität einfach nicht mehr zu handhaben scheint.

Es bietet sich daher an, die Migration eines LANs hin zu einem sicheren Netzwerk in abgestuften Phasen durchzuführen, welche szenarienbedingt variieren können.

Hier ein Beispiel für die Vorgehensweise:

Step 1 – Assessment

Eine Bestandsaufnahme stellt den Grundstock für weitere Betrachtungen dar. Daher sollten einige Punkte im Vorfeld festgelegt werden.

• Welche Komponenten sind im Netz aktiv, welche Featuresets stehen zur Verfügung?

• Welche Verkehrsbeziehungen sind zwischen Endgeräten und Servern etabliert?

• Welche Dienste werden genutzt? Welche sollten fallweise restriktiv behandelt werden?

• Welche Authentisierungsmethoden können/müssen eingesetzt werden? Was unterstützen die Betriebssystemplattformen der Endgeräte?

Step 2 - Management

Die Einrichtung des Netzwerkmanagements verdient ein besonderes Augenmerk. Die Auswertung von SNMP-Traps und Syslogmeldungen stellt



einen wichtigen Faktor für die transparente Darstellung des Betriebszustandes eines Netzwerks dar.

Nach der Einführung redundanter Maßnahmen manifestieren sich einzelne Ausfälle nicht mehr in Form von Betriebsstörungen. Umso wichtiger ist es, diese Teilausfälle zu erkennen, um die Gesamtverfügbarkeit der Infrastruktur erhalten zu können.

Die steigende Integration intelligenter Funktionen in die Netzwerkkomponenten erfordert ein Maß an Kontrolle, welches über einfaches Portmanagement hinaus geht.

Die NetSight® Console ist in der Lage sowohl Meldungen aktiver Komponenten intelligent auszuwerten als auch Managementaufgaben flächendeckend und geräteübergreifend durchzuführen.

Das ermöglicht dem Administrator wiederkehrende Routineaufgaben energiesparend zu absolvieren und Funktionsstörungen jederzeit gezielt zu lokalisieren.

Die Integration des Policy Managers in die NetSight® Installation ist der erste praktische Schritt zu einem sicheren Netzwerk.

Step 3 – Static Policys

Es gibt verschiedene Rahmenbedingungen, welche die flächendeckende Einführung von Authentisierungsmethoden verzögern.

Daher bietet es sich als Vorstufe an einen statischen Schutz zu etablieren, welcher ohne jede Authentisierung auskommt.

Zu diesem Zweck werden einige wenige Policys definiert, welche den Access Ports als Default Role zugewiesen werden.

Der Nachteil dieser statischen Lösung liegt in einer geringen Flexibilität. Jeder Umzug von Endgeräten erfordert eine Prüfung der dem Port zugewiesenen Policy.

Die Möglichkeit, unter Einsatz des Policy Managers auf einfache Weise eine Access Port Security zu etablieren, birgt – gerade in kleinen und mittleren Netzen – jede Menge Charme und ist als Zwischenstufe einer Migration durchaus betrachtenswert.

Step 4 - Authentisierung

Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus.

Die Integration des RADIUS-Dienstes in Verbindung mit der zentralen Benutzerverwaltung ist möglicherweise bereits im Rahmen einer VPN- oder WLAN Lösung vollzogen worden.

Nun gilt es im RADIUS-Server ein Filterwerk zu etablieren, welches die Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen entsprechenden Policystring (Filter ID) destilliert. Dem folgt die Authorisierung der Accessswitche als registrierte RADIUS-Clients.



Das Aktivieren der Authentisierungsfunktion auf den Switchen stellt einen wesentlichen Schritt in der Migration dar. Der Zugang zum Netz ist nun nicht mehr von der reinen LAN-Connectivity bestimmt, sondern hängt von zahlreichen Faktoren ab: Endgerätekonfiguration, Switcheinstellung, RADIUS, Directory.

Um das einwandfreie Zusammenspiel dieser Kommunikationskette risikofrei sicherzustellen, hat sich die Durchführung einer Pilotphase bewährt.

In dieser Phase ist jedem Port zunächst eine liberale Default Policy zugeordnet, welche den Benutzer in seinem Tun nicht einschränkt.

Ein authentisierter User erhält eine neue Rolle, welche die gleichen Freiheiten einräumt.

Während dieser Pilotphase kann der Administrator risikofrei prüfen, ob die Authentisierungsmechanismen auch unter Volllast greifen. Ist diese Prüfung abgeschlossen, können die vorbereiteten Policys scharfgeschaltet werden.

Step 5 – Nächste Schritte

Die Integration von Authentisierungsmaßnahmen und Regelwerken im Accessbereich stellt einen großen Schritt hin zu flächendeckender Netzwerksecurity dar. Doch das Secure Networks™ Portfolio hat weit mehr zu bieten.

Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4 flächendeckend zu kontrollieren, schafft eine solide Basis an Präventivmaßnahmen.

Der nächste Schritt, Missbrauch und Attacken innerhalb des Contents oder aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren, ist in den nachfolgenden Kapiteln „Detect and Locate“ dokumentiert.

Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage nach dem Vertrauensstatus des Endgeräts. Im Kapitel „Proactive Prevention“ werden Techniken beleuchtet, die es ermöglichen, die wachsende Zahl von PCs, Laptops, Telefonen und embedded Devices in ein erweitertes Sicherheitskonzept einzubinden.

Rückblickend auf zahlreiche Secure Networks™ Migrationen hat sich die Vorgehensweise bewährt, vor Ort einen auf die Bedürfnisse des Kunden abgestimmten Workshop durchzuführen, in welchem Grundlagen vermittelt werden, einzelne Schritte festgelegt und Konfigurationen vorab erstellt werden können.

Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines Pflichtenheftes, der Planung, der Implementierung und Einweisung, professionelle Unterstützung an.



Detect and LocateSecure Networks™ von Enterasys schützt die Unternehmenswerte durch einen ganzheitlichen Ansatz. Die Grundvorrausetzung hierfür ist, dass das Netzwerk in der Lage ist, Angriffe und Gefahren auf Ressourcen im Netzwerk zu erkennen und den Angreifer zu identifizieren.

Bevor jedoch Angriffen auf die IT Infrastruktur begegnet werden kann, muss verstanden werden, wie diese Attacken durchgeführt werden und welche Charakteristiken zur Erkennung genutzt werden können.

AngriffeGrundsätzlich kann dabei zwischen den folgenden Angreifertypen unterschieden werden:

● Automatisierte Angriffe (Viren, Würmer, Trojaner)

● Toolbasierte Angriffe

● Gezielte, intelligente, per Hand durchgeführte Angriffe

Automatisierte Angriffe

Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon ausgehen, dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT Systeme flächendeckend zu kompromittieren. Sind diese Sicherheitslücken bis dato noch unbekannt oder existiert kein Patch dazu, spricht man häufig von Day Zero Attacken.

Die eigentliche Herleitung dieses Begriffs, der eigentlich Zero-Day Angriff/Exploit lautet, kommt jedoch von der kurzen Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und dem Verfügbarsein eines funktionierenden Angriffs (zumeist eines Exploits). Unabhängig davon, ob die Sicherheitslücke bekannt ist und ebenfalls unabhängig davon, ob ein Patch für diese Sicherheitslücke exisitert, folgt das Schädlingsprogramm, das eine Sicherheitslücke automatisiert ausnutzen will, zumeist einem bestimmten Schema:

1) Netzwerkdiscovery und Zielidentifizierung (optional)

Bevor ein (vernünftig programmierter) Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet, überprüft er, ob das Zielsystem überhaupt angreifbar ist. Die Palette der Möglichkeiten, um diese Informationen zu erlangen, reicht vom stupiden Banner Grabbing bis zum intelligten TCP Fingerprint.



2) Kompromittierung des Zielsystems

Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies stellt den eigentlichen Angriff dar. Da der durchgeführte Angriff auf eine Vielzahl unterschiedlicher Systeme auf unter Umständen unterschiedlichen Plattformen durchgeführt werden soll, ist der Angriff an sich meistens sehr stupide und einfach zu erkennen.

3) Weiterverbreitung

Ist das Zielsystem kompromittiert, versucht das Schadprogramm sich weiter im Netzwerk zu verbreiten.

Automatisierte Angriffe können sowohl von Systemen, die mit anomaliebasierten Erkennungstechnologien arbeiten, als auch von signaturbasierten Systemen erkannt werden.

Toolbasierte Angriffe

Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzutage gibt es eine Vielzahl von zum Teil freien Frameworks, die das Ausführen eines Schadprogramms per Knopfdruck ermöglichen.

Diese Frameworks laden bestimmte Angriffsmodule und bieten dem Angreifer die Möglichkeit, die dynamsichen Parameter eines Angriffs per GUI zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm gesenkt.

Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgenden Unterteile aufgliedern lässt:

1) Socket AufbauBevor der Angriffscode übermittelt werden kann, muss eine Netzwerkverbindung zum Zielsystem aufgebaut werden.

2) Shell Code / AngriffscodeNachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der Angriffscode über den Socket verschickt. Da die Rücksprungadresse und das Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen durchprobiert. Da bei diesen toolgesteuerten Angriffen oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs über das Netzwerk versendet – daraus resultiert ein großer Speicherbedarf für das NOP-Sledge.

3) InformationsaufbereitungSobald der Angriffscode übermittelt wurde, werden die daraus resultierenden Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für den User aufbereitet.



Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, gezielt sind und sich somit von den automatisierten Angriffen unterscheiden, müssen die Angriffsschemata dennoch sehr offen gehalten werden. Nur so kann eine sehr hohe Erfolgsquote garantiert werden. Diese Angriffe sind unter anderem durch folgende Merkmale auffällig:

● Große NOP Bereiche

● Oftmaliges Übermitteln des Angriffscodes (da diese die Rücksprungadresse enthält)

● Auffällige Offsets

● Standard Shell Code

● Unsauberes Beenden des angegriffenen Programms (kein exit(0) innerhalb des Shell Codes)

Diese Angriffe lassen sich am besten durch signaturbasierte Systeme erkennen.

Gezielte Angriffe

Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode sehr schlank und sauber geschrieben ist und dass die Verbindungen und die Codesprünge sauber geschlossen werden.

Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss.

Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde).

Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten, um seinen Angriff zu verschleiern, stellen diese fokusierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar.

Gezielte Angriffe lassen sich am besten durch die Kombination von signaturbasierten Systemen und System Information Management Systemen erkennen.

Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und verhindert werden können, folgend die Beschreibung dreier bekannter und weitverbreiteter Angriffsmuster.



Denial of ServiceDenial of Service Attacken gelten oftmals als stupide Attacken von Angreifern, die nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind Denial of Service Attacken jedoch oftmals „Vorboten“ eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen.

Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts angesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheitsgatewaysysteme installieren Updates über NFS mounts, die sie vom DHCP Server erhalten).

Buffer OverflowAngriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht jedoch von pufferbezogenen Angriffen weg und hin zu Cross Site Scripting-bezogenen Angriffen. Im Folgenden sind einige Gründe hierfür aufgeführt:

● Sichere Frameworks für Applikationserstellung und Code Access Security

● Stack Schutz von Betriebssystemen

● Stack Schutzmechanismen für Compiler

Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese stetig an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem „Stack“ und dem „Heap“ zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels sprengen.

Cross Site Scripting (XSS)Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu massiven Problemen führen (bis hin zur Kompromittierung des kompletten Systems), sind extrem einfach für einen Angreifer zu finden und auszunutzen und oftmals sehr schwer zu erkennen und zu verhindern.

XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren auf der Dynamik der Programmiersprache mit der bestimmte Dienste, die die genannten Protokolle nutzen, geschrieben sind.

Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht werden. Vereinfacht gesagt wird ein Skript zeilenweise ausgeführt (vom



Interpreter). Kommt es zu einem Fehler oder einer falschen Anweisung endet das Skript in einer bestimmten Zeile. Ein in einer Hochsprache (z.B. C) geschriebenes Programm wird vor Beginn der ersten Ausführung kompiliert – grobe Fehler werden also schon bei der Erstellung des Programms erkannt. Ferner ist es bei Skriptsprachen möglich, Codes während der Laufzeit einzubinden.

Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den eigenen Code in die Webapplikation einzuschleusen (Skript Code oder Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes werden.

Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier genannten Angriffsschemata auch man-in-the-middle Attacken und Protokollangriffe detailliert behandelt.

IDS ErkennungstechnologienIntrusion Detection und Prevention Systeme sind in der Lage die beschriebenen Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits einleitend beschrieben, gibt es für die verschiedenen Angriffe verschiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle verfügbaren Erkennungstechnologien vereint und somit in der Lage ist, die jeweils beste Technologie zur Erkennung und Prävention einzusetzen.

Grundsätzlich kann unter folgenden Erkennungstechnologien unterschieden werden:

● Behavior Based Anomaly Detection

Die Analyse von Verkehrsbeziehungen mittels Daten aus den Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponentenspezifischer Traps

Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc.



● Anomaly Detection

Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag Kombinationen gesetzt, etc.)

Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/passwd“ wird normalerweise nicht geändert)

● Protocol based – Protocol Conformance Analysis und Decoding

Die Decodierung von Protokollen und Überprüfung der Konformität im Hinblick auf Standards

● Signature based – Pattern Matching

Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.)

Bei Host Sensoren versteht man darunter zum Beispiel die Analyse von Logdateien

Eine Behavior Based Anomaly Detection basiert darauf typische Verhaltensmuster im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den durchschnittlichen Durchsatz zu messen und bei starken Abweichungen von diesen Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das Setzen und Messen von Schwellwerten handelt, sondern um komplexe Algorithmen, die in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales Verhalten in bestimmten Grenzen vorher zu sagen.

Bei der Anomaly Detection und der protokollbasierten Analyse werden "unmögliche" Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IP-Pakete mit nicht definierten Offsets erkannt. Außerdem werden die Sessions der einzelnen Verbindungen wieder zusammengesetzt und diese nach Auffälligkeiten analysiert und Abweichungen von definierten Netzwerkpolicys (zum Beispiel, dass Mitarbeiter keine Peer-to-Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt.

Eine signaturbasierte Lösung kann extrem präzisen Aufschluss über den Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff erfolgreich war.

Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signaturen von Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um Binärabbilder bestimmter, typischer Fragmente der durch Angriffstools oder Viren erzeugten Datenpakete). Diese werden mit dem Datenteil der Pakete verglichen und so erkannt.

Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter Angriffe jedoch schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte (verschiedene) Angriffe einem bestimmten Muster



folgen. Gut lässt sich dies anhand von Buffer Overflow Angriffen verifizieren, die sich durch das Senden von Shell Code und NOP-Sledges auszeichnen.

Zusammenfassend kann festgehalten werden, dass Intrusion Detection und Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte Technologien anwenden, um festzustellen, ob ein Paket oder ein Kommunikationsfluss integer ist oder ob es sich um einen Angriff handelt. Zur Verifizierung eines erfolgreichen Angriffs verwendet das IDS nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in seine „Überlegung“ auch die Antworten des angegriffenen Systems ein.



Hostbasierte Erkennung versus netzwerkbasierte ErkennungAngriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im Netzwerk stattfinden. Bevor auf die verschiedenen Technologien im Detail eingegangen wird, werden im Folgenden einige Vor- und Nachteile der verschieden Systeme aufgeführt.

Vorteile hostbasierter Erkennung:

● Netzwerkstream wurde bereits vom TCP Stack des Betriebssystems zusammengesetzt

● Verschlüsselungsproblematiken sind nicht vorhanden

● Komplettes Systemverhalten kann in die Bewertung eines Angriffs einbezogen werden

Nachteile hostbasierter Erkennung:

● Großer Verwaltungsaufwand: Muss auf jedem Host installiert werden

● Verschiedene Betriebssysteme benötigen verschiedene Clients

● Betriebssystemänderungen können hostbasierte Erkennung beeinflussen

Vorteile netzwerkbasierter Erkennung:

● Änderungen am Betriebssystem des Ziels haben keinen Einfluss auf die netzwerkbasierte Erkennung

● Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System kann eine Vielzahl von Hosts überwachen

Nachteile netzwerkbasierter Erkennung:

● Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffserkennung führen

● Single Point of Failure

● Lokale Angriffe werden nicht erkannt



Host Intrusion Detection / Prevention (HIDS/HIPS)Host Intrusion Detection / Prevention Systeme haben einen komplett anderen Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei Hauptansatzpunkte:

● Kernel Schutz (System Call Hooking)

● Überwachung von Konfigurationsdateien und/oder der Registrierung

● Prüfung der Systemintegrität

Kernel Schutz

Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Benutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystemroutinen beheimatet sind. Vereinfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv verwaltet) und dem Userland die System Calls sind. Diese Calls werden von Applikationen und Programmen genutzt, um Zugriff auf Betriebssystemressourcen zu erhalten.

Ein HIDS / HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernelspace) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valid sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar machen:

● Verhindern des Ausführens von Code auf dem Stack

● Überschreiben von System Calls (Linux – LKM)

Überwachung von Konfigurationsdateien und Registrierung

Ein weiterer wichtiger Bestandteil eines HIDS / HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernelkonfigurationen (Linux).

So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut identifizieren.



Prüfung der Systemintegrität

Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion Detection / Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde. Das HIDS / HIPS bildet hierzu zu einem Zeitpunkt, an dem das zu überwachende Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des Binärcodes und agiert sobald sich diese Checksumme ändern.

System Integrität – Kernel Schutz

Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an, die didaktisch sehr einfach über den Dragon® EMS zu verwalten sind. Damit können die in diesem Kapitel beschriebenen Features einfach und sicher realisiert werden.

Enterasys Host Intrusion Prevention Systeme beschränken sich dabei jedoch nicht nur auf den hier beschriebenen Betriebssystem- und Systemapplikationsschutz. Für einige businessrelevante Gebiete (wie Webserver [Internet Information Server und Apache]) gibt es eigene Application Intrusion Prevention Systeme, die für einen idealen Schutz der entsprechenden Applikation sorgen.

Erweiterungsmöglichkeiten des HIDS

Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development Kit) an, das von Kunden, Partnern oder vom Enterasys Professional Services Team genutzt werden kann, um zusätzliche Leistungsmerkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher integrieren.

Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätzliche Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bi



bliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der Enterasys Enterprise Management Suite beschäftigen oder mit sicherheitsbezogenen Themen wie Authentifizierung und Verschlüsselung – er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren.

Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogramme, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu entwickeln.

Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte integriert, innerhalb der Dragon® Defense Suite zu nutzen.

Network IDS/IPSNetzwerkbasierte Intrusion Detection und Prevention Systeme unterscheiden sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden:

● Ereigniskomponente:

Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergegeben.

● Analysekomponente:

An dieser Stelle werden die Daten, die von der Ereigniskomponente gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse System) Installation handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden.

● Monitor und Darstellungskomponente:

Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den Anwender / Administrator aufbereitet.

Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht



werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien schützt.

IDS versus IPS versus DIRSNachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen können, werden die Aktionen, die aus diesen Informationen getroffen werden können, diskutiert.

Detection

Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver Sicherheitstechnologie (ob inline oder outline). Sollte keine proaktive Sicherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und dokumentieren, Statistiken über die Sicherheitsentwicklungen erstellen und Datenquellen / Ressourcen für Security Information and Event Management Systeme bereitstellen, die daraus SoX-konforme Reports erstellen können.

Prevention

Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also direkt in den Kommunikationsfluss integriert und entscheiden, ob ein Paket weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes Werkzeug, um das Netzwerk und die darin befindlichen Komponenten aktiv vor Angriffen zu schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen, wenn es sich dabei um schadhafte Pakete handelt.

Dynamic Response

Distributed IPS basiert auf Intrusion Detection und führt – basierend auf den Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk durch. Je nach vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Portpolicy oder durch das Verbannen eines Users aus einem bestimmten VLAN in ein Anderes geschehen. Distributed IPS reagiert dabei auf bestimmte Ergebnisse. Wird ein Angriff durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt, wird das DIRS diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer gefahren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet.

Auch hier kann zusammenfassend festgehalten werden, dass das größte Schutzpotential durch die Kombination der verschiedenen Technologien realisiert werden kann.



Dynamic Response in Multivendor Networks

Enterasys Networks ist der führende Anbieter von Distributed IPS Systemen. Durch eine extrem hohe Anzahl unterstützter Devices von Fremdherstellern ist es möglich, nahezu jede Netzwerkinfrastruktur durch den Einsatz des Dragon® IDS in Kombination mit dem Automated Security Manager über DIRS abzusichern.



System Information and Event ManagementUnter SIEM (System Information and Event Management) oder SIM (System Information Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen.

Einsatzmöglichkeiten für Dragon®

Zur besseren Veranschaulichung kann die IST Situation und die SOLL Situation (bezogen auf Security Information Management) vieler Unternehmen herangezogen werden:

Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im Netzwerk. Die entstehenden Logmessages werden in unterschiedlichen Formaten auf unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen enthalten.

Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessages werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Realtime sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht.



Die Technologie

Technologisch wird die eben beschriebene SOLL Situation dadurch erreicht, dass alle Events (ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems) in einer Datenbank gespeichert und korreliert werden. Aus dieser Korrelation wird ein neuer Überevent generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Offense zusammengefasst werden, desto höher ist die Data Reduction Rate. Das SIEM kann dabei Lognachrichten oder auch Flow Daten von Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Durch die ganzheitliche Strategie von Secure Networks™ ist es im Umkehrschluss wiederum möglich, Aktionen basierend auf den Offenses im Netzwerk zu starten.

Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die alle erdenklichen Informationen aufnehmen und den Board of Directors (den Administratoren) dann Anweisungen erteilen.

Die Dragon® Security Command Console (das SIEM von Enterasys) ist in der Lage, die vorhandenen Offenses einfach und klar strukturiert darzustellen. Da das System auch für sehr große Infrastrukturen ausgelegt ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, welche Informationen er zu Beginn seiner Session sehen möchte.

Die DSCC ist dabei wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, in dem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt.

Was bringt Enterasys Security Management ...

... für die Finanzorganisation?

● Kosten werden eingespart

● Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automatisiert übernommen werden

● Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt signifikant

● Erhöhung des Return on Invests bei Software und Hardware




... für das operative Geschäft?

● Verbesserte Antwortzeiten bei Attacken

● Attacken, Hardware- und Softwarefehler werden besser erkannt. Dadurch können bestimmte Fehlersituationen besser zugeordnet und Aktionen besser koordiniert und geplant werden.

● Verbesserte, einfachere Übersicht über Securityevents

● Signifikate Erhöhung der proaktiven und präventiven Sicherheit

● Auswirkungen bestimmter Aktionen können besser bewertet werden; Auswirkungen besser berechnet werden.


... für das Business an sich?

● Erhöhung der Stabilität der IT Infrastruktur und damit bessere Verfügbarkeit der Geschäftsprozesse

● Legal Compliance

● Befolgung aller Regularien

● Minimierung der Auswirkungen für Unbeteiligte

● Risiken werden minimiert. Risiken werden überhaupt erkannt!

Enterasys bietet mit der Dragon® Security Command Console das führende System, um die eben dargestellten Leistungsmerkmale effizient abzubilden

Korrelationsmöglichkeiten mit DSCC



Die Enterasys DSCC ist dabei ferner in der Lage, Ergebnisse von Vulnerability Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung einzubeziehen. Ein intelligentes Framework macht Erweiterungen möglich, die eine enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen Datenaufkommen garantiert.

DSCC Übersicht

Enterasys bietet ferner durch die Kombination der hier aufgezeigten Systeme (HIDS, NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefahren mit der entsprechenden Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Bestandteil dieser Secure Network™ Strategie ist es, dass dabei, wie bereits in diesem Kapitel über System Information und Event Management zu erfahren, eine Vielzahl von Fremdherstellern einbezogen werden können.

Schnittstellen zu externen SystemenEines der Ziele, die die Dragon® Security Command Console verfolgt, ist, dem Administrator bei verifizierten, schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, ausgefallener Server, etc.) darzustellen, um was es sich bei diesem Vorfall genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat.

Dabei offeriert die DSCC dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende identitybezogene Informationen (Username, Usergruppe, Switchport, Switch IP Adresse, Name des Swit



ches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benutzer „nur“ wired oder wireless online ist oder mehrere Verbindungsmöglichkeiten nutzt (z.B. wired und wireless und zusätzlich VPN).

Asset-Informationen in der DSCC

Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine MAC Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen.

Gefahrenquellen mit der DSCC direkt aus dem Netzwerk entfernen

Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben, erweitern das Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen kann, enorm.



Interne Erweiterungsmöglichkeiten und SchnittstellenEin Security Information und Event Management System wie die Dragon®

Security Command Console lebt davon, Events und Flows von verschiedensten Systemen unterschiedlicher Hersteller zu lesen und diese Events zu nutzen, um sie durch das Korrelieren mit anderen Events von anderen Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden oder dass Kunden ihre eigenen Applikationen entworfen haben, die per default von den gängigen SIEM Lösungen nicht unterstützt werden.

Da diese Quellen sehr wertvolle Daten enthalten können, die einen spürbaren Mehrwert während des Korrelationsprozesses darstellen könnten, bietet die Dragon® Security Command Console einen sehr einfachen und effektiven Weg an nicht bekannte Logfile Formate zu lesen und in die Korrelation aufzunehmen.

Dabei muss der Administrator lediglich ein generisches / universales Device anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsoberfläche innerhalb weniger Minuten realisiert werden kann.

Schritt 1:

DSCC - Sensordevices

Anlegen eines neuen generischen Devices, damit Logfiles von diesem System aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden.



Schritt 2:

DSCC-QidMapping

Zuordnen des Events, so dass die DSCC „weiß“, in welche Kausalkette dieser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist.



Respond and RemediateUnter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom auf auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten kombiniert. Intrusion Detection Systeme erkennen auftretenden Missbrauch oder Sicherheitslücken und können mit Hilfe von Responsemechanismen direkt – als IPS oder in der Secure Networks™ Architektur - mit dem ASM ins Geschehen eingreifen.

Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mitarbeiter mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich, eine Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten.

Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber auch auf anderem Wege erreicht werden. So unterstützt zum Beispiel die Matrix® N-Serie das so genannte Flow Setup Throttling. Man kann (vor allem auf den Userports) pro Port Schwellwerte definieren, welche die maximale Anzahl von Flows in einer gewissen Zeiteinheit definieren. Überschreitet der Rechner eines Users diesen Threshold, so ist das normalerweise nie auf regulären Traffic zurückzuführen, sondern ein sicheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Konfiguration schickt der Switch dann eine Nachricht an die Managementstation oder aber der entsprechende Port wird sofort deaktiviert (und auch hier wird eine Nachricht an die Managementstation geschickt).

Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird durch den Einsatz der folgenden Enterasys Networks Lösungen möglich:

● Enterasys NAC

● NetSight® Console

● Automated Security Manager

● Dragon® IDS

Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Bevor er jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Sicherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt, dass der User die in der Firmenpolicy vorgeschriebene Antivirensoftware deaktiviert hat. Der User erhält daraufhin lediglich Zugriff auf eine von Enterasys Networks bereitgestellte Webseite, die ihm eine genaue Beschreibung des Fehlers offeriert. Der User wird auf dieser Webseite daraufhin gewiesen, dass er die Antivirensoftware wieder aktivieren muss, um Zugriff auf das Netzwerk zu erhalten. Versucht der User interne oder externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf die von Enterasys Networks gelieferte Webseite umgeleitet.

Nachdem der User die Software wieder aktiviert hat, kann er über einfaches Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netzwerk verlangen. Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem



des Users keine Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des Sicherheitslückenscanners.

Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu. Nach einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese Attacke wird vom Dragon® Intrusion Detection System erkannt. Durch die automatische Abstimmung des Dragon®

IDS und des Automated Security Managers wird die Rolle des Users geändert und sein Port in Quarantäne gesetzt. Der User erhält nun lediglich Zugriff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt, dass das Netzwerk den Angriff erkannt hat und sein System aus dem Netzwerk entfernt wurde.

Assisted Remediation mit ToS-Rewrite

Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per DIRS vom Netz getrennt wurde, mit einem definierten DSCP (bzw. IP Precedence) Wert zu markieren.

Assisted Remediation mit Hilfe von ToS-Rewrite

So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein modifizierter Proxy, der in der Lage ist die Pakete an Zieladressen anderer Webserver entgegen zu nehmen und mit einer Remediation Webseite zu antworten. Dies setzt natürlich voraus, dass DHCP (falls verwendet) und DNS wie üblich gehandhabt werden oder der Remediation Server ebenfalls auf diese antwortet.



Proactive Prevention / NACMit proactive Prevention oder auch Network Access Control steht wieder einmal eine Technologie am Anfang des “Gartner Hype Cycles“ (http://www.gartner.com/pages/story.php.id.8795.s.8.jsp).

Sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden bietet NAC eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Herausforderung insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine entsprechende NAC Lösung einsetzen möchte.

Definition von NACIm Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät authorisiert und Zugriff auf Ressourcen gewährt auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Geräts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen - die Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im so genannten Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der so genannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endgeräte und Nutzer am Netz, dass heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras, etc.

NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitsprobleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikationsebene können mittels NAC kaum erkannt werden, es sei denn, man setzt intensiv auch Post-Connect Assessment Techniken ein.

(http://media.godashboard.com/CMP/Excerpt_nwcanl06_nac.pdf)



Der Prozess NACEs gibt hier verschiedenste Modelle zur Darstellung eines NAC Prozesses. Generell ist die folgende Einteilung sinnvoll (lt. Gartner):

➔ Policy – die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäneeinstellungen zu regeln

➔ Baseline – erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur

➔ Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline

➔ Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patchmanagement und Konfigurationsmanagement erfolgen

➔ Monitor – es muss laufend überprüft werden, ob der Anfangsstatus sich nicht verändert

➔ Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können

➔ Maintain – es muss eine laufende Anpassung und Optimierung erfolgen

Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens entsprechend anzupassen bzw. zu optimieren.



Lösungsansätze

Die großen Frameworks – das Endziel

Zunächst gestartet, um die Integrität eines Endsystems in Bezug auf Hardware- und Softwarekonfiguration sicherzustellen (und damit einen Großteil bestehender Host IPS und Personal Firewall Ansätze zu ersetzen), können diese Ansätze optimal durch bestehende APIs auch zur Kommunikation des Security Status eines Endsystems in einer NAC Umgebung genutzt werden. Die IETF teilt die Funktionen hier wie folgt ein:

NAC Funktionalitäten nach IETF

Der „Agent“ auf dem Endsystem ist typischerweise mehrteilig – der Posture Collector überprüft einzelne Einstellungen (je nach Hersteller des Kollektors) wie z.B. Patchlevel, Antivirus Status, Personal Firewall Einstellungen, etc. und gibt diese an den Client Broker weiter, dessen API von verschiedenen Posture Kollektoren genutzt werden kann. Der Client Broker wiederum gibt diese Information an den Network Access Requestor weiter, der neben Authentifizierung auch den Security Status an die Serverseite leitet. Typisch für einen Network Access Requestor sind 802.1x Supplicants oder IPSec Clients.

Beim Network Enforcement Point handelt es sich typischerweise um Switche, Router, Access Points, Firewalls und IPS Systeme oder VPN Konzentratoren.

Auf der Serverseite werden die Komponenten der Client Seite widergespiegelt in Form der Network Access Authority. Diese entspricht typischerweise einem RADIUS Server bzw. einem Policy Server. Dieser steuert das Network Enforcement und den Server Broker (ein Stück Middleware wie auch der Client Broker), der wiederum die verschiedenen Posture Validatoren anspricht.

Für agentenbasierte Lösungen werden diese Lösungen in den nächsten 2 bis 5 Jahren wohl die dominierende Position einnehmen.



Microsoft NAP

Die Microsoft NAP Network Access Protection Lösung, die mit MS Vista und Windows Server 2008 Einzug hält, wird wohl erst in naher Zukunft für „General Deployments“ bereitstehen. Die Beta Tests und Early Adopter Implementierungen laufen schon seit 2007. Es wird auch einen NAP Client für Windows XP geben, der grundlegende Kundenanforderungen umsetzt. Der NAP Client wird dann DHCP, VPN und 802.1x Enforcement unterstützen.

Microsoft NAP-Modell

Der Enforcement Point kann aber auch in der Netzwerkinfrastruktur liegen, die Steuerung erfolgt dann über einen RADIUS Server (Quelle: Microsoft)

Microsoft hat auf der Interop 2007 bekannt gegeben, dass sie den TNC-Standard der Trusted Computing Group unterstützen werden. Damit zeichnet sich ab, das der Weg zu NAP Richtung TNC führen wird.

Kombinierte NAP/TNC Architektur



Trusted Computing Group TCG - TNC

Da der Endgerätemarkt nicht nur aus Microsoft Produkten besteht, ist insbesondere hier ein Standard notwendig, der sich mit der TCG und deren Sub-Group TNC-SG Trusted Network Connect abzeichnet. Vereinzelt sind auch schon Produkte zu finden, die diese Spezifikation unterstützen. Ein großer Durchbruch war aber in 2007 zumindest für TNC noch nicht zu sehen, obwohl schon mehr als 160 Unternehmen dort Mitglied waren. Das Modell der TNC-SG 1.1 Spezifikation sieht auch wiederum sehr dem MS NAP Konzept ähnlich (Quelle: TNC):

TCG NAC-Modell

Posture Collector und Validator entsprechen jetzt den Integrity Measurement Collectors und Verifiers, die Client und Server Broker sind die eigentlichen TNC Clients und Server, die Network Access Requestor, Network Access Authority und Policy Enforcement Point Instanzen bleiben identisch.

Das Zusammenspiel in heterogenen Umgebungen

Auf der Desktopebene wird Microsoft mit dem NAP Agent wohl eine maßgebliche Rolle spielen – in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben stark (vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird in der non-Microsoft Welt groß sein, für Microsoftbasierte Endsysteme bleibt dies abzuwarten. Eine Integration der verschiedenen Systeme ist möglich auf der Serverseite – hier müssen intelligente Network Access Authority Server erkennen, welche Clients installiert sind (oder clientless gearbeitet wsird) und auf dieser Basis muss eine Umleitung an den entsprechenden (Network Access Authority) Server erfolgen. Enterasys geht mit Enterasys NAC diesen Weg des intelligenten RADIUS Proxy und Brokers, der diese Integration übernehmen kann. Auf dem Desktop muss sich der Kunde für jeweils einen Agenten und eine Technologie entscheiden.



Enterasys NACEnterasys hat durch seine Secure Network™ Architektur eine Basis für In- und Out-of-Band NAC Lösungen geschaffen. Dabei wird der NAC Prozess vollständig durch die Secure Networks™ Architektur abgebildet. Allerdings ist selbstverständlich auch in Drittherstellernetzen ohne Secure Networks™ Unterstützung der Einsatz der Enterasys NAC Lösung unter Verwendung von Standards wie 802.1x Authentisierung und VLAN Zuweisung (RFC 3580) möglich.

NAC Prozess

● Erkennung und Authentisierung durch Secure Networks™ Authentication/ Multiuser Authentication (in Drittherstellernetzen mit den Authentication Features der jeweiligen Switche – minimal RFC 3580)

● Assessment über das integrierte Enterasys agent based oder -less Assessment oder über die offene Assessment API auf beliebigen Produkten

● Authorization durch Secure Networks™ Policys (L2, L4 + QoS)

● Remediation durch die oben beschriebene Remediation Technik oder im Inline Betrieb In-band

● Contain über die Integration des NetSight® ASM

Das Post-Connect Assessment kann hier im Monitorprozess durch die Integration der Enterasys DSCC und IDP Lösung erfolgen. Da hier standardisierte Webservices Schnittstellen zur Verfügung stellen, ist natürlich auch die Einbettung beliebiger und evtuell schon vorhandener Sicherheitsdienste möglich.

