ArtikelSecurity

DDI – Komplexe Netzwerkstrukturen transparent, sicher und zentral verwalten

Autor/Redakteur: Philipp Bode, Channel Account Manager für BlueCat bei sysob/gg

DNS-Server sind der erste Berührungspunkt beim Aufbau einer Netzwerkverbindung. Sind diese falsch konfiguriert, kommt die Verbindung nicht zustande oder die Anfrage wird fehlgeleitet. DNS (Domain Name System) sowie das damit verbundene DHCP (Dynamic Host Configuration Protocol) und das IPAM (IP Address Management) zur Verwaltung von IP-Adressen – kurz unter dem Akronym DDI zusammengefasst – gelten deshalb als unternehmenskritische Anwendungen.

DDI liefert eine integrierte Lösung zur transparenten, sicheren und automatisierten Netzwerkverwaltung. (Quelle: sysob)

Risiko durch veraltete, nach und nach erweiterte Strukturen

Trotz ihrer hohen Relevanz sind diese Lösungen zur technischen Umsetzung essenzieller Netzwerkaufgaben oft veraltet, schwierig zu konfigurieren, nicht flexibel genug und durch fehlende Updates anfällig für Cyberangriffe. Dazu kommt, dass mit dem Wachstum eines Unternehmens die Netzwerkinfrastruktur häufig mehrmals erweitert wurde und schließlich zahlreiche verschiedene Systeme für DNS, DHCP und IP Address Management zusammenarbeiten müssen. Solange nichts Gravierendes an der Konfiguration verändert wird, verrichten diese Lösungen meist weiter ihren Dienst. Dies führt allerdings schnell dazu, dass sich Unternehmen nicht um eine modernere, zentrale Lösung bemühen, die alle Bereiche von DDI integriert und sämtliche Netzwerksegmente abdeckt. Erst wenn Erweiterungen oder Änderungen an der DNS-, DHCP- und IP-Konfiguration anstehen, wird plötzlich klar, dass die gewünschten Funktionalitäten, beispielsweise die Anbindung von Cloud-Diensten, mit diesen Anlagen nicht mehr oder nur mit sehr großem Aufwand umsetzbar sind. Die Verwaltung von DNS, DHCP und IP-Adressen mit separaten, veralteten Lösungen ist nämlich sehr komplex und Ausfälle durch fehlerhafte Konfigurationen oder Inkompatibilitäten zwischen den genutzten Management-Lösungen haben oft verheerende Folgen: Mitarbeiter können nicht arbeiten, weil interne Server nicht mehr erreichbar sind, die Verbindung zum Internet wird unterbrochen, Webseiten und Shops sind für Kunden nicht mehr verfügbar. Solche Horrorszenarien können ein Unternehmen im schlimmsten Fall innerhalb kürzester Zeit in den Ruin treiben. Doch wie lassen sich derartige Risiken aus dem Weg räumen, ohne zusätzliche Netzwerk-Spezialisten einstellen zu müssen?

DNS, DHCP und IPAM in einer einzigen DDI-Lösung reduziert Komplexität

Für moderne, hybride Netzwerkumgebungen haben althergebrachte DNS-, DHCP- und IP-Management-Systeme ausgedient. Um wirklich jede gewünschte Konfiguration abbilden und skalieren zu können, muss eine einfach zu bedienende und skalierbare DDI-Softwarelösung implementiert werden, welche die netzwerkweite Überwachung und Verwaltung von DNS, DHCP und IP Address Management auf einer zentralen Oberfläche vereint. Dies vereinfacht und automatisiert die Administration sowie die Interaktionen zwischen DNS, DHCP und IPAM. Außerdem hilft eine zentrale DDI-Lösung, die immer stärker wachsende Menge an IP-Adressen sauber abzubilden sowie die zuverlässige Bereitstellung essenzieller Netzwerkdienste zu gewährleisten.

