In den letzten Jahren sind in der Netzwerkgeräteindustrie die Sicherheitsbedrohungen für Netzwerksicherheit durch Sicherheitslücken gestiegen, die zu Datenlecks und DoS-Angriffen (Denial of Service) führen können. Unser Autonomous Management Framework™ (AMF) kann Netzwerkadministratoren helfen, ihre Netzwerke und Daten vor komplexen Angriffen zu schützen, indem sie erweiterte Sicherheitsstufen verwenden, um Schwachstellen und Risiken zu reduzieren.

Das Autonomous Management Framework (AMF)

AMF von Allied Telesis ist ein leistungsfähiges und leicht handhabbares Tool zur Erleichterung der Netzwerkverwaltung. Durch die zentrale Verwaltung vieler oder aller Netzwerkteilnehmer - sowohl lokal als auch weltweit - werden Verwaltungskosten und Komplexität reduziert.

Mit der Netzwerkautomatisierung über AMF sind Zero-Touch- und One-Touch-Backup, Zero-Touch- und One-Touch-Provisioning, -Upgrade und -Wiederherstellung möglich. Außerdem sind im AMF Befehle integriert, mit denen sich Netzwerkprobleme schnell erkennen und beheben lassen.

Im AMF sind bereits standardmäßig zahlreiche Sicherheitsfeatures integriert, wobei großes Augenmerk sowohl auf die Sicherheit als auch auf einfache Bedienung gelegt wird. Wenn Ihnen die von AMF gebotenen umfangreichen Sicherheitsfeatures immer noch nicht ausreichen, können Sie gern optional noch weitere Features hinzukaufen.

Das Standardsicherheitsniveau

Das AMF arbeitet standardmäßig auf Basis eines geschlossenen physikalischen Netzwerks und tauscht AMF-Meldungen ausschließlich über Links aus, die auch als AMF-Links konfiguriert sind.

Das AMF-Protokoll verwendet keine IP-Adressen, d.h. es kann nicht auf Verbindungsanforderungen über das Internet reagieren. Auf AMF-Netzwerke kann also nicht von außen zugegriffen werden.

Durch das AMF wird ein virtuelles Verwaltungsnetzwerk L2 (Layer 2) aufgebaut, das als sicher anzusehen ist, da das Gerät keine Datenpakete von externen Netzwerken in die Layer 2 eindringen lässt.

All dies bedeutet, dass mögliche Angreifer nur dann einem mit AMF ausgestatteten Netzwerk schaden können, wenn sie körperlich Zugang dazu haben - es sei denn, es gibt im Netzwerk virtuelle Links über unsichere Pfade.

Es gibt Berichte zu großangelegten Angriffen auf externe Geräte, die über deren Autokonfigurationslösungen fernbetrieben wurden. Zwar ermöglichen die im AMF integrierte automatische Wiederherstellung und Provisionierung eine automatische Konfigurierung neuer Geräte, aber das AMF wird durch die berichteten Schwachstellen nicht beeinträchtigt. Das AMF ist gegen Fernzugriffe von Hosts über das Internet geschützt, da das AMF-Protokoll konstruktionsbedingt nur für die mit ihm verlinkten Partner verfügbar ist.

Privilegierte Anwender können allerdings von einem beliebigen AMF-Netzwerkteilnehmer aus einen anderen AMF-Netzwerkteilnehmer konfigurieren.

Das Standardsicherheitsniveau sollte also nur dann verwendet werden, wenn sich alle Netzwerkteilnehmer Ihres AMF an einem physisch isolierten Standort befinden, sich keine virtuellen Links zu unsicheren Pfaden in Ihrem AMF befinden und Sie allen privilegierten Benutzern in Ihrem AMF-Netzwerk vollständig vertrauen können.

Verwaltung von AMF-Links

Es sollte nur dann ein Link spezifisch als AMF-Link konfiguriert werden, wenn dadurch zwei AMF-Netzwerkteilnehmer zielgerichtet miteinander verbunden werden.