Die Enterasys NAC Lösung ermöglicht die Umsetzung der unterschiedlichen NAC Modelle switchbased Out-of-Band sowie Inband mit einer einheitlichen Managementoberfläche. Dabei kommen die Komponenten NetSight® NAC Manager sowie für den Out-of-Band Betrieb das NAC Gateway, für den Inband Betrieb der NAC Controller zum Einsatz – die genaue Zusammenstellung wird im Produktportfolio erläutert.



Die Enterasys Inline NAC Lösung erlaubt neben der schon bestehenden Out-of-Band Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im Netzwerk. Damit ist der NAC Prozess für jedes Endsystem, welches ans Netzwerk angebunden wird, identisch – egal ob der Anschluss an das LAN, WLAN oder z.B. über einen VPN Konzentrator von außen erfolgt.

Der Einsatz der Enterasys Inband NAC Lösung ermöglicht eine für alle Endsysteme einheitliche Zugangskontrolle, unabhängig davon wo das System ans Netzwerk angeschlossen wird.

Damit ist Enterasys der einzige Hersteller, der mit einer Architektur alle möglichen hardwareorientierten NAC Lösungen abbilden kann.

NAC für FortgeschritteneDie NAC Lösung von Enterasys erlaubt nicht nur den klassischen NAC Ansatz sondern stellt viele weitere Möglichkeiten für eine einfache Umsetzung der Zugangskontrolle zur Verfügung.

Im Zusammenhang mit einer Inband Lösung oder allgemein einer NAC Lösung im Distribution Layer bei der am eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt werden stellt sich oft die Frage, ob diese überhaupt 802.1x fähig sind oder inwiefern eine vom Access Switch durchgeführte 802.1x Authentisierung überhaupt genutzt werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt.

Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was z.B. bei einer Microsoft Active



Directory Umgebung der Fall ist sobald der jeweilige Rechner in der Domäne Mitglied ist.

Die Kerberos Pakete werden dann vom NAC Controller mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername, Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber herauslesen. Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung durchgeführt hat.

Diese Informationen können dann direkt zur Authorisierung, dass heißt der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile einer 802.1x Lösung ohne deren Implementierungsaufwand nutzen.

Kerberos Snooping Radius Snooping

Ein netter Nebeneffekt beim Kerberos Snooping, auch ohne die verwendung des Benutzernamens zur Authorisierung, ist die Tatsache, dass die Benutzer hinter den Endsystemen dem Netzwerkadministrator bekannt werden.

Wird auf den Access Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so können mit RADIUS Snooping die Authorisierungs- bzw. Secure Networks Policyfeatures eines Enterasys Switch im Distribution Layer genutzt werden.



Dabei liest der Enterasys Switch die RADIUS Pakete mit und wendet das für den Access Switch zurückgegebene Regelwerk auf die MAC Adresse des in der RADIUS Session angegebenen Endsystems an.

Zur Benachrichtigung im Fehlerfall bzw. zur Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC Lösung die Remediation. Dahinter verbirgt sich ein Captive Portal wie man es aus WLAN HotSpots kennt. Darüber können dem Benutzer im Falle eines Netzwerkausschlusses Informationen über die Gründe übermittelt werden bzw. über den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung geboten werden.

Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen oder Gästen zu lösen. Hierbei werden die Webanfragen eines neuen Endsystems am Netzwerk zu einer Webseite umgeleitet auf der das jeweilige System registriert werden muss – dazu wird auf ein vorhandenes LDAP (z.B. Active Directory) zurückgegriffen. Dabei werden die Daten des Benutzers des neuen Systems eingetragen und einer der Mitarbeiter bestätigt mit seinem Domänenzugang die Gültigkeit dieser Daten.

MAC Registration - Zugangskontrolle für Fremdsysteme

Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig benennbar und der Zugriff zum Netzwerk transparent.

Selbstverständlich lässt sich hier die maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung nahezu beliebig an Kundenwünsche anpassbar.



AssessmentDas Assessment dient der Überprüfung des Endsystems. So kann z.B. überprüft werden, ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die Mindestanforderungen an ein eingesetztes Betriebssystem eingehalten werde. Enterasys bietet hierbei eine agentenbasierte- sowie eine agentenlose Lösung an.

Health-Check Möglichkeiten mit Enterasys NAC

Über die weiter unten beschriebene Assessment API besteht die Möglichkeit zur Integration von nahezu beliebigen weitere Assessment-Diensten.

IntegrationsmöglichkeitenDie Enterasys Network Access Control Lösung und die durch diese Produktlinie offerierten Schnittstellen sind integraler Bestandteil der Dragon

Defense Suite. Damit ist es möglich über die Dragon Security Command Console sehr einfach und komfortabel auf die Features und Leistungsmerkmale der Enterasys Network Access Control Lösung zuzugreifen.

Assessment APIEin Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff auf Netzwerkressourcen erhalten, auf Sicherheitslücken zu überprüfen. Die in diese Lösung integrierte Scanningtechnologie kann dabei agentenbasiert oder rein über das Netzwerk arbeiten.

Für die Kommunikation der verschiedenen unterstützen Assessment Produkte aus dem Hause Enterasys oder von Partnerunternehmen oder unterstützen 3rd Party Herstellern wird ein von Enterasys entwickelter Protocolstack genutzt, der die Events der Assessmentprodukte in Events, die durch die Enterasys NAC Lösung verstanden werden, übersetzt und die



Kommunikation zwischen den Devices absichert (Authentifizierung und Verschlüsselung).

Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control Lösungen nachdenken, bereits Assessment und Patch Management Systeme im Einsatz haben. Diese bereits implementierten und erprobten Lösungsbausteine müssen dann Teil der Network Access Control Lösung werden. Da es schier unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich per Default zu unterstüzten, offeriert Enterasys eine eigene Assessment API (Application Programmers Interface), die es dem Kunden ermöglicht, bereits vorhandene Lösungen zu integrieren. Dabei ist es wichtig zu wissen, dass nicht nur die Events der bereits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans durch die Enterasys NAC Lösung erfolgt.

Wie beim SDK (Software Development Kit), das innerhalb der Enterasys Host Intrusion Detection Lösung angeboten wird, kann der Entwickler / Administrator auch bei der NAC API die Entwicklungssprache frei wählen. Die Libraries, gegen die der Code der Assessment Engines dabei gelinkt werden muss, wird in JAVA zur Verfügung gestellt.

Durch das Bereitstellen einer aussagekräftigen und umfassenden Dokumentation mit entsprechenden Beispielen ist die Integration neuer – noch nicht unterstützter – Lösungen in die Enterasys Network Access Control Produktpalette effizient und einfach realisierbar.

Web ServicesDa die Enterasys Network Access Control Lösung viele Mehrwerte zur Erhöhung der Gesamtsicherheit innerhalb eines Unternehmens beisteuern kann, werden die Leistungsmerkmale der Lösung über gut dokumentierte Web Services auch anderen Produkten und Herstellern zur Verfügung gestellt. Somit können die Features, die die Enterasys NAC Lösungen abbilden können, auch von anderen Produkten genutzt werden (zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration eigener Applikationen sollte hier der Enterasys Professional Service in Anspruch genommen werden.



Notrufintegration von Enterasys NAC und VoIP-Management als SOA

Ein Beispiel dieser Integration ist der Siemens DLS Server, der voll in die Enterasys NAC Lösung integriert ist. Da auch Siemens eine Schnittstelle für Partnerunternehmen offeriert, ist auch die Enterasys NAC Lösung innerhalb des DLS integriert – es handelt sich also um eine bidirektionale Integration. Zur Nutzung dieser Integration kontaktieren Sie bitte den Siemens DLS Produktmanager, da diese Funktionalität im Moment nur projektbezogen zur Verfügung gestellt wird.

Automated Security ManagerFür alle Enterasys Security Produkte (Dragon Defense Suite und Enterasys Network Access Control) bietet der Enterasys Automated Security Manager (ASM) Schnittstellen und Features an, die genutzt werden können, um externe Devices (z.B. Router und Switche) anzusteuern und zu konfigurieren. Durch die Flexibiltät und die Erweiterungsfähigkeiten dieses Produkts können Deployments, die mit Enterasys Produkten realisiert wurden, in nahezu allen Unternehmensnetzwerken ihren herstellerunabhängigen Mehrwert ausspielen.

Auch der ASM ist dabei in der Lage durch benutzerdefinierte Erweiterungen, die auch per Script übergeben werden können, seinen Leistungsumfang zu erhöhen und sich so auf Kundenbedürfnisse optimal einstellen zu können.



Standard based Convergence and AvailabilityEnterasys Networks hat schon immer darauf geachtet sich so nah wie möglich an bestehenden Standards zu orientieren und neue Standards voranzutreiben. Einige wichtige Standards werden im Folgenden beschrieben.

Quality of Service im NetzwerkUm Quality of Service in heutigen Netzwerken zu verwenden, ist das Einführen bestimmter Qualitätsklassen erforderlich. Das wird auch als Diffserv bezeichnet - dazu später mehr. Durch den Einsatz leistungsfähiger Switche und Router, die die entsprechenden Standards unterstützen, können so die Verzögerungszeiten innerhalb eines Netzwerks optimiert werden. Die Sprachpakete erhalten Ende-zu-Ende eine höhere Übermittlungspriorität als beispielsweise der tägliche Email Verkehr. Die Schwierigkeit besteht darin, die Sprachdaten zu erkennen, um sie gegenüber den restlichen Daten zu priorisieren.

Die Servicequalität eines Netzwerks kann man als eine Kombination aus Verzögerungszeit, Bandbreite und Zuverlässigkeit beschreiben. Wichtige Charakteristika sind folgende Parameter:

• Verzögerungszeit:

o Ende-zu-Ende- oder so genannte Round-Trip-Verzögerung

o Varianz der Verzögerungszeit (Jitter)

o Echtzeit Möglichkeiten

• Bandbreite:

o Peak Data Rate (PDR)

o Sustained Data Rate (SDR)

o Minimum Data Rate (MDR)

• Zuverlässigkeit:

o Verfügbarkeit (als % Uptime)

o Mean Time Between Failures / Mean Time To Repair (MTBF/MTTR)

o Fehlerrate und Paketverlustrate

Die eigentliche Schwierigkeit besteht nun darin, ein gewisses Maß an Zuverlässigkeit für die neuen VoIP-Dienste bereitzustellen. Nur mit einem Ende-zu-Ende-Ansatz lassen sich diese neuen Anforderungen in der IT-Infrastruktur umsetzen. Dabei gibt es zwei Arten (IntServ und DiffServ) von Quality of Service zum effektiven Bandbreitenmanagement.



Integrated Services

Die standardisierte Integrated Services (IntServ) Methode basiert auf der Reservierung bestimmter Ressourcen. Darunter fällt beispielsweise die Technologie Resource Reservation Protocol (RSVP). Hierzu werden bestimmte Bandbreiten für einen Datenstrom (Flow) Ende-zu-Ende reserviert. Jedes Element in dieser Ende-zu-Ende-Kette muss das Protokoll RSVP verstehen und die Bandbreiten für die entsprechenden Flows reservieren. Damit wird ganz schnell klar, wo die Schwachstellen von RSVP liegen. Meist versteht nicht jeder Router in der Kette RSVP - schon gar nicht im Internet. Weiterhin muss jeder Router diese Informationen dynamisch vorhalten und als so genannte Soft States ablegen. Das kann bei einer großen Anzahl von Flows sehr prozessorintensiv sein.

Eine weitere Herausforderung stellt die Zugriffskontrolle für die Netzwerkressourcen dar. Um RSVP überhaupt möglich zu machen, braucht man einen zentralen Policy Server. Im Jahre 1999 entstand die IETF Policy Framework Working Group. Die Resource Admission Policy Working Group der IETF hat dann die Standardisierung von COPS (Common Open Policy Server) vorangetrieben. COPS wurde als Protokoll entworfen, das mit einer IntServ/RSVP (Integrated Services / Resource Reservation Protocol) Umgebung zusammen arbeitet. Die Kommunikation zwischen dem PDP (Policy Decision Point) und PEP (Policy Enforcement Point) dient zur Übermittlung und der Admission von RSVP / RESV Anfragen. Das Konzept skaliert aber wie RSVP leider nicht für große Netzwerke, daher findet man COPS Implementierungen nur sehr selten.

Policy based networking mit COPS

Insgesamt hat sich der Integrated Services Ansatz nicht durchsetzen können. Heutzutage wird meist DiffServ verwendet.



Differentiated Services

Differentiated Services (DiffServ) als Ansatz setzt auf OSI-Layer-3 auf. Hierzu wird das Type of Service Feld im IP-Header genutzt. Der Hauptunterschied zu IntServ besteht darin, dass keine Ende-zu-Ende Signalisierung der Datenflows benötigt wird. Die einzelnen Datenpakete werden zuerst klassifiziert und dann entsprechend ihrer Prioritäten über das Netzwerk transportiert.

Damit ist es möglich zwischen bestimmten Dienstklassen (Class of Service, CoS) innerhalb einer DiffServ-Domäne zu differenzieren, um den unterschiedlichen Anforderungen der verschiedenen Applikationen gerecht zu werden.

Die Netzwerkkomponenten klassifizieren das Datenpaket und leiten es dann priorisiert weiter. Die Art und Weise der Weiterleitung der Pakete wird als Per-Hop Forwarding Behavior (PHB) bezeichnet. PHB beschreibt generell die Zuteilung bestimmter Bandbreiten- und Speicherressourcen sowie die angeforderten Verkehrscharakteristika wie Verzögerungszeit oder Paketverluste. Damit ist eine Differenzierung in verschiedene Dienstklassen möglich.

DiffServ Feld

Als Unterscheidungsmerkmal zwischen den verschiedenen PHB-Weiterleitungsklassen dient der so genannte DiffServ Codepoint (DSCP), der aus den ersten sechs Bit im IPv4-ToS-Feld besteht. Im RFC 2474 wurde das ToS-Feld im IPv4-Header in DS Feld umbenannt. Damit sind maximal 64 Prioritätsklassen möglich.

Zur Zeit sind folgende DSCP-Werte definiert; die anderen sind noch reserviert bzw. stehen für experimentelle Zwecke zur Verfügung.



DSCP Binary Decimal

Default 000000 0

CS1 001000 8

AF11 001010 10

AF12 001100 12

AF13 001110 14

CS2 010000 16

AF21 010010 18

AF22 010100 20

AF23 010110 22

CS3 011000 24

DSCP Binary Decimal

AF31 011010 26

AF32 011100 28

AF33 011110 30

CS4 100000 32

AF41 100010 34

AF42 100100 36

AF43 100110 38

CS5 101000 40

EF 101110 46

CS6 110000 48

CS7 111000 56

Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit der IP Precedence 0.

Per HopBehaviour (PHB)

Diffserv Code Point (DSCP) IPPrecedence

Default 000000 0

AssuredForwarding

Low Drop Probability

Medium DropProbability

High Drop Probability

Class 1

AF11001010

AF12001100

AF13001110 1

Class 2

AF21010010

AF22010100

AF23010110

2

Class 3

AF31011010

AF32011100

AF33011110 3

Class 4

AF41100010

AF42100100

AF43100110

4

Expedited Forwarding

EF101110 5

Die Class Selector (CS) Code Points erlauben eine Rückwärts-Kompatibilität mit den anderen IP Precedence Werten.



Expedited Forwarding (EF, RFC 2598) ist eine Klasse, die geringe Latenzzeiten, wenig Jitter, möglichst keinen Paketverlust und garantierte Bandbreite zur Verfügung stellen soll.

Assured Forwarding (AF, RFC 2597) bietet eine Vielzahl von Klassen, um den Datentraffic zu differenzieren und das PHB mit verschiedenen Drop Probabilities zu definieren.

Explicit Congestion Notification (ECN)Die Bits 6 und 7 des DSCP Feldes sind mittlerweile definiert und bilden das so genannte ECN Feld. Die Idee bei der Explicit Congestion Notification ist, dass man im IP Protokoll eine Flusskontrolle hat, wie man sie beispielsweise im WAN Protokoll Frame Relay durch die FECN und BECN Bits (Forward/Backward Explicit Congestion Notification) kennt.

Den Standard zu ECN findet man in RFC 3168; die Bits sind folgendermaßen definiert:

• Bit 6 ist das ECN-Capable Transport (ECT) Bit

• Bit 7 ist das Congestion Experienced (CE) Bit

In der Kombination hat man aber beschlossen, dass nicht nur der binäre Wert 10, sondern auch die Kombination 01 ausdrückt, dass ECN unterstützt wird.

Damit kommt man zu folgender Bedeutung der ECN Werte wie in RFC 3168 definiert:

ECT BIT CE BIT Bedeutung

0 0 Not-ECT (Not ECN-Capable Transport)

0 1 ECT(1) (ECN-Capable Transport - 1)

1 0 ECT(0) (ECN-Capable Transport - 0)

1 1 CE (Congestion Experienced)

Die Grundidee hinter der Explicit Congestion Notification ist, dass eine Netzwerkkomponente, die ECN unterstützt, bei Überlast im Netzwerk Pakete nicht verwirft, sondern stattdessen weiterleitet und mit dem CE Wert markiert, sofern sie schon vorher als ECT gekennzeichnet sind.

Diese Information kann dann an den TCP Stack weitergegeben werden, der daraufhin die Window-Size in seinem Acknowledgement Paket heruntersetzt und damit den Sender dazu bringt, die Menge der Daten, die geschickt werden, zu reduzieren.

So gut dieses Konzept ist, so fraglich ist auch, ob es in absehbarer Zeit im Internet genutzt wird. Denn durch das Einschalten von ECN auf meinem Rechner reduziere ich bei Überlast mein Datenvolumen – und die anderen,



die ECN nicht nutzen, freuen sich, denn ihre Pakete haben jetzt freie Fahrt.

Ganz anders ist die Situation in einem Firmennetz, in dem man mit einer entsprechenden Policy durchsetzen kann, dass alle ECN nutzen. So kann man in einem Firmennetz bei Engpässen, insbesondere im WAN, für eine vernünftige Flusskontrolle sorgen.

IP PrecedenceDas ToS (Type of Service) Feld im IPv4 Header ist zwar mittlerweile als DS Feld für die DSCP-Werte umdefiniert, die IP Precedence Bits in ihrer herkömmlichen Bedeutung werden aber immer noch oft als Alternative zu DSCP genutzt.

Die ursprüngliche Definition des ToS Felds (Länge: 1 Byte = 8 Bits) sieht folgendermaßen aus:

TOS Feld

Die 3 IP Precedence Bits ermöglichen es, dem IP Paket einen Prioritätswert zwischen 0 und 7 zu zu weisen. Die weiteren Bits waren dafür gedacht optimal bezüglich Delay, Throughput, Reliability oder Monetary Costs zu routen. Das letzte Bit war immer noch ungenutzt und musste deswegen auf 0 gesetzt sein (MBZ Must Be Zero). Routingprotokolle wie OSPF unterstützen zwar laut Definition die Auswertung dieser ToS-Bits, allerdings gibt es keine Implementierungen, die dies auch wirklich tun.

Anders sieht es mit den 3 Prioritätsbits, der so genannten IP Precedence aus. Mit 3 Bits kann man folgende 8 Werte beschreiben:

• 000 (0) - Routine

• 001 (1) - Priority

• 010 (2) - Immediate

• 011 (3) - Flash

• 100 (4) - Flash Override

• 101 (5) - Critical

• 110 (6) - Internetwork Control

• 111 (7) - Network Control

Die beiden höchsten Prioritäten sind für Netzwerktraffic reserviert. So schicken zum Beispiel Routingprotokolle ihre Nachrichten meist mit der IP Precedence 6 (Internetwork Control). Delay-sensitive Daten wie Voice werden im Allgemeinen mit der IP Precedence 5 versandt. Während der Defaultwert für normale Daten die IP Precedence 0 ist, bieten die verblei



benden Werte von 1-4 die Möglichkeit, den Datentraffic weiter zu unterscheiden und zu priorisieren.

Bei der Wahl der bisher definierten DSCP-Werte hat man Wert auf Rückwärtskompatibilität gelegt. So wird zum Beispiel VoIP-Traffic mit Expedited Forwarding EF = 101110 versandt, die ersten drei Bits entsprechen also dem IP Precedence Wert 5.

Betrachtet man Quality of Service Lösungen auf anderer Ebene, wie zum Beispiel 802.1p für Ethernet oder die Experimental Bits für MPLS, finden sich auch hier 3 Bits, um Prioritäten darzustellen. Nutzt man diese QoS-Verfahren, so werden im Allgemeinen die 3 IP Precedence Bits in die entsprechenden Felder für 802.1p oder MPLS kopiert.

Die Realisierung von Quality of Service mit IP Precedence Werten ist also trotz der neueren Technik mit DSCP Werten immer noch aktuell und wird es in absehbarer Zeit auch bleiben. Die Produkte von Enterasys Networks unterstützen dementsprechend auch sowohl das Auslesen bzw. Setzen von IP Precedence als auch von DSCP Werten.

Priorisierung nach IEEE 802.1pDer Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der Servicequalität. Hierbei werden bestimmte Datenpakete auf dem Netzwerk priorisiert übertragen. Man versieht die Datenpakete mit einer bestimmten Markierung, die entsprechend des Ende-zu-Ende-Ansatzes von jedem Glied in der Kette erkannt und danach mit bestimmter Priorität übertragen werden. Beispiele für solch einen Ansatz sind IEEE 802.1p und Differentiated Service (DiffServ). Bei IEEE 802.1p handelt es sich um eine Erweiterung des IEEE 802.1d Standards, wodurch ein so genanntes Tag in das Datenpaket eingeschoben wird. Dieses Tag besteht aus 2 Byte und ermöglicht zum Einen Prioritätenvergabe durch 3 Bits (was 8 Prioritäten entspricht) und zum Anderen die Bildung von Virtuellen LANs (VLANs) nach dem Standard IEEE 802.1q. IEEE 802.1p liefert damit eine Datenpriorisierung auf Layer 2.

IEEE 802.1p Tag



Queuing Verfahren

DSCP, IP Precedence und IEEE 802.1p geben uns die Möglichkeit Pakete mit einem entsprechenden Wert zu markieren und so festzulegen, welchen Service ein Paket bekommen soll. Um diesen Service nun zu ermöglichen, braucht man dedizierte Queuing Verfahren. Enterasys Geräte unterstützen verschiedene Queuing Methoden wie Strict, Hybrid oder Weighted Round Robin Queuing. Dabei existieren für jeden Port mehrere Hardware Queues. Während kleinere Geräte meist mit 4 Hardware Queues pro Port arbeiten, hat die N-Serie bis zu 16 Hardware Queues pro Port, abhängig von der Art des Moduls.

Fifo QueuingDie einfachste Art des Queuings ist das Fifo Queuing: First In, First Out. Die Pakete werden also in der Reihenfolge, in der sie einem Outgoing Port zugeordnet werden, auf diesem weitergeleitet. Dieses Basis Queuing Verfahren ist per Default auf allen Ports und gilt auch für alle Subqueues bei den komplexeren Queuing Methoden.

Strict Priority Queuing

Strict Priority Queuing

Beim Strict Priority Queuing werden den verschiedenen Subqueues Prioritäten zugeordnet und diese dann streng entsprechend dieser Priorität abgearbeitet. Solange für die Queues der höchsten Priorität Pakete anliegen, werden diese weitergeleitet. Erst wenn diese Queues geleert sind, wird die Queue mit der nächsten Priorität bearbeitet.

Dieses Verfahren hat den Vorteil, dass Pakete der höchsten Priorität mit minimaler Latenzzeit das Gerät wieder verlassen. Daher wird Strict Priority Queuing gerne für VoIP Pakete genutzt. Der Nachteil besteht darin, dass man in der Planung und Klassifizierung der Pakete sehr vorsichtig



sein muss. Bekommen zu viele Pakete fälschlicherweise eine hohe Priorität, kann der Traffic der unteren Klassen ‚verhungern’, also nicht mehr weitergeleitet werden, da alle Kapazitäten von den höher eingestuften Paketen verbraucht werden.

Weighted Round Robin Queuing

Weighted Round Robin Queuing

Beim Weighted Round Robin Queuing werden die verschiedenen Queues im Wechsel bedient. Um den Traffic aber unterschiedlich gewichten zu können, wird jeder Queue eine bestimmte Prozentzahl der Kapazität zugestanden, das so genannte Weight. Auf diese Weise kann man Paketen durch eine höhere Gewichtung der zugehörigen Queue einen besseren Service garantieren. Dabei ist es aber immer noch gewährleistet, dass jede Queue eine gewisse Bandbreite zugestanden bekommt.

Hybrid Queuing

Hybrid Queuing

Eine Mischform zwischen Priority Queuing und Weighted Round Robin Queuing bietet das Hybrid Queuing, in dem die Vorteile beider Verfahren



kombiniert werden. Dabei wird einem Weighted Round Robin Queuing eine Priority Queue vorgelagert.

Diese Priority Queue wird im Allgemeinen für VoIP Pakete oder vergleichbaren zeitsensiblen Traffic genutzt. Da die entsprechenden Pakete normalerweise wenig Bandbreite benötigen, ist die Gefahr des ‚Verhungerns’ des übrigen Traffics gering, die VoIP Pakete bekommen aber die benötigte bevorzugte Behandlung, um kurze Latenzzeiten zu garantieren.

Der andere Traffic erhält gemäß dem Weighted Round Robin Verfahren die ihm zugestandene Bandbreite.

Rate Limiting und Rate Shaping

Manchmal ist es auch notwendig, die von bestimmtem Traffic genutzte Bandbreite zu begrenzen. Dies ist durch Rate Limiting oder Rate Shaping möglich. Rate Limiting kann für ankommende (Inbound Rate Limiting) oder ausgehende (Outbound Rate Limiting) Pakete geschehen, dabei werden Pakete, welche die konfigurierte Rate überschreiten, verworfen. Beim Rate Shaping versucht man, den Traffic innerhalb der vorgegebenen Rate zu halten, indem man Pakete zwischenspeichert. Rate Shaping macht daher nur für ausgehenden Traffic Sinn.

Zur Konfiguration von QoS auf Enterasys Komponenten finden Sie weitergehende Informationen unterhttp://secure.enterasys.com/support/manuals/hardware/QoS.pdf



Wireless LANWireless LAN ermöglicht Unternehmen erhöhte Flexibilität (zum Beispiel mobile Büros, schnelle Anbindung neuer Bereiche), aber auch Kostensenkung durch Prozessintegration (zum Beispiel Scanner im Logistikbereich), direkte Dokumentation auf digitaler Ebene, mobile Visite im Bereich Gesundheitswesen, Lokation-Tracking zum Auffinden von mobilen Gütern und Personen). Oft wird auch die Bereitstellung von Gastzugängen über Wireless LAN realisiert.

Insbesondere die Trends in Unternehmen, zum Einen bestehende DECT Systeme durch VoIP over Wireless LAN (WLAN) zu ersetzen als auch zum Anderen die Anforderung neuer Multifunktionssysteme (insbesondere SmartPhones, PDAs) mit GSM/GPRS, UMTS, Bluetooth und WLAN Schnittstellen gerecht zu werden und ein kostenoptimiertes Roaming anzubieten (ein Mitarbeiter, der heute mit dem GSM Handy im eigenen Unternehmen telefoniert, wird in Zukunft direkt ins WLAN seines Unternehmens eingebucht und telefoniert dann über VoIP - „kostenlos“) sind hier die wesentlichen Faktoren.

Viele der oben genannten Technologien und Mehrwerte wurden erst durch die WLAN Switching Architektur vollwertig und praktikabel umsetzbar. Hierbei wird die bei der „Thick-AP“-Architektur vorhandene verteilte Intelligenz je Access Point in eine zusätzliche Komponente, dem so genannten WLAN Switch oder Controller zentralisiert. Die Access Points selbst werden in so genannte „Thin-APs“ umgewandelt und fungieren nur noch als „intelligente Antennen“. Dadurch wird eine skalierbare, flexible und zukunftssichere WLAN Umgebung geschaffen die Hunderte von WLAN Switchen und Tausende von APs umfassen kann. Als oberste Hierarchieebene wird meist auch noch ein WLAN Management System eingesetzt, das zentral über WLAN Switch Grenzen hinweg Planungs-, Konfigurations-, Monitoring- und Alarmierungsdienste zur Verfügung stellt. Typische Funktionen einer WLAN Switching Lösung sind z.B.:

• Automatische Kanalwahl

• Automatische Regelung der Sendeleistung

• Loadbalancing zwischen den APs

• Verarbeiten von Gebäude/ Geländeplänen, um die Funkausbreitung/ Clients/ RFID-Tags/ Fremd-APs visuell darzustellen

• Verkürztes, subnetübergreifendes Roaming

• Automatisiertes Erkennen, Lokalisieren und Bekämpfen von Fremd-APs und Clients

• Zentralisierte Planung, Deployment, Reporting & Alarmierung



Sicherung von WLAN Netzen

Zur Sicherung der Luftschnittstelle wurde ursprünglich der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Dieser erwies sich jedoch schon nach kurzer Zeit als lückenhaft, dass heißt durch das Aufzeichnen und Analysieren der Kommunikation ist es möglich den Netzwerkschlüssel zu ermitteln und somit die „Privacy“ zu kompromittieren.

Der eigentliche Standard (IEEE 802.11i) zur Sicherung von WLANs war zu diesem Zeitpunkt noch in Arbeit, daher etablierte sich WPA als Zwischenlösung. Hier wurden durch diverse Hilfsmittel wie dynamische Schlüssel, bessere Authentifizierung, insbesondere durch Berücksichtigung von RADIUS Authentifizierung, eine höhere Sicherheit gewährleistet, welche noch nicht kompromittiert wurde.

Das Thema Sicherheit im Wireless LAN ist nach langer Diskussion nun final gelöst: Der Standard 802.11i (auch WPA2 genannt) ist verabschiedet und bietet für alle existierenden Sicherheitslücken innerhalb der 802.11 Familie eine adäquate Lösung. Die Authentifizierung via 802.1x (Port Based Authentication) und dessen gängige Methoden EAP-TLS, PEAP und EAP-TTLS (zertifikats- und passwortbasiert) stellen neben der eigentlichen Authentifizierung die Basis für das Key Management dar. Die Verschlüsselung ist 128-Bit AES (Advanced Encryption Standard) -basiert. Die Integrität von Daten und Header wird durch CCM (CCM = Counter Mode Encryption mit CBC-MAC) gewährleistet. Replay Attacks werden durch ein IV (Initialization Vector) Sequencing mit 48 Bit IV verhindert.

Ein weiterer Punkt zur Sicherung von WLAN Netzen ist der Umgang mit Fremd-APs/Clients sowie 802.11-fremden Störungen, wie z.B defekten Mikrowellen oder DECT-Stadionen, die das gesamte RF-Spektrum stören. Hierzu scannen die APs automatisch nach anderen Geräten, die im selben RF-Band arbeiten. Dadurch werden fremde Sender sowie natürlich die APs, die zum eigenen System gehören, erkannt.

Alle fremden Sender stellen potentiele Rogues dar.

Hierbei ist eine automatische Unterscheidung zwischen „Interfering AP“, „Rogues“ und „Ad-hoc Clients“ wichtig.

Ein interfering AP wird auf der RF-Schnittstelle von den APs gesehen. Dieser hat jedoch keine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt daher nur eine Störung auf der Funkseite dar. Meist sind dies Netze in benachbarten Gebäuden oder interne, unabhängige WLANs.

Ein Rogue hingegen hat auch eine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt damit ein erhöhtes Sicherheitsrisiko dar, da sich über diesen AP auch fremde Clients in das interne Netz einloggen können.

Ad-hoc Clients kommunizieren direkt miteinander ohne Verbindung zum eigentlichen Netzwerk. Dies stellt ähnlich wie die interfering APs kein direktes Sicherheitsrisiko dar, allerdings werden sie als Störung auf der Funkseite erkannt.



Diese Unterscheidung wird automatisch vom den Systemen vorgenommen und kategorisiert. Weiterhin stellen die Systeme Möglichkeiten zur Verfügung, um Gegenmaßnahmen zu ergreifen, die verhindern, dass sich WLAN Clients mit einem Rogue AP verbinden. Hierbei gibt sich das WLAN Switching System als Rogue AP aus und sendet disassociation frames zu den am eigentlichen Rogue AP eingeloggten Clients. Diese verlieren dadurch die Verbindung und es kann keine saubere Kommunikation mehr aufgebaut werden. Zusätzlich können alle Arten von Fremd-APs/Clients mit Hilfe von Gebäudeplänen lokalisiert werden.

QoS/WLAN

Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale geliefert werden.

Der IEEE 802.11e Standard beschreibt einige Erweiterungen, um diese Merkmale in einer WLAN Umgebung zu ermöglichen. Einige Unterfunktionen dieses Wireless Standards werden als WiFi Multimedia (WMM) vermarktet.

WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den Kanalzugriff (Medium Access Control - MAC) sind in IEEE 802.11 zwei Verfahren spezifiziert worden: Die Distributed Coordination Function (DCF) ist ein verteilter, zufallsgesteuerter Zugriffsmechanismus (Carrier Sense Multiple Access with Collision Avoidance, kurz: CSMA/CA), der einen Best-Effort-Dienst liefert. Die Point Coordination Function (PCF) ist ein zentral gesteuerter Mechanismus bei dem die beteiligten Stationen in regelmäßigen Abständen durch einen Master (typischerweise ein Access Point) per Polling ein Senderecht erhalten. Auf diese Weise kann für die beteiligten Stationen eine gewisse Bandbreite zugesichert werden. Die Implementierung der DCF ist in IEEE 802.11 zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional klassifiziert. Daher wundert es nicht, dass in allen bekannten Implementierungen lediglich die DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared Medium, wie Wireless LAN, arbeitet, ist bei dieser Technik jedoch keine Bandbreitengarantie möglich – die Latenzzeit kann stark schwanken (Jitter) was für VoIP sehr negative Auswirkungen auf die Sprachqualität hat.

Ein weiteres Thema für VoIP over WLAN ist der Handover zwischen verschiedenen Zellen. Es gibt zwar das IAPP (Inter Access Point Protocol) Protokoll nach 802.11f, jedoch werden hier keine Authentifizierungsinformationen ausgetauscht, dass heißt ein nach 802.1x authentisierter Client muss sich beim Roaming neu authentisieren, was eine kurze Unterbrechung (für Daten typischerweise problemlos, für Sprache jedoch hörbar) erzeugt. WLAN Switching Lösungen haben hier eine Lösung parat (meist auch für subnetzübergreifendes Roaming), ein Standard ist jedoch erst am Horizont in Sicht: 802.11r Fast BSS Transition.



Ein weiterer Bestandteil von WMM beschreibt die “Unscheduled Automatic Powersave Delivery“-Funktion (U-APSD), die die Akkulaufzeit von VoIP-Clients erheblich verbessert und somit die Praxistauglichkeit von VoIP over WLAN Netze erheblich erhöht.

Lokation-Tracking in WLAN Netzen

Ein weitere Technologie, die erst durch WLAN Switching ermöglicht wurde, sind location based services. Mit Hilfe dieser Technologie können Geräte geortet werden, die eine WLAN Karte besitzen (Notebooks, VoIP WLAN Phones) sowie dedizierte Location Tags, in denen z.B. Panic-Buttons und Bewegungssensoren integriert sind. Diese können an wichtigen Gütern, z.B. mobilen Infusionspumpen im Krankenhausbereich oder an Staplern in der Logistik, befestigt werden. Durch die lokationsbezogenen Daten kann sehr einfach eine Prozessoptimierung durchgeführt werden wie z.B standortabhänige Disponierung von Staplern im Logistikbereich.