Viele Unternehmen setzen bereits eine DDI-Plattform ein. (Quelle: BlueCat)

Eine modulare Lösung für alle DDI-Prozesse

Heute stehen zudem Anforderungen an betriebliche Netzwerke im Raum, die früher kaum eine Rolle gespielt haben: Unternehmen nutzen SD-WAN-Anbindungen, lagern Dienste und Daten in die Cloud aus, wollen durch Automatisierung Zeit und Kosten sparen und legen großen Wert auf Cybersicherheit. Mit einer modularen, zentralen Lösung wie BlueCat DDI werden diese Anforderungen von Anfang an berücksichtigt.

BlueCat DDI besteht aus Modulen für die Steuerung und Verwaltung des Netzwerks, für die Automatisierung von Vorgängen sowie für die netzwerkweite IT-Sicherheit. Mit BlueCat Platform existiert eine zentrale Instanz, eine sogenannte „Single Source of Truth“, in der alle DNS-, DHCP- und IP-Daten des gesamten Netzwerks an einem Ort gespeichert werden. Auf diese Daten können alle im Folgenden beschriebenen Module zugreifen. Die BlueCat-Instanz kann nahezu überall ausgerollt werden, ob als klassische Hardware-Appliance, als VM auf vorhandenen Server-Systemen oder als Anwendung in einer Public-Cloud-Umgebung wie AWS, Azure oder Google Cloud Platform. Über APIs lässt sich BlueCat zudem auch an bereits bestehende Lösungen anbinden. Für die leichtere Migration von dem in vielen Unternehmen genutzten Service Microsoft DNS gibt es ein sogenanntes Overlay, mit dem es möglich ist, Teilfunktionen schon auf die BlueCat-Lösung umzustellen, während im Hintergrund noch Microsoft DNS weiterläuft.

Automatisierung beschleunigt wiederkehrende Aufgaben

Anpassungen an DNS, DHCP und dem darüber hinaus gehenden Netzwerk-Management sind für IT-Mitarbeiter meist komplex und zeitraubend. Um bei häufig wiederkehrenden Aufgaben, beispielsweise der Integration von neuen Geräten, Cloud-Diensten oder Netzwerksegmenten, schneller und effizienter agieren zu können, bietet sich die Automatisierung dieser Aufgaben an. BlueCat Network Automation ermöglicht es, Web-Formulare mit allen nötigen Informationen zu erstellen, die direkt von Usern ausgefüllt werden können und dann den zugehörigen Prozess auslösen, ohne dass eine IT-Fachkraft hier aktiv werden muss. Hat ein Mitarbeiter beispielsweise ein neues Smartphone und möchte dies in das Unternehmensnetzwerk einbinden, muss er nur das entsprechende Web-Formular ausfüllen und schon startet die Bereitstellung der IP-Adresse für sein Gerät. Somit werden IT-Teams entlastet und deutlich schnellere SLAs ermöglicht.

Transparente DNS-Konfiguration verhindert Latenzen

Aber nicht nur die Bereitstellung, sondern auch das Netzwerk selbst sollte möglichst performant sein. Dazu gilt es, Latenzen konsequent zu vermeiden. Häufig entstehen diese durch fehlerhaftes Routing von Traffic an nicht verfügbare Server, weil nach einer Änderung im Netzwerk die DNS-Konfiguration nicht angepasst wurde. Mit BlueCat Networking lässt sich jederzeit der komplette DNS-Auflösungspfad kontrollieren und anpassen, auch wenn sich das Netzwerk über mehrere Rechenzentren, Remote-Standorte und Cloud-Anbieter erstreckt. So werden Fehlleitungen reduziert und das Netzwerk beschleunigt. Zudem lassen sich ereignisgesteuert Prozesse auslösen, die beispielsweise bei Ausfällen auf andere Routen umschwenken, um das gewünschte Ziel dennoch zu erreichen, ohne dass der Nutzer etwas davon mitbekommt. Auch die Weiter- und Durchleitung zwischen verschiedenen Netzwerksegmenten anhand bestimmter Kriterien wird deutlich vereinfacht. Internetverbindungen zu vertrauenswürdigen Services können von jedem Netzwerksegment direkt hergestellt werden und müssen nicht erst die gesamte Netzwerkstruktur bis zu einem bestimmten Router durchlaufen. Bei allen Bemühungen zur Vereinfachung und zur Steigerung der Performance darf natürlich ein Thema nicht vergessen werden: die Sicherheit. 