In diesem Fall können nämlich potenzielle Angreifer nur dann schädliche Datenpakete in Ihr AMF-Netzwerk einschleusen, wenn sie einen bestehenden Netzwerkteilnehmer durch ein anderes Gerät austauschen. Für einen potenziellen Angreifer ist es nicht ohne Weiteres möglich, ein weiteres Gerät in das Netzwerk einzubinden. Man kann einen Angreifer daran hindern, einen Netzwerkteilnehmer auszutauschen, indem entweder sämtliche AMF-Netzwerkteilnehmer an einem physisch sicheren Ort installiert werden oder wenn Sie im abgesicherten Modus arbeiten.

Erhöhung der Sicherheit des AMF-Netzes

Mit den folgenden drei Möglichkeiten können Sie die Sicherheit Ihres AMF-Netzwerks erhöhen:

Eingeschränkte Zugangsrechte

Wenn Sie für den Zugang zum Netzwerk nur eingeschränkte Zugangsrechte vergeben, dann können nur privilegierte Anwender auf dem AMF-Master Working Sets nutzen und automatische Verbindungen zu anderen AMF-Netzwerkteilnehmern aufbauen. Um die Vorteile einer solchen Zugangsbeschränkung noch weiter auszubauen, empfiehlt es sich, den AMF-Master an einem physisch sicheren Standort aufzustellen.

Schutz der virtuellen AMF-Links

Mit virtuellen AMF-Links werden nicht benachbarte Netzwerkteilnehmer miteinander verbunden, indem der AMF-Datenverkehr durch einen Tunnel über die Geräte in dem Pfad zwischen den Netzwerkteilnehmern geleitet wird. Die Sicherheit der virtuellen Links ist also abhängig von der Sicherheit der Geräte zwischen den Netzwerkteilnehmern. Wenn Sie also nicht sicher sind, ob diese Geräte alle sicher sind, müssen Sie den virtuellen Link entsprechend schützen, insbesondere dann, wenn der Datenverkehr über das Internet erfolgt.

Den Schutz der virtuellen Links im AMF kann ein VPN übernehmen, das zwischen den Teilen des Netzwerkpfades errichtet wird, die Sie als unsicher ansehen.

Wenn Sie allerdings im abgesicherten Modus arbeiten, brauchen Sie kein VPN zu installieren, weil im abgesicherten Modus die AMF-Pakete verschlüsselt werden. Wenn über diesen Pfad allerdings noch andere Daten übertragen werden, dann sind diese Daten wiederum durch ein VPN zu schützen.

Arbeiten im abgesicherten Modus

Im abgesicherten Modus werden alle AMF-Datenpakete mit AlliedWare Plus™ verschlüsselt. Durch entsprechende Zertifikate wird die Identität aller AMF-Netzwerkteilnehmer geprüft, wodurch dem Anwender ein Höchstmaß an Sicherheit geboten wird.

Im abgesicherten Modus ist die Einschränkung der Zugangsrechte auch automatisch aktiv und kann auch nicht außer Kraft gesetzt werden.

Außerdem kann im abgesicherten Modus ein Netzwerkteilnehmer nur dann dem AMF-Netzwerk beitreten, wenn er durch einen privilegierten Anwender auf dem AMF-Master dazu autorisiert wurde. Damit ist es für einen potenziellen Angreifer unmöglich, fremde Geräte ohne Ihr Wissen in das Netzwerk einzubinden.

Konfigurieren von zusätzlichen Sicherheitsfeatures

Mit den genannten Features können Sie das Sicherheitsniveau Ihres AMF-Netzwerkes selbst festlegen, ohne auf solche Annehmlichkeiten, wie zentrale Netzwerkverwaltung und -überwachung dank AMF verzichten zu müssen.

Zur Nutzung dieser zusätzlichen Sicherheitsfeatures brauchen Sie keine Extralizenz, sondern Ihre AMF-Master-Lizenz ist dafür völlig ausreichend!

Weitere Einzelheiten zum Konfigurieren von Sicherheitsfeatures finden Sie im Abschnitt "Absicherung Ihres Autonomous Management Framework (AMF)" im Handbuch "Ein Überblick über die -Features Konfiguration" (AMF Feature Overview and Configuration Guide).