Für die Ortung selbst werden verschiedene Technologien eingesetzt:

Anwesenheit:Ein Tag sendet z.B alle 2 Minuten oder sobald er bewegt wird ein Signal. So wird sichergestellt, dass immer die aktuelle Lokation angezeigt wird.

Echtzeit:Ein Client/Tag wird gezielt vom User/System abgefragt und die aktuelle Lokation zurückgemeldet.

Lokationsbezogen:Ein Tag wird bei Passieren einer bestimmten Lokation über einen so genannten Exiter gezwungen, seine Lokation an das System zu melden.

Weiterhin gibt es verschiedene Ortungsmethoden:

AP Connection und RSSI-Wert:• Die bekannte AP Lokation sowie der RSSI-Wert des Client ergibt

eine Abstandsabschätzung

• Der Client befindet sich auf der RSSI-Kontour

• RF-Hindernisse haben Einfluss auf die RSSI-Kontour

• Zur Lokationsbestimmung wird die Client Sendestärke verwendet



Lokation-Tracking in WLAN Netzen

Trilateration:• Bekannte AP Lokationen und Client RSSI-Werte ermöglichen Di

stanzangaben

• Ab einer Anzahl von 3 Distanzwerten (APs) kann die Lokation sauber bestimmt werden

• RF-Hindernisse können die Qualität der Werte beeinflussen

• Folgende Faktoren können die Werte verbessern:

o Anzahl der Aps, die den Client sehen

o Geometrie der APs

o Qualität des RF-Models des Gebäudeplans

Trilateration



Serverbasierendes Pattern Matching:• Der von mehreren APs gesehene RSSI-Pattern eines Clients krei

ert einen eindeutigen „Fingerabdruck“

• Hat ein weiterer Client den selben RSSI-Pattern, ist er an der gleichen Lokation

• Client Sendestärke ist nicht relevant

• kein RF-Model des Gebäudes notwendig

Serverunterstützte Lokation

802.11n- ein neuer Standard

Mit der Einführung des neuen 11n-Standards, der nun in 2008 endgültig verabschiedet werden soll, werden einige signifikante Änderungen und Verbesserungen in der WLAN Technologie Einzug halten.

Aus technischer Sicht sind dies 3 Hauptkomponenten:

Multiple Input Multiple Output (MIMO) TechnologieBei 11a/b/g wurde bisher die gesamte Datenmenge über eine Antenne gesendet und empfangen. Mit der MIMO Technologie wird der Datenstrom über einen Splitter auf mehrere Sende-/Empfangsantennen (2 oder mehr Stück je nach Produkt) aufgeteilt.



Übertragung über mehrere Antennen - MIMO

Die Anordnung der Antennen auf den WLAN Karten ist so gestaltet, dass die Ausbreitung des Funksignals räumlich versetzt erfolgt und es so zu keinen gegenseitigen Störungen bei der Übertragung kommt. Während die bisherigen Technologien teilweise Probleme mit Reflexionen hatten, nutzt MIMO diese bewusst und erreicht dadurch einen erhöhten Durchsatz sowie auch eine robustere Kommunikation.

Kanalbündelung:Der einfachste Weg, um den Durchsatz in einem WLAN Netz zu erhöhen, ist die Verdopplung des genutzten Frequenzbandes. 11n nutzt dies um 2 benachbarte 20 Mhz-Kanäle zusammen zu fassen. Diese Technologie ist am effektivsten im 5 Ghz Bandbereich in dem 19, überlappungsfrei 20 Mhz-Kanäle zu Verfügung stehen. Im 2,4 Ghz-Bereich ist diese Technik weniger effektiv, da bereits mit der alten Technologie nur 3 überlappungsfreie Kanäle verfügbar sind. Durch Kanalbündelung wird dies auf einen Kanal vermindert, was einen praktikablen Einsatz ausschließt.

Packet Aggregierung:Bei konventionellen WLAN Techniken ist der Overhead, um ein Datenpaket zu übermitteln fix, egal wie groß das Paket selbst ist. Bei 11n werden mehrere Nutzdatenpakete zu einem einzigen Sende-Frame zusammengefügt. Dadurch können mehrere Pakete mit den Overhead-Kosten eines Einzigen gesendet werden. Die Effektivität dieser Technologie ist je nach Anwendung verschieden. Besonders groß ist der Vorteil z.B bei großen Filetransfers, wobei aber z.B. Echtzeitanwendungen wie Voice oder Video davon nicht profitieren.



Vorteile durch 802.11n

Erhöhte Kapazität

Bei 11n wird die Kapazität einer WLAN Zelle von 14-22 Mbps bei 11a/g auf 100-200 Mbps erhöht. Verteilt auf mehrere User pro Zelle sind damit Geschwindigkeiten von bis zu 100 Mbps pro User möglich, was sich in der Praxis in einer größeren Bandbreite für mehr User zeigen wird.

Erhöhte Reichweite

Durch die MIMO Technologie und das bewusste Arbeiten mit Reflexionen durch die räumlich versetzte Funkausbreitung der Funkwellen wird die Reichweite je AP erhöht. Dies wird auch dazu führen, dass die Datenrate mit steigendem Abstand vom AP zum Client langsamer fällt als bei den bisherigen Technologien und somit eine größere Abdeckung mit weniger APs erreicht wird.

Höhere Verfügbarkeit / Robustheit

Bei den bisherigen Technologien kann die Performance eines WLAN Clients schon bei kleinsten Bewegungen oder Änderungen an der Umgebung (Schließen einer Tür, geänderter Einrichtung) stark beeinträchtigt werden. Dieses Problem wird durch Einsatz von unterschiedlichen Antennen entschärft. Fast jedes WLAN Gerät hat 2 Antennen, wobei immer nur die aktiv ist, die das beste Signal bekommt. Durch die MIMO Technologie sind bei 11n immer 2-3 Antennen gleichzeitig aktiv, die dadurch die Robustheit und Verfügbarkeit erhöhen.

Design

Durch die Abwärtskompatibilität von 802.11n mit a/b/g wird auch die Performance in einer 11n-Funkzelle auf die Geschwindigkeit der bisherigen Technologien verringert. Der größte Teil der bisherigen WLAN Clients arbeitet im 2,4 Ghz-Bereich. Durch die Einschränkung bei der Kanalbündelung in diesem Frequenzband und einer oft geforderten Unterstützung der bisherigen WLAN Clients, wird im 2,4 Ghz-Bereich zukünftig 11n sehr oft in einem Kompatibilitätsmodus betrieben werden. Im 5 Ghz-Bereich hingegen wird der Vorteil durch Kanalbündlung voll ausgespielt und die neue Technik in einem 11n-only Modus gesetzt werden, wodurch die oben genannten Vorzüge voll zum Zuge kommen. Abwandlungen dieses Designs können je nach Anforderungen und Randbedingungen auftreten, so z.B. wenn man komplett neue WLAN Netze (Access Points & Clients unterstützen 11n) aufgebaut (Greenfield) oder wenn ein komplett unabhängiges 11n-Netz zu einem bestehenden 802.11a/b/g Netz aufgebaut wird (Overlay).



Power over EthernetIm Convergence Bereich stellt sich auch die Frage der Stromversorgung für Geräte, wie zum Beispiel IP-Telefone. Der große Vorteil von PoE ist, dass keine zusätzliche Stromversorgung zu den Endgeräten verlegt werden muss und deren Installation damit einfacher wird. Das ist insbesondere wichtig für IP-Telefone, schließlich ist es für den Anwender äußerst unkomfortabel gleich zwei Kabel auf dem Schreibtisch liegen zu haben, wobei das Eine meist noch ein externes Netzteil enthält. Ansonsten ist PoE vor allem für Wireless Access Points, Kartenlesegeräte oder Kameras interessant.

Der IEEE 802.3af Standard ist eine Ergänzung des 802.3 Standards, welcher die Stromversorgung mit Gleichstrom über 10, 100 und 1000Base-T twisted pair-Verkabelung beschreibt. Dabei sind auf jedem Port ausgangsseitig maximal 15,4 Watt Leistung mit einer Spannung bis zu 48 Volt verfügbar, wobei sich die Verbraucher auch mit geringerem Maximalverbrauch anmelden können, wenn die optionalen Klassen 1 (max. 4 W) oder 2 (max. 7,0 W) unterstützt werden. Unter Berücksichtigung der Verlustleistung auf den Leitungen, darf das Endgerät eingangsseitig dann maximal 12,95 W bzw. 3,84 bei Klasse 1 und 6,49 bei Klasse 2 verbrauchen. Der gelieferte Strom wird dabei auf jedem der Ports ständig überwacht, so dass das so genannte „Power Sourcing Equipment“ (PSE), welches den Strom liefert (dass heißt der Switch) entscheiden kann, ob ein neu hinzugekommener Port überhaupt noch mit Strom versorgt werden darf. Würde die insgesamt verfügbare Leistung des Switches überschritten, würde der Port nicht mit Strom versorgt und damit eine Überlastung verhindert. Die Überwachung der PoE-spezifischen Porteigenschaften mittels SNMP wurde durch die IETF in RFC 2665 standardisiert.

IEEE 802.3af-fähige Geräte müssen diverse Anforderungen erfüllen. Die Wichtigsten beziehen sich auf Kompatibilität zwischen PoE- und nicht PoE-fähigen Geräten. Schließlich darf es nicht passieren, dass beim Anschluss eines nicht PoE-fähigen Geräts an einen PoE-fähigen Switch das Gerät durch eine Überspannung beschädigt wird. Weiterhin muss PoE über die vorhandene (drahtgebundene) Ethernetverkabelung möglich sein (Cat3, Cat5, Cat5e und Cat6). Offiziell bezeichnet der Standard die stromeinspeisenden Geräte als PSE (Power Sourcing Equipment).

Um PoE sowohl mit PoE-fähigen als auch mit nicht PoE-fähigen Switchen einsetzen zu können, wurden zwei Methoden der Stromeinspeisung vorgesehen: Zum Einen durch den Switch direkt, zum Anderen über Midspan Geräte, dass heißt Geräte, die in das Kabel zwischen Switch und Verbraucher eingeschleift werden und dann das Endgerät mit Strom versorgen.

Es gibt zwei Gründe warum man Switch und Midspan anstelle von PoE-fähigen Switchen einsetzt. Einerseits gibt es alte Geräte, die den Standard



noch nicht unterstützen, andererseits lohnt es sich manchmal auf Grund der geringen Anzahl von benötigten PoE-Ports nicht alle Switche mit PoE auszustatten.Die Übertragung des Stroms kann bei PoE sowohl über die Datenleitungen als auch über die bei Ethernet bzw. Fastethernet ungenutzten Adernpaare 4,5 und 7,8 erfolgen. Im Falle von Gigabitethernet erfolgt die Einspeisung zwangsweise über Leitungspaare, die auch für die Datenübertragung genutzt werden.

PoE enabled Switche

Enterasys bietet eine Reihe von Geräten an, die als PSE arbeiten können:Bei der Matrix N-Serie ist dies mit einem 48 Port 10/100Base-TX Board mit externem Powershelf realisiert. Der N5 hat dafür 4 integrierte, modulare 1200 Watt PoE Netzteile. Die gesamte SecureStack Serie ist ebenfalls als PoE-Variante erhältlich.

Mehr Power – IEEE 802.3at DraftDie IEEE hat unter dem Kürzel 802.3at eine Arbeitsgruppe zur Weiterentwicklung von Power over Ethernet gebildet. Ziel der auch als PoE+ bezeichneten Initiative ist es, über die vier Adern eines Minimum-Ethernet- Kategorie-5-Kabels bis zu 56 Watt Leistung zu übertragen.

Damit wird es möglich Geräte mit höherem Leistungsbedarf wie z.B. 802.11n Access Points direkt über ein Kabel mit Strom zu versorgen.



Standard Based AvailabilityIn der heutigen Zeit ist Business ohne Nutzung von IT und dem darunter liegenden Netzwerk fast nicht mehr denkbar. Dementsprechend wichtig ist es, dass das Netzwerk und die darauf laufenden Services permanent zur Verfügung stehen. Um die Verfügbarkeit beliebiger Systeme ganzheitlich zu realisieren, muss auch hier vor allem auf Standards gesetzt werden.

RedundanzWoraus besteht hohe Verfügbarkeit? Typischerweise versteht man darunter, dass die über das Netzwerk operierenden Dienste wie VoIP, SAP, etc. weitgehend unbeeinflusst von Ausfällen oder Umstrukturierungen im Netzwerk bleiben. Um das zu realisieren, müssen die einzelnen Schichten der Netzwerkkommunikation einzeln betrachtet und gesichert werden. Für die eigentliche Sicherung gibt es zwei grundlegende Ansätze: Zum Einen die zu sichernde Komponente so stabil wie möglich zu machen, zum Anderen eine Redundanz (zum Beispiel in Form eines zweiten Gerätes) bereitzuhalten, durch die alle Funktionen der ausgefallenen Komponente übernommen werden. Im Folgenden werden die einzelnen Schichten zusammen mit den verfügbaren Redundanzen vorgestellt.

Layer1 – physikalische Redundanzen

In der physikalischen Schicht betrachtet man grundlegende Dinge, wie eine redundante Stromversorgung durch mehrere Netzteile, verbunden mit verschiedenen Versorgungspfaden.

Ein wichtiger Aspekt ist auch die physikalische Absicherung der Standorte von Netzwerkkomponenten – was nutzt die sicherste Firewall, wenn sie öffentlich zugänglich in einem nicht abgeschlossenen Rack im Lager steht?

Datenübertragungsschicht

Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit der eingesetzten Technologie verschiedene Verfahren, um Redundanzen zu ermöglichen. In der Regel bestehen diese immer aus zusätzlichen Leitungen bzw. physikalischen Übertragungswegen in einem Layer 2 Netzwerk (auch Broadcastdomain genannt). Bei Ethernet wurde diese Redundanz erstmalig mit dem Spanning Tree Algorithmus möglich. Dazu wurden Weiterentwicklungen, wie Rapid Spanning Tree und Spanning Forest, geschaffen, um schnellere Konvergenz im Fehlerfall und Verwaltung von Spanning Trees in einer VLAN Umgebung möglich zu machen.

Link Aggregation IEEE 802.3adSind zwei Switche durch mehrere physikalische Links verbunden, so kann dies aus reinen Redundanzzwecken sein. In diesem Fall kann man eine Redundant Port Lösung auf Layer 1 oder Spanning Tree als Protokoll auf Layer 2 einsetzen, um Loops und damit Broadcast Storms zu verhindern.



Link Aggregation

Eine bessere und gerne genutzte Möglichkeit ist aber, diese physikalischen Links zu einem logischen Link zu bündeln und so gleichzeitig Redundanz und höhere Bandbreiten zu schaffen. Diese Technik hieß früher auf den Enterasys Komponenten Smarttrunk, heute unterstützen alle neuen Enterasys Switche den entsprechenden Standard nach IEEE 802.3ad - Link Aggregation.

Während es zwar möglich ist, die Bündelung der physikalischen Links und den daraus resultierenden virtuellen Link statisch zu konfigurieren, ist es besser, ein entsprechendes Kontrollprotokoll zu nutzen. Durch das Kontrollprotokoll ist es möglich zu überprüfen, dass die dazugehörigen Links auch sauber laufen und beide Switche darin übereinstimmen, welche Ports zu dem virtuellen Link gehören.

Frühere Smarttrunk Lösungen nutzten das so genannte Huntgroup Protokoll. Switche, die nach dem Standard IEEE 802.3ad arbeiten, kommunizieren über LACP - Link Aggregation Control Protocol. Dabei werden virtuelle Links gebildet, die als LAG - Link Aggregation Group, bezeichnet werden. Wichtig ist, dass alle Links, die einem virtuellen LAG Port angehören, gleich konfiguriert sind. Sie müssen Full Duplex sein und die gleiche Geschwindigkeit haben. Dieser virtuelle LAG Port wird dann in der Konfiguration der Switche genutzt wie ein ganz normaler physikalischer Port, kann also zum Beispiel einem VLAN zugehören oder als 802.1q Trunk definiert werden.

In einem chassisbasierten System ist es möglich, einen LAG mit Ports verschiedener Module zu bilden, das Gleiche gilt für ein stackbasiertes System mit mehreren Switchen. Dies erhöht die Ausfallsicherheit, denn selbst falls ein ganzes Board ausfällt, ist weiter eine Verbindung zwischen den beiden chassisbasierten Switchen gegeben.

Der Standard IEEE 802.3ad bietet eine Interoperabilität zwischen verschiedenen Herstellern. Zusätzlich sind einige Switche von Enterasys Networks, wie zum Beispiel die N-Serie, in den Default Einstellungen schon so



vorkonfiguriert, dass sie automatisch einen LAG bilden, wenn sie mit einer entsprechenden Gegenstelle verbunden werden. Sollte es aber nötig sein, einen Enterasys Switch mit einer Gegenstelle zu verbinden, die kein LACP unterstützt, so kann man den LAG auch statisch konfigurieren. Man verzichtet dann zwar auf das Kontrollprotokoll, das vor Fehlern und Netzproblemen durch Misskonfiguration schützt, kann aber trotzdem die Vorteile eines virtuellen, gebündelten Links nutzen.

Der Traffic kann nach verschiedenen Methoden auf die physikalischen Links verteilt werden. Möglichkeiten sind zum Beispiel durch ein einfaches Round Robin Verfahren gegeben oder basierend auf MAC oder IP Adressen der Pakete. Meist bietet die Untersuchung von Absende- und Ziel-IP eine ausgewogene Verteilung auf die physikalischen Links. Diese Methode ist daher auch der Default auf der N-Serie.

IEEE 802.3ad und Spanning Tree schließen sich natürlich nicht aus. Während 802.3ad Link Aggregation immer zwischen zwei direkt miteinander verbundenen Switchen läuft, kann und sollte man weiterhin Spanning Tree nutzen, um Loops im gesamten Layer 2 geswitchten Netz zu verhindern. Spanning Tree betrachtet dann bei der Berechnung des aufspannenden Baumes den logischen LAG Port anstatt der dazugehörigen physikalischen Ports; auch die Kosten für diesen virtuellen LAG Port entsprechen dabei der Summe der Bandbreiten aller zugehörigen physikalischen Ports.

Spanning Tree IEEE 802.1dDer Spanning Tree Algorithmus verhindert Loops auf der Datenübertragungsschicht. Die Notwendigkeit entsteht dadurch, dass Broadcasts in einem Ethernetnetzwerk, in dem redundante Pfade vorhanden sind, unendlich lang kreisen und somit die verfügbare Bandbreite immer weiter verringern bis kein normaler Datenverkehr mehr möglich ist. Der heutzutage gebräuchliche 802.1d Standard ging aus der von Radia Perlman für die Firma DEC entwickelten, ersten Implementierung des Algorithmus hervor.

Um Loops zu verhindern, tauschen die Netzwerkkomponenten (Switche) eines Layer 2 Netzwerks untereinander Nachrichten aus, die vom normalen Datenverkehr unterscheidbar sind. Anhand dieser Nachrichten wird dann eine der Komponenten zur Wurzel eines Baumes gewählt. Alle anderen Komponenten gliedern sich in diesen Baum ein. Pfade, die nicht innerhalb dieses Baums liegen (dass heißt redundante Pfade) werden dabei ausgeschaltet.

Wenn ein neuer Switch oder Link hinzugefügt wird oder ein Switch ausfällt, wird dieser Baum neu berechnet. Solange dieser Baum nicht vollständig aufgebaut ist, leiten die Switche nur die Nachrichten weiter, die Informationen enthalten, die für das Aufbauen des Baumes relevant sind. Dass heißt, solange der Baum nicht vollständig ist, ist der normale Datenverkehr im Netzwerk unterbrochen. Die Neuberechnung des Baumes



dauert typischerweise bis zu 60 Sekunden.Zur Konfiguration von Spanning Tree auf Enterasys Komponenten finden Sie weitere Informationen unter

http://secure.enterasys.com/support/manuals/hardware/STP.pdf

Rapid Spanning Tree IEEE 802.1wDer 802.1d Spanning Tree Algorithmus wurde zu einer Zeit entwickelt, in der es ausreichend war, wenn sich das Netz nach einem Ausfall in einem Zeitraum von circa einer Minute erholte.

Heutzutage sind solche Ausfallzeiten nicht mehr akzeptabel. Daher wurde der Spanning Tree Standard zum Rapid Spanning Tree Standard (RSTP) weiterentwickelt, um schnellere Konvergenzzeiten zu ermöglichen. Prinzipiell wurde die Art und Weise der Berechnung des Baumes beibehalten. Die Nachrichten, die unter den Switchen ausgetauscht werden, enthalten nun mehr Informationen. Außerdem wurde die Verarbeitung der Nachrichten verbessert. Die wichtigste Neuerung im 802.1w Standard war die Möglichkeit, einen Port schneller in den Forwarding Modus zu bringen, in dem normale Datenpakete ausgetauscht werden können. Im alten Standard wurden die Ports erst dann aktiviert, wenn der gesamte Baum konvergiert war.

Der neue Standard ist in der Lage sicherzustellen, dass ein Port früher aktiviert werden kann, hierfür können Endnutzerports als so genannte Edge Ports konfiguriert werden, die dann beim Aktivieren des Ports sofort aktiv werden (die entsprechende Konfigurationsoption heißt adminedge= true). Außerdem können auch Ports in der Infrastruktur im Fehlerfall schneller auf einen alternativen Port Richtung Root umschalten, da die RSTP Switches aktiv Rückmeldungen austauschen können. In entsprechend konfigurierten Netzwerken kann die Konvergenzzeit des Baums so auf wenige hundert Millisekunden gesenkt werden.

VLANs IEEE 802.1qVLANs erlauben es, einen Switch mit einer Vielzahl physikalischer Ports logisch zu unterteilen, so dass bestimmte Portgruppen jeweils verschiedene Broadcastdomains bilden, obwohl sie physikalisch zum gleichen Switch gehören. Der IEEE 802.1q Standard erlaubt es, die Daten aus solchen logisch getrennten Portgruppen eindeutig (für die jeweilige Gruppe) zu kennzeichnen und sie in dieser Form zu einem anderen Switch zu transportieren. Der Link, über den diese markierten Pakete transportiert werden, wird in der Regel Trunk genannt. Dort können die Daten wieder den einzelnen Gruppen zugeordnet werden und, falls diese Gruppen auf diesem Switch ebenfalls existieren, zu den entsprechenden Ports geschickt werden. Man ist also in der Lage, eine logische Broadcastdomain-Struktur über eine physikalisch vorgegebene Struktur von untereinander verkabelten Switches zu legen. Dadurch können die Mitarbeiter einer Abteilung mit



ihren Rechnern in derselben Broadcastdomain sein, obwohl die Abteilung auf verschiedene Gebäude verteilt ist.

Multiple Spanning Trees IEEE 802.1sMultiple Spanning Trees (MST) ist eine Ergänzung des 802.1q Standards. Der 802.1w Rapid Spanning Tree Standard wurde erweitert, um mehrere Spanning Trees zu unterstützen. Diese Ergänzung erlaubt sowohl schnelle Konvergenz als auch Load Sharing in einer VLAN Umgebung.

Mit MST wird es möglich, mehrere Spanning Tree Instanzen über Trunks hinweg aufzubauen. Dabei können in Gruppen zusammengefasste VLANs einzelnen Spanning Tree Instanzen zugeordnet werden. Die einzelnen Instanzen können dabei unabhängig voneinander verschiedene Topologien haben. Dafür werden die Spanning Tree Parameter wie Root Priorität, etc. für jede Instanz angepasst. Damit wird ein Load Sharing für unterschiedliche VLAN Gruppen über redundante Layer 2 Wege möglich. MST benutzt dabei eine modifizierte Variante des Rapid Spanning Tree Protokolls, genannt das Multiple Spanning Tree Protocol (MSTP) oder IEEE 802.1s.

Netzwerkschicht

Auf der Netzwerkschicht wird Redundanz hauptsächlich durch intelligente Routingprotokolle wie OSPF und die Verbesserung der Erreichbarkeit des Default Gateways mit VRRP erreicht. Um dies sinnvoll zu ermöglichen, müssen schon auf der Netzwerkebene verschiedene Wege zum selben Ziel vorhanden sein.

Open Shortest Path First Open Shortest Path First (OSPF, RFC 2328) ist ein hierarchisch aufgebautes Link State Routingprotokoll und hat sich als De-Facto-Standard für Interior Gateway Protokolle entwickelt.

Im Gegensatz zu BGP (Border Gateway Protokoll), das als Exterior Gateway Protokoll für das Routing zwischen autonomen Systemen genutzt wird, dienen Interior Gateway Protokolle dazu Routinginformationen innerhalb einer Organisation auszutauschen.

Distance-Vector-Protokolle, wie RIP, sind dafür mittlerweile meist ungeeignet, da diese sehr schlechte Konvergenzzeiten aufweisen. Und Ausfallzeiten bis zu mehreren Minuten sind in heutigen Netzwerken nicht mehr zu tolerieren.

Link State Protokolle arbeiten eventgesteuert, die Informationen über Topologieänderungen werden sofort durch das ganze Netz geflutet. Alle Router reagieren sofort darauf und berechnen bestehende Ersatzwege. Somit haben Link State Protokolle Konvergenzzeiten im Sekundenbereich. Diese schnellen Berechnungen von Ersatzwegen werden dadurch möglich, dass bei Link State Protokollen die gesamte Topologie eines Netzes allen Routern bekannt ist; gespeichert in der Topologie-Datenbank.



Da dadurch außerdem die periodische Verbreitung der gesamten Routinginformationen nicht mehr notwendig ist, arbeiten Link State Protokolle ressourcenschonender als Distance-Vector-Protokolle.

Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalierbar, OSPF eignet sich daher auch für sehr große Netze. Die Hierarchie basiert auf einem zweistufigen Area Konzept. Es gibt eine zentrale Backbone Area, an die alle anderen Areas direkt angebunden sind. Durch Verfahren wie Route Summarization und das Definieren von Areas als Stub Area oder Not-So-Stubby Area (NSSA, RFC 3101) wird die Auswirkung von Topologieänderungen auf das gesamte Netz minimiert.

OSPF Area Konzept

OSPF ist im Moment das Standard Protokoll für Routing innerhalb des eigenen Netzwerks. Als offener Standard, der von allen Herstellern unterstützt wird, bietet es Kompatibilität zwischen allen Komponenten.

Die schnellen Konvergenzzeiten, die OSPF als Link State Protokoll besitzt, sind für heutige Netze unverzichtbar.

Der hierarchische Ansatz unterstützt die Implementierung in Netzwerken jeder Größe. Netze mit OSPF als Routingprotokoll sind mit dem entsprechenden Netzwerk- und Adressdesign einfach zu erweitern.

Als modernes Routingprotokoll unterstützt OSPF natürlich VLSM (Variable Length Subnet Mask) und ermöglicht so Optimierungsverfahren wie Route Summarization.

Auf Grund seiner allgegenwärtigen Präsenz wurde OSPF auch als Routingprotokoll für das aufkommende IP Protokoll IPv6 spezifiziert (RFC 2740) und wird auch in Zukunft nicht aus den Netzwerken wegzudenken sein.



Equal Cost Multi Path (ECMP)Ein Paket kann in einem gerouteten Netzwerk über unterschiedliche, gleichwertige Pfade ans Ziel gelangen. Bei “Equal Cost Multi Path” werden diese Pfade gleichzeitig zur Lastverteilung genutzt. Eine Redundanz wird hiermit jedoch nicht gewährleistet, dafür muss das darunterliegende Routingprotokoll sorgen. Bei Verwendung von ECMP wählt der Router an dem sich der Pfad gabelt, unterschiedliche next-hops für die Pakete. Idealerweise sollten sich die Pakete natürlich gleichmäßig auf die beiden Pfade verteilen, was natürlich mit paketeweisem Aufteilen am einfachsten möglich wäre. Dies ist aber in der Regel nicht sinnvoll, da es dann zu unterschiedlichen Laufzeiten und Paketreihenfolgen kommen kann. Es wird meist versucht, die Pakete flowbasiert, dass heißt Absender-IP/Ziel-IP oder Absender-IP+Port/Ziel-IP+Port -basiert aufzuteilen, da die zu einer Kommunikation gehörigen Pakete dann den gleichen Weg nehmen.

Prinzipiell kann ECMP in jedem gerouteten Netzwerk verwendet werden. In der Regel wird die maximale Anzahl der Pfade gleicher Qualität (in Einheiten der Metrik des entsprechenden Routingprotokolls) allerdings beschränkt.

Virtual Router Redundancy ProtocolDas Virtual Router Redundancy Protocol (VRRP, RFC 2338) dient dazu, dem Benutzer Redundanz bezüglich des Default Gateways zur Verfügung zu stellen. Während Router untereinander Routing Protokolle nutzen, um die aktuellsten Routing Informationen auszutauschen und so bei einem Ausfall Ersatzwege zu lernen und zu nutzen, haben sehr viele Endclients statische Einträge für das Default Gateway. Was nun, wenn dieser Router ausfällt? Selbst wenn es einen Ersatzweg gibt, wie sollen die Clients darauf reagieren?

VRRP Konzept

Die Lösung dazu liefert das Protokoll VRRP. Die Grundidee besteht darin, einen virtuellen Router zu nutzen und diese IP Adresse als Default Gateway auf den Hosts zu konfigurieren.

Die physikalischen, redundanten Router kommunizieren dann über das Protokoll VRRP und handeln aus, wer die Routing Aufgabe des Default



Gateways übernimmt. Dieser Router wird dann als Master bezeichnet, weitere redundante Router sind Backup Router. Fällt der Master aus, so wird das über VRRP erkannt und einer der Backup Router übernimmt die Aufgabe des Masters. Für den Client ist das absolut transparent. Damit es keine Probleme bezüglich der ARP Einträge gibt, nutzt der virtuelle Router eine zugehörige, für VRRP reservierte MAC Adresse.

Emulation eines virtuellen Routers

So dient VRRP dazu, den Single Point of Failure, den die statische Konfiguration eines Default Gateways darstellt, zu eliminieren.

Normalbetrieb



VRRP Redirection im Fehlerfall

Durch die Konfiguration von zwei virtuellen Routern kann man eine zusätzliche Lastverteilung auf die redundanten Geräte erreichen. Man nutzt zwei virtuelle IP Adressen, jeder der Router ist dann für eine der beiden Adressen der Master, für die andere der Backup Router. Zusätzlich müssen die Clients dementsprechend entweder mit der Einen oder der anderen IP Adresse als Default Gateway konfiguriert werden. Eine gleichmäßige Verteilung kann man zum Beispiel mit dem Dynamic Host Configuration Protocol (DHCP) erreichen. So werden beide Router als Default Gateway genutzt und man hat Lastverteilung in Kombination mit Redundanz.

Weitere Informationen findet man im zugehörigen RFC 2338 .

Server Load Balancing

Heutige Netzwerkdesigns sind, unter Zuhilfenahme von Protokollen wie Virtual Router Redundancy Protocol (VRRP) und Open Shortest Path First (OSPF), meist schon redundant ausgelegt. Die Redundanz hat aber oft ihre Grenzen, wenn es um den Anschluss der Server geht. Auch hier muss die Netzwerkkomponente eine entsprechende Lösung bereitstellen.

Server Load Balancing oder Load Sharing Network Address Translation bezeichnen das Konzept wichtige Server redundant auszulegen, um somit sowohl Ausfallsicherheit als auch höhere Performance zu erreichen.

Die Produkte von Enterasys realisieren dies über eine Implementierung des RFC 2391 Load Sharing Network Address Translation (LSNAT). Dabei wird auf Anfragen an einen virtuellen Server (IP) reagiert und die Anfragen werden entsprechend auf reelle Serveradressen umgesetzt - in Abhängigkeit des angesprochenen Layer 4 Ports. Zwischen den reellen Servern werden dann die Anfragen nach wählbaren Algorithmen, wie zum Beispiel Round-Robin, Weighted Round-Robin oder Least Weighted Load First, verteilt. Parallel dazu überprüft man die Verfügbarkeit der Server und verteilt die Anfragen beim Ausfall eines Servers auf die verbleibenden Serversysteme.



Verwendung von LSNAT

Dieses System sorgt zum Einen für eine sehr gute Ausfallsicherheit, zum Anderen kann dieses virtuelle Serversystem sehr gut skalieren, da man beliebig viele Server hinzufügen kann. Diese Server müssen natürlich auf eine einheitliche Datenstruktur zugreifen, was von dem Betriebssystem der Server unterstützt werden muss.

Unter Verwendung dieser Methode und der weiter oben beschriebenen Redundanzverfahren lässt sich damit folgendes Szenario realisieren:

Business Continuity Services Scenario

Hier ist einmal der Zugang des Hosts zum Netz via VRRP redundant ausgelegt; außerdem werden die Anfragen am Ziel, dass heißt beim Server, per LSNAT verteilt. Die redundanten Wege können durch den Multi Path Support von OSPF beide genutzt werden. Bei einem Defekt sorgt die schnelle Konvergenz von OSPF für annähernd keine Ausfallzeit. Zwischen den Switchen werden 802.3ad Trunks gebildet, die höhere Bandbreite und weitere Redundanz zur Verfügung stellen.



IPv6Das Internet hat sich in den vergangenen Jahren von einem reinen Datennetzwerk zu einer Multi Service Plattform entwickelt. Neue Kommunikationsbeziehungen reichen von Multimedia Anwendungen über Peer-to-Peer (P2P) bis hin zu mobilen, kabellosen Technologien. Daher rückt im Zeitalter persönlicher und mobiler Endgeräte mit dauerhafter Internetanbindung das Protokoll IPv6 wieder ins Interessenblickfeld von Anwendern und Anbietern.

Die neue Generation der aktuellen Version 4 soll den steigenden Anforderungen und dem rasanten Wachstum des Internets gerecht werden. Mit IPv6 sollen ganz neue, flexiblere Strukturen zur Verbindung der Knotenpunkte untereinander realisiert werden.

Die vorhandene Adressknappheit unter IPv4 wird mit IPv6 der Vergangenheit angehören. Die heute weit verbreitete Technologie Network Address Transalation (NAT) wird genauso verschwinden wie Classless Inter Domain Routing (CIDR). IPv6 baut auf 128 Bit Adressen auf. Das ist viermal so viel wie heute unter IPv4. Das bedeutet, dass IPv6 in der Lage ist, die unvorstellbare Zahl von 665.570.793.348.866.943.898.599 Adressen/qm Erdfläche bereitzustellen.

Die Angst vor einem Mangel an Adressen ist nicht unbegründet. Denn der Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschiedlich verteilt. So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA ein Netz, in dem sich mit rund 16 Millionen Rechnern mehr Adressen ansprechen lassen als in ganz China. Doch im Web sind gerade 90.000 vom MIT verwendete Adressen zu identifizieren. Bei linearer Fortschreitung der Vergabepraxis für die restlichen IP Adressen sind Engpässe daher in wenigen Jahren vorgezeichnet.

Zusätzlich, wie mit jeder neuen Technologie, kommt auch hier die Frage nach Sicherheit auf. War IPv4 ursprünglich nur zum einfachen Datenaustausch entwickelt worden, besitzt IPv6 von Anfang an Sicherheitsfunktionalitäten, die heutzutage elementar wichtig sind. Im Folgendem sollen diese näher beschrieben werden.

