Autoritatives IP Address Management (IPAM) ein Leitfaden

Transkript

1 Autoritatives IP Address Management (IPAM) ein Leitfaden 21. Oktober 2014 Dokumentation von DeepDive Networking Inc., angefertigt für Infoblox Erstellt von DeepDive Networking Version 5.0 Aktualisiert am: Dienstag, den 21. Oktober 2014 Erstellt von: Robert Nagy

2 Inhalt Inhaltsverzeichnis 2 Einleitung 3 Best Practice IPAM Anforderungen 3 Best Practice IPAM Vorteile 5 Vorteile für IT-Teams 6 Vorteile für Desktop-Teams 7 Vorteile für Server-Teams 8 Vorteile für Netzwerk-Teams 11 Vorteile für Security-Teams 13 Vorteile für andere Teams 15 Zusammenfassung 15 Anhang: DeepDive empfiehlt Infoblox 16 Infoblox mehr als nur IP Address Management (IPAM) 17 2

3 Einleitung Dieses Dokument geht genauer auf die Themen ein, die im Infoblox-Dokument Best Practices für ein erfolgreiches IP Address Management (IPAM) angerissen wurden. Sie finden hier einen Überblick über die Vorteile einer Best Practices IPAM-Lösung. Auch wird erklärt, inwiefern einzelne IT-Teams im Unternehmen davon profitieren. Eine Best Practice IPAM-Lösung, die diese Bezeichnung wirklich verdient, bietet zwei Hauptvorteile: eine beispiellose Optimierung bei der Verwaltung von Netzwerk- Basisdiensten und die Befähigung der Teams im Unternehmen, die sowieso ständig direkt oder indirekt für einen Bereich zuständig sind. Heutige Netzwerke werden ständig größer und damit wächst auch die Komplexität. Das IP-Management wird zunehmend zum erfolgskritischen Faktor. Zugleich wird eine schnelle, effiziente Netzwerk- Verwaltung immer schwieriger. Unternehmen brauchen bessere Tools als schlichte Tabellen oder ARP-Listen (Address Resolution Protocol), um dynamische Änderungen und wachsende Bedrohungen zu erkennen und entsprechend zu reagieren. Best Practice IPAM Anforderungen Einer der wichtigsten Aspekte für ein Best Practice IPAM wird oft vernachlässigt: Grundsätzlich muss eine IPAM-Lösung alles im Netzwerk richtig erkennen können. Diese korrekte, unternehmensweite Bestandsaufnahme des vorhandenen Inventars ist der entscheidende Erfolgsfaktor für ein funktionierendes Netzwerk-Management. Nur wer Hosts nach Region, Betriebssystem, Hostname, Hersteller, Modell oder verwendeter Software identifizieren kann, kann schnell auf wechselnde Anforderungen moderner Netzwerke reagieren und Mehrarbeit bei der Störungsbehebung vermeiden. Neben dem zentralen Faktor einem korrekten, dynamischen Inventar muss ein Best Practice IPAM noch andere Anforderungen erfüllen: Es muss für die Unternehmensstruktur maßgeschneidert sein. Kein Unternehmen gleicht dem anderen. Nur wenn das IPAM-Netzwerk-Modell der realen Unternehmensstruktur entspricht, sind Suchabfragen und Adressänderungen sinnvoll möglich. Im Folgenden haben wir zusammengestellt, was eine Best Practice IPAM-Lösung können muss. Zugriff auf relevante Protokolldaten DNS: Hostname bis IP Mapping DHCP: Fingerprinting für IP- und MAC-Adressen, Hostdaten und Betriebssysteme LDAP: Benutzerinformationen RADIUS: Nachverfolgen von Geräten mit Zugriff über Netzwerk-Hardware NAC: Bringt Informationen zur Konfiguration von Nutzern und Geräten zusammen Netzwerk-Konfiguration: Bringt IP- und MAC-Adressdaten mit Access Layer Devices zusammen Die Virtualisierung ist mittlerweile Standard in Unternehmen. Folglich muss eine lückenlose IPAM-Lösung auch virtuelle Devices in virtuellen Umgebungen erfassen. Die Informationen dieser virtuellen Devices beeinflussen die Netzwerk-Verwaltung genauso wie physische Hostdaten. Unternehmen müssen daher auch virtuelle Daten in die IPAM-Datenbank integrieren und sämtliche Informationen über virtuelle Maschinen (VM) einschließlich Hostname, IP-Adresse, MAC-Adresse, Betriebssystem und Ressourcen in einem zentralen Repository speichern. 3