DDI-Lösungen sorgen für umfassenden IT-Schutz und die Einhaltung von Compliance-Standards. (Quelle: BlueCat)

DNS als Schutzschild des Netzwerks

Bei einer Vielzahl von Cyberattacken haben Eindringlinge DNS-Server manipuliert, um ins Netzwerk zu gelangen. DNS-Server müssen deshalb so konfiguriert sein, dass sie verdächtige Verbindungsanfragen erkennen und erst gar nicht weiterleiten. Zudem müssen IT-Mitarbeiter anhand der Server-Informationen jederzeit in der Lage sein, festzustellen, wer sich gerade an welcher Stelle im Netzwerk befindet und was die Person dort vorhat. Ist dies der Fall, sind DNS-Server kein Sicherheitsrisiko mehr, sondern helfen sogar, Schadsoftware und sonstige Manipulationen aus dem Netzwerk fernzuhalten. Dies ist aber nur möglich, wenn alle DNS-Daten systematisch und vollständig erfasst und analysiert werden. BlueCat Network Security bietet mit BlueCat DNS Edge jederzeit die volle Kontrolle über die gesamten DNS-Daten ohne Installation von Clientsoftware auf den Geräten. Die sogenannten Edge Servicepoints werden in Form einer virtuellen Maschine im Netzwerk oder bei einem Cloud-Anbieter eingerichtet und dienen allen im Netzwerk befindlichen Geräten als „first hop“ in andere Netzwerke. Sie loggen und prüfen alle ein- und ausgehenden DNS-Anfragen und Antworten. Werden verdächtige DNS-Anfragen oder Antworten erkannt, werden diese geblockt und können im Netzwerk keinen Schaden anrichten. Für maximale Flexibilität und Skalierbarkeit lassen sich beliebig viele Edge Servicepoints in einem Netzwerk oder auch in unterschiedliche Netzwerksegmente oder Standorte einbinden. Über ein Cloud-basiertes Dashboard können die Edge Servicepoints verwaltet und die Daten an allen weltweiten Standorten eingesehen werden. Für einen umfassenden IT-Schutz und die Einhaltung von Compliance-Standards lassen sich zudem Richtlinien über das gesamte Netzwerk ausrollen. Auch die Integration von DNSSEC sorgt für mehr Sicherheit. So werden Antworten auf Anfragen nicht einfach weitergereicht, sondern es wird erstmal anhand digitaler Signaturen geprüft, ob der antwortende Server überhaupt autorisiert wurde und ob die Antwort vertrauenswürdig und nicht manipuliert ist.

Fazit

Viele DDI-Lösungen haben sich seit Beginn der 2000er Jahre kaum verändert, sind kompliziert zu bedienen und werden den Anforderungen heutiger Unternehmensnetzwerke nicht mehr gerecht. BlueCat hat mit seiner modularen, skalierbaren DDI-Lösung zeitgemäße Werkzeuge entwickelt, die auch mit hochkomplexen Enterprise Netzwerken, mit zahlreichen globalen Standorten und Hybrid-Cloud-Anbindungen nicht überfordert sind. Die einfache Bedienbarkeit über ein Cloud-Dashboard, volle Kontrolle über alle Ereignisse im Netzwerk und eine durchgängige Automatisierung von Prozessen entlasten das IT-Personal und beschleunigen die Netzwerkaktivitäten. Die Implementierung umfangreicher Security-Funktionen transformiert die DNS-Server schließlich vom beliebten Angriffsziel der Cyberkriminellen in ein schützendes Bollwerk für das Firmennetz.