Sicherheitsfunktionalitäten unter IPv6IPv6 wurde im Jahre 1994 als Standard verabschiedet. Es hat die Grundfunktionen von IPv4 beibehalten, aber zukunftssichere Neuerungen implementiert, um den gestiegenen Anforderungen gerecht zu werden. Um die grundsätzlichen Vorteile von IPv6 in Bezug auf Sicherheit zu verstehen, ist es wichtig, das Protokoll näher zu betrachten.

Erhöhter Adressraum im IPv6 DatengrammformatPrinzipiell besteht ein IPv6-Datengramm aus dem Basis Header gefolgt von den optionalen Zusatz Headern und den Nutzdaten.



Allgemeine Form eines IPv6-Datengramms

Der Ipv6 Basis Header ist doppelt so groß wie der Ipv4 Header. Der Ipv6 Basis Header enthält weniger Felder als der Ipv4 Header, dafür ist aber die Adressgröße für die Quell- und Zieladresse von bisher 32 Bit auf nunmehr 128 Bit erweitert worden.

IPv6 Basis Header

Erweiterungsheader

Die wichtigste Erweiterung bei IPv6 im Vergleich zu IPv4 ist das Konzept der Erweiterungsheader, um eine effiziente Datenübertragung und eine Erweiterung des Protokolls zu ermöglichen.

Der Basis Header enthält nur Felder, die unbedingt für die Übermittlung eines Datengramms notwendig sind. Erfordert die Übertragung weitere Optionen, so können diese über einen Erweiterungsheader angegeben werden. IPv6 sieht vor, dass einige Merkmale des Protokolls nur gezielt benutzt werden. Ein gutes Beispiel ist hier die Fragmentierung von Datengrammen. Obwohl viele Ipv4 Datengramme nicht fragmentiert werden müssen, enthält der Ipv4 Header Felder für die Fragmentierung. IPv6 gliedert die Felder für die Fragmentierung in einen separaten Header aus, der wirklich nur dann verwendet wird, wenn das Datengramm tatsächlich fragmentiert werden muss. Dies ist bei IPv6 höchst selten, da hier in der Regel mittels Path MTU Discovery (RFC 1981) die maximale Paketgröße via ICMPv6 ausgehandelt wird. Daher sollte IPv6 Fragmentierung nur genutzt werden, wenn die Anwendungen nicht ihre Paketgrößen individuell adaptieren können.

Ein weiterer wesentlicher Vorteil des Konzepts der Erweiterungsheader ist die Erweiterung des Protokolls um neue Funktionen. Es genügt, für das



Feld Next Header einen neuen Typ und ein neues Header Format zu definieren. IPv4 erfordert hierzu eine vollständige Änderung des Headers.

Derzeit sind 6 optionale Erweiterungsheader definiert. Werden mehrere Erweiterungsheader verwendet, so ist es erforderlich sie in einer festen Reihenfolge anzugeben.

Header Beschreibung

IPv6 Basis Header Zwingend erforderlicher IPv6 Basis Header

Optionen für Teilstrecken(Hop-by-Hop Options Header) Verschiedene Informationen für Router

Optionen für Ziele(Destination Options Header) Zusätzliche Informationen für das Ziel

Routing(Routing Header)

Definition einer vollständigen oder teilweisen Route

Fragmentierung(Fragment Header)

Verwaltung von Datengrammfragmenten

Authentifikation(Authentication Header) Echtheitsüberprüfung des Senders

Verschlüsselte Sicherheitsdaten(Encapsulating Security Payload Header)

Informationen über den verschlüsselten Inhalt

Optionen für Ziele(Destination Options Header)

Zusätzliche Informationen für das Ziel (für Optionen, die nur vom endgültigen Ziel des Paketes verarbeitet werden müssen)

Header der höheren Schichten(Upper Layer Header)

Header der höheren Protokollschichten (TCP, UDP, ...)

IPv6 Erweiterungsheader nach RFC 2460, 2402 und 2406

Nach Sicherheitsgesichtspunkten sind zwei Erweiterungsheader interessant, die eine Integrität der Daten bereitstellen.

Authentisierung

Mit Hilfe des Authentication Headers ist es möglich, die Echtheit eines Paketes zu überprüfen sowie die Unversehrtheit der Daten während ihrer Übertragung zu garantieren. Mit Hilfe einer Sequenznummer kann sich der Empfänger vor Angriffen schützen, die aus einer mehrmaligen Wiederho



lung des selben Paketes hervorgehen können. Der Authentication Header (AH) ist dabei identisch mit dem von IPv4 unter der Nutzung von IPSec. Bei der Anwendung der Authentisierung wird zwischen zwei Verfahren unterschieden - dem Transportmodus und dem Tunnelmodus.

Verschlüsselte Sicherheitsdaten

Der Encapsulating Security Payload (ESP) Header wird verwendet, um vertrauliche Daten zu verschlüsseln und ihre Unversehrtheit zu garantieren. Außerdem bietet ESP einen wirksamen Schutz vor so genannten Data-Replay Attacken. Wie auch bei der Authentisierung unterscheidet man bei der Anwendung der Verschlüsselung zwischen dem Transportmodus und dem Tunnelmodus. Die erste Variante wird bei der Kommunikation zwischen zwei Rechnern verwendet. Im Normalfall geht man hier davon aus, dass sich die Rechner nicht kennen bzw. keine gültigen Keys für eine Verbindung besitzen. Es muss daher von einem Trust Center von beiden Rechnern ein One Session Key angefordert werden, welcher dann für eine begrenzte Zeit Gültigkeit hat.

Der IP Header selbst bleibt beim Transportmodus unverschlüsselt, so dass Hacker Informationen darüber erhalten können, wohin ein Rechner Verbindungen aufbaut und wann er wie viele Daten sendet. Zur Verbindung von zwei Firmennetzen über öffentliche Leitungen bietet sich daher der Tunnelmodus an. Hier ist nach außen hin nur die Kommunikation der beiden Router sichtbar; weitere Informationen werden nicht nach außen bekannt.

Sollte bei der Übertragung der AH Header ausschließlich genutzt werden, sind IPv6 fähige Firewalls sogar in der Lage, die höheren Schichten im Datenpaket zu überprüfen und somit Pakete zu sperren oder frei zu schalten.

ICMPv6

ICMPv6 ist integraler Bestandteil der Ipv6 Protocol Suite. Es wird zum Beispiel für die Auto Configuration Funktion innerhalb IPv6 genutzt, bei dem die Clients automatisch eine IPv6 Adresse beziehen. Auch das Neighbour Discovery läuft über einen bestimmten Typ innerhalb ICMPv6.

Viele Firewalls filtern jedoch die ICMP Messages; teilweise wird diese Art des Verkehrs auch komplett geblockt. Unter IPv6 ist es aber wichtig, dass bestimmte Typen unbedingt zugelassen werden. Daher müssen beim Ausrollen von IPv6 zwangsläufig die Firewalls mitbetrachtet werden.

Es muss zudem auch sichergestellt werden, dass keine unerlaubten ICMP Messages vom Zugangspunkt zur Infrastruktur geschickt werden. DHCP- und DNS-Server sind meistens bekannt und befinden sich im Inneren des Netzes. Daher können diese Pakettypen auch am Zugangspunkt heraus gefiltert werden, wie es Enterasys im Rahmen der Secure Networks™ Architektur macht.



IP bleibt IP

Es bleibt festzuhalten, dass sowohl IPv6 als auch IPv4 reine Transportprotokolle sind. Attacken, die auf höheren Ebenen, wie Buffer Overflow oder Angriffe auf WEB Applikationen, sind bei beiden IP Varianten möglich. IKE aus der IPSec Protokollsuite oder auch IEEE 802.1x sind als weitere Sicherheitsmechanismen unumgänglich, um zukünftig Attacken wie Flooding und Man-in-the-Middle zu verhindern oder die Erkennung und Entfernung von „Rogue Devices“ zu ermöglichen.



MPLSMPLS wurde aus den Technologien von IBM ARIS, Ascend IP Navigator, Ipsilon IP Switching und Cisco TAG Switching in den 90er Jahren entwickelt und standardisiert. Das erste Ziel dieser Technologien war die Beschleunigung des Routing Prozesses (des Forwarding Prozesses, um genau zu sein) durch die Fokussierung auf das so genannte Label: Dass heißt ein Router musste nicht mehr den gesamten IP Header lesen, um eine Entscheidung zu treffen - nur noch das dem IP Header vorangestellte Label musste ausgewertet werden. Dies half insbesondere den Service Providern beim Wachstum ihrer Netze. Durch die neuen Generationen von Hardware bzw. NPU (Network Processor Unit) -basierten Routern ist dieser Vorteil in den Hintergrund getreten. Heutzutage stehen andere Funktionen für die Service Provider (SP) im Vordergrund:

● VPN – Virtual Private Networks, um mehrere Kunden auf der gleichen Infrastruktur zu betreiben

● TE - Traffic Engineering und Quality of Service (QoS)

● Eine Reduktion der Route Tabelle für die Core Router Systeme eines SPs

● Sehr schnelle Umschaltzeiten mit Protection Switching, die im SDH (Synchrone Digitale Hierarchie) Bereich unter 50 ms liegen.

● IP Integration in SP Netze

● Lösung des N² Problems bei voll vermaschten Netzen (mit ATM oder FrameRelay PVC´s in der Vergangenheit)

● Unterstützung zukünftiger Technologien mit GMPLS (Generalized MPLS)

Das Thema VPN gliedert sich hierbei in 2 Bereiche:

● Network based Layer 3 VPNs, die es dem SP ermöglichen, mehreren Kunden (ggf. sogar mit den gleichen privaten IP Adressbereichen) auf der gleichen IP Infrastruktur einen any-to-any Routing Dienst anzubieten. Die Kunden werden untereinander durch verschiedene Labels von einander getrennt transportiert und die Core Systeme müssen sich nicht um die Routing Tabellen der einzelnen Kunden kümmern.

● Transparente Layer 2 VPNs (Punkt zu Punkt VLL Virtual Leased Line oder auch Punkt zu Mehrpunkt VPLS Virtual Private LAN Service) bieten den SP´s die Möglichkeit, SDH-like bzw. Ethernet Dienste auf der gleichen Infrastruktur ihren Kunden anzubieten.

Das Thema TE wiederum bietet Quality of Service Möglichkeiten durch das dynamische oder statische Routen von VPNs/Labels, nicht nur anhand des kürzesten Weges, sondern anhand der verfügbaren Bandbreite und weiteren Parametern wie die Verzögerung oder auch Jitter auf dem Weg (so genannte Constraint Based Routing).



MPLS Bausteine

Die Komponenten von MPLS sind der LER (Label Edge Router) und der LSR (Label Switch Router) sowie die Gesamtstrecke - der LSP (Label Switched Path).

● Label Edge Router: LER

Der Ingress LER klassifiziert die eingehenden Pakete und assoziiert einen LSP mit ihnen. Das MPLS Label wird hier eingefügt.

Der Egress LER entfernt den MPLS Header und das Label.

● Label Switch Router: LSR

Der Transit/Core Router, der die Pakete anhand des Labels weiterleitet und gegebenenfalls das Label austauscht (da dieses nur zwischen 2 Hops gilt).

● Label Switched Path

Die Ende zu Ende Strecke, über die Pakete weitergeleitet werden. LSP´s können statisch oder dynamisch etabliert werden.

MPLS - Label Switched Path

Die Verteilung der Labels erfolgt über ein zusätzliches LDP (Label Distribution Protokoll).

Im Kontext von BGP MPLS VPNs nach RFC 2547 wird auch von P (Provider, entspricht LSR) und PE (Provider Edge, entspricht LER) Routern gesprochen. Die Router auf der Kundenseite werden als CE (Customer Edge) Router bezeichnet.

Hierbei läuft zwischen allen Routern ein IGP (Interior Gateway Protocol) wie OSPF oder IS-IS (bevorzugt) bzw. die Protokolle OSPF-TE und IS-IS TE, wenn constraint based Routing genutzt werden soll (die meisten SP Netze sind statisch provisioniert in Bezug auf TE und auf Protection Switching). Zwischen den PEs kommt dann iBGP im Full Mesh zum Austausch der Kundenrouten zum Einsatz. Im PE selbst erfolgt die Zuordnung von Kunden zu VPNs. Die Kunden werden über VR Virtual Router oder VRF Virtual Routing and Forwarding logisch voneinander getrennt und dann den VPNs zugewiesen. Wenn die Anzahl der PEs zu groß wird, um effektiv



einen iBGP Mesh zu fahren, werden so genannten Route Reflectors (RR) eingesetzt, die die Verteilung der Routen an die PEs übernehmen.

MPLS Übersicht

Falls bei einem CE Router mehrere Kunden zusammengefasst werden, kommt eine lokale Erweiterung auf dem CE Router zum Einsatz: VRF Lite. Diese bietet die Möglichkeit, die Routen verschiedener Kunden auf einer Routerinstanz voneinander zu trennen ohne die restlichen MPLS Funktionen abbilden zu müssen. Zwischen PE und CE Router kommt dann typischerweise 802.1q Tagging oder verschiedene ATM/FR PVCs zum Einsatz. Eine Zuordnung anhand der IP Adressen am PE ist auch möglich (dies schließt dann aber überlappende IP Adressbereiche aus). In den einzelnen VLANs (Virtual LANs nach IEEE 802.1q und auch damit Routing Peers zwischen PE und CE) werden dann pro Kunde die Routen (mit verschiedenen Routingprotokollen) übertragen.

Anwendung von MPLS in LANs

MPLS hat seinen Ursprung in großen Routernetzen von SPs. Dort sind die Vorteile klar ersichtlich. Auch ist es heute gängig, dass ein Unternehmen sein WAN Netzwerk durch eine MPLS Lösung eines SPs abbilden lässt. Daher kommt oft die Diskussion zutage, ob nicht auch MPLS in der LAN Infrastruktur der Unternehmen Sinn macht. Zuvor sollte man sich nochmals bewusst machen, dass die Einführung von MPLS typischerweise mit teurer Hardware und auch mit einer Reihe von für Unternehmen eher untypischen und unbekannten Protokollen einhergeht. Zu nennen sind hier die TE Erweiterungen der Protokolle OSPF und IS-IS - IS-IS an sich als Routingprotokoll - iBGP und auch die Label Distribution Protokolle wie z.B. RVSP-TE. Dass heißt der Betrieb eines MPLS Netzes ist mit mehr Kosten verbunden als ein standardisiertes LAN Netzwerk mit OSPF als Routing



protokoll und VLAN Technik. Hierzu eine Analyse der vermeintlichen Vorteile:

● VPN – Virtual Private Network

Wenn ein Unternehmen VPNs intern für verschiedene Abteilungen oder Unternehmensbeteiligungen anbieten muss, eignet sich typischerweise die VLAN Technologie bzw. die zuvor erwähnte VRF Lite Funktion. Der Konfigurationsaufwand ist hierbei geringer als bei einer PE Konfiguration für MPLS. Falls der LAN Router Core dabei aus wenigen Routern (<10, ohne die „PE“ Router selbst) und Hops (<5) besteht, ist diese Technik einem vollen MPLS Rollout vorzuziehen

● TE - Traffic Engineering und QoS

Quality of Service auf den einzelnen Verbindungen muss auch im LAN durch die bekannten Mechanismen wie Queuing, Rate Limiting und Buffer Management sowie Traffic Marking erreicht werden. Loadsharing geschieht meist durch OSPF ECMP Equal Cost Multipath, da heute im LAN gleichartige 1 oder 10 Gbit/s Ethernet Verbindungen im Core zum Standard gehören

Die weitreichenden Traffic Engineering Optionen machen nur bei sehr vielen Router Hops (>5) Sinn

● Eine Reduktion der Route Tables für die Core Router Systeme eines Service Providers

Dies spielt für Unternehmensnetze typischerweise keine Rolle

● Sehr schnelle Umschaltzeiten mit Protection Switching, die im SDH (Synchrone Digitale Hierarchie) Bereich unter 50 ms liegen

Mit den LAN Technologien IEEE 802.1w RSTP und IEEE 802.3ad LACP sind Umschaltzeiten im unteren Hundert-ms-Bereich möglich. Der Aufwand, noch tiefer zu kommen, ist hier nicht berechtigt

● IP Integration in SP Netze

In Unternehmen findet man heute ausschließlich IP

● Lösung des N² Problems bei voll vermaschten Netzen

dies spielt bei LANs keine Rolle

● Unterstützung zukünftiger Technologien mit GMPLS (Generic MPLS)

dies spielt bei LANs keine Rolle

MPLS ist die richtige Technologie für große WAN Netze und Service Provider. Hier führt kein Weg daran vorbei. Für größere LAN Campus Netze sind jedoch der Aufwand und die Kosten für den Betrieb nicht gerechtfertigt. Hier ist mit bestehenden Technologien wie IEEE 802.1q und VRF Lite ein optimales Kosten/Nutzen-Verhältnis zu erzielen.



Für Metro Netze zeichnet sich ein neuer Trend zu einfacheren Technologien als MPLS ab – IEEE 802.1ad Provider Bridge Network und IEEE 802.1ah Provider Backbone Bridge Network stellen einfache Layer 2 Dienste für den Metro SP Markt zur Verfügung. Diese Techniken sind eher geeignet, einfache Virtualisierungsdienste zur Verfügung zu stellen. Die Technik ist jedoch noch am Anfang (und teilweise noch im Draft Status) und somit mit Vorsicht zu genießen, was eine Implementierung angeht.

Simple Network Management ProtocolSimple Network Management Protocol (SNMP) ist das Standard Protokoll, welches von Netzwerk Management Systemen verwendet wird, um mit entfernten Netzwerkkomponenten zu kommunizieren. Es wird dazu verwendet, deren Konfiguration und Leistungsinformationen auszulesen. Die erste Version dieses Protokolls, SNMPv1, wurde 1988 veröffentlicht und lieferte fortgeschrittene Möglichkeiten zum entfernten Netzwerk Management. Es wird heute noch von den meisten der konkurrierenden Netzwerk Management Systemen auf dem Markt verwendet.

Da SNMPv1 ursprünglich entwickelt wurde, um die Ressourcen der Rechner zu schonen, verwendete es einen minderwertigen Authentifizierungsmechanismus zur Sicherung der Kommunikation. Dieser bestand aus einem einfachen Klartextpasswort, dem Community String. Daher wurden und werden vielerorts immer noch IP adressbasierte Accesslisten als Zugriffsbeschränkung für SNMPv1 verwendet, was in Anbetracht der Tatsache, dass SNMP auf dem verbindungslosen UDP-Protokoll aufbaut, natürlich auch wieder eine Sicherheitslücke ist. Das liegt daran, dass die Absenderadresse des IP Pakets nicht stimmen muss, da kein Handshake zum Aufbau einer Verbindung benötigt wird.

Mit SNMPv2 wurden einige neue Methoden für das Protokoll bereitgestellt. Es gab auch mehrere Ansätze, um die Sicherheitsproblematik in den Griff zu bekommen. Davon hat sich jedoch keiner wirklich durchgesetzt.

Mit der Weiterentwicklung der Netzwerke wurde die sichere Kommunikation zwischen Managementstation und Netzwerkkomponenten immer wichtiger. Die aktuellste Version des Protokolls, SNMPv3, erhöhte die Sicherheit der Kommunikation durch Authentifizerung, Verschlüsselung und Zugriffskontrolle. SNMPv3 (RFC 2571-2575) definiert verschiedene Security-Modelle. Die nutzerbasierte Zugriffskontrolle wird durch die Definition von Views (View Based Access Control Model (VACM)) ergänzt. Die Nutzer erhalten dadurch nur Zugriff auf Teilbereiche der MIB.

Enterasys Networks unterstützt SNMPv3 in fast allen Geräten. Selbstverständlich wird es auch von allen Komponenten der NetSight Suite unterstützt.


Seite 106 Produktportfolio

ProduktportfolioDieses Kapitel gibt Ihnen einen Überblick über das breite Produktportfolio von Enterasys Networks. Die Produkte gliedern sich in drei Familien, die unterschiedliche Bereiche abdecken:

Produktportfolio

• Advanced Security ApplicationsDieser Bereich umfasst die Dragon Security Suite bestehend aus DSCC (SIEM+NBAD) und IDP sowie die Enterasys Network Access Control Lösung.

• Centralized Visibility and ControlDie NetSight Netzwerk Management Lösung.

• Security Enabled InfrastructureHier sind die klassischen Connectivity Hardware Komponenten wie Switche, Router, Wireless und WAN Router enthalten.

Jedes Produkt wird zunächst kurz, bei neueren Produkten auch ausführlicher beschrieben. Es folgt eine Liste der verfügbaren Komponenten mit Abbildungen und den zugehörigen Produktnummern. Im Anschluss folgen die technischen Eigenschaften der Produkte wie unterstützte Funktionalitäten, Kapazitäten, Spezifikationen und unterstützte RFC- und IEEE-Standards.


Produktportfolio Seite 107

Advanced Security ApplicationsEnterasys Networks entwickelt die sicherheitsrelevanten Merkmale seiner Netzwerkkomponenten ständig weiter und bietet gleichzeitig dedizierte Sicherheitsprodukte wie die Dragon Security Suite und Enterasys Network Access Control. Das Secure Networks™ Konzept sichert alle Teile des Unternehmensnetzwerks mit Intrusion und Network Defense sowie Network Access Control Lösungen. Im Gegensatz zu anderen industriellen Sicherheitsmodellen schützt Secure Networks™ die gesamte Netzwerkinfrastruktur.

Dragon Security Suite und Enterasys NAC

Die Enterasys NAC Lösung ermöglicht eine umfassende Zugangskontrolle im Netzwerk, unabhängig von der eingesetzten Topologie.

Die Dragon Security Suite ermöglicht mit der Dragon Security Command Console (DSCC) ein Umbrella Security Information und Event Management, welches mit einer verhaltensbasierten Netzwerkanomalieanalyse (NBAD) in einem Produkt kombiniert wird. Dies ermöglicht die Auswertung aller Verkehrsströme im Netzwerk. Erkannte Anomalien werden mit Events aus bestehenden Systemen wie Firewalls, Proxys, Domänencontrollern, etc. korreliert. Über externe Schnittstellen, wie Enterasys NAC, wird ein reaktiver Eingriff ins Netzwerk, wie die Quarantäne eines auffälligen Systems, möglich.

Das Dragon Intrusion Detection und Prevention System sichert zusätzlich das Netzwerk mit den oben erläuterten IDS/IPS Methoden ab und kann die gewonnenen Informationen der DSCC zur weiteren Korrelation zur Verfügung stellen.



Dragon Security Command ConsoleDie Dragon Security Command Console (DSCC) ermöglicht eine zentrale Übersicht über alle Ereignisse und Flows und ist die zentrale Schlüsselkomponente, bei der alle Meldungen zusammenlaufen.

Zentrales Event- und Flow-Management mit der DSCC

In der DSCC erfolgt eine Normalisierung von Eventdaten, eine Eventkorrelation über Produktgruppen hinweg sowie die Event Priorisierung/Roll-Up. False Positives können durch diese umfassende Korrelation besser erkannt werden. Durch die vordefinierten Importfilter für die meisten Eventformate ist eine einfache Darstellung des Security Status möglich.

Mandantenfähige Übersicht mit dem DSCC-Dashboard



Einen Überblick der momentan unterstützen Ereignisquellen, Flowtypen sowie Vulnerability Scanner finden Sie unter:http://www.enterasys.com/products/advanced-security-apps/DSCC_Supported_Devices.aspx

ReportingDie DSCC ermöglicht ein einfaches Zusammenstellen eigener Reports mit dem Report Wizard. Damit ist das Erstellen von Executive Level Reports genauso einfach wie die Erstellung technischer Reports für den laufenden Betrieb.

DSCC Reports

Selbstverständlich sind die Reports in offenen Formaten, unter anderem XML, HTML, PDF und CSV exportierbar.

DSCC und Distributed IPSIm Zusammenspiel mit dem NetSight Automated Security Manager kann direkt auf Vorfälle im Netzwerk reagiert werden. So können betroffene Systeme mit einer Quarantäne belegt werden.

DIR mit NetSight ASM und DSCC

AssetmanagementÜber die Integration von Vulnerability Scannern wie z.B. Qualys und die Einbindung von Authentisierungslogs oder NAC Events können Kontextdaten zu den Systemen im Netzwerk gesammelt.



Kontextinformationen im Assetmanager

Damit werden die relevanten Daten zu einem Angreifer oder einem angegriffenen System auf einen Blick sichtbar.

NBAD - verhaltensbasierte NetzwerkanomalieerkennungHier wird das normale Verhalten eines Netzwerks analysiert. Durch statistische Methoden werden dann Anomalien erkannt, indem nach bekannten Signaturen wie Portscans oder plötzlichen Veränderungen und Abweichungen vom bisherigen Verhalten gesucht wird. Dazu kann ein kurzfristiger Anstieg der Bandbreite oder der Anzahl der Verbindungen zählen oder bisher nicht beobachtete Verbindungen. Damit können insbesondere Day Zero Attacken erkannt werden.

Verarbeitung von Flows und Applikationserkennung mit QFlow

Um das Verhalten des Netzwerks zu untersuchen, werden die Flow Informationen der Netzwerkkomponenten ausgewertet. Damit ist eine genaue Analyse des Netzwerkverkehrs von Layer 2-4 (je nach Quelle – NetFlow/SFlow/JFlow) möglich. Weiterhin können dedizierte Flow Sensoren eingesetzt werden, die eine Analyse bis auf Layer 7 sowie das Mitschneiden von bis zu 64 Byte jeden Flows ermöglichen.



DSCC – AppliancesDie Einstiegsappliance ist die DSIMBA7-SE. Sie ermöglicht alle Funktionalitäten der DSCC in einem Gerät zu nutzen, inklusive eines Qflow Sensors mit 250 Mbps Kapazität. Die nächstgrößere Appliance unterstützt 750 Geräte mit 2500 Events/Sek und 100k Flows in der Minute. Mit den Upgrades DSPLUS7-UP und DSIMBA7-DEV kann die Leistung erhöht werden. Mit dem Upgrade DSPLUS7-UP kann die Appliance auf insgesamt 5000 Events/Sek und 200k Flows aufgerüstet werden. Für jedes Gerät, welches über 750 hinausgeht, muss eine DSIMBA7-DEV Lizenz erworben werden.

DSIMBA7-LU

Events/Sek Flows/Min Devices

DSIMBA7-SE 1000 25k 750

DSSES7-UP(für DSIMBA7-SE)

+1500(2500 total)

DSIMBA7-LU 2500 100k 750

DSPLUS7-UP(für DSIMBA7-LU)

+2500(5000 total)

+100k(200k total)

-

DSIMBA7-DEV +1

DSCC – Event ApplianceDiese Appliance ermöglicht es, hohe Ereignisraten zu verarbeiten. Das Basismodel unterstützt 5.000 Events/Sek und kann bis auf 10.000 Events/Sek erweitert werden.



Events/Sek

DSIMBA7-EVP 5000

DSEVPS7-UP +2500(7500 total)

DSEVPS7-UP +2500(10000 total)

DSCC – FlowapplianceBei hohem Flowaufkommen kommt diese Appliance zum Einsatz. Sie verarbeitet in der Basisvariante 200k Flows/Min und kann bis auf 600k Flows/Min aufgerüstet werden.

Flows/Min

DSIMBA7-FAP 200k

DSFAPS7-UP +200k(400k total)

DSFAPS7-UP +200k(600k total)

DSCC - Behavioral Flow AppliancesIst es nicht möglich aus der Netzwerkinfrastruktur Flowdaten zu erzeugen oder sollen Layer 7 Daten zusätzlich extrahiert werden, so können die QFlow Appliances ähnlich einem IDS aus gespiegeltem Datenverkehr die benötigten Flowdaten erzeugen. Ein großer Vorteil ist hier, dass durch die Layer 7 Analyse eine genaue Zuordnung der Applikationen möglich wird.

NBAD Qflow Sensor

DSNBA7-GE250-SX Dragon Behavioral Flow Sensor GE250-SX

DSNBA7-GE250-TX Dragon Behavioral Flow Sensor GE250-TX

DSNBA7-GIG-SX Dragon Behavioral Flow Appliance GIG-SX

DSNBA7-GIG-TX Dragon Behavioral Flow Appliance GIG-TX

Mehr Informationen dazu unter:http://www.enterasys.com/products/ids/DSIMBA7/



Dragon Intrusion DefenseDie Dragon Intrusion Defense deckt die klassische Intrusion Detection und Prevention Lösung ab. Dabei kommen Network und Host Intrusion Detection und Prevention Systeme zum Einsatz. Alle Komponenten der Intrusion Defense können über eine einheitliche Oberfläche, den Enterprise Management Server, verwaltet und konfiguriert werden.

Mit Dragon Version 7.3 wurde die Reporting Oberfläche komplett überarbeitet. Hier steht ein modernes Interface mit vordefinierten Reports zur Verfügung.

Dragon 7.3 Reporting Interface

Auf der Appliance Seite wird nun einheitlich auf Dell als Basissystem gesetzt, so dass im gesamten Security Portfolio ein einheitliches Hardware Management möglich ist.



Enterprise Management ServerDer Enterprise Management Server (EMS) besteht aus einer Vielzahl von Komponenten. Die Policy Management Tools unterstützen eine einfache, zentrale und unternehmensweite Verwaltung und Überwachung der Dragon Intrusion Defense Komponenten. Das Alarmtool bietet eine zentrale Alarm- und Benachrichtigungsverwaltung. Die Security Information Management Anwendungen ermöglichen das zentrale Überwachen, Analysieren und Erstellen von Reports für alle Security Ereignisse mit einer Realtime, Trending und Forensics Konsole.

Dragon EMS Frontend

Der Enterprise Management Server ist die Grundlage jeder Dragon Intrusion Defense Installation und wird zur Konfiguration und Verwaltung benötigt. Der Server ist als eigenständige Appliance, als Software zur Installation auf eigener Hardware sowie als integrierte Appliance (EMS+NIDS+HIDS) verfügbar. Die EMS Client Software ist für die Betriebssysteme Windows, Solaris und Linux verfügbar unter http://dragon.enterasys.com



Dragon IDS KomponentenEine Dragon Installation setzt sich aus einem EMS sowie Network und Host Sensoren zusammen. Dabei stehen EMS und Netzwerksensor als Appliance oder reine Software zur Verfügung. Für kleine Installationen gibt es hier auch eine Integrated Appliance, welche in einem Gerät EMS und Netzwerksensor Funktionalität ermöglicht. Alle Appliances sind in einer Hardware-only Variante erhältlich, in der Preisliste an der Endung „H“ in der Produktnummer erkennbar.

Dragon Appliance

Die Produktnummern für die EMS Appliances beginnen in der Preisliste mit DEMA-xx, die letzten beiden Stellen stehen für die Anzahl der verwalteten Systeme. Dabei ist zu beachten, dass jede verwaltete Appliance als ein System zählt – eine EMS Appliance und ein Netzwerksensor zählen z.B. als 2 Systeme.

Größe Anzahl verwalteter Systeme

SE 2 (nur als Software, nicht als Appliance verfügbar)

ME 25

LE 100

U unbegrenzt

Die Dragon Enterprise Management Server Appliances beinhalten die Hardware (unabhängig von der Lizenz), die vorinstallierte Dragon EMS Software sowie die EMS Lizenz. Als neue Hardwarebasis wird hier seit Anfang des Jahres auf Dell Appliances gesetzt. Diese tauchen in der Preisliste nun als DEMA-ME statt DSEMA7-ME auf. Der Upgrade auf die nächsthöhere Lizenz ist in der Preisliste mit DSEMA7-XL-UG gekennzeichnet, M/L stehen hier für den jeweiligen Upgrade Schritt (ME-LE, LE->U). Beim Einsatz der reinen Softwarelösung ist auch eine SE-Lizenz erhältlich – die Produktnummern beginnen hier mit DSEMS7-XX, die Upgrades entsprechend mit DSEMS7-XX-UG.



Netzwerk Sensor

Der Netzwerk Sensor stellt das klassische NIDS dar. NIDS (Network Intrusion Detection Systeme) haben die Aufgabe Datenpakete innerhalb des Netzwerks zu untersuchen. Sie arbeiten wie oben bei Intrusion Detection Systeme beschrieben. Durch die Einführung der Host Intrusion Detection Systeme hat sich der Begriff NIDS für diese "ursprünglichen" Intrusion Detection Systeme herausgebildet.

Der Network Sensor ist als Appliance sowie als Software verfügbar. Für die Matrix N-Serie gibt es einen integrierten Security Prozessor mit Network Sensor, der direkt in die Hardware integriert werden kann. Eine hochverfügbare Network Sensor Lösung wird im Moment in Kooperation mit Crossbeam Systems realisiert.

Die Artikelnummern für die Appliances beginnen mit DNSA-<Bandbreite>-<HW>, wobei die Bandbreiten unten erläutert werden, die HW entspricht entweder SX-Glas, oder TX-Kupfer.

Die Software Artikelnummern beginnen mit DSNSS7-<Bandbreite>.

Lizenz Durchsatz

E 10 Mbit/s, (nur als Software verfügbar)

FE 100 Mbit/s

GE250 250 Mbit/s

GE500 500 Mbit/s

GIG 1 Gbit/s

3GIG 3 Gbit/s, 10Gigabit Interface (appliance)

10GIG 10 Gbit/s

Als Einstiegsprodukt ist eine integrierte Netzwerk Sensor/Server Appliance verfügbar, die beide Funktionalitäten in einem Gerät vereint – unter DSISA7-(S/T)X verfügbar.

Matrix N-Series Dragon Security Processor (IDS)

Mit dem Dragon Security Processor kann das Dragon NIDS direkt in den NEM-Slot einer Matrix N-Serie integriert werden (7S-DSNSA7-01/NPS). Eine genauere Beschreibung findet sich auch weiter oben bei der Übersicht zur Matrix N-Serie.



Dragon Intrusion Prevention und Detection

Die IDP Appliances beinhalten die Hardware, die NIPS Lizenz sowie eine HIDS Lizenz (für dieses System). Die Appliances sind außerdem mit Fail Safe Open NICs ausgerüstet, dass heißt bei einem Stromausfall kann das IPS so konfiguriert werden, dass der Datenverkehr durchgeschleift wird. Die Artikelnummern beginnen mit DSIPA7-<Bandbreite>-(S/T)X; als Bandbreiten sind im Moment 100,250,500 und 1000 Megabit/s verfügbar. Der Einsatz in einer Crossbeam Lösung ist mit der Artikelnummer DSIPS7-GIG-CXB möglich.

Dragon IDS to IPS Upgrade

Die Dragon IDS Appliances können auf IPS aufgerüstet werden. Dafür ist eine neue, zusätzliche Lizenz sowie für die Fail-Open Funktionalität eine andere Netzwerkkarte notwendig. Die Artikelnummern beginnen mit DSIPS7-<Bandbreite>-(S/T)X.

Host Sensor und Web Server Intrusion Prevention

Der Host Sensor ist ein hostbasiertes Intrusion Prevention Werkzeug, das Web Attacken abwehren kann und die heute gängigen Betriebssysteme in Echtzeit auf Missbrauch und verdächtige Aktivitäten überwachen kann.

Host Sensoren in Form von Host Intrusion Detection Systeme (HIDS) verfügen in den meisten Fällen über Komponenten, die Systemprotokolle untersuchen und Benutzerprozesse überwachen. Fortschrittliche Systeme bieten auch die Möglichkeit Viren und Trojanercodes zu erkennen. Das Enterasys HIDS zeichnete sich dadurch aus, dass es den bekannten NIMDA-Virus bereits bei seiner Verbreitung im September 2001 erkannte ohne ein Update der Signaturdatenbank durchführen zu müssen. HIDS sind agentenbasiert, dass heißt es sollte auf jedem zu schützenden Server/PC oder auch auf Firewalls separat installiert werden. Zu beachten ist, dass die IDS Lösung auch das entsprechende Betriebssystem bzw. Firewall System unterstützen muss.