4 Flexible Netzwerk-Modelle Flexible Netzwerk-Modelle liefern ein Netzwerk-Abbild, das der Realität entspricht. Zugleich dienen diese Modelle als Grundlage, um IPAM-Daten passend zur Unternehmensstruktur zu organisieren. Es gibt unzählige Netzwerk-Architekturen und kein Netzwerk gleicht dem anderen. Eine Best Practice IPAM-Lösung muss daher ein Modell bieten, das die spezielle Netzwerk-Architektur und die Anforderungen des Unternehmens exakt widerspiegelt. Die meisten Unternehmensstrukturen fallen in eine oder mehrere der folgenden Kategorien: Geografische Regionen Abteilungen Geschäftsbereiche (z. B. Zentrale, regionale Verwaltung, Vertriebszentrum, Filialen usw.) Divisionen Metadaten Metadaten sind ebenfalls ein Muss für eine Best Practice IPAM-Lösung. Mit Metatags lassen sich maßgeschneiderte Daten je nach organisatorischen Anforderungen zuweisen und pflegen, um Geschäftsabläufe bestmöglich nachzubilden. Die relevanten Informationen über jedes Gerät im Netzwerk sind ebenfalls einzigartig. Diese unternehmensspezifischen Attribute müssen einfach konfigurierbar und so strukturiert sein, dass sie durchsucht werden können. Auch müssen sich diese Daten leicht Objekten in der Datenbank zuweisen lassen. Heutzutage verwalten Unternehmen Unmengen von Informationen über die Systeme im eigenen Netzwerk. Gerätetechnik-, Finanz-, Server- und Netzwerk-Teams sammeln und pflegen allesamt Daten über diese Hosts. Mit einer Best Practice IPAM-Lösung kann das Unternehmen diese unterschiedlichen Daten zentral zusammenzuführen. Können Metadaten einfach zugewiesen und gepflegt werden, steigt das Vertrauen in den Datenbestand weil sich der richtige Host oder das richtige Gerät leicht finden lässt, wenn die Suchabfrage unternehmensweit auf den gleichen Daten basiert. Durchsuchbarkeit Eine gründliche, flexible Durchsuchbarkeit aller erfassten Attribute gehört ebenfalls zu einer Best Practice IPAM-Lösung. Sie müssen z. B. alle HP-Drucker in Europa oder alle VPN-Benutzern im Netzwerk /8 mit einem bestimmten Betriebssystem leicht finden können. Tools für Änderungen Die effiziente Umsetzung von Änderungen ist ein weiteres Muss für eine Best Practice IPAM-Lösung. Closed-Loop-Workflows sorgen für maximale Effizienz, senken Betriebskosten und steigern die Produktivität. Ob Konfigurieren von Hosts, Protokollkonvertierungen (DHCP in feste Adressen, Hinzufügen von festen Adressen zum DNS), Ändern des VLAN, Schließen oder Neuzuweisen von Ports Sie brauchen eine Art Schaltzentrale, um schnell Geräte zu finden und Störungen zu beheben. Dynamische Updates Damit eine Best Practice IPAM-Lösung heutigen dynamischen Umgebungen gerecht wird, muss sie auch Inventar in nahezu Echtzeit korrekt erfassen ohne manuelles Eingreifen. Die Geräte im Netzwerk ändern sich ständig. Und die Lösung muss mithalten können. Ein dynamischer Update-Prozess sollte daher Änderungen laufend berücksichtigen, damit das Netzwerk-Abbild stets aktuell und korrekt ist. 4