Der Host Sensor kann auch auf einem dedizierten Analysesystem dazu dienen Logs von kommerziellen Firewalls, Routern, Switchen und anderen IDS Geräten auszuwerten. Die Korrelation der Meldungen solcher Komponenten ist ein weiterer wichtiger Baustein der EIP (DIRS).

Dragon Host Sensor SoftwareBeinhaltet die Host Sensor Software Lizenz. Die Software ist für die Betriebssysteme Windows, Linux, Solaris, HPUX und AIX auf https://dragon.enterasys.com verfügbar. Die Host Sensoren stehen unter der Artikelnummer DSHSS7-(1/25/100/500)-LIC zur Verfügung; die Zahl gibt dabei die verfügbaren Lizenzen an. Zusätzlich steht eine WebIPS Lizenz als Add-on für den Hostsensor unter DSHSS7-WebIPS zur Verfügung.



Implementierungsmöglichkeiten von IDS im NetzIn heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung zu platzieren. Strategische Knotenpunkte (Internetzugang, Partnerzugänge, Serverfarmen, Domaincontroller, Personalabteilung, etc.) sollten von einem IDS abgedeckt werden. Mögliche Angreifer werden auf der Suche nach einem lohnenden Ziel von den Sensoren frühzeitig erkannt.

Dragon IDS LizenzierungDie Lizenzverwaltung für das Dragon IDS/IPS erfolgt über das DragonPortal unter https://dragon.enterasys.com. Dort kann ein Account angelegt werden über den auch Testlizenzen erstellt werden können. Des Weiteren werden die nach dem Kauf eines Dragon Produkts erhaltenen Lizenznummern in diesem Portal aktiviert und an die Hostnamen der jeweiligen Systeme gebunden. In Zukunft wird dieses Portal voraussichtlich im Extranet zentral mit eingebunden. Des Weiteren wird mit Dragon 7.3 auch die Macrovision Lizenzierung für das Dragon IDS Produkt verwendet.

Dabei werden auf Seiten des EMS die Anzahl der verwalteten Systeme, sowie für die Sensoren, deren Funktion und Durchsatz lizenziert. Für den EMS sind die Varianten SE-2, ME-25, LE-100, U-Unlimited verfügbar – 2 bedeutet hier die Verwaltung zweier Systeme, wird also der EMS für das Reporting verwendet, zählt er hier auch als verwaltetes Gerät. Somit kann nur EMS und ein Netzwerk Sensor verwaltet werden. Zu beachten ist, dass die genutzten Funktionen auf einem Gerät hier nicht zählen, dass heißt für den EMS zählt ein System, welches IDS, IPS und Host Sensor betreibt als ein System.

Auf Seiten der Sensoren sind die Funktionalitäten IDS, IPS , Host IDS und WebIPS verfügbar. Bei IDS bzw. IPS wird außerdem die verfügbare Bandbreite über die Lizenz freigeschaltet. Die Funktionen werden jeweils an einen Hostnamen gebunden.

Weitere Informationen finden Sie unterhttp://www.enterasys.com/products/ids.


http://www.enterasys.com/products/ids


Network Access ControlMit Enterasys Network Access Control kann in allen Netzwerken ein wirksamer Schutz des Netzwerkzugangs gewährleistet werden – unabhängig von dem gewählten Policy Enforcment Point Typ (Out-of-Band, Inband, etc). Für bestehende Enterasys Kunden werden die Secure Networks Features der bestehenden Komponenten durch die Out-of-Band Lösung zu einer vollständigen NAC Lösung aufgewertet. Dies ist natürlich auch in einem Drittherstellernetzwerk möglich, sofern die verwendeten Komponenten Authentisierung (möglichst standardnah – IEEE 802.1x) sowie Authorisierung (RFC 3580) unterstützen.

Out-of-Band NAC Inband NAC

In heterogenen, älteren Netzwerken kann die Inline Lösung verwendet werden, um diesen Netzabschnitt auf einen Schlag abzusichern. Auch zur Absicherung einer Wireless Switching Lösung oder der VPN User kann die Inband Lösung eingesetzt werden, um für alle Zugänge eine einheitliche, nahtlose Zugangskontrolle zu gewährleisten.

Mit der Einführung der Inband NAC Lösung wurde gleichzeitig ein Augenmerk auf die Unterstützung vieler neuer und innovativer Features gelegt. So ist das im Lösungsportfolio beschriebene RADIUS und Kerberos Snooping in die Lösung integriert und ermöglicht somit an zentraler Stelle, z.B. im Distribution Layer, die Einführung von benutzerbezogener Authentisierung und Authorisierung ohne die Hürde eines kompletten 802.1x Rollouts.

Des Weiteren wurde die Remediation Lösung über ein Captive Web Portal weiter ausgebaut, so dass nun zusätzliche Merkmale wie die oben beschriebene MAC Registration nutzbar sind.

Das Assessment wurde sowohl in einer agentenbasierten sowie -losen Version von Enterasys in die NAC Lösung integriert, dass heißt ein Assessment ist auch ohne zusätzlichen Assessment Server möglich. Selbstverständlich ist die Ankopplung externer Assessment Dienste möglich. Dafür wurde eine komplett offene Assessment API geschaffen.

Die gesamte Enterasys NAC Lösung wird über die selbe Oberfläche, den NetSight NAC Manager verwaltet. Dieser ist Bestandteil der NetSight

Suite und dient der zentralen Verwaltung aller NAC Gateways und NAC



Controller. Der NAC Manager ist auch zentrale Sammelstelle für alle Informationen bezüglich neuer Endsysteme und dedizierter Endsystemkonfigurationen. Im Betrieb liegt die gesamte Konfiguration dezentral auf den jeweiligen NAC Gateways und Controllern, der NAC Manager wird nur für Konfigurationsänderungen und Reporting Funktionalitäten benötigt.

NAC Manager Oberflächeund Konfiguration

Im NAC Manager werden außerdem die Authentisierungsparameter vorgegeben. So kann bestimmt werden, ob die Authentisierungsanfragen für MAC Authentisierung lokal beantwortet werden oder an den zentralen RADIUS Server weitergeleitet werden. Weiterhin wird die Assessment Konfiguration festgelegt, dass heißt welche Überprüfung für die jeweiligen Endsysteme vorgenommen werden.

Die bei der Authentisierung gewonnenen Informationen werden auf dem NAC Manager in einer zentralen, offenen SQL Datenbank abgelegt und stehen somit über eine Standardschnittstelle zur Verfügung.

Da hier für alle Endsysteme die Daten bei der Anmeldung hinterlegt werden, kann somit jeder Benutzer im Netzwerk in Sekundenbruchteilen lokalisiert werden. Diese Informationen dienen dem NetSight Console Compass sowie dem Automated Security Manager zum Suchen und können auch zur Realisierung einer E911 Notrufortung verwendet werden.



Die NAC Controller kommen bei der Inband Lösung zum Einsatz und werden in den Datenpfad eingeschleift. Sie stehen im Moment in zwei Varianten – Kupfer und Glas – zur Verfügung.

2S4082-25-SYS2xSFP, 24x10/100/1000Tx

7S4280-19-SYS20xSFP

Beide NAC Controller Varianten unterstützen bis zu 2000 Benutzer und können im Layer 2 oder Layer 3 Modus betrieben werden je nachdem, ob sie z.B. vor einem VPN Gateway oder im Distribution Layer eingesetzt werden. Die Controller können über einen eigenen Out-of-Band Port verwaltet werden oder zusammen mit dem Nutzdatenverkehr Inband.

Die Assessment Funktionalität ist bei den NAC Controllern direkt integriert, dass heißt diese können direkt für das Enterasys onboard Assessment genutzt werden.

Für die switchbasierte Out-of-Band Lösung wird das NAC Gateway eingesetzt. Damit können sowohl Enterasys auch als Drittherstellerkomponenten in der NAC Lösung eingesetzt werden. Das NAC Gateway dient dabei aus Sicht des Switches als Authentisierungsbroker, dass heißt es leitet die Authentisierungsanfragen gegebenenfalls an einen RADIUS Server weiter oder beantwortet sie selbst.

NAC Gateway

Des Weiteren ist es natürlich in der Lage die angeführten Zusatzfunktionalitäten abzubilden. Das NAC Gateway wird in unterschiedlichen Varianten angeboten, die sich vor allem an der Zahl der unterstützten, gleichzeitig authentisierten Benutzer orientiert.

NAC Gateway End Users Supported

SNS-TAG-LPA 2000

SNS-TAG-HPA 3000

SNS-TAG-ITA (onboard Assessment Supported) 3000

Matrix N-Series DFEDaughter Card (7S-NSTAG-01/NPS)

2000

Zusätzlich ist zu beachten, dass im Moment nur das SNS-TAG-ITA per Lizenz auf das Enterasys onboard Assessment aufgerüstet werden kann.



AssessmentDie Enterasys NAC Lösung erlaubt die zentrale Konfiguration des Endsystem Assessments über den NAC Manager. Hierbei ist zu beachten, dass im Moment nur die NAC Controller sowie das NAC Gateway SNS-TAG-ITA in der Lage sind diese Assessment Funktionalität onboard zur Verfügung zu stellen. Für die anderen Gateways oder den Einsatz der offenen Assessment API ist ein eigener Assessment Server zu betreiben.

Agentbased Assessment Agentless Asessment

Zum Freischalten der Assessment Funktionalitäten in der Enterasys NAC Lösung wird zusätzlich eine NAC-ASSESS-LIC pro Appliance benötigt.

Die Liste der verfügbaren Assessment Dienste wird ständig erweitert, insbesondere Microsoft NAP wird hier auch verfügbar sein.

Durch eine Kombination der Secure Networks™ Distributed IPS Funktionalität und Enterasys NAC kann Endsystemen der Zugang zum Netzwerk dauerhaft verwehrt werden. Damit ist ein – nach Gartner unverzichtbarer Bestandteil von NAC möglich – ein kombiniertes Pre- und Post-Connect Assessment der Endsysteme.

Damit ist auch eine der letzten Lücken geschlossen. Schließlich war es einem infizierten Endnutzer bis jetzt möglich nach der Aktivierung der Quarantäne durch den ASM einfach auf einen anderen Port zu wechseln. Durch die Integration des ASM mit dem NAC Manager wird die MAC Adresse des Endsystems jetzt bei auffälligem Verhalten in eine Blacklist aufgenommen, so dass dem Endsystem bei erneuter Authentisierung direkt der Zugang zum Netzwerk verwehrt wird.



Centralized Visibility and ControlMit der NetSight Enterprise Management Suite bietet Enterasys Networks Centralized Visibility and Control an, die es ermöglicht, Netzwerke effizient zu administrieren. Dies trägt wesentlich zur Senkung der Betriebskosten bei. Selbstverständlich sind alle NetSight Management Komponenten darauf abgestimmt, eine Secure Networks™ Lösung optimal zu unterstützen. Besondere Bedeutung kommt hier dem NetSight Policy Manager und dem NetSight Automated Security Manager zu, da diese Tools speziell für das autonome Management von Secure Networks™entwickelt wurden.

NetSight – Zentrale Weboberfläche

Enterasys Networks liefert Ihnen eine durchdachte Management Lösung, mit der Sie die von Ihnen benötigten Komponenten als Plug-In zu Ihrem zentralen Management hinzufügen können. Mit NetSight Version 3 wurden alle Komponenten in einer Oberfläche bereitgestellt und können über eine zentrale Weboberfläche aufgerufen werden. Eine Installation unterschiedlicher Client Plug-ins oder deren Aktualisierung entfällt.



NetSight Console

• Zentrales Management zum Konfigurieren, Überwachen und Troubleshooten des gesamten Netzwerks

• Client Server Architektur

• Verteiltes Management

• Basis für das Management der Secure Networks™ Lösungen, hierzu existieren verschiedene Plug-In Anwendungen

• Einheitliches Management und Überwachung der Wireless Infrastruktur mit dem Wireless Manager

NetSight Policy Manager

• Zentrales Management zur Administration der rollenbasierten Secure Networks™ Policys

• Support für Quality of Service Administration

NetSight NAC Manager

• Konfiguration von Enterasys Network Access Control

NetSight Automated Security Manager

• Management Lösung zum dynamischen Schutz vor Gefahren wie Viren und Attacken

• Kombiniert die Elemente von Enterprise Network Management und Intrusion Defense

• Aktiviert automatisiert Policys auf den Netzwerkkomponenten sobald eine Gefahr erkannt wurde

• Netzwerkweite Firmwareupgrades sofort oder zu einem bestimmten Zeitpunkt

NetSight Inventory Manager

• Auf einen Klick Hardware, Software und Konfigurationen aller Geräte sichern und verwalten

• Überwachung und Archivierung der Konfigurationen Ihres Netzes

NetSight Policy Control Console

• Einfache Kontrolle der Zugriffsrechte für Endnutzer, z.B. zur gezielten Freigabe von Ressourcen in Seminarräumen



NetSight ConsoleDie NetSight Console ist das Herzstück der NetSight Enterprise Management Produktlinie. Sie wurde entwickelt, um den Workflow der Netzwerkadministratoren wieder zu spiegeln. So bietet die NetSight Console umfassende Managementunterstützung für sämtliche Komponenten und Lösungen von Enterasys Networks, aber auch alle anderen SNMP Geräte können mit der NetSight Console administriert werden. Mit der NetSight

Console lassen sich viele Netzwerkaufgaben automatisieren, was zu erheblichen Zeit- und Kostenersparnissen in unternehmenskritischen Umgebungen führt. Die modernen Funktionen sorgen für verbesserte Netzwerk Performance und vereinfachtes Troubleshooting. Dazu gehören auch umfangreiche Überwachungsfunktionen, robustes Alarm- und Event-Management, Netzwerk-Discovery, Gruppen-Element-Management und integrierte Planung. Tasks wie Subnet Discovery, Alarm Paging, TFTP Downloads, System Backups und vieles mehr werden automatisch durchgeführt.

Topology Manager und Topology Maps

Mit dem Topology Manager ist es möglich, automatisch Topology Maps erstellen zu lassen. Dadurch bekommt der Administrator mit einem Klick einen Überblick über die Netzwerktopologie. Er sieht die einzelnen Verbindungen der Komponenten untereinander. Informationen über Link Geschwindigkeit oder Link Aggregation können einfach abgelesen werden.

Darstellung der aktuellen Spanning Tree Topologie

Damit wird die Problemfindung extrem vereinfacht und die Troubleshootingzeit verkürzt sich enorm. Eine Senkung der Betriebskosten ist das Resultat.



Compass

Zur Fehlerbehebung ist es enorm wichtig, ein gewisses Maß an Transparenz über das Netzwerk zu bekommen. Eine weitere herausragende Funktionalität der NetSight Console ist es, mit dem Compass Tool Benutzer und Geräte anhand des Benutzernamens, der IP oder MAC Adresse oder des Hostnamens suchen und anzeigen zu lassen. Der Anwender bekommt innerhalb von Sekunden ein aktuelles Bild und muss keine umständlichen oder chronisch veralteten Tabellen pflegen.

NetSight Compass

So kann man in kürzester Zeit Fragen folgender Art beantworten:

• Wo ist diese IP in meinem Netzwerk?

• Wo sind alle Teilnehmer eines IP Subnetzes im Netzwerk?

• Welche Benutzer sind auf einem Switch authentifiziert?

Dies funktioniert natürlich nicht nur mit Enterasys Komponenten, sondern kann auch mit Geräten anderer Hersteller kombiniert werden. Compass sucht die Informationen aus bekannten MIB Variablen und Tabellen.



NetSight Policy ManagerDurch den Einsatz des NetSight Policy Managers sind Unternehmen in der Lage Business- und IT-Konzepte aufeinander abzustimmen. Die Kombination aus intelligenten Hardware Komponenten von Enterasys Networks zusammen mit dem NetSight Policy Manager ermöglicht eine optimale Benutzerverwaltung innerhalb der IT Infrastruktur. Dazu gehört neben den Klassifizierungsregeln am Netzwerkzugang auch die Unterstützung des Port Authentifizierungsstandards IEEE 802.1x. Eine optimale Sicherheitslösung für den Zugang zum Netzwerk wird dadurch bereitgestellt.

Der NetSight Policy Manager ist das zentrale Element der rollenbasierten Administration in der Secure Networks™ Lösung von Enterasys Networks, dass heißt in der Kombination und Aufeinanderabstimmung von IT- und Business-Konzepten.

NetSight Policy Manager

Das Erstellen von Policys und den dazugehörigen Regelwerken ist hier übersichtlich und einfach, auch ohne Kenntnisse der einzelnen Netzwerkkomponenten, möglich. So kann zum Beispiel das bekannte Problem mit DHCP Servern auf den Rechnern von Mitarbeitern mit einer Regel gelöst werden. Dabei laufen auf Rechnern von Mitarbeitern ab und an eigenständige DHCP Server. Werden diese nun ohne Einschränkung an die Infra



struktur angeschlossen, so wird dadurch das lokale Netzwerk quasi lahm gelegt, da der Rechner des Mitarbeiters für dieses Netzwerk teilweise die DHCP Funktionalität übernimmt.

Verbieten nicht erlaubter DHCP Server

Mit dem Policy Manager kann dies nun mit einer Regel verhindert werden. Dafür wird der Datenverkehr des Endnutzers mit UDP Absenderport 68, dem DHCP Server Port , verworfen und der Rolle des Endnutzers hinzugefügt oder statisch als Default Regel auf die Access Ports verteilt.

Möglichkeiten beim Erstellen von Regeln

Der Anwender hat hier die Möglichkeit beim Zutreffen einer Regel den Verkehr zu verbieten, zu erlauben oder in ein dediziertes VLAN zu senden. Dabei kann auch eine Meldung erzeugt werden oder sogar der Port deaktiviert werden, Funktionalitäten die man so eher von Firewalls kennt.



Statische Zuordnung einer Default Rolle

Die statische Zuordnung der Rollen auf den Geräten sowie die Konfiguration der Authentisierungsparameter erfolgt ebenfalls einheitlich und zentral über den Policy Manager. Damit können bekannte Würmer und Viren mit einem Klick aus dem Netzwerk verbannt werden, indem einfach eine Regel aktiviert wird, die genau diesen Datenverkehr verbietet. So lässt sich zum Beispiel der Sasser Wurm mit drei Regeln verbieten.

Verbieten des Sasser-Wurms

Das Tool liefert zudem Funktionen wie Rate Limiting und QoS Konfiguration, die von zentraler Bedeutung für den Erfolg von E-Business Infrastrukturen sind. Dazu gehört auch die Aufteilung in virtuelle Arbeitsgruppen vor



dem Hintergrund unterschiedlicher Anforderungen. In der Produktion hat SAP beispielsweise eine höhere Priorität als E-Mail.

Zur optimalen Sicherheit lässt sich mit effektivem Management der Zugriff auf sensible Informationen beschränken. Man kann beispielsweise einen Port schließen oder die Adresse eines Users vom VLAN entfernen und ihm so den Zugriff verwehren.

Keine kritischen Protokolle für Endnutzer

Auch das Sperren von MAC Adressen oder eine fixe Zuordnung einer MAC Adresse pro Port kann eingerichtet werden. Damit lässt sich auch ohne Probleme der sonst schwierige Gastzugang realisieren. Mit Hilfe eines Priority Classification Wizards lassen sich Priorisierungs- und Klassifizierungsregeln erstellen, um den Netzdatenverkehr unterschiedlich zu priorisieren.

Automatisierte Funktionen, die einfache Implementierung und Administration sorgen für Zeit- und Kosteneinsparungen. Da der NetSight Policy Manager mit bestehenden Securitysystemen, wie einem schon genutzten RADIUS Server und einem User Directory, zusammenarbeitet und keine zusätzlichen Authentification Server notwendig sind, sind die Investitionen optimal geschützt. Jeder Anwender hat nur Zugriff auf die für ihn notwendigen Services. Damit sind umfassende Kontrollen und Sicherheit gewährleistet, um ein effektives Sicherheits- und Accountingmanagement zu gewährleisten.

Policy Control ConsoleDie Enterasys Policy Control Console (PCC) ist eine Anwendung, die normalen Anwendern das Potential der Secure Networks™ Policys zur Verfügung stellt. Damit kann die IT-Administration gezielt eine vordefinierte Reihe von Netzwerk Policys auch nicht-technischen Mitarbeitern in deren Arbeitsumgebung zur Verfügung stellen. Für diese ist ein einfacher Zugriff auf diese Einstellungen über ein Webinterface möglich. Damit kann ein Trainer oder Lehrer über ein einfaches Webinterface den Zugang zum Internet für seine Teilnehmer mit einem Klick ein- bzw. ausschalten.

Diese Delegation ermöglicht es der IT-Abteilung sich auf wichtigere Aufgaben zu konzentrieren, indem die alltäglichen Anforderungen durch Erstellung und Anwendung von Netzwerk Policys an die Benutzer delegiert wird.

NetSight® Automated Security ManagerDer NetSight® Automated Security Manager (ASM) ist ein elementarer Bestandteil der Secure Networks™ Architektur. Mit diesem Tool kann dyna



misch auf Attacken und Anomalien innerhalb des Netzwerks reagiert werden. Sollte es zu auffälligen Aktivitäten in der Infrastruktur kommen, können diese über ein Intrusion Defense System wie Enterasys Dragon® erkannt werden. Informationen über Sender-IP und Art der Attacke werden sofort vom IDS bereitgestellt. Um zeitnah auf diese Attacke zu reagieren, werden diese Informationen über SNMPv3 an den ASM weitergeleitet. Dieser kann unmittelbar die Lokation der auffälligen IP Adresse erkennen und lokalisieren (z.B. Standort A, Gebäude B, Etage C, Verteiler D, Switch E, Port F).

Damit kann sofort die Regel auf dem entsprechenden Switch Port geändert werden. Es können nur noch bestimmte Dienste freigeschaltet werden oder der Port wird komplett gesperrt. Das Ganze kann auch mit einer zeitlichen Komponente verbunden werden. Je nach Art des Angriffs kann individuell die Regel geändert werden. Damit kann überprüft werden, ob beispielsweise nach zwei Minuten die Auffälligkeit wieder auftritt und danach erst der Port komplett gesperrt werden.

Somit werden diese IP Adresse und der damit verbundene Rechner vom Netz genommen. Die anderen Systeme können ohne Behinderung weiter arbeiten. Es kommt zu keiner Unterbrechung der Geschäftsabläufe.

Zudem wird Zeit gewonnen, um den befallenen Rechner zu überprüfen und gegebenenfalls zu warten.

NetSight® Automated Security Manager

Die entsprechende Aktion kann jederzeit über die so genannte „Undo Action“ manuell wieder zurückgenommen werden.

Durch den NetSight® Automated Security Manager können erstmals in der Industrie dynamische Reaktionen auf kritische Events erfolgen. Es ist nicht



mehr notwendig, einen Mitarbeiter abzustellen, der ständig vor einer IDS Konsole sitzt, um im Angriffsfall zeitnah reagieren zu können. Das Secure Network™ nimmt diese Aufgabe gerne ab.

NetSight® Inventory ManagerEine große Herausforderung innerhalb eines Unternehmens ist die Inventarisierung der vorhandenen Komponenten. Dies gilt nicht nur für die IT, sondern zieht sich über alle Geschäftsbereiche hinweg.

Mit Hilfe des NetSight® Inventory Managers lässt sich eine einfache und schnelle Katalogisierung von IT Informationen durchführen. Vorhandene Hardware und zugehörige Seriennummer, eingesetzte Firmware Versionen, eingebaute Speicherausstattung oder aktuelle Konfigurationen können beispielsweise ausgelesen, zentral abgelegt und verwaltet werden. Ältere Firmware Versionen können automatisiert aktualisiert werden. Konfigurationen können regelmäßig, zeitgesteuert gespeichert und archiviert werden.

NetSight® Inventory Manager

Damit ermöglicht der NetSight® Inventory Manager ein effektives Change Management, was die Verwaltung vereinfacht und die Betriebskosten enorm senkt.



NetSight® - Komponenten im ÜberblickHistorisch bedingt ist die NetSight® Suite in zwei Varianten erhältlich. Gab es bisher nur die Möglichkeit, einzelne NetSight® Komponenten in den entsprechenden Ausbaustufen zusammenzustellen, so bietet das neue Modell eine vereinfachte Lizenzierung.

Beide Varianten sind augenblicklich verfügbar und lassen sich parallel betreiben. Lediglich der Router Services Manager wird nach wie vor im Standalone Modus eingesetzt.

NetSight® á la CarteGemeinsame Basis einer NetSight® Installation ist die Console (NSA-X-LIC). Darauf aufbauend können fünf unterschiedliche Plug-ins lizenziert werden:

- Inventory Manager (IM-X-LIC)

- Policy Manager (PM-X-LIC)

- Automated Security Manager (ASM-X-LIC)

- NAC Manager (NSTAM-X-LIC)

- Policy Control Console (SNS-PCC-X)

Die Serverlizenz ermöglicht es einer definierten Anzahl von Clients (Console, PM, IM, etc.) auf den zentralen Server zuzugreifen.

Die die in den Paketen zusätzlich enthaltenen Standalone Lizenzen bieten einen ausschließlich lokalen Zugriff des Clients auf die NetSight®

Installation. Diese Möglichkeit wird z.B. von Feldtechnikern genutzt.

Die in der Tabelle genannten Device Limits beziehen sich auf gemanagte IP Adressen. Chassis (Matrix® N) oder Stacks zählen jeweils als ein Device.

Licence Server/Standalone Clients Devices

SE 1/1 3 <25

ME 1/5 5 <250

LE 1/10 10 <600

U 1/15 25 600+

Diese Lizenzen sind, wie in der obigen Tabelle ersichtlich, in vier unterschiedlichen Größen (Small=SE, Medium=ME, Large=LE, Unlimited=U) erhältlich; dabei müssen alle Lizenzen die gleiche Größe haben, dass heißt beim Einsatz einer ME-Console muss auch der ME-Policy Manager verwendet werden.

Ein Upgrade der Lizenzgröße ist möglich, dafür muss die passende Lizenz für das jeweilige Produkt erworben werden – z.B. Console-Small auf Console-Medium: NSA-SM-UG.



NetSight® Basic & Flatrate - Das neue Modell

Das neue Lizenzmodell umfasst zwei Stufen, vorgegeben durch die Consolen Lizenz (NS-CON-50/U).

Die 50-Device Lizenz lässt sich mittels eines Upgrades zur Unlimited Lizenz erweitern.

Auch die Anzahl simultan zugreifender Clients lässt sich schrittweise ausbauen (NS-USER).

License Clients Devices

-50 3 <50

-U 25 50+

Die Lizenzen für weitere Plug-ins (NS-IM/PM/ASM/NAC) werden nun ohne weitere Größenfestlegung hinzugefügt.

NetSight® PaketeDer Einsatz mehrerer NetSight® Komponenten wird nun durch Komplettpakete vereinfacht. Hier sind mehrere Varianten erhältlich:

Console + Policy

Für die Implementierung von Secure Networks™ bietet sich eine Kombination aus Console, Policy Manager und Policy Control Console an. Das Paket NS-PB-X ist als 50-Device bzw. Unlimited Lizenz verfügbar. Auch hier (und in der Advanced Lizenz) erlaubt der Upgrade auf Unlimited ein schrittweises Wachsen der Managementinfrastruktur.

NetSight® Advanced

Das Advanced Paket beinhaltet fast alle im Moment verfügbaren NetSight®

Komponenten – Console, Policy Manager, Policy Control Console, ASM, Inventory Manager, NAC Manager.

Fault Tolerance

Optional ist das Advanced Paket als NS-AB-xFT für den redundanten Betrieb zweier NetSight® Server verfügbar. In Zukunft wird damit ein synchroner HA-Betrieb ermöglicht werden.

LAB-Lizenz

Die LAB Lizenz (NS-LAB) erlaubt den Betrieb von NetSight® für Testzwecke. Mit einem Limit von 50 Devices und 2 simultanen Client Sessions lassen sich anspruchsvolle Laboraufbauten realisieren, ohne dass neben dem Anschaffungspreis Wartungskosten anfallen.

Die LAB-Lizenz ist Bestandteil des Fault Tolerance Paketes, lässt sich jedoch auch einzeln beziehen.



Single User Lizenz

Auch kleine Netzwerkinstallationen erfordern Transparenz und ein durchgängiges Monitoring redundanter Strukturen. Das Einsteigerpaket NS-SU-10 umfasst Console, Policy Manager und Inventory Manager.

Bis zu 10 Devices können von einem Client (analog zu den Standalone Lizenzen) bei vollem Funktionsumfang verwaltet werden.

NetSight® ApplianceDie NetSight® Appliance SNS-NSS-A stellt in Kombination mit der entsprechenden Softwarelizenz (NS-x-50) die leistungsfähige Hardwarebasis für eine komplett supportete Managementlösung dar.



NetSight® LizenzierungDie Lizenzierung für die NetSight® Produktreihe wurde in der Entwicklung über unterschiedliche Mechanismen abgedeckt – in den frühen 1.x und 2.x Varianten wurde die Lizenzierung mittels eines einzeiligen Schlüssels vorgenommen, der nach der Installation eingespielt werden konnte. Dieser hatte folgendes Format: „PEVGI06XXXXXXXXX“. Der erste Buchstabe stand für das Produkt (C=Console, P=Policy Manager, I=Inventory Manager, A=ASM, T=Trusted Access Manager bzw. NAC Manager); der zweite Buchstabe stand für die Lizenzgröße (S=Small, M=Medium, L=Large, U=Unlimited). Dieser Key wurde bei der Bestellung per Post zugesandt.

Mit NetSight® 3.x wurde mit Macrovision ein industrieweit genutztes Lizenzierungsverfahren eingeführt. Dabei wurden die unterschiedlichen Lizenzierungsgrößen (SE,ME,LE,U) sowie die Kürzel für die einzelnen NetSight®

Komponenten (C,P,I,A,T) beibehalten, die Policy Control Console mit PCC ist neu hinzugekommen. Die Lizenzverwaltung erfolgte dabei über ein bei Enterasys gehostetes Lizenzierungsportal, welches zunächst unter https://myportal.enterasys.com erreichbar war.

Heute ist die Lizenzierung unter https://extranet.enterasys.com/MySupport/Licensing/ in das globale Kundenportal integriert.

Hier kann, auch nur zu Evaluierungszwecken, ein Account erzeugt und eine für 30 Tage gültige Testlizenz erzeugt werden.

Beim Kauf einer NetSight® Lizenz erhält der Kunde eine Entitlement ID. Im Lizenzportal aktiviert diese unter Angabe der MAC Adresse des eingesetzten Servers den gültigen Lizenzkey. Dieser ist unmittelbar abrufbar und lässt sich zusätzlich via Mail oder Post versenden.

Das Format dieser Lizenz geht über mehrere Zeilen und enthält alle Informationen bezüglich Lizenzgröße, etc.:

INCREMENT NetSightEval ets 2008.0601 1-jun-2008 uncounted \ VENDOR_STRING="type=server tier=m devices=250 clients=25 \ model=all" HOSTID=ANY ISSUED=17-jan-2008 START=17-jan-2008 \ SIGN="03D3 3151 DC2C 67C7 936B C202 55E7 A254 62B5 8D5F 8FAF \ 78E8 97EE C2CF 3625 186D 269E 84BF 7AFC C414 60C5 7967 2EF3 \ XXXX ECA8 5109 0E7C XXXX XXXX XXXX"

Kunden mit einem bestehenden Wartungsvertrag können ohne weitere Kosten über das Lizenzportal unter https://extranet.enterasys.com/MySupport/Licensing/Pages/NetSightUpgrade.aspx auf die neuste Version upgraden.



Security Enabled InfrastructureDiese Produktlinie bietet eine komplette Lösung für den LAN Switching und Routing Bereich vom Access bis zum Core. Abgerundet wird sie durch WAN und WLAN Komponenten.

Applikationsbasierte Dienste (Sicherheit, Quality of Service, etc.) durch Layer 2/3/4 Klassifizierung und Unterstützung von Secure Networks™ zeichnen diese Produktlinie aus. Sowohl standalone, als auch stackable und chassisbasierte Systeme sind verfügbar.

Infrastruktur Portfolio

Neu hinzugekommen ist die G-Serie als modulares System und Nachfolger des E1 sowie die D-Serie als flexibler Miniswitch mit vollständiger Secure Networks™ Unterstützung.



Matrix® X-SerieDurch Konvergenzstrategien verwenden immer mehr Applikationen mit unterschiedlichsten Anforderungen an Quality of Service (Bandbreite und Verfügbarkeit) und Sicherheit das Netzwerk als Transportmedium. Dies stellt besondere Anforderungen an ein Core Produkt. Neben optimalem Investitionsschutz sind dies insbesondere Kapazität und Performance, Verfügbarkeit, Quality of Service und Sicherheit.

Einsatzbereich der Matrix® X-Serie

Um den genannten Anforderungen gerecht zu werden, integriert die Matrix® X-Serie auch Anforderungen aus dem Service Provider Umfeld, wie zum Beispiel Hochverfügbarkeit auch bei einem Firmware Upgrade.

Im Folgenden wird die Architektur der X-Serie umrissen, um deren Vorzüge für die Erfüllung der oben beschriebenen Anforderungen zu erläutern.

Architektur

Die Architektur ist eine Virtual Output Queue Architektur, die für die bis zu 8000 Queues pro System eine garantierte Übertragung durch das System hindurch unter allen Umständen garantiert. Pakete werden auf dem Ingress I/O Modul zwischengespeichert und erst dann über die Crossbar Backplane übertragen, wenn der entsprechende Output Port auch frei ist.

Die einzelnen I/O Module arbeiten in einer voll verteilten Forwarding Umgebung und sind über eine Crossbar Backplane miteinander verbunden.



Virtual Output Queue Architektur

An den Ports der I/O Module können dann Queuing Verfahren wie Strict und Weighted Fair für die 8 Queues pro Port gemischt und mit Rate Limiting/Shaping Funktionen kombiniert werden. Buffermanagement wie Random Early Detection (RED) ist selbstverständlich.

Alle Komponenten sind voll redundant ausgelegt, damit eine optimale Verfügbarkeit gewährleistet werden kann – natürlich auch Stromversorgung, Lüfter etc. Die I/O Module können unabhängig von den Control Modulen Pakete forwarden, dass heißt selbst im Falle eine Failovers zwischen den Control Modulen findet keine Unterbrechung der Verkehrsflüsse in der Data Plane statt.

Kommunikation zwischen den Komponenten



Der High Availability Manager (HA Manager) übernimmt nach dem Starten des Betriebssystems die Aufgabe alle folgenden Module zu starten und zu überwachen. Der HA Manager ist dann auch für das unterbrechungsfreie Umschalten zwischen den Control Modulen zuständig.

Failover

Kapazität und Performance

Mit bis zu 2,56 Tbps Swichting Kapazität und einem maximalen I/O Throughput von 640 Gbps ist die Matrix® X-Serie für die Anforderungen an zukünftige Core Netze, insbesondere auch bei Anwendungen im Data Center und GRID Computing Bereich, optimal aufgestellt.

Verfügbarkeit

Neben der reinen Hardware Verfügbarkeit führt die Separierung von Control und Data Plane zu einer wesentlichen Steigerung der Gesamtverfügbarkeit. Hinzu kommt die Möglichkeit, in der Control Plane Software Updates, etc. unterbrechungsfrei durchzuführen. Graceful Restart Funktionen für OSPF, IS-IS und BGP gehören ebenfalls zum Leistungsumfang.

Sicherheit

Die Matrix® X-Serie ist in die Secure Networks™ Architektur von Enterasys voll eingebunden und kann dann mit den dort verfügbaren Tools optimal gemanaget werden. Damit werden Access und Core Policys optimal aufeinander abgestimmt und ergeben eine durchgängige Lösung. Komponenten im Überblick:



Chassis

X16

X8

X4

640Gb Durchsatz 2.56Tb Switching

Kapazität

320Gb Durchsatz 1.28Tb Switching

Kapazität

160Gb Durchsatz

640Gb Switching Kapazität

X4-CS(-DC)Matrix® X4 Starter Bundle, which includes an 4 Slot Chassis, 2 Fan Assy., 1 CM, 1FM, 1 AC power supplies, and 1 ENS Software License

X4-C Matrix® X4 Chassis

X8-CS(-DC) Matrix® X-Series Stater Pack which includes an 8 Slot Chassis, 3 Fan Assy., 1 CM, 1FM, 1 AC power supplies, and 1 ENS Software License

X8-C 8 Slot Matrix® X-Series Chassis

X16-CS(-DC) Matrix® X-Series Starter Pack which includes an 16 Slot Chassis, 3 Fan Assy., 1 CM, 1 FM, 1 AC power supplies and 1 ENS Software License

X16-C 16 Slot Matrix® X-Series Chassis

Für alle X-Serie Chassis ist eine DC-Power Option möglich, dafür sind die entsprechenden Starter-Chassis inklusive DC-Power/Fans zu verwenden.



Optionen

X-AC/DC Matrix® X-Series AC/DC Power Supply

X-FAN/-DC Matrix® X-Series Fan Assembly (for AC/DC)

X4/8/16-CBLMG-KIT Matrix® X4/8/16 Cable Mgmt Assembly

X4/8/16-MBRKT Matrix® X4/8/16 Mid Mount Bracket

X-4G-MEM

Matrix® X 4GB Control Module Speichererweiterung (Reqs. Ver. 1.3.1 oder Größer nötig). Ermöglicht eine bessere Skalierung bei Verwendung von BGP.

X-ENS-LIC Matrix® X-Series Enterasys Networking System License , wird einmal pro Chassis benötigt, auch wenn zwei Control Module verwendet werden.

Control/Fabric Module

X-CM-00 Matrix® X-Series Control Module

X4/8/16-FM Matrix® X4/8/16 Fabric Module

Input/Output Module

X-G

32

-00

X-G

T1

6-0

0

X-T

32

-00

X-M

2-0

0

X-M

8-0

1

1000Base-SX SFP 32 16*

10/100/1000Base-T RJ45 8 32

10GBase-X XFP 2 8

* Insgesamt 16 aktive Ports, dass heißt statt 16 SFP-Ports können 8 SFP und 8 TX Ports verwendet werden.



Technische Eigenschaften

Matrix®

X-4Matrix®

X-8Matrix®

X-16

Switching Kapazität 640 Gbps 1.28 Tbps 2.56 Tbps

Durchsatz 160 Gbps

320 Gbps 640 Gbps

I/O Slots 4 8 16

10 GbE I/O Module (# Ports) 8 8 8

Max. 10 GbE Per Chassis 32 64 128

Max. 10 GbE Per Rack 192 192 256

1 GbE I/O Module (# Ports) 32 32 32

Max. 1 GbE Per Chassis 128 256 512

Max. 1 GbE Per Rack 768 768 1,024

Switching802.1s Multiple Spanning Tree

802.1p Priorities

802.1q VLAN Tagging

802.3ad Link Aggregation

802.3ae 10 GbE

802.1w Rapid STP

GVRP

IGMP v3 (RFC 2236)

IGMP Snooping

Jumbo Frame Support – 9K bytes)

ECMP (8 Paths)

Diff Serv

SecurityDoS Prevention

ACLs – up to 32.000 per system

AAA

RADIUS (RFC 2138)

SSHv2,Secure Copy v2

802.1x Client



Management und StatistikenSNMPv1/v2/v3

Multi-Access CLI

DHCP Client/Server/Relay

Syslog

Telnet Client/Server

FTP

TFTP

NTP Client

Cabletron Discovery Protocol (CDP)

RMON 1(4 groups)

Policy MIB

Allgemeine ProtokolleIP (RFC 791)

ICMP (RFC 792, 1256)

TCP (RFC 793)

UDP (RFC 768)

TELNET (RFC 854)

BootP (RFC 951, 1542)

RoutingGeneral Routing (RFC 1812)

RIP v1/v2 (RFC 2453)

RIP ECMP

OSPF v2 (RFC 2328)

OSPF Graceful Restart

OSPF ECMP

OSPF NSSA (RFC 1587)

IS-IS (RFC 1195)

IS-IS Graceful Restart

IS-IS ECMP

BGP-4 (RFC 1771)

BGP-4 Graceful Restart

VRRP (RFC 2338)

DVMRP

PIM-SM

Route Redistribution



SystemMultiple Images

Multiple Configurations

Hitless Software Upgrade

Hitless Software Failover

Network ManagementNetSight® Console

NetSight® Policy Manager



Spezifikationen

Matrix® -X16

• Abmaße: 97.28cm (38.3")Hx 44.7cm (17.6")Wx 60.96cm (24")D

• Gewicht: 33.57 kg (74.0 lb)

Matrix® -X8

• Abmaße: 57.4cm (22.6")Hx 44.7cm (17.6")Wx 60.96 cm (24")D

• Gewicht: 23.59 kg (52.0 lb)

Matrix® -X4

• Abmaße: 30.9cm (12.18")Hx 44.8cm (17.72")W x 60.96 cm (24")D

• Gewicht: 22.68 kg (50 lb)

Matrix® -X4/8/16

• Betriebstemp. 5° C to 40° C (41° F to 104° F)

• Temperaturgrenzwerte -30° C to 73° C (-22° F to 164° F)

• Zulässige Feuchtigkeit 5% to 95%, non-condensing

• Stromversorgung (pro Powersupply): 100 bis 125 VAC Max oder 200 to 250 VAC, 50 to 60 Hz, 1160/1500 Watt Leistung

Mehr dazu unter:http://www.enterasys.com/products/routing/x/X16-C/



Matrix® N-SerieDie Matrix® N-Serie ist die High End Produktlinie mit Switching, Routing und Secure Networks™ Funktionen für alle Anwendungsbereiche im LAN, vom Core bis zum Access.

Mit vier Chassisvarianten (1,3,5,7 Slots) sowie einer Standalone Variante und einer voll verteilten Architektur, die keinen Single Point of Failure aufweist und hohe Skalierbarkeit bietet, sowie mit einer passiven Backplane, ist die Matrix® N-Serie eine zukunftssichere Investition. Die Möglichkeiten gehen heute von 10 Megabit Ethernet bis hin zu 10 Gigabit Ethernet.

Matrix® N-Series mit flowbasierter Architektur

Im Gegensatz zu vielen anderen Architekturen auf dem Markt arbeitet die Matrix® N-Serie rein flowbasiert und ist damit in der Lage ohne Performanceverluste auf jeden Kommunikationsfluss zuzugreifen.

Ein sehr interessantes Einsatzgebiet für die Matrix® N-Serie ist das Distributionlayer. Hier bietet sich aufgrund der Fähigkeiten der Platinum DFEs bei Multi-User-Authentication in Kombination mit Secure Networks™ Policys ein großes Einsparpotential, da selbst bei nicht-intelligenten Workgroup-Switches im Accesslayer höchste Sicherheit im Distributionlayer gewährleistet wird, die so kein anderer Hersteller bieten kann.



Architektur

Die Platinum DFE Module der Matrix® N-Serie sind in Bezug auf Architektur und Design völlig anders aufgebaut als die meisten Produkte am Markt: Hierbei wird auf ein voll verteiltes Switching und Routing Design in Verbindung mit einer passiven Punkt-zu-Punkt Backplane gesetzt, was spezifische Vorteile bietet.

Switch Architekturen

Vorteile der Backplane ArchitekturAuf der technischen Ebene bietet eine passive voll vermaschte Punkt-zu-Punkt Backplane folgende Vorteile gegenüber einer traditionellen – teilweise aktiven - Punkt-zu-Punkt Backplane (wie zum Beispiel Crossbar Architekturen):

• Kein Single Point of Failure durch die passive Backplane

• Keine Bandbreitenbegrenzung durch zentrale Engines oder Backplanetaktung

• Punktuelle Erhöhung der Bandbreite zwischen Slots durch einfaches Hinzufügen neuerer und schnellerer Module möglich (unterstützt damit mehrere Modulgenerationen ohne zusätzliche Hardware Upgrades)



Bezogen auf die aktuelle Matrix® N-Serie bedeutet dies:

• Vorhersagbare Performance unabhängig von der Bestückung des Systems

• Mehr Module = mehr Performance

• Einfache Migration zu neuen Geschwindigkeiten und Funktionen durch Hinzufügen neuer DFE Module

• Eine volle Redundanz ohne Zusatzmodule

• Geringe Anzahl von Ersatzteilen

Die Architektur wird bei Enterasys Networks schon seit 1997 erfolgreich in den verschiedensten Modulgenerationen älterer Systeme (SmartSwitch6000 und nachfolgend Matrix® E7) genutzt und hat sich bewährt. Selbst die aktuellen Platinum DFE Module sind mit diesen Modulen interoperabel in einem einzigen Chassis OHNE Performanceeinbußen!

Die Module – die so genannten Distributed Forwarding Engines (DFE) – sind in drei Varianten erhältlich und passen in alle Chassis:

• Die Gold DFEs für den Access Bereich optimiert.

• Die Platinum DFEs für den High End Access sowie Distribution, Server und Core Bereich.

• Die Diamond DFEs für den Distribution und Core-Routing Bereich.

Vorteile der verteilten Switching und Routing ArchitekturZu der passiven voll vermaschten Punkt-zu-Punkt Backplane kommt die Tatsache, dass jedes DFE Modul volle Switching-, Routing- und auch Management-Intelligenz besitzt. Die Redundanz der Module untereinander ist vollautomatisch und reagiert typischerweise weit unter 1 Sekunde (keine Relevanz für normalen IP Verkehr) und im Worst Case bis zu 2 Sekunden. Dennoch agiert das Gesamtsystem als ein einziger Switch bzw. Router und bietet die Vorteile einer zentralen Architektur in Bezug auf Administration und Management. Neue Module werden automatisch konfiguriert.



Optimierte High Availability Services

Auf der technischen Seite bietet dies folgende Vorteile:

• Optimierter Verkehr – Ausnutzung der Bandbreite - durch das System direkt von Modul zu Modul (Switching und Routing)

• Keine Begrenzung der Bandbreite durch zentrale Systeme

• Verbindungsaufbau dezentral, dass heißt stabiler bei Netzwerkproblemen wie Würmern, etc.

• Hohe CPU Performance durch verteilte CPUs pro DFE ermöglichen auch lastintensive Dienste wie zum Beispiel Multi User Authentication pro Port

• Automatische Hochverfügbarkeit direkt im System implementiert

• Einfache Verwaltung wie ein zentral gemanagtes System

• Vorhersagbare Performance unabhängig von der Bestückung des Systems

• Mehr Module = mehr Performance

• Einfache Migration zu neuen Geschwindigkeiten und Funktionen durch Hinzufügen neuer DFE Module



Integrierte Security FeaturesDie Matrix® N-Serie ist mit einer Vielzahl integrierter Sicherheitsfeatures ausgestattet. Sie bietet nicht nur die schon erwähnte Unterstützung von Policys, auch bei dynamischer Zuweisung mittels Multiuser- und Method Authentication, sondern auch Policy-Hit Accounting, dass heißt die Protokollierung von angewandten Regeln wie bei herkömmlichen Firewalls oder die dynamische Rollenänderung bei Erkennung bestimmter Attacken. Eine verhaltensbasierte Netzwerk Anomalieerkennung ist mit dem Flow Setup Throttling möglich. Dabei kann nicht nur der Port bei Überschreiten eines vordefinierten Grenzwertes deaktiviert werden, sondern es kann auch eine Meldung generiert werden. Im Zusammenspiel mit dem NetSight® ASM kann so eine Policyänderung erfolgen, damit ist quasi eine integrierte Intrusion Prevention möglich.

Die umfassende Unterstützung der Secure Networks™ Policys erlaubt es bis zu 2048 Benutzer gleichzeitig an einem Port zu authentisieren, damit wird die Nachrüstung von Port Security für Access Layer Switche, die solche Features nicht unterstützen, möglich.

Hier besteht großes Einsparpotential mit Multi-User-Authentication und Policing in der Matrix® N-Serie Platinum, da nicht-intelligente Workgroup-Switche verwendet werden können und man hat trotzdem höchste Sicherheit, die kein anderer Hersteller bieten kann. In Kombination mit den Sicherheitsfeatures EAP-Passthrough und Private-Port in der SecureStack™ Serie kann dieses Feature mit maximaler Sicherheit genutzt werden. EAP-Passthrough gewährleistet die Funktionalität von Spanning Tree, auch wenn 802.1x Frames weitergeleitet werden, Private-Port verbietet die Kommunikation zwischen Access Ports, so dass nicht authentisierte Benutzer nicht untereinander kommunizieren können.

Standardmäßig können sich bei der Matrix® N-Serie Platinum bei den Fiber-Ports 128 User/Devices pro Port authentisieren (+Policys), bei den Kupfer-Ports nur 8. Mit der Lizenz N-EOS-PPC kann das auf 2048 User/Devices pro Port erweitert werden. Mit der Lizenz N-EOS-PUC kann die Anzahl der User/Devices pro Chassis von 1024 auf 2048 User erweitert werden.

Aufgrund der flowbasierten Architektur der Matrix® N-Serie wird ein Export von NetFlow Daten für geswitchte als auch geroutete Pakete ermöglicht. Die einzigartige Architektur bietet hier ein völlig ungesampeltes NetFlow, dass heißt eine hundertprozentige Genauigkeit.

Für die Module mit NEM Erweiterungsslot steht ein integrierter Sicherheitsprozessor mit einem IDS System bereit, damit wird die Dragon® Intrusion Defense in die Matrix® N-Serie integriert. In Kombination mit dem dynamischen Schalten von Portmirrors mit Policy-Hits, dass heißt dem Eintreffen einer definierten Regel, kann die Kapazität des IDS Systems hier um mehrere Größenordnungen erweitert werden.



Unterschied Gold/Platinum/Diamond DFEsDie Gold DFEs bieten eine kostengünstige Alternative zu den Platinum DFEs. Dafür gibt es in den Gold DFEs weniger Features, zum Beispiel bieten die Gold DFEs nur optional eine mit einer Lizenz erwerbbare 1-1 Redundanz während die Platinum DFEs von Haus aus eine 1-N Redundanz mitbringen.

Wichtig ist, dass Gold und Platinum DFEs wegen der unterschiedlichen Architektur nicht im selben Chassis mischbar sind.

Die Platinum DFEs können im E7 Chassis verwendet werden und sind nur dort mit Boards der 1.-3. Generation mischbar.

Die Gold DFEs können zwar im E7 Chassis verwendet werden, aber dann ist es nicht möglich gleichzeitig Boards aus den Generationen eins bis drei zu nutzen.

Die Diamond DFEs sind eine Weiterentwicklung der Platinum DFEs speziell für anspruchsvolle Routing Umgebungen und komplettiert so die X-Serie durch eine kostengünstige Unterstützung von kleinen und mittleren Netzwerk Backbones.

Von Haus aus enthalten die Diamond DFEs 256 MB Speicher sowie die N-EOS-L3 und N-EOS-PPC Lizenzen.

Platinum um Diamond DFEs können im selben Chassis verwendet werden, dafür benötigen die Platinum DFEs ein 256 MB Speicherupgrade sowie eine Layer 3 N-EOS-L3 Lizenz. Die Diamond DFEs werden ab der Firmwareversion 6.0 in einem gemischten Chassis eine höhere Routerpriorität als die Platinum DFEs haben.

Diamond DFEs können auch im E7 Chassis verwendet werden.

BackplaneDie N-Serie arbeitet ausschließlich mit der FTM2 Backplane. Die Leistung der FTM2 Backplane liegt im Moment bei 420 Gbps.

Die Module sind untereinander voll vermascht, dass heißt insgesamt gibt es 21 Links. Bei einer momentanen Taktung von 20 Gbps erreicht man so die Gesamtkapazität von 420 Gbps.

Die Slots einer Backplane können untereinander mit verschiedenen Taktraten von 20 bis 80 Gbps arbeiten.

Die zukünftige Leistung der FTM2 wird bei 21 Links mit einer Taktung von 80 Gbps liegen und damit 1.68 Tbps erreichen.



Rückwärtskompatibilität zur FTM1 Backplane im E7Der E7 hat sowohl eine FTM1 als auch eine FTM2 Backplane. Die FTM1 ist ebenso vermascht wie die oben beschriebene FTM2 Backplane. Sie wird von den Modulen der ersten, zweiten und dritten Generation benutzt.

Proxy Feature im E7

Werden im E7 Modul der vierten Generation eingesetzt, so kann man mit einem Proxy Modul der vierten Generation, das dementsprechend Verbindungen zu beiden Backplanes hat, weiterhin die alten FTM1 Module verwenden.

Als Proxy Module der vierten Generation können die Module 7H4383-49, 7H4382-25, 7H4385-49 und 7H4383-49 verwendet werden.

Die Module der ersten und zweiten Generationen können allerdings nur in den ersten fünf Slots betrieben werden, da sie ursprünglich für das E6 (5 Slot) Chassis entworfen wurden. Daher gab es schon immer ein Proxy Modul, das zwischen den Modulen erster/zweiter Generation in den ersten fünf Slots und den Modulen dritter Generation im sechsten und siebten Slot vermittelt hat. Diese Aufgabe können selbstverständlich auch die Proxy Module der vierten Generation übernehmen.



Komponenten im Überblick

Chassis

N1

N3

N Standalone

N5

N7

7C111 1 Slot N-Series Chassis 7C103 Matrix® N3 Chassis 7C105-P Matrix® N5 POE Chassis7C107 Matrix® N7 Chassis

Nicht-Modular

2G4072-52 N Standalone Series with 48 port 10/100/1000 Base-TX ports via RJ45 and 4 1000Base-X ports via mini-GBIC. Includes redundant internal power supplies.



Modular, nur im N1 verwendbar

Dieses Platinum DFE-Modul ermöglicht eine Migration für Kunden, welche 2H252-25R oder XP2400 (SSR2000/SSR2) Router im Einsatz haben und einen Austausch mit vergleichbarer Portdichte, aber denselben Features suchen. Dieses Modul ist nur im N1 verwendbar, da das Modul keine klassische Backplaneverbindung wie die übrigen DFE-Module besitzt. Durch den NEM-Slot kann es um entsprechende Glasports- oder den integrierten Security Prozessor ergänzt werden.

2G4082-2524 Port 10/100/1000Base-T mit Network Expansion Modul Slot (NEM) – nur im N1 verwendbar

2G4082-25-SYS Bundle aus 2G4082-25 und N1 (7C111)

2G4082-25-SYS-UBundle aus 2G4082-25, N1 (7C111) und 7G6MGBIC-A

Chassis Optionen

7C203-1Matrix® N3 863 Watt AC Netzteil (erfordert einen 15 Amp Stromanschluß)

7C403 Matrix® N3 Fan unit (Spare) 7C205-1 Matrix® N5 1200W Watt AC Power Supply 7C405 Matrix® N5 Fan Unit (Spare) 6C207-3 Matrix® E7 und Matrix® N7 1600 Watt AC Netzteil6C407 Matrix® E7 and Matrix® N7 Fan Unit (Spare)

E7-Chassis

6C1077 slot Matrix® E7 Chassis, requires two 15 AMP power outlets per supply

Optionen

N-EOS-L3Enterasys Operating System Advanced Routing Package for Matrix® N-Series Switches

N-EOS-PPCEnterasys Operating System Matrix® DFE Platinum Port Kapazität Erweiterungskey (265 User/Port)

N-EOS-PUCEnterasys Operating System Matrix® DFE Platinum Extra User Capacity Activation Key (2048 User/Chassis)

DFE-256MB-UGK 256 megabyte DRAM upgrade kit



Die Lizenzen N-EOS-L3, N-EOS-PPC und N-EOS-PUC werden einmal pro Chassis benötigt. Bei der Verwendung von Platinum und Diamond DFEs in einem Chassis wird die N-EOS-L3 Lizenz einmal für alle Platinum DFEs benötigt. Alle Diamond-DFEs beinhalten die Lizenzen N-EOS-L3 und N-EOS-PPC.

Mit der N-EOS-PPC (Per Port Capacity) Lizenz erhöht sich die Anzahl von Benutzern, die sich auf einem Port (auch auf einem logischen Port, z.B. Bündel lag.x.x) authentisieren können, auf 256. Ansonsten stehen auf DFEs mit Kupferports 8, auf Uplink-DFEs mit modularen SFP, 10 Gig oder 100Base-FX Ports 128 User zur Verfügung.

Die N-EOS-PUC (Per User Capacity) Lizenz erhöht die Anzahl der Benutzer, die für das gesamte Chassis authentisiert werden können von 1024 auf 2048.

Das 256 MB Speicherupgrade ist erforderlich, wenn LSNAT, PIM-SM oder NetFlow genutzt werden soll. Es ist sowohl für Platinum als auch Gold DFE's anwendbar. Das Platinum 7G4280-19 DFE sowie alle Diamond DFE's beinhaltet von Haus aus schon 256 MB Speicher.

Gold-Serie HA Option

Bei der Gold-Serie wird mit der N-EOS-RED Lizenz eine 1+1 Redundanz möglich. Diese Lizenz wird einmal pro Chassis benötigt.

N-EOS-REDEnterasys Operating System (EOS) 1+1 High Availability upgrade for Matrix® N-Series Gold DFE switches



PoE-OptionenUm PoE über die entsprechenden DFE-Module zu beziehen, ist eine zusätzliche Spannungsversorgung notwendig. Die Spannung wird über das N-POE bereitgestellt, was im Prinzip ein Chassis für die N-POE-1200W Netzteile darstellt. Im Matrix® N5 Switch ist dieses „Chassis“ im Gehäuse integriert, bei den N1, N3 und N7 Switchen muss es als eigenständige Komponente betrieben werden. Je nach Bedarf werden dann die N-POE-1200W Netzteile installiert, maximal kann das N-POE vier Stück aufnehmen. Beim Matrix® N5 erfolgt die Kopplung zwischen den Netzteilen und den Modulen intern, bei den weiteren Matrix® N-Serie Switchen muss die Koppelung extern über das DFE-POE-CBL-2M Kabel erfolgen. Pro PoE-Einschub wird hier also ein Kabel vom Modul zum N-PoE Chassis benötigt.

Matrix® N-Serie PoE-Shelf

DFE-POE-CBL-2M N-POE TO DFE POE Cable - 2 Meters

N-POEMatrix® POE Power System (for 802.3af support w. Matrix® N1/N3/N7)

N-POE-1200WMatrix® POE 1200 Watt AC Power Supply (for 802.3af support)



Gold-Distributed Forwarding Engines

4H

42

82

-49

4G

42

85

-49

4G

42

05

-72

4H

42

83

-49

4G

42

02

-72

4H

42

02

-72

4H

42

03

-72

4H

42

84

-49

4G

42

82

-49

4H

42

85

-49

10/100 Base-T RJ45 48 72

10/100 Base-T RJ21 48 72

10/100 Base-T RJ45

PoE48

10/100/1000Base-T RJ45 72 48

10/100/1000Base-T RJ45PoE

48 72

100 Base-FX

MTRJ48

NEM-Slot* x x x x x x

* Der Network Expansion Module (NEM) Slot kann für ein zusätzliches Modul wie z.B. 7G-6MGBIC-A, dass heißt 6 SFP Slots verwendet werden



Platinum-Distributed Forwarding Engines

7H

43

85

-49

7G

42

85

-49

7G

42

05

-72

7G

42

82

-49

7H

42

84

-49

7H

43

82

-49

7H

43

83

-49

7H

43

82

-25

7G

42

02

-72

7H

42

02

-72

7H

42

03

-72

7G

42

02

-30

7G

42

70

-12

7G

42

80

-19

7K

42

90

-02

7K

42

97

-02

7K

42

97

-04

10/100 Base-T RJ45 48 24 72

10/100 Base-T RJ21 48 72

10/100 Base-T RJ45

PoE48

10/100/1000Base-T RJ45 48 72 30


48 72

100 Base-FX

MTRJ48

1000Base-SXSFP 12 18

10GBase-X

XENPAK2

10GBase-X

XFP2 4

FTM1-Proxy* x x x x

NEM-Slot** x x x x x x x x

* Diese Module können als Proxy zu Modulen der 1ten, 2ten und 3ten Generation in E-Serie Chassis benutzt werden.

** Der Network Expansion Module (NEM) Slot kann für ein zusätzliches Modul wie z.B. 7G-6MGBIC-A, dass heißt 6 SFP Slots verwendet werden



Diamond-Distributed Forwarding Engines

Diamond DFEs beinhalten die Routing und Port Capacity Increase Lizenzen N-EOS-L3, N-EOS-PPC sowie eine Speicherausstattung von 256 MB.

7G

R4

28

0-1

9

7G

R4

27

0-1

2

7G

R4

20

2-3

0

7K

R4

29

0-0

2

7K

R4

29

7-0

2

7K

R4

29

7-0

4

10/100/1000Base-T RJ45 30

1000Base-SX SFP 18 12

10GBase-X XENPAK 2

10GBase-X XFP 2 4

NEM-Slot* x

* Der Network Expansion Module (NEM) Slot kann für ein zusätzliches Modul wie z.B. 7G-6MGBIC-A, dass heißt 6 SFP Slots verwendet werden

Network Expansion Module

Die NEM Slots der DFEs können ein zusätzliches Modul aufnehmen, hier sind im Moment Module mit zusätzlichen Gigabit Glasports oder einem integrierten Sicherheitsprozessor zum Betreiben eines Dragon® Intrusion Detection Systems oder eines Enterasys NAC Gateways verfügbar.

7G-6MGBIC-BNetwork Expansion Module (NEM) with 6 1000Base-X /100Base-FX ports via Mini-GBIC connectors

7K-2XFP-6MGBIC

Network Expansion Module (NEM) with 6 1000Base-X /100Base-FX ports via Mini-GBIC connectors and 2 10 Gigabit Ports via XFP-connectors



Matrix® Security-Modul

Das Matrix® Security Modul integriert die Möglichkeiten des Enterasys Dragon® IDS oder der Enterasys NAC Engine in die Matrix® N-Serie.

Matrix® Security-Modul

Im Moment sind zwei unterschiedliche Module verfügbar, eines mit externer sowie eines mit interner Stromversorgung wie unten beschrieben. Das Enterasys Dragon® Modul wird mit DSNSA7, das NAC Modul mit NSTAG bezeichnet.

7S-DSNSA7-01,

7S-NSTAG-01

Network Expansion Module (NEM) with Integrated Security Processor and external Power-Supply, in allen “legacy” DFEs ohne interne Stromversorgung verwendbar, dass heißt nicht in den DFEs 7G4280-18, 7G4282-49, 4G4282-49, 7G4285-49 und 4G4285-49.

7S-DSNSA7-01NPS,

7S-NSTAG-01NPS

Network Expansion Module (NEM) with Integrated Security Processor, No Power-Supply included. Dieses Modul kann nur in neuen DFEs mit interner Stromversorgung verwendet werden, dazu gehören 7G4280-18, 7G4282-49, 4G4282-49, 7G4285-49 und 4G4285-49.




Gold DFEs

Switching/VLAN Services

Generic VLAN Registration Protocol (GVRP)

IGMP v1/v2

Jumbo Packet with MTU Discovery Support for Gigabit Ethernet ports

Flow Set-Up Throtting

Span Guard

Strict/Weighted Round Robin Queuing

Basic IP-Routing Package

Static Routes

RIPv1/v2

RIP Equal Cost Multipath (ECMP)

IGMPv1/IGMPv2

ICMP

Virtual Router Redundancy Protocol (VRRP)

ACL Basic

DHCP Relay

Proxy-ARP, local Proxy-ARP

Extended IP-Routing Package (N-EOS-L3)

OSPF with Multipath Support

OSPF gracefull restart (ab FW 6.0)

DVMRP

Extended ACLs

PIM-SM

LS-NAT - Serverloadbalancing



Security (User, Network and Host)

Telnet (Inbound/Outbound)

Secured Shell (SSHv2) (switch interface only)

Syslog

802.1x Port based Network Access Control

Web based authentication

MAC based authentication

Multiple authentication types

(802.1x, MAC address, web) per port

RFC 3580 with Policy Support

Management, Control and Analysis

SNMP v1/v2c/v3

Web Support

Industry Standard CLI Support

CLI-Scripting Interface

Single IP Address Management

Support for Multiple, Editable Configuration Files

DHCP Client

RADIUS Client Support with PAP and CHAP

TACACS+ Client

Entity MIB

COM Port Boot Prom Download via ZMODEM

RMON (Nine Groups)

High-Capacity RMON (64-bit counters)

Simple Network Time Protocol (SNTP)

Trace Route

Dynamic Egress

Inbound Rate Policing

Node and Alias Table

Cabletron Discovery Protocol (CDP)

Cisco Discovery Protocol (CiscoDP)

LLDP, LLDP-MED

Port Based MAC Locking

Access Control Lists



IEEE Standards

IEEE 802.3 - Ethernet

IEEE 802.3ae – 10 Gigabit Ethernet

IEEE 802.3ad – Link Aggregation

IEEE 802.3x – Flow Control

IEEE 802.3af – Power over Ethernet

IEEE 802.1d – Briding – TP/STP

IEEE 802.1t – Spanning Tree Cost Change

IEEE 802.1p – Layer2 Priority Marking

IEEE 802.1Q - VLANs

IEEE 802.1w – Rapid Spanning Tree

IEEE 802.1s – Multiple Instances Spanning Tree

IEEE 802.1x - Authentication

IEEE 802.1ab LLDP, LLDP-MED

Sicherheitsstandards

UL 160950, CSA 60950, EN 60825, EN 60950, IEC 60950

Elektromagnetische Kompatibilität (EMC)

47 CFR Parts 2 und 15, CSA C108.8, EN 55022, EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZS CISPR 22, VCCI V-3

Platinum DFEs unterstützen zusätzlich noch

Multilayer Packet Processing

Multi-stage Packet Classification

IP TOS Re-write, VLAN/Priority Tag Re-Write

Flow Setup Throtteling

Switching/VLAN Services

SMON Port Redirect, VLAN Redirect

IP Multicast (IGMP support v1, v2, querier)

VLAN-to-policy mapping

Automatic port disabling

FTM1 Proxy Bridge with the following modules:

7H4385-49, 7H4382-49, 7H4383-49, 7H4382-25



Monitoring und Management

RMON Matrix® groups, Host, HostTopN, Events, Capture and Filter

Netflow v5

Anmerkung zu Port Mirroring

Können eine Mischung aus Ports, VLANs und IDS Mirrors sein. One to many, many to one wird unterstützt. IDS Mirrors beinhalten 8 Ausgangsports, die als LAG gebündelt und adressiert werden. Für VLAN-Mirrors muss zunächst ein VLAN-Interface mit „set vlan interface <no>“ angelegt werden, dieses kann dann per vlan.0.<no> für die Port Mirrors adressiert werden.

Spezifikationen

Matrix® N-Standalone

• Abmaße 8.51 cm (3.35") H x 44.45 cm (17.5") W x 47.90 cm

(18.86") D

• Gewicht 13.15 kg (29 lbs)

Matrix® N1

• Abmaße 8.81 cm (3.48") H x 144.46 cm (17.62") W x 51.92 cm (20.44") D


Matrix® N3

• Abmaße 35.56 cm (14") H x 49.53 cm (19.5") W x 44.45 cm (17.5") D


Matrix® N5

• Abmaße 58,67 cm (23,1") H x 44.45 cm (17.5") W x 47.50 cm (18.7") D


Matrix® N7

• Abmaße 77.47 cm (30.5") H x 36.83 cm (14.5") W x 44.04 cm (17.34") D




Matrix® N-Standalone, N1, N3, N5, N7

• Betriebstemp. 5° C to 40° C (41° F to 104° F)

• Temperaturgrenzwerte -30° C to 73° C (-22° F to 164° F)

• Zulässige Feuchtigkeit 5% bis 90% RH, non-condensing

• Stromversorgung: 100 bis 125 VAC Max oder 200 to 250 VAC, 50 to 60 Hz

Mehr Informationen unterhttp://www.enterasys.com/products/switching/7C10x/.


http://www.enterasys.com/products/switching/7C10x/




SecureStack™ FamilieDie SecureStack™ Serie sind kostengünstige Switche mit Routing und Secure Networks™ Unterstützung, die im Access Bereich (in der 10/100 Ethernet Variante) sowie im Server Bereich (in der 10/100/1000 Ethernet Variante mit 10Gbit Uplink) zum Einsatz kommen.

Sie sind in drei unterschiedlichen Varianten verfügbar, die C-, B- und A-Serie. Diese bieten beim Stacking ein einfaches Management bei gleichzeitig hoher Portdichte von 48 Enduser-Ports und 4 Uplink-Ports pro Switch und bis zu 384 Enduser Ports pro Stack. Dabei können bis zu 8 Switche miteinander verbunden werden. Alle Varianten bieten hochverfügbares Stacking mittels einer Closed Loop Stacking Lösung, bei der der klassische Single Point of Failure beim Stacken vermieden wird. Die Modelle der C-, B- und A-Serie sind dabei nicht untereinander, aber sehr wohl innerhalb derselben Serie kombinierbar.

Die SecureStacks™ sind außerdem in einer PoE-fähigen Variante verfügbar (am P am Ende der Bestellnummer erkennbar). Eine Besonderheit ist hier die adaptive Erkennung des durch die Endgeräte verbrauchten Stroms, die eine optimale Verteilung der maximal verfügbaren Leistung erlaubt. Alle SecureStack™ Module verwenden die selben, optionalen redundanten Netzteile.

Für die Verwendung in einem Distribution Layer Security Szenario haben die SecureStacks™ noch die Fähigkeit, EAP-Forwarding zu unterstützen, so dass auch eine zentrale 802.1x Authentisierung über den SecureStack™ hinweg möglich ist, ohne dass auf Spanning Tree verzichtet werden muss. Weiterhin kann die Kommunikation zwischen den Access Ports so eingeschränkt werden, dass nur noch zwischen Access- und Uplink Ports ein Datenaustausch möglich ist und somit eine optimale Sicherheit auch bei nachgelagerter Authentisierung erreicht wird.

SecureStack™ Limited Lifetime Warranty

Die Switche aus der SecureStack™ Familie können bis zu 30 Tage nach dem Eingang der Ware beim Kunden bei Enterasys registriert werden. Dadurch erhält man eine Limited Lifetime Warranty (LLW), welche die fehlerfreie Funktion der Switche für mindestens fünf Jahre nach der Einstellung des Produktes bei Enterasys Networks garantiert.

Die Garantie umfasst kostenlose Firmware Bugfixes sowie das Bereitstellen von Ersatzgeräten nach vorhergehender Beratung durch das GTAC.

Mehr Informationen dazu unterhttp://www.enterasys.com/products/switching/ securestack - warranty.pdf



SecureStack™ C3/C2

Eine highspeed, voll redundante Stackverbindung mit 640 Gbps bietet skalierbare Backplane Leistung und sorgt dafür, dass das Gesamtsystem wie ein einziger Switch managebar ist. Bei Ausfall des Management Masters oder einer Stackverbindung wird automatisch ein Failover eingeleitet und der Betrieb des gesamten Stacks sichergestellt.

Die Portdichten erreichen bis zu 384 10/100 Ports mit max. 32 Gigabit Uplinks oder bis zu 336 10/100/1000 Ports. Ein Switch unterstützt außerdem zwei 802.3ae konforme 10Gbit Ethernet Ports.

Die SecureStack™ C3 Familie ermöglicht Ipv6 Routing in Hardware sowie ein höheres Sicherheitsniveau. Durch die Integration eines SecureStack™ C3 in einen Stack von C2s steht Ipv6 für den gesamten Stack zur Verfügung. Der C3 bietet eine höhere Anzahl von Regeln sowie eine Maske für jede Regel bei der Erstellung von Policys .

Werden Stacks unterschiedlicher Generationen wie C2 und C3 gemischt, so steht das kleinste gemeinsame Featureset aus beiden Generationen für den gesamten Stack zur Verfügung, dass heißt das die Gesamtzahl verfügbarer Regeln pro Port im Stack auch für die C3s auf C2-Niveau liegt, obwohl diese ja potentiell mehr unterstützen.


C3G124-24 C2K124-24

C3G124-48 C3G124-48P



C2

H1

24

-48

C2

H1

24

-48

P

C2

K1

22

-24

C2

G1

34

-24

P

C2

G1

70

-24

C3

G1

24

-24

C3

G1

24

-48

C3

G1

24

-24

P

C3

G1

24

-48

P

C3

K1

22

-24

C3

K1

72

-24

C3

K1

22

-24

P

10/100 Base-T RJ45 48

10/100/1000 Base-T RJ21PoE

24

10/100 Base-T RJ45

PoE48

10/100/1000Base-T RJ45 24 24 48 24


24 48 24

100Base-FX

1000Base-SXSFP 4 4 4* 24 4* 4* 4* 4* 24

10GBase-X

XFP2 2** 2** 2**

* Combo-Ports: Die 1000Base-SX Ports können alternativ zu einem 1000Base-TX Port verwendet werden.

** Die C3K-Modelle erfordern das Trägermodul C3K-2XFP zur Verwendung der XFP-Ports



Optionen

C2L3-LIC SecureStack™ C2 Enhanced Layer 3 Routing License (OSPF, PIM, DVMRP, VRRP)

C2IPV6-LIC Mixed C2/C3 Stack IPV6 Router License

C3L3-LIC ADV. ROUTER WITH OSPF, PIM, DVMRP, VRRP (per switch license)

C3IPV6-LIC C3 IPV6 ROUTER LICENSE

C3K-2XFP Add-in Module for 10Gbase-XFP Ports, requires XFP's to use

Bei den Lizenzen ist zu beachten, dass für gemischte C2/C3 Stacks die C2L3-LIC oder C2IPV6-LIC verwendet werden muss, es wird eine Lizenz pro Stack benötigt. Für reine C3 Stacks werden die C3L3-LIC oder C3IPV6-LIC benötigt und zwar eine Lizenz pro Switch.


Address Table Size 16,000

Throughput Capacity 148,810 pps per Fast Ethernet port

1,488,100 pps per Gigabit Ethernet port

14,881,000 pps per 10-Gigabit port

VLANs 4,096 VLAN IDs1,024 VLAN entries per stack

Priority Queues 8 per port

Stacking Bandbreite 40 Gbit



Unterstützte Funktionalität

802.1p - Traffic Management, Dynamic Multicast Filtering

802.1x, Web, MAC Authentication

802.1q – VLAN tagging and identification SSHv2 Secure Telnet support

Auto Negotiation Runtime Download

Broadcast Suppression SNMP v1/v2c/v3

802.1w Rapid Spanning-Tree Configuration Upload\Download

802.3ad Link Aggregation TOS Rewrite

802.3x Flow Control Priority Classification L2-L4

Port Mirroring (many to 1) 8 Transmit Queues per port

CLI Management (via local console and telnet)

Enterasys EDP

Web-based management RMON Groups 1,2,3 and 4

IGMP V1\V2 Snooping

RIP v1 and v2

StaticRoutesICMP

OSPF2ARP & ARP RedirectPIM-SM/DMDVMRPVRRPDHCP/BOOTP Relay

Power-over-EthernetIEEE 802.3af compliantTotal PoE power of 375 WAverage of 7.5 watts per port (Class 2)Maximum of 15.4 watts per portPer-port enable/disablePer-port priority safetyPer-port overload and short circuit protectionSystem power monitor

Strict and Weighted Round Robin Outbound Rate Limiting

IEEE 802.1S

Spezifikationen

• Abmaße H/B/T: 44.1 cm (17.36") x 4.4 cm (1.73") x 36.85 cm (14.51")

• Gewicht: 5.05 kg bis 6.94 kg (11.12 lbs to 14.32 lbs)

• Betriebstemp. 5° C bis 40° C (41° F to 104° F)

• Temperaturgrenzwerte -30° C bis 73° C (-22° F to 164° F)

• zulässige Feuchtigkeit 5% to 90%, non-condensing

• Stromversorgung: 100 – 120; 200 – 240 VAC, 50/60 Hz

Mehr dazu unter http://www.enterasys.com/products/switching/c/.


http://www.enterasys.com/products/switching/c/


SecureStack™ B3/B2

Die SecureStack™ B2 Switche zeichnen sich durch fortschrittliche Layer 2+ Switchingfunktionalität in einem Stack mit bis zu 360 Gigabit Ports oder 384 10/100/1000 Ports mit 32 Gigabit Uplinks aus. Zuverlässigkeit und Verfügbarkeit wird durch die Unterstützung von Closed Loop Stacking, redundante Uplinks, redundante Stromversorgungsmöglichkeiten und redundantes Stackmanagment gesichert.

Die SecureStack™ B-Serie bietet die optionale Unterstützung von Secure Networks™ Features. Mit der Aktivierung der Policy Lizenz stehen auf der B-Serie unter anderem Secure Networks™ Policys zur Verfügung.

Die SecureStack™ B3 Switche stellen zusätzlich Basic Routing mit RIP sowie eine größere Anzahl von Regeln und für Secure Networks™ Policys zur Verfügung. Selbstverständlich sind die neuen B3 Switche mit bestehenden B2-Stacks kombinierbar.


B2G124-24 und B2G124-48



B2

G1

24

-24

B2

G1

24

-48

B2

G1

24

-48

P

B2

H1

24

-48

B2

H1

24

-48

P

B3

G1

24

-24

B3

G1

24

-48

B3

G1

24

-24

P

B3

G1

24

-48

P

10/100 Base-T RJ45 48

10/100 Base-T RJ45

PoE48

10/100/1000Base-T RJ45 24 48 24 48


48 24 48

100Base-FX

1000Base-SXSFP 4* 4* 4* 4 4 4* 4* 4* 4*

* Combo-Ports: Die 1000Base-SX Ports können alternativ zu einem 1000Base-TX Port verwendet werden.

Optionen

B2POL-LIC Security Policy UpgradeB2POL-LIC25 25 Pack Of B2POL-LIC Policy LicensesB2POL-LIC50 50 Pack Of B2POL-LIC Policy LicensesB3POL-LIC B3 POLICY LICENSE - QTY 1B3POL-LIC25 B3 POLICY LICENSES - QTY OF 25B3POL-LIC50 B3 POLICY LICENSES - QTY OF 50







VLANs 4,096 VLAN IDs1,024 VLAN entries per stack




802.1p - Traffic Management/ Dynamic Multicast Filtering 802.1x Authentication

802.1q – VLAN tagging and identification SSHv2 Secure Telnet support

Dynamic VLAN Assignment (RFC3580) RADIUS






802.1s Multiple Spanning Trees 8 Transmit Queues per port

CLI Management (via local console and telnet) Enterasys EDP

Web-based management Port Mirroring (many to 1)

IGMP V1\V2 Snooping Jumbo Frame Support

Tagged/Port-based Vlan GVRP/GARP

Strict and Weighted Round Robin Queuing RMON Groups 1,2,3 and 4



Spezifikationen

• Abmaße H/B/T: 44.1 cm (17.36") x 4.4 cm (1.73") x 36.85 cm (14.51")




• zulässige Feuchtigkeit 10% bis 90%, non-condensing


Mehr dazu unter http://www.enterasys.com/products/switching/b/.


http://www.enterasys.com/products/switching/b/


SecureStack™ A2

Die SecureStack™ A2 Switche ermöglichen kostengünstiges Layer2 Switching mit bis zu 384 10/100 Ports und 16 Gigabit Uplinks. Auch hier ist die Verfügbarkeit durch Closed Loop Stacking über Standard Cat-5 Kabel, redundante Uplinks und zusätzliche Netzteile gesichert. Jeder SecureStack™ A2 besitzt zwei Mini-GBIC Ports und zwei feste 10/100/1000 Ports, die als Standard Ethernet Uplinks oder zum Stacken mit 2Gbit bidirektionaler Bandbreite zwischen zwei Switchen verwendet werden können.

SecureStack™ A2 protected Port ist ideal mit Multi-User-Authentication und Policy auf einer N-Serie im Distribution Layer zu verwenden und sorgt hier für enorme Kosteneinsparungen.


A2H124-48

A2

H1

24

-24

A2

H1

24

-24

FX

A2

H1

24

-24

P

A2

H1

24

-48

A2

H1

24

-48

P

A2

H2

54

-16

A2

H1

23

-24

10/100 Base-T RJ45 24 48 8 24

10/100 Base-T RJ45 PoE 24 48

100 Base-FX MTRJ 24 8 2

10/100/1000 Base-T RJ45 2* 2* 2* 2* 2* 2* 2*

1000Base-SX SFP 2 2 2 2 2 2

* Combo-Ports: Die 10/100/1000Base-T Ports können zum Stacken oder konfigurationsabhängig als normale Base-T Ports genutzt werden.







VLANs 4,096 VLAN Ids, 1,024 VLAN s per stack




802.1p - Traffic Management/ Dynamic Multicast Filtering 802.1x Authentication

802.1q SSHv2 Secure Telnet support

Dynamic VLAN s (RFC3580) RADIUS






802.1s Multiple Spanning Trees 4 Transmit Queues per port

CLI Management Enterasys EDP

Web-based management Port Mirroring (many to 1)

IGMP V1\V2 Snooping GVRP/GARP

Tagged/Port-based VLAN RMON Groups 1,2,3 and 4

Spezifikationen• Abmaße H/B/T: 44.1 cm (17.36") x 4.4 cm (1.73") x 21 cm (8.27")




• zulässige Feuchtigkeit 5% bis 95%, non-condensing


Mehr dazu unter http://www.enterasys.com/products/switching/a/.


http://www.enterasys.com/products/switching/a/


Optionen für alle SecureStacks™

Einige Komponenten können für die gesamte SecureStack™ Familie verwendet werden. Dazu zählen insbesondere die redundante Stromversorgung sowie die Konsolekabel.

Redundante Stromversorgung für nicht-PoE SecureStacks™

Die redundante Stromversorgung für PoE-SecureStacks™, C2RPS-PSM, wird als alleinstehendes Chassis auf einer Höheneinheit eingebaut.

C2RPS-SYS SecureStack™ C2 RPS Chassis plus one C2RPS-PSM (chassis supports up to 8 C2RPS-PSMs)

C2RPS-CHAS8 SecureStack™ C2 RPS Chassis supporting up to 8 C2RPS-PSMs

C2RPS-CHAS2 C2 2 Slot C2 RPS

C2RPS-PSM SecureStack™ C2 150 watt Redundant Non-PoE Power Supply with one DC cable

C2RPS-POE C2 500 watt Redundant PoE Power Supply with one DC cable

SSCON-CAB Console Cable For SecureStack™



Stackingkabel für SecureStack™ B- und C-SerieDie Stackingkabel sind notwendig, um SecureStack™ B- und C-Serie Switche untereinander zu koppeln. Maximal können 8 Switche gekoppelt werden. Dabei muss beachtet werden, dass 7 beliebige Switche und als achter nur eine eingeschränkte Auswahl gestackt werden dürfen – siehe auch den Installationsguide. Wünschenswert ist aus Redundanzgründen ein Closed-Loop Stacking. Hierbei dürfen beliebige Stackingkabel kombiniert werden. Die einzige Einschränkung betrifft das C2CAB-5M Kabel. Dieses kann nicht an die 24 Port C2 oder B2 Switche angeschlossen werden.

C2CAB-SHORT SecureStack™ C2 stacking cable for connecting adjacent switches (30 cm)

C2CAB-LONG SecureStack™ C2 stacking cable for connecting the top switch to the bottom switch (1m)

C2CAB-2M SecureStack™ B3/C3 2m Stacking Cable

C2CAB-5M 5 Meter Closed Loop Stack Cable, cannot be used with 24 Port C2/B2



D-SerieDie D-Serie ist im Prinzip eine miniaturisierte Variante des SecureStack™ B2 zum Einsatz in Konferenzräumen oder Verteilerräumen ohne Klimatisierung. Der lüfterlose Betrieb bis zu Temperaturen von 40° Celsius – sowie mit Lüfter bis zu 60° Celsius ermöglichen einen flexiblen Einsatz bei Unterstützung aller Secure Networks™ Features.Der D2 bietet 12 Kupfer Gigabit Ethernet Ports sowie 2 Gigabit SFP-Ports, insgesamt können 12 Gigabit Ports gleichzeitig aktiv sein. Es steht eine Variante mit, sowie eine ohne PoE Unterstützung zur Verfügung. Dabei ist eine redundante Stromversorgung über ein zweites Powersupply möglich. Für die Stromversorgung kommen in beiden Varianten ausschließlich externe Powersupplys zum Einsatz, die sich über zwei redundante Anschlüsse im Betrieb wechseln lassen.

Für den D2 wird eine Vielfalt an Montagemöglichkeiten geboten – zum Einsatz in Konferenz-, Büro- oder Schulungsräumen stehen Montagekits für eine Wandbefestigung, die Anbringung unter einem Schreibtisch sowie für Schulungsräume auch abschließbare Metallcontainer zur Verfügung. Für den Einsatz im Rack wird ein Kit zur Installation zweier D2s nebeneinander angeboten.

Die D-Serie unterstützt analog zur SecureStack™ B-Serie mit einer optionalen Policy-Lizenz alle SecureNetworks™ Features.


Chassis

D-Serie

D2G124-12 12 X 10/100/1000 FIXED CONFIG L2 SWITCH & POWER BRICK

D2G124-12P 12 X 10/100/1000 FIXED POE L2 SWITCH & POWER BRICK



Optionen

D2-PWR SECURESWITCH D2 EXTERNAL POWER BRICK

D2-PWR-POE EXTERNAL POE POWER BRICK FOR D2 SWITCHES

D2-RMT SECURESWITCH D2 RACK MOUNT KIT

D2-TBL-MNT SECURESWITCH D2 UNDER TABLE MOUNT KIT

D2-WALL-MNT WALL MOUNT FOR SECURESWITCH D2

Policy Erweiterung

D2POL-LIC POLICY LICENSE FOR D2 SWITCHES

D2POL-LIC25 25 PACK OF D2POL-LIC POLICY LICENSES

D2POL-LIC50 50 PACK OF D2POL-LIC POLICY LICENSES





Layer 2 Unterstützung

IEEE 802.1d — Spanning Tree

IEEE 802.1t — 802.1d Maintenance

IEEE 802.1p— Traffic Management/Mapping to 6 of 8 hardware queues

IEEE 802.1q — Virtual LANs w/ Port based VLANs

IEEE 802.1s — Multiple Spanning Tree

IEEE 802.1v — Protocol-based VLANs

IEEE 802.1w — Rapid Spanning Tree Reconvergence

IEEE 802.1x — Port-based Authentication

IEEE 802.3 — 10 Base-T

IEEE 802.3ab — 1000 Base-T

IEEE 802.3ac — VLAN Tagging

IEEE 802.3ad — Link Aggregation

IEEE 802.3u — 100 Base-T

IEEE 802.3x — Flow Control

Private Port (Private VLAN)

Many-to-One Port Mirroring, One-to-One Port Mirroring

Port Description

Per-Port Broadcast Suppression

Spanning Tree Backup Route

STP Pass Thru

RFC 1213 — MIB II

RFC 1493 — Bridge MIB

RFC 1643 — Ethernet-like MIB

RFC 2233 — Interfaces Group MIB using SMI v2

RFC 2618 — RADIUS Authentication Client MIB

RFC 2620 — RADIUS Accounting MIB

RFC 2674 — VLAN MIB

RFC 2737 — Entity MIB version 2

RFC 2819 — RMON Groups 1, 2, 3 & 9

IEEE 802.1x MIB (IEEE 802.1-pae-MIB)

IEEE 802.3ad MIB (IEEE 802.3-ad-MIB)



Authentisierung

MAC Authentication

Web Authentication (PWA)

802.1x Authentication

RFC 3580— Dynamic VLAN Assignment

RADIUS Client

RADIUS Accounting for MAC Authentication

EAP Pass Through

Dynamic and Static Mac Locking

QoS

Strict or weighted Round Robin

8 Hardware Queues/Port

802.3x Flow Control

64 kbps increment granularity

Management

NetSight® Console




WebView, SSL Interface to WebView

Telnet with SSH

RADIUS Control to Management Interface

RMON (4 Groups: History, Statistics, Alarms and Events)

Text-based Configuration Upload/Download


Alias Port Naming

Node/Alias Table

RFC 854 — Telnet

RFC 1157 — SNMP

RFC 1901 — Community-based SNMP v2

RFC 2271 — SNMP Framework MIB

RFC 3413 — SNMP v3 Applications

RFC 3414 — User-based Security Model for SNMP v3

RFC 3415 — View-based Access Control Model for SNMP



Kapazitäten• Address Table Size – 8k MAC Addresses

• 1024 VLANs supported

• 8 Hardware Queues/Port

• VLAN Spanning Tree (802.1S) — 4 Instances Supported

• 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported

• Main memory: 256 MB

• Flash memory: 32 MB

• PoE – (D2G124-12P): bei unter 40°C können insgesamt 100W PoE Leistung beliebig auf die Ports verteilt werden. Für jedes °C über 40°C sinkt die PoE-Leistung um 2,16W

Spezifikationen• Abmaße H/B/T: 4,6 cm (1.6") x 20,95 cm (8.25") x 21,59 cm

(8,5")

• Gewicht: D2G124-12: 1,66kg (3.65lb)D2G124-12P: 1,82kg (4,02lb)

• Betriebstemp.: D2G124-12: 0°C bis 60 °C (32 °F bis 140 °F)D2G124-12P: 0°C bis 50 °C (32 °F bis 122 °F)

• Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F)

• Zulässige Feuchtigkeit: 5 bis 95% non-condensing

• Stromaufnahme: D2G124-12: 100-240V AC, 50-60Hz, 2,0A, 30WD2G124-12P: 100-240V AC, 50-60Hz, 3,2A, 130W

• Wärmeabgabe: D2G124-12: 102,39 (BTU/H)D2G124-12P: 443,69 (BTU/H)

Unterstützte Standards• Standard Safety: UL/CB/LVD

• Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI

• Stoßfestigkeit: ISTA 2A, ASTM D5276

Mehr dazu unter http://www.enterasys.com/products/switching/



G-SerieDie neue G-Serie verbindet die geringe Größe und das Preis/Leistungsverhältnis eines stackbaren Switches mit der Modularität eines chassisbasierten Systems. Sie bietet alle Voraussetzungen zur Unterstützung von QoS Priorisierung und Sicherheitsanforderungen in konvergierten Voice, Video und Datennetzen.

Die vollständige Unterstützung der SecureNetworks Features mit erweiterten Kenngrößen wie z.B. eine Multiuserauthentisierung mit bis zu 8 Benutzern pro Port sowie eine mehr als doppelt so perfomante Policyunterstützung im Vergleich zum SecureStack C3 sind nur eines der Merkmale dieser neuen Switching Linie.

Ein großer Mehrwert ist insbesondere die große, von vielen Kunden beim Matrix® E1 geschätzte Flexibilität des Geräts. Der G3 bietet bis zu 96 Gigabit Ethernet Ports in Kupfer – mit PoE oder als SFP, bis zu 12 10 Gigabit Ethernet Ports können über XFP bereitgestellt werden.

Ein besonderes Alleinstellungsmerkmal ist die Nachrüstbarkeit von PoE auf den 24x10/100/1000baseT Modulen. Diese sind bereits im Auslieferzustand PoE enabled. Wird dann eine zusätzliche, kostengünstige PoE-Option-Card auf dem Modul eingesteckt, liefert dieses PoE nach dem 802.2af Standard. Durch diese Möglichkeit bietet der G3 den Kunden maximalen Investitionsschutz im Hinblick auf eine spätere Einführung von VoIP oder WLAN und der damit verbundenen Spannungsversorgung der Geräte mit PoE. Die Leistung und Anzahl der unterstützten Ports richtet sich nach den installierten, modularen Powersupplys (400 oder 1200 Watt).


ChassisDie Chassis werden in drei Basisvarianten ausgeliefert, alle verfügen über drei freie Slots zur Erweiterung mit den unten genannten Modulen.

G-Serie



ChassisDas C3G124-24 Chassis ist, ebenso wie die G3G-24TX Module, mit der G3G-POE Option auf PoE aufrüstbar.

Das Chassis wird ohne Stromversorgung ausgeliefert, diese muss zusätzlich geordert werden.

G3G124-24 24TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY

G3G124-24P 24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY

G3G170-24 24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY

G3-PWR G3 POWER SUPPLY - NON-POE

G3-PWR-POE G3 POWER SUPPLY - POE

ModuleFür 24 Ports 10/100/1000 mit PoE-Unterstützung werden das Modul G3G-24TX und die Erweiterung G3G-POE kombiniert.

G3G-24SFP G3 I/O CARD - 24 SFP PORTS

G3G-24TX G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS

G3K-2XFP G3 I/O CARD - DUAL 10GB XFP PORTS

G3K-4XFP G3 I/O CARD - QUAD 10GB XFP PORTS

Optionen

G3G-POE G3 POE OPTION CARD FOR 24 PORTS

Softwareoptionen

G3L3-LIC G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP

G3IPV6-LIC G3 IPV6 ROUTING LICENSE






















Port Description



STP Pass Thru

RFC 1213 — MIB II








RFC 2819 — RMON Groups 1, 2, 3 & 9


IEEE 802.3ad MIB (IEEE802.3-ad-MIB)



Authentisierung

MAC Authentication




RADIUS Client, Radius Accounting for MAC Authentication

EAP Pass Through


Multiuserauthentication mit bis zu 8 Usern

QoS



802.3x Flow Control


Management

NetSight® Console





Telnet with SSH





Alias Port Naming

Node/Alias Table

RFC 854 — Telnet

RFC 1157 — SNMP











• VLAN Spanning Tree (802.1s) — 4 Instances Supported




Spezifikationen• Abmaße H/B/T: 8,8 cm x 44,1 cm x 48,1 cm

• Gewicht: G3G124-24: 9,598kgG3G124-24P: 9,662kgG3G170-24: 9,866kg

• Betriebstemp.: 0 °C bis 50 °C



• Stromaufnahme: 100-240V AC, 50-60Hz, 0.7-1.8A, 92.18-130W

• Wärmeabgabe:G3G124-24: 429,66 BTU/HG3G124-24P: 443,3 BTU/HG3G170-24: 214,3 BTU/H

Unterstützte Standards• Standard Safety: UL/CB/LVD

• Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI

• Stoßfestigkeit: ISTA 2A, ASTM D5276

Mehr dazu unter http://www.enterasys.com/products/switching/



I-SerieDie I-Serie ist der erste gehärtete Enterasys Switch mit Secure Networks™ Unterstützung für den industriellen Bereich. Er wird – wie in Produktionsumgebungen üblich – mit Gleichstrom betrieben und kann auf eine Hutschiene aufgesetzt werden. Das Gehäuse ist versiegelt und wird ohne Lüfter gekühlt. Dennoch ist es modular aufgebaut und verfügt über zwei Einbauslots, die mit unterschiedlichen Modulen bestückt werden können. Es sind 12 Port 10/100Mbit, ein 4 Port 100Base-FX und ein 8 Port 100Base-FX Modul sowie ein 8 Port 10/100Mbit+2Port 100Base-FX Modul verfügbar. Des Weiteren sind zwei Module mit 6 Port 10/100Mbit oder 4 Port 100Base-FX und einem Speicherkarteneinschub verfügbar. Diese können eine Speicherkarte aufnehmen, welche die Konfiguration des Switches enthält. Damit wird ein Austausch des Switches im Feld einfach gemacht. Die I-Serie verfügt über zwei 1000Base Uplinks, die mit speziellen Mini-GBICs für den industriellen Einsatz bestückt werden können.

Die I-Serie beinhaltet standardmäßig die Enterasys Secure Networks™ Features und schützt damit industrielle Automatisierungsprozesse. Nutzer und Maschinen können durch individuelle Policys zugeordnet werden, selbstverständlich interagiert die I-Serie auch mit dem vollständigen Secure Networks™ Portfolio, um zum Beispiel NAC oder Distributed IPS auch in Produktionsumgebungen zur Verfügung zu stellen.


Chassis

I-Serie

I3H252-02 INDUSTRIAL SWITCH W 2 I/O SLOTS + 2 SFP

I3H252-4FXM FACTORY CONFIG'ED I3H252-02 & I3H-4FX-MM



Chassis-Fortsetzung

I3H252-8FXM FACTORY CONFIG'ED I3H252-02 & I3H-8FX-MM

I3H252-12TX FACTORY CONFIGURED I3H252-02 & I3H-12TX

I3H252-8TX-2FX FACTORY CONFIGURED I3H252-02&I3H-8TX-2FX

I3H252-6TX-MEM FACTORY CONFIG I3H252-02 & I3H-6TX-MEM

I3H252-4FX-MEM PRE-CONFIG I3H252-02 & I3H-4FXM-MEM

Module

I3H-12TX INDUSTRIAL SWITCH 12 PT 10/100 I/O CARD

I3H-4FX-MM INDUSTRIAL SWITCH 4 PT MMF FX I/O CARD

I3H-8FX-MM INDUSTRIAL SWITCH 8 PT MMF FX I/O CARD

I3H-8TX-2FX INDUSTRIAL SWITCH 8 PT 10/100 I/O, 2 PT MMF FX I/O CARD

I3H-6TX-MEM INDUSTRIAL SWITCH 6 TX MEM SLOT I/O CARD

I3H-4FXM-MEM INDUSTRIAL SWITCH 4 FX MEM SLOT I/O CARD

Optionen

I3H-DIN-KIT DIN RAIL KIT FOR I-SERIES SWITCH

I3H-PWR 24VDC POWER UNIT FOR I-SERIES SWITCH

I3H-RACK-MNT 19“ RACK MOUNT KIT FOR I-SERIES SWITCH

I-MGBIC-GLX INDUSTRIAL 1000LX SFP - I-SERIES ONLY

I-MGBIC-GSX INDUSTRIAL 1000SX SFP - I-SERIES ONLY

I3H-MEM INDUSTRIAL SWITCH MEMORY CARD






















Port Description



STP Pass Thru

RFC 1213 — MIB II








RFC 2819 — RMON Groups 1, 2, 3 & 9


IEEE 802.3ad MIB (IEEE802.3-ad-MIB)



Authentisierung

MAC Authentication




RADIUS Client

RADUIS Accounting for MAC Authentication

EAP Pass Through


QoS



802.3x Flow Control


Management

NetSight® Console





Telnet with SSH





Alias Port Naming

Node/Alias Table

RFC 854 — Telnet

RFC 1157 — SNMP











• VLAN Spanning Tree (802.1S) — 4 Instances Supported




Spezifikationen• Abmaße H/B/T: 8.89 cm (3.5") x 18.41 cm (7.25") x 33.85 cm

(13.33")

• Gewicht: I3H252-12TX 4.6 kg (10.12 lb), I3H252-4FXM 4.58 kg (10.08 lb), I3H252-8FXM 5.06 kg (11.13 lb)

• Betriebstemp.: -40 °C bis 60 °C (-40 °F bis 140 °F)



• Strom: Die I-Serie arbeitet nur mit 24 Volt Gleichstrom. Eine Gleichstromquelle muss vom Kunden gestellt werden oder ist als optionales Netzteil erhältlich (I3H-PWR).

• Stoßfestigkeit: 50 G trapezoidal shock

Unterstützte Standards• Standard Safety: UL 60950-1, CSA 22.2, EN60950-1

• Electromagnetic compatibility: 47 CFR Parts 2 and 15, CSA C108.8, EN 55022, EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZS CISPR 22, and VCCI V-3

• Standard EMC: FCC Part 15-Class A, ICES-003 Class A, BSMI, VCCI-Class I, CISPR 22-Class A, EN 55024, EN 55022B Class A

• Industrial EMC: EN55011

• Hazardous Locations: ISA12.12.01 Class I, Div 2 A-D

Mehr dazu unter http://www.enterasys.com/products/switching/I3H252-xxxx/



Übersicht Secure Networks™/HW KapazitätIm Folgenden finden Sie eine kurze Übersicht über die Merkmale der Enterasys Networks Switching Produktlinie sowie die Unterstützung von Sicherheitsmerkmalen.

DFE SecureStack™

XPlt/Dmnd

Gold I G3 C2 C3D2/

B25 B35 A2

Bandbreite pro DFE/IOM/Stackport

40 Gbps

18 Gbps

18 Gbps

384 Gbps

40 Gbps

40 Gbps

20 Gbps

20 Gbps

2 Gbps

Swichting/Routing Durchsatz (64byte)

13,5 Mpps

6,5 Mpps

214 Mpps

MAC – FDB Tabellengröße 64k 64k 32k 8k 32k 16k 16k 16k 16k 8k

Unterstützte VLANs 1024 1024 1024 1024 1024 1024 1024 1024 1024 1024

Queues (depending on HW) 1024- QE1 4/16 4 8 8 8 8 8 8 4

Rate Limiter (depending on HW) 8/32 4/8 -

8/2

Gb/Fe

- 8/2

Gb/Fe

-8/2

Gb/Fe

IEEE 802.3ad Groups/Ports per Group 32/8

48/no limit

4/4 8/6 8/6 6/8 6/8 6/8 6/8 6/4

Port Mirrors, destination Ports (all/N1) 1/FE4 16/

64 3 1(8)2 1(8)2 1(8)2 1(8)2 1(8)2 1(4)2

IEEE 802.1s instances 16 64 9 4 4 4 4 4 4 4

Authenticated Users

per Port6

8/128/1024

2 8 1(2) 2 1(2) 2 1

Policy

Regeln/Masks/Roles64k/-/-

1k/-/63

256/-/15

1536/-/31

100/18

768/-/15

100/18

768/-/15 -

802.1x/Web/MAC/CEP x/x/x/x

x/x/x/x

x/x/x/-

x/x/x/-

x/x/x/-

x/-/x/-

x/-/x/-

x/-/x/-

Multimethod Authentication x x x x x x x

VLAN/MAC/IP Mapping x/x/x x/x/x x/-/- x/-/- x/-/- x/-/- -

RFC 3580 x x x x x x x

Protected Port x 3 x 3 x x x x x

EAP--Passthrough - - x x x x x

2 Mirror to 1 destination from a max Portcount in (#)3 Possible by VLAN-Config+IVL/SVL Config4 one unique Port Mirror per Forwarding Engine (many to one)5 requires Policy license for Policy – else Diff Serve6 Anzahl bei der N-Serie Platinum/Diamond ist wie folgt: Kupferports – 8 User, Glas- oder LAG-ports – 128 User, mit N-EOS-PPC lizenz – 1024 User unabhängig vom Porttyp



Routerkapazitäten - Übersicht

X DFE-Pt DFE-Gold C2 G3/C3 B3

ARP Entries (per router) 100k 16,000 4,000 2024 2024 2024

Static ARP Entries 32k 1,024 512 512 512 512

Route Table Entries (X-1/4Gb), (DFE-128/256MB) RAM

1600k/300k

12,276/25k 10k/- 2500 2500 2500

Static Routes 1,024 512 64 64 64

VRRP Interfaces/per interface 1024/7 1024 128 20 20

Routed Interface/Secondarys 1024/128 256/50 96 /50 24/31 24/31

Bandbreite pro DFE/IOM/Stackport 40 Gbps 18 Gbps 18 Gbps 40 Gbps 40 Gbps

IP Helper/interface 3 3

ACL Rules/pro ACL 2k/1k 1 5k/5k 1k/999 100/9 1100/

(20/60)2

IGMP Entries 64 64 256 256

RIP Routes 3,000 1,000 2500 2500 2500

Configured RIP Nets 300 300

RIP ECMP Paths 8 4 4 4 4

OSPF Areas 16 6 4 4 4

Total OSPF LSA Type - - 2500 2500

1 – Router Links 512 100 <2500 <2500

2 – Networks Links 512 400 <2500 <2500

3 – Summary Net 128/256 MB RAM 3,000/8,000 2,000 <2500 <2500

4 – Summary ASBRs 3,000 2,000 <2500 <2500

5 – AS External 128/256 MB RAM 4,000/10,000 3,000 <2500 <2500

7 – NSSA External Links 4,000 3,000 <2500 <2500

9 – Opaque Subnet-only 64 64 n/a n/a

10 – Opaque Area 512 n/a n/a

11 – Opaque AS 64 n/a n/a

OSPF Neighbors 60

Router Links in Area 100 100

OSPF ECMP Links 8 4 4 4

1 inbound only2 20 per list, 60 per interface



LizenzübersichtDie Produkte enthalten teilweise optionale Features, welche über Lizenzen freigeschaltet werden. Hier finden Sie eine Übersicht der Basis – und optionalen Features.

SecureStack™ B-Serie, D-SerieStandardmäßig wird Authentisierung ohne Policy unterstützt. Mit den Lizenzen B2POL-LIC und B3POL-LIC, welche pro Switch lizenziert werden müssen, wird die Verwendung der Policy Features möglich. Bei der D-Serie wird die Policy Funktionalität analog der B-Serie mit der D2POL-LIC freigeschaltet.

SecureStack™ C-SerieDie C-Serie unterstützt im Basisimage statisches Routing und RIP. Mit der C2L3-LIC, welche pro Stack lizenziert wird und für C2s sowie gemischte C2/C3 Stacks verwendet wird, werden zusätzlich die Features VRRP, OSPF, PIM-SM und DVMRP freigeschaltet. Mit der C3L3-LIC werden dieselben Features in einem reinen C3 Stack freigeschaltet, dann wird eine Lizenz pro Switch benötigt. Mit der C3IPV6-LIC Lizenz wird Ipv6-Routing in einem reinen C3 Stack aktiviert.

G-SerieDie G-Serie unterstützt im Basisimage statisches Routing und RIP. Mit der G3L3-LIC werden zusätzlich die Features VRRP, OSPF, PIM-SM und DVMRP freigeschaltet. Mit der G3IPV6-LIC Lizenz wird Ipv6-Routing aktiviert.

Matrix® N-Serie GoldDie Gold Blades unterstützen standardmäßig VRRP sowie statisches und ripv1/2 Routing. Mit der N-EOS-L3 Lizenz lassen sich OSPF, PIM-SM und DVMRP aktivieren. Eine 1+1 Redundanz wird mit der N-EOS-RED Lizenz freigeschaltet.

Matrix® N-Serie Platinum/DiamondDie Matrix® N-Serie unterstützt im Basisimage Policys für bis zu 8 Benutzer pro Kupferport und 128 Benutzer pro Glas- oder LAG-Port. Des Weiteren wird eine N+1 Redundanz sowie VRRP, statisches und ripv1/2 Routing bereitgestellt.

Mit der N-EOS-L3 Lizenz wird zusätzlich OSPF, PIM-SM, DVMRP und LSNAT freigeschaltet.

Mit der N-EOS-PPC Lizenz können pro Port bis zu 1024 Benutzer authentisiert werden, unabhängig vom Porttyp. Die N-EOS-PUC Lizenz ermöglicht die Authentisierung von bis zu 2048 Benutzern in einem Chassis, macht also nur bei N3/N5/N7 Sinn, da die Anzahl pro Blade auf 1024 beschränkt ist.

Für die Verwendung von PIM-SM, LSNAT und NetFlow werden außer den Lizenzen noch 256 MB Speicher auf allen Blades im Chassis benötigt.

Basisaustattung unterschiedlicher N-Serie Module:

N-EOS-L3 N-EOS-PPC 256 Mb

Platinum - - x

Platinum 2G4072-52 - - x

Platinum 2G4082-25 x - x

Diamond x x x



MGBICs, XENPAKs und XFPsDie herstellerunabhängigen, mehrfach verwendbaren Module bedeuten für den Netzwerkadministrator eine große Flexibilität. Die Möglichkeit, die Schnittstellen nach Bedarf zu bestücken oder im Fehlerfall schnell auszutauschen, erleichtert die Administration und stellt nicht zuletzt einen großen finanziellen Vorteil dar. Hier sind die dafür bei Enterasys verfügbaren MGIBCs und 10 Gigabit Ethernet Module beschrieben.

MGBICs (SFPs)

MGBIC-LC011000Base-SX Mini GBIC, Multimode Fiber, 50/125 oder 62.5/125 µm MMF, 2-550m Reichweite, 850nm Wellenlänge, LC connector

MGBIC-LC031000Base-SX Mini GBIC, Multimode Fiber, 50/125 oder 62.5/125 µm MMF, 2km Reichweite, 1310nm Wellenlänge, LC connector

MGBIC-LC09

1000Base-LX Mini GBIC, Multimode oder Singlemode Fiber, 50/125, 62.5/125 µm MMF oder 9, 10 µm SMF, 2-555m (MMF) oder 2m-10km (SMF) Reichweite, 1310nm Wellenlänge, LC connector

MGBIC-MT011000Base-SX Mini GBIC, Multimode Fiber, 50/125 oder 62.5/125 µm MMF, 2-550m Reichweite, 850nm Wellenlänge, MTRJ connector

MGBIC-021000Base-T Mini GBIC, CAT-5, 100m Reichweite, RJ45 connector, ermöglicht 1000Base-T, 10/100Base-T ist nicht verfügbar.

MGBIC-08 1000Base-LX/LH, Singlemode Fiber, 9 oder 10µ SMF, 70 km Reichweite, 1550 nm Wellenlänge, LC connector

MGBIC-LC04 For use in selected SFP-Ports only - 100Base-FX Multimode Mini GBIC w/LC connector

MGBIC-LC05 For use in selected SFP-Ports only - 100Base-FX Singlemode Mini GBIC w/LC connector

MGBIC-LC07 1 Gb, Extended Long Reach, 1000Base-EZX, IEEE 802.3 SM, 1550 nm Long Wave Length, 110 KM, LC SFP



Industrielle MGBICs für die I-Serie

I-MGBIC-GLX INDUSTRIAL 1000LX SFP - I-SERIES

I-MGBIC-GSX INDUSTRIAL 1000SX SFP - I-SERIES

I-MGBIC-GTX INDUSTRIAL 1000TX SFP - I-SERIES

I-MGBIC-GZX INDUSTRIAL 1000ZX SFP for up to 80km

XENPAKs

10GBASE-LR 10 Gb, 10GBASE-LR, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 Km, SC Xenpak

10GBASE-SR 10 Gigabit interface for 850 nm, 62.5 & 50 micron, MMF (33 m and 66 m) via SC connector

10GBASE-ER 10 Gigabit interface for 1550 nm, 9 micron SMF (40 km) via SC connector

10GBASE-LX4 10 Gigabit interface for 1310 nm, 62.5 & 50 micron, MMF (300 m and 240 m) or SMF (10 km) via SC connector

10GBASE CX4 Cabling

CX4-CBL-02 CX4 CABLE, 2 METER



XFPs

10GBASE-ER-XFP XFP with 10-Gigabit Ethernet Extended Reach (40KM over SMF) via LC connector

10GBASE-LR-XFP XFP with 10-Gigabit Ethernet Long Reach (10KM over SMF) via LC connector

10GBASE-SR-XFP 10GBASE-SR-XFP XFP with 10-Gigabit Ethernet Short Reach (300m over MMF) via LC connector

10GBASE-ZR-XFP 10GBASE ZR XFP 80KM OPTIC

10GBASE-CX4-XFP 10 Gb, 10GBASE-CX4, IEEE 802.3 TwinAxial, CX4 Copper, 15 M, XFP



RoamAbout® Wireless Switching

Mit dem RoamAbout® Wirless Switching wird das Verwalten großer Wirelessumgebungen genauso einfach und sicher wie Sie es von Ihrem Enterasys LAN gewohnt sind. Kernkomponenten der Lösung sind dabei die Thin APs, die WLAN Switche, auf welchen der Datenverkehr der Access Points zentral zusammengeführt wird, sowie der RoamAbout® Switch Manager (RASM) der zentrale Planungs-, Konfigurations-, Monitoring-, Alarmierungs- und Reportingfunktionen für die gesamte WLAN Infrastruktur zur Verfügung stellt.

RoamAbout® Switch Manager

Die RoamAbout® Switch Manager Suite ist das zentrale Management Tool für eine RoamAbout® Wireless Switching Umgebung. Hier können alle Wireless Switche zentral verwaltet werden. Mit einem Klick kann so eine neue SSID auf allen Access Points ausgerollt oder gesperrt werden. Ein virtuelles Site Survey Tool ist mit dem RF Planning Tool optional erhältlich.

RoamAbout® Switch Manager Suite

Eine Vielzahl von Wireless Switchen und Access Points steht zur Auswahl, neu hinzugekommen ist der TRPZ-MP-422 mit Unterstützung von Distributed Path Forwarding und Meshing.




Access PointsAls Thin Mode Access Points für die Wireless Switching Lösung stehen der RBT-1002, RBT-1602, MP-422 und der Outdoor AP MP-620 zur Verfügung.

RBT-1002,

4102

RBT-1602, MP-422, MP-432 MP-620

• APs für Indoor & Outdoor Anwendungen mit PoE Versorgung, der RBT-1002 kann zusätzlich über ein externes Netzteil versorgt werden

• Dual Radio für 802.11a+b/g inkl. 2 externen Antennenanschlüssen (RBT-1002 hat keine externen Antennenanschlüsse)

• Dual-homed LAN – 2 LAN-Anschlüsse je AP, um vollständige Redundanz (PoE & Daten) zu gewährleisten bei RBT-1602 und MP-422

• Verschlüsselter Control-Traffic bei RBT-1602 und MP-422

• Unterstützung von WLAN-Briding & Mesh- Anbindung von APs ohne direkte LAN-Verbindung sowie Direkt-Path-Forwarding, was ein Ausbrechen des Client Traffics direkt am AP ermöglicht und somit nicht mehr der gesamte Traffic zum Controller muss, dies ermöglicht Filialstrukturen ohne WLAN Switch in der Außenstelle bei MP-422

• Bis zu 64 unabhängige SSIDs gleichzeitig je AP

• Unterstützung von ACL-basierenden Policys

• MP620 mit wetterfesten Gehäuse für Outdoor-Anwendungen

Der Access Point AP-4102 ist per Firmware sowohl im Thin- als auch im Thick-Mode betreibbar. Er ist mit zwei Sendern für 802.11a sowie 802.11b/g ausgestattet und bietet zwei Anschlüsse für optionale externe Antennen, um sowohl den Innen- als auch den Außenbetrieb zu ermöglichen. Der AP4102 bietet Sicherheitsfeatures wie WPA2/802.11i/AES, WPA/TKIP, WEP und SNMPv3 sowie NetSight® Policy.



RBT-1002-EU Thin AP 1002 for countries other than NA

RBT-1602 Thin AP with connector for external antenna

RBT-4102-EU AP 4102 (Multi Band AP) for Europe

RBT-4102-BG AP 4102 supporting 802.11b/g radio ONLY

TRPZ-MP-620 Dual Band Outdoor AP

TRPZ-ANT-620 Wall Mount Kit for the MP-620 ONLY

TRPZ-MP-372-IL Trapeze Branded MP 372-IL for Israel Only

TRPZ-MP-422 Indoor 802.11 a/b/g AP with DPF and meshing support

TRPZ-MP-432 802.11 a/b/g/N AP

Wireless Switche• Unterstützung von 3-128 APs- einfache Erweiterung der AP-Anzahl

via Lizenz

• ACL-basierende User Policys getriggert über einen zentralen Authentifizierungsserver egal ob der User via LAN oder WLAN angeschlossen ist

• Integriertes WLAN-IDS/IPS System ohne zusätzliche Sensoren

o Erkennt, ob Fremd-APs im eigentlichen LAN angeschlossen sind oder nur auf der Funkschnittstelle stören (Klassifizierung Ad-hoc, Rough-AP oder Interfering-AP)

o Bekämpfung von Rough-APs sowohl auf der Luftschnittstelle durch Abstoßen der WLAN Clients, als auch an der LAN-Schnittstelle durch MAC-Locking und Policys

o Erkennen von Flood Attacks, RF-jamming, AP MAC Maskierung und schwachen WEP Keys

o Unterstützung von Client Black Lists

• Integrierter RADIUS Server inkl. WEB Authentifizierung zur Abbildung einer vollständigen HotSpot Lösung ohne zusätzliche Komponenten

• 802.11n ready

• Loadbalancing, Automatische Kanal- & Sendeleistungseinstellung

• Unterstützung von Voice WLAN Infrastrukturen durch SVP und WMM Zertifizierung sowie der Möglichkeit den User-/Voice-Traffic direkt am AP in das LAN zu bridgen ohne das dieser zuerst zum WLAN Switch muss. Dadurch werden höhere Latenzzeiten vermieden und die Gesprächsqualität verbessert.



TRPZ-MXR-2

RBT-8110/8210RBT-8400

Wireless Controller

Produkt Interfaces Aktive Aps/Konfigurationen

TRPZ-MXR-2 1 x 10/100 RJ45 with PoE, 1 x 10/100 RJ45 without PoE

Up to 3/3

RBT-8110 1 x Gigabit RJ45, 1 x 10/100 RJ45, 1 x Console Up to 24/120

RBT-8210 2 x Gigabit RJ45, 1 x console Up to 72/300

RBT-8400 4 x Gigabit (GBIC or RJ45), 1 x Console,

1 x Flash Card Slot

up to 120/480

RBT-85002 x Gigabit SFP (MGBIC), 1 x console,

1 x Flash Card Slot

up to 128/480

Wireless Controller Optionen

RBT-8200-24 RoamAbout® 8200 AP Licence Upgrade from 24 AP support to 48 and 48 to 72

RBT-8400-PSU RBT-8400 spare Power Supply

RBT-8400-40 RoamAbout® Wireless Switch 8400 License upgrade 40-80

RBT-8400-80 RoamAbout® Wireless Switch 8400 License upgrade 40-120

RBT-8500-32 RBT-8500 32 AP LICENSE UPGRADE

Management Software• Integriertes RF-Planning & Site Survey Tool. Dadurch werden Pla

nungsdaten direkt in die Echtumgebung übernommen (Kostenersparnis). Das Tool unterstützt sowohl Off-Site Planung, die Integration von On-Site Planungsdaten (Ekahau) sowie das Erstellen von kompletten Workorders, um die Installation der APs & Switche zu steuern

• Effektive & einfache Planung, Konfiguration, Optimierung & Überwachung der gesamten WLAN Infrastruktur.

• Device & User Management via Templates, um auch großflächige WLANs einfach zu managen



• Performance-Tracking Auswertung von campusweiten Daten bis hin zum einzelnen User in Echtzeit sowie mit einer Historie von bis zu 30 Tagen

• Location-Tracking zur schnellen Lokalisierung von Clients und Rough-APs

• Fehler- & Ereignis-Tracking ermöglicht die schnelle Isolierung von Problemen sowohl von Clients als auch von APs

• Integriertes WLAN-IDS/IPS System ohne zusätzliche Sensoren

o Erkennt, ob Fremd-APs im eigentlichen LAN angeschlossen sind oder nur auf der Funkschnittstelle stören (Klassifizierung Ad-hoc, Rough-AP oder Interfering-AP)

o Bekämpfung von Rough-APs sowohl auf der Luftschnittstelle durch Abstoßen der WLAN-Clients als auch an der LAN-Schnittstelle durch MAC-Locking und Policys

o Erkennen von Flood Attacks, RF-jamming, AP MAC Maskierung und schwachen WEP Keys

o Unterstützung von Client BlackLists

• Integrierter „Guest User Manager“ zum Anlegen und Verwalten von temporären Gastzugängen

• Skaliert von 1 bis zu 100+ RoamAbout® Switche

RBT-RFPLAN RoamAbout® Wireless RF Planning Tool

RBT-NMS-50 RoamAbout® Switch Manager (RASM)- supports up to 50 Access Points

RBT-NMS-50-200 RoamAbout® Wireless Switch NMS upgrade from 50 AP to 200 AP support

RBT-NMS-50-UNL RoamAbout® Wireless Switch NMS upgrade from 50 AP to Unlimited AP support

RBT-NMS-200 RoamAbout® Switch Manager (RASM)- supports up to 200 Access Points

RBT-NMS-200-UNL RoamAbout® Wireless Switch NMS upgrade from 200 AP to an Unlimited number of AP support

RBT-NMS-UNL RoamAbout® Switch Management Software (RASM)- Unlimited number of Access Points

TRPZ-SP SMARTPASS GUEST ACCESS - BASE 50 GUEST

TRPZ-SP-ENT LICENSE UPGRADE FOR 10K GUESTS

Mehr dazu unter http://www.enterasys.com/products/security-enabled-infrastructure/roamabout.aspx


http://www.enterasys.com/products/security-enabled-infrastructure/roamabout.aspx

http://www.enterasys.com/products/security-enabled-infrastructure/roamabout.aspx


Sonstige Komponenten

Kabel

RBT4K-AG-PT20F20" Pigtail cable for the RBT-1102/-4102, Reverse SMA Female connector to Reverse N Female Connector

RBT4K-AG-PT20M20" Pigtail cable for the RBT-1102/-4102, Reverse SMA Female connector to Reverse N Male Connector

RBTES-L200-C20F LMR200 - 20 FT cable Reverse N female





TRPZ-ANT-CBL3MM 3m cable for the MP-620 ONLY

TRPZ-XPS-CABL-OUT CABLE REPLACEMENT KIT FOR XPS-620X-OUT

Antennen

Die Verwendung von Frequenzen zum Einsatz von 802.1 a/b/g WLAN ist fast weltweit lizenzfrei möglich. Allerdings unterliegen die verwendbaren Kanäle sowie die maximal mögliche Sendeleistung unterschiedlichen Einschränkungen. Diese sind für die EU im Folgenden aufgezählt.Zu den EU Ländern zählen: Österreich, Belgien, Zypern, Tschechien, Dänemark, Estland, Frankreich, Finnland, Deutschland, Griechenland, Ungarn, Irland, Italien, Litauen, Lettland, Luxemburg, Malta, Niederlande, Großbritannien, Portugal, Spanien, Slowakei und Polen. Zulässige Kanäle in diesen Ländern sind:

für 802.11b/g:1 – 13 Innenbereich/Außenbereich (2400-2483.5MHz)In Belgien nur Kanal 13 im AußenbereichIn Frankreich nur Kanal 1-7 im Außenbereich

für 802.11a:36 – 64 nur Innenbereich (5150 – 5350MHz)100 – 140 Innenbereich/Außenbereich (5470 – 5725MHz)



Reichweiten basierend auf dem ETSI Standard

Mit RBT-4102-EU (802.11a) und 15dBi bis 15dBi Sektor Antenne (RBTES-AW-S1590M)

Signalisierungsrate [Mb/s]

Durchsatz[Mb/s]

Empfohlene max. Reichweite (2-25“ L600 Kabel) [km]


54 21 0.8 0.4

36 18 1.6 0.9

24 13 2.4 1.4

6 4.5 4.8 2.8

Mit RBT-4102-EU (802.11 b/g) 14dBi bis 14dBi Sektor Antenne (RBTES-BG-S1490M)

Signalisierungsrate [Mb/s]

Durchsatz[Mb/s]



54 18.3 0.8 0.6

36 15.5 1.6 1.2

24 10 2.4 1.8

6 4 4.8 3.6

Wird eine 8dBi Omni (RBTES-BG-M08M) Antenne statt der 14dBi Sektor Antenne verwendet, ist in etwa mit der halben Entfernung zu rechnen.

Anmerkung: Die Ausgangsleistung wird automatisch aufgrund der ausgewählten Antenne eingestellt, um den jeweiligen örtlichen regulatorischen Bestimmungen gerecht zu werden.



MontageBei der Installation von Antennen im Innen- oder Außenbereich muss auf die richtige Zusammenstellung von Antenne, Kabel und evtl. Blitzschutz geachtet werden. Grundsätzlich erfolgt der Anschluss des Access Points (RBT-4102) an beliebige weitere Komponenten über ein proprietäres Pigtail-Kabel. Dabei ist auf Seiten des Access Points ein proprietärer Anschluss (Reverse SMA Male), auf der anderen Seite ein Reverse N Male oder Female Anschluss vorhanden.

Kombinationsbeispiel von Kabeloptionen

Die Verbindungskabel haben alle Reverse N female Anschlüsse. Um also den Access Point direkt an ein Kabel anzuschließen, wird ein Pigtail mit Reverse N male Anschluss benötigt. Zum direkten Anschluss einer Antenne oder des Blitzschutzes wird ein Pigtail mit Reverse N female Anschluss benötigt.

Mehr Informationen finden Sie auch unter:http://www.enterasys.com/support/manuals/hardware/4254.pdf



Ohne Einschränkungen einsetzbare Antennen

RBT4K-AG-IARoamAbout® Range Extender Antenna for RBT-1102/4102Reverse SMA Female

RBT-AG-IA Roamabout® Indoor Antenna with Reverse SMA

RBTES-BG-M08M RoamAbout® 2.4GHZ 8DB Omni Ant Reverse N Male

RBTES-AW-S1590M RoamAbout® 4.9-5.9GHZ Sect Ant Reverse N Male

RBTES-BG-S1490M RoamAbout® 2.4GHZ 14DB Sect Ant Reverse N Male

Nur in Nordamerika einsetzbare Antennen

(Ausnahme: RBTES-BG-P18M auch in Japan einsetzbar)

RBTES-BG-P18M RoamAbout® 2.4GHZ 18DB Pane Ant Reverse N Male

RBTES-AH-P23M RoamAbout® 5.8GHZ 23DB Panel Reverse N Male

RBTES-AH-M10M RoamAbout® 5.7-5.GHZ 10DB Omni Reverse N Male

RBTES-BG-PAR24M RoamAbout® 2.4GHz 24dB Parabolic Anternna Reverse N Male

RBTES-AM-M10M RoamAbout® 5.3GHZ 10DB Omni Reverse N Male

Blitzschutz

RBTES-AG-LPM Lightening Protector 2.4/5GHZ Reverse N Male

TRPZ-ANT-LGTNG 2.4GHz and 5GHz LP for the MP-620 ONLY



Degree Sector Antennen für RBT-1602

RBTES-BG-S1060 RoamAbout® 2.4GHz 10dBi X 60 Degree Sector for the RBT-1602 AP

RBTES-BG-S07120 RoamAbout® 2.4GHz 7dBi X 120 Degree Sector for the RBT-1602 AP

RBTES-BG-S06180 RoamAbout® 2.4GHz 6dBi X 180 Degree Sector for the RBT-1602 AP and TRPZ-MP-422

RBTES-AW-S1460 RoamAbout® 5.15-5.8GHz 14dBi X 60 Degree Sector for the RBT-1602 AP

RBTES-AW-S12120 RoamAbout® 5.15-5.8GHz 12dBi X 120 Degree Sector for the RBT-1602 AP

RBTES-AW-S10180 RoamAbout 5.15-5.8GHz 10dBi X 180 Degree Sector for the RBT-1602 AP

Degree Sector Antennen für MP-620

TRPZ-ANT-1120 2.4GHz 10dBi x 120 degree Sector Antenna for the MP-620 ONLY.

TRPZ-ANT-1360 2.4GHz 8dBi Omni Directional Antenna for the MP-620 ONLY

TRPZ-ANT-5120 5GHz 13dBi x 120 degree Sector Antenna for the MP-620 ONLY

TRPZ-ANT-5360 5GHz 8dBi Omni Directional Antenna for the MP-620 ONLY

Optionen für MP-620

TRPZ-XPS-6201-OUT HARDENED OUTDOOR POWER SUPPLY FOR MP-620



Enterasys VDSL OptionenMit den Enterasys VDSL Systemen können über bis zu 3km Länge Ethernet und PoE über bestehende Zweidrahtleitungen übertragen werden. Neuartige Übertragungstechniken garantieren eine bislang nur von Glasfasern bekannte Übertragungsqualität.

Gleichzeitig wird beim Vierdrahtbetrieb eine vollautomatische Redundanz ermöglicht, welche eine zuverlässige Versorgung der entfernten Standorte garantiert.Damit können PoE fähige Komponenten wie IP Security Kameras, IP Phones oder Access Points praktisch an allen Standorten mit einfacher Verdrahtung eingesetzt werden.

Longreach Ethernet+PoE über Klingeldraht

Dabei wird ein Durchsatz von bis zu 75 Mbps im Up- und Downstream erreicht. Pro Port stehen auch bei 3km noch 24/2 = 12 Watt Leistung zur Verfügung.

Durchsatz und Leistung vs. Drahtlänge




ETS43114(Master-Unit)

ETS43002(Client-Unit)

ETS43114 MOTOROLA XLP-6824 MASTER POE UNIT - 4 UTP PORTS – ROHS, Requires 1 to 4 XLP-6802 Client

ETS43002 MOTOROLA XLP-6802 POE CLIENT UNIT-ROHS

ETS42202 XL68A 2-WIRE ADAPTER OPTION FOR XLP68XX


Management• Console, Telnet, Web

• ACL's, Management VLAN

• SNMPv1,2c

Kapazitäten• 128 VLANs supported

• 2 Hardware Queues

Spezifikationen• Abmaße H/B/T:

ETS43114: 35,5cm (14”)x 22,8cm (9”)x 4,4cm (1,75”)ETS43002: 10cm (4”)x 16,5cm (6,5”)x 3,8cm (1,5”)

• Betriebstemp.: ETS43114: 0°C bis 50 °CETS43002: -20°C bis 70 °C


• Stromaufnahme (ETS43114):100-240V AC, 50-60Hz, 300W max, 30,8W pro ETS43002 Client



X-Pedition Security RouterDie VPN Technologie verbindet die Vorteile des Internets (IP-basierte, einfache Technologie – "überall" Zugriff möglich) und der modernen Kryptographie zu einer völlig neuen Betrachtungsweise des Zugriffs auf Unternehmensnetze.

Anwendungsbereiche des XSR

Enterasys Networks stellt mit den X-Pedition Security Routern eine ganze Palette von Lösungen für die sichere Anbindung von Mitarbeitern und Außenstellen bereit.

Mehr Informationen unter http://www.enterasys.com/products/routing/ xsr / .


http://www.enterasys.com/products/routing/xsr/




XSR-1805, 1850

Der XSR-1805 ist das Einstiegsprodukt der Enterasys Familie von Sicherheitsroutern für Zweigstellen. Er bietet leistungsfähige IP-Routing Fähigkeiten in Kombination mit fortschrittlichen Sicherheitsmerkmalen wie Gateway-to-Gateway und Client-to-Gateway Virtual Private Networking.

Der rack-mountable XSR-1850 ist das richtige Produkt für Zweigstellen mit geschäftskritischen Applikationen, die 24 Stunden am Tag, 7 Tage in der Woche verfügbar sein müssen. Er bietet über 200 parallel laufende IPSec/3DES VPN Tunnels und zusätzlich eine optionale Stromversorgung und redundante Lüfter.

Der XSR-1805 ist die kleinere Variante, von Haus aus mit weniger Speicher ausgestattet, aber bis zur Kapazität des XSR-1850 aufrüstbar.


Chassis

XSR-1805 XSR-1850

Optionen

XSR-1805-RKMT Rackmount kit for XSR-1805

XSR-18XX-VPN VPN code upgrade for XSR-1800 series

XSR-18XX-FW Firewall code upgrade for XSR-1800 series

XSR-18XX-VPN-FW VPN & Firewall code upgrade for XSR-1800 series

XSR-RPC

XSR 1850 series Redundant power center, chassis and 1 pwr supply. Compatible w/XSR-1850 rev level OL or higher. European ESD restrictions to some older hardware revisions

XSR-RPOWER-1850 Redundent Power supply for XSR1850,up to 4 mount in XSR-RPC

XSR-128MB-MEM 128 Mb Memory upgrade for XSR-1850



XSR-3020, 3150, 3250

Die Security Router der XSR 3000 Serie ermöglichen ein einfaches und leistungsfähiges Betreiben von WANs durch die Kombination umfangreicher IP-Routing Merkmale, eine breit gefächerte Auswahl an WAN-Schnittstellen, vielfältige Sicherheitsfunktionalitäten wie Gateway-to-Gateway/Client-to-Gateway VPN und Policy Managed Stateful Inspection Firewalling. Im Gegensatz zu anderen WAN-Geräten bieten die XSR-Router hoch entwickelte Sicherheitslösungen und sind in der Lage selbst dann Wirespeed-Leistung zu liefern, wenn alle Funktionalitäten aktiviert sind. Außerdem haben sie im Gegensatz zu typischen Sicherheitsappliances die Möglichkeit zum umfangreichen IP-Routing und eine Vielzahl verfügbarer WAN-Schnittstellen.


Chassis

XSR-3150 XSR-3250

Optionen

XSR-3020-FW Firewall feature set for XSR-3020

XSR-3020-VPN VPN feature set for XSR-3020

XSR-3020-VPN-FW Firewall & VPN feature set bundle for XSR-3020

XSR-3XXX-FW Firewall feature set for XSR-3150, XSR-3250

XSR-3XXX-VPN VPN feature set for XSR-3150, XSR-3250

XSR-3XXX-VPN-FW Firewall & VPN feature set bundle for XSR-3150, XSR-3250

XSR-512MB-MEM Upgrade to 512MB DRAM for the XSR-3150 and XSR-3250. Kit contains two 128MB memory cards (available with XSR Release 6.0)

XSR-NCC-250-4XX Spare NIM Carrier Card for XSR-3250



Übersicht - XSR's

Kapazitäten

XSR-1805

XSR-1850

XSR-3020

XSR-3150

XSR-3250

NIM Slots 2 2 2 2 6

Fixed 10/100/1000 LAN Ports - - 3 3 3

Fixed 10/100LAN Ports 2 2 - - -

Optional Gigabit Ethernet * Mini-GBIC Mini-GBIC Mini-GBIC

IP-Routing Performance 50k PPS 60k PPS 250k PPS 525k PPS 600k PPS

VPN Tunnels 50 200 10003,000 (upgradeable)

3,000 (upgradeable)

VPN Throughput 100Mbps 100 Mbps 100 Mbps 350 Mbps 350 Mbps

Firewalling Throughput 180Mbps 200

Mbps 1.1Gbps 2Gbps 2+Gbps

Simultaneous Firewall Sessions 12,500 80,000 150,000 400,000 450,000

Redundant Power Supplies No Optional No Standard Standard

* Use of optional Mini-GBIC disables use of 1 fixed LAN port.



Spezifikationen

XSR-1805

• Abmaße 35.6 cm (14") L x 25.4 cm (10") W x 6.4 cm (2.5") H

• Gewicht 3.18 kg (7 lb)

XSR-1850

• Abmaße 25.4 cm (10") L x 43.1 cm (17') W x 5.0 cm (2") H

• Gewicht 4.08 kg (9 lb)

XSR-3020

• Abmaße H/B/T: 53.3 cm (21") L x 42.9 cm (16.9") W x 4.2 cm (1.6") H

• Gewicht: 7.72 kg (17 lbs)

XSR-3150



XSR-3250



XSR-1805, 1850, 3020, 3150, 3250

• Betriebstemperatur 0° C bis 40° C (32° F bis 104 ° F)

• Temperaturgrenzwerte -40° C bis 70° C (-40° F bis 158° F)

• Zulässige Feuchtigkeit 5% bis 90% (non-condensing)

• Energieverbrauch (bei 100 bis -240~ Volts) 25W

Weitere Informationen finden Sie unterhttp://www.enterasys.com/products/routing/XSR-3xxx/.


http://www.enterasys.com/products/routing/XSR-3xxx/


XSR Network Interface Module

Für die X-Pedition Security Router Serie sind eine Vielzahl von Network Interface Modulen für alle wichtigen Technologien im WAN Bereich verfügbar.

NIM-BRI-ST-01 1 port ISDN BRI with S/T interface

NIM-BRI-ST-02 2 port ISDN BRI with S/T interface

NIM-ADSL-AC-01 1 port ADSL NIM (Annex AC – POTS)

NIM-ADSL-B-01 1 port ADSL NIM (Annex B – ISDN)

NIM-CT1E1/PRI-1 1 port chan T1/E1 ISDN PRI with CSU/DSU

NIM- CT1E1/PRI-2 2 port chan T1/E1 ISDN PRI with CSU/DSU

NIM- CT1E1/PRI-4 4 port chan T1/E1 ISDN PRI with CSU/DSU

NIM-DIRELAY-02 2-port T1/E1 Drop and Insert Card

NIM-E1-COAX-BLN G.703 Balun with 120-ohm UTP (RJ-45F) to 75W dual-BNC cables

NIM-SER-02 2 port High speed serial NIM

NIM-SER-04 4 port High speed serial NIM

NIM-T1/E1-01 1 port fractional T1/E1 DSU/CSU NIM




NIM-ETHR-01 One port 10/100 Copper ethernet NIM

NIM-FIBR-01 One port 100Base-Fx MMF NIM

NIM-232-CAB-044 port RS232/EIA530 DTE serial cable for NIM-SER-xx

NIM-DBU1-CAB-04 4 port combination V.35/RS232 DTE serial cable for NIM-SER-xx

NIM-V35-CAB-04 4 port V.35 DTE serial cable for NIM-SER-xx

NIM-X21-CAB-04 4 port X.21 DTE serial cable for NIM-SER-xx


Seite 218 Literaturhinweise

Literaturhinweise• www.enterasys.com - Unsere Homepage in Englisch

• www.enterasys.com/de/ - Unsere Homepage in Deutsch

• http://extranet.enterasys.com – Unser Portal für Enterasys Partner und zentrale Dienste wie Lizenzverwaltung

• www.enterasys.com/products/ - Unsere Produktlinien

• www.enterasys.com/support/manuals/ - Unsere Handbücher für die verschiedenen Produkte

• www.enterasys.com/download/ - Unsere Downloadlibrary, unter der Sie Firmware & Release Notes finden

• www.enterasys.com/products/ids/ - Enterasys Intrusion Defense

• www.10gea.com/ - 10 Gigabit Ethernet Alliance

• www.wi-fi.com – Wireless Fidelity

• grouper.ieee.org/groups/ - IEEE Standards Working Groups

• www.faqs.org – Internet FAQ Archives

Downloads• http://www.enterasys.com/download/ -

Firmware, Software, Release Notes

• http://www.enterasys.com/products/management/downloads/ - Software Downloads & Evaluations (NetSight®)

• http://www.enterasys.com/support/manuals/ - Hardware & Software Manuals

• https://dragon.enterasys.com/DSCC und Dragon® IDP downloads+manuals


http://directory.google.com/Top/Computers/Security/?tc=1/

http://www.insecure.org/tools.html

http://www.cert.org/

http://www.faqs.org/

http://www.grouper.ieee.org/groups/

http://www.wi-fi.com/

http://www.10gea.com/

http://www.enterasys.com/products/ids/

http://www.enterasys.com/download/

http://www.enterasys.com/support/manuals/

http://www.enterasys.com/products/

http://portal.enterasys.com/

http://www.enterasys.com/de/

http://www.enterasys.com/

Literaturhinweise Seite 219

Enterasys GTACSupport in DeutschMontag - Freitag von 9:00 - 18:00 Uhr (MET)

Support in EnglischMontag - Sonntag ganztägig

Hotline Nummer für:

Deutschland: 0800 / 1014-164

Österreich: 0800 / 2927-74

Schweiz: 0800 / 5620-89

per Email: [email protected]

Einen Online RMA Antrag finden Sie unter:http://www.enterasys.com/support/email_forms/germanrma/

Enterasys KnowledgebaseDies ist ein wertvolles Werkzeug, welches Zugriff auf häufig gestellte Fragen (FAQ), Anleitungen, Release Notes und weitere Artikel mit Know-How Ratschlägen, Beispielkonfigurationen, Problemlösungen und hilfreichem Material bietet.Für eine Übsicht zum Thema “Best Practice for Enterasys Knowledgebase Searches”, sehen Sie bitte auf folgender URL nach:https://knowledgebase-enterasys.talismaonline.com/article.aspx?article=10104&p=1.

Ansonsten ist die Knowledgebase erreichbar über:

https://knowledgebase-enterasys.talismaonline.com/

Enterasys Webguide• Enterasys Web extern http://www.enterasys.com

• Enterasys Feature Guides: http://secure.enterasys.com/support/manuals/f.html#M

• EnteraNews http://www.lcoim.com/Enterasys/EnteraNews/

• Automatische Benachrichtigung http://sweval.enterasys.com/notify/

• File Exchange http://www.enterasys.com/support/exchange/

• Whitepapers http://www.enterasys.com/de/products/whitepapers/

• Handbücher: http://www.enterasys.com/support/manuals/

• Visio, Cat & Co http://www.enterasys.com/support/graphic-icons/index.html

• MIBs http://www.enterasys.com/support/mibs/

• Partner WEB http://extranet.enterasys.com/



http://www.enterasys.com/support/mibs/

http://www.enterasys.com/support/graphic-icons/index.html

http://www.enterasys.com/support/manuals/

http://www.enterasys.com/de/products/whitepapers/

http://www.enterasys.com/support/exchange/

http://sweval.enterasys.com/notify/

http://www.lcoim.com/Enterasys/EnteraNews/





http://www.enterasys.com/support/email_forms/germanrma/

http://www.enterasys.com/support/email_forms/germanrma/

mailto:[email protected]

Seite 220 Literaturhinweise

• Enterasys Newsletter (Registrierung) http://www.enterasys.com/corporate/pr/newswire/

• Enterasys Events, Roadshows & Trade Fairs (Deutschland) http://www.enterasys.com/de/events

• https://dragon.enterasys.com/ -Dragon® Security Suite





Impressum Seite 221

Impressum

Herausgeber

Enterasys Networks Germany GmbHSolmsstr. 83

60486 FrankfurtTel: +49 (0)69/47860-0Fax: +49 (0)69/47860-109

Überarbeitung

David Prantl

Jochen Müdsam

Josef Brunner

Sarah König

Ralf Klockewitz

Markus Nispel

© 2008 Enterasys Networks Germany GmbH


Seite 222 Impressum


Date post:	18-May-2015
Category:	Technology
Upload:	guest1660396
View:	5,253 times
Download:	4 times