5 Troubleshooting Tools Mit einem zentralen Repository aller Netzwerk-Daten wird die Best Practice IPAM-Lösung bei der Störungsbehebung zur ersten Anlaufstelle. Administratoren finden schnell die Geräte, die sie suchen, und können die erforderlichen Änderungen vornehmen. Die Lösung muss dafür auf verbundene Netzwerk-Geräte zugreifen können und auch den Zugriff auf Geräte mit nativen Tools unterstützen. Das beschleunigt die Störungsbehebung erheblich. Ein schnelles Wechseln zwischen Tools ohne Eingreifen mehrerer Teams trägt ebenfalls zu einem schnellen Troubleshooting bei. Exakte Verwaltungs- und Genehmigungsprozesse Auch wenn alle Teams in irgendeiner Weise mit den Geräten im Netzwerk zu tun haben, sollte sich der Umfang der erteilten Zugriffsrechte strikt nach dem Aufgabenbereich richten. Dafür müssen Sie rollenbasierte Zugriffskontrollen mit unterschiedlichen Administratorrechten implementieren und konfigurieren können. So lassen sich Routineaufgaben an Teams vor Ort übertragen, um hochqualifizierte IT-Experten zu entlasten. Techniker-Teams vor Ort können dann Geräte selbst konfigurieren und bereitstellen. Das Ganze funktioniert aber nur mit einem Genehmigungssystem. In der Praxis bedeutet das: Die endgültige Ausführung erfolgt erst, wenn die Genehmigung von erfahreneren IT-Mitarbeitern oder Entscheidungsträgern vorliegt. Berichte Schließlich müssen Administratoren Berichte über unterschiedlichste historische Daten erstellen können. Dies sollte mit Suchabfragen je nach Unternehmensanforderungen erfolgen und Berichte liefern, die sowohl Probleme als auch die Optimierung des Netzwerk und von Netzwerk-Geräten nachverfolgen. Best Practice IPAM Vorteile Von einer Best Practice IPAM-Lösung profitieren alle Teams, die Netzwerk-Geräte konfigurieren oder verwalten. Vom Desktop-Support bis zum IT-Security-Chef brauchen alle technischen Mitarbeiter eine transparente Übersicht über Infrastruktur-Geräte und Hosts, die mit dem Netzwerk verbunden sind. Im Folgenden haben wir die allgemeinen Vorteile für alle Teams sowie konkrete Vorteile für bestimmte Teams zusammengestellt. Allgemeiner, operativer Nutzen Genaue Bestandsaufnahme Die korrekte Erfassung des vorhandenen Inventars ist mit Abstand der wichtigste Aspekt einer Best Practice IPAM-Lösung. Eine sinnvolle Ausgangsbasis für die Bereitstellung von IT-Diensten erhalten Sie nur, wenn Sie wissen, was überhaupt mit dem Netzwerk verbunden ist. Desktop-Teams müssen wissen, welche Benutzer es im Netzwerk gibt, über welche Geräte sie verbunden sind und wie sie organisiert sind. Server-Teams müssen wissen, welche Server im Netzwerk welche Dienste bereitstellen. Kennen alle Teams das Inventar bis ins kleinste Detail, lassen sich Änderungen schnell und effizient umsetzen und Fehler umgehend beheben. 5

6 Delegierte Administration und Workflows Wenn Sie Änderungen durch Benutzer nur auf die Geräte und Hosts beschränken, für die diese Benutzer zuständig sind, bringt das zwei Vorteile: Lokale Teams tragen mehr Verantwortung für die eigene Netzwerk-Umgebung und qualifizierte IT-Mitarbeiter werden von Routineaufgaben entlastet. Diese exakte Kontrolle muss sich flexibel an die Unternehmensstruktur anpassen lassen. Dadurch erhalten Teams, die gängige Änderungen an Netzwerk-Geräten übernehmen, mehr Handlungsspielraum. Zugleich werden Protokoll- und Netzwerk-Experten von diesen Aufgaben befreit und können sich grundsätzlichen Netzwerk-Fragen widmen. Auch muss es Genehmigungsprozesse und Workflows für die Fälle geben, in denen Teams Routineaufgaben ausführen, die endgültige Absegnung der Ausführung aber bei der IT-Leitung oder beim Management liegt. Bereitstellung Hinzufügen, Verschieben und Ändern solche Arbeiten machen das Gros der täglichen manuellen Eingaben in Netzwerk-Umgebungen aus. Jede Best Practice IPAM-Lösung muss daher Änderungen und Bereitstellungen neuer Geräte schon vorab durchspielen können. Wurde ein neues Gerät genehmigt, sollte der Techniker von zentraler Stelle aus sämtliche benötigten Netzwerk-Ressourcen für die Installation bereitstellen können. Ein einziger Mitarbeiter sollte alles übernehmen können: Port- Bereitstellung, VLAN-Zuweisung, DNS-Eintrag und DHCP-Konfiguration und zwar über eine zentrale Benutzeroberfläche. Damit der Prozess sicher und effizient abläuft, muss die IPAM-Lösung ein verlässliches Netzwerk-Abbild liefern. Überschneidungen oder Namenskollisionen werden so vermieden. Das bedeutet, dass die IPAM-Lösung lückenlos sämtliche Daten berücksichtigen muss unabhängig davon, welche Gruppe für ein Netzwerk-Gerät zuständig ist. Genau das leistet eine Best Practice IPAM-Lösung: Sie haben eine einzige, zentrale Übersicht mit sämtlichen Informationen. So wissen Sie sicher, dass alle benötigten Attribute vom Hostnamen bis zur IP-Adresse frei und verfügbar sind und es keine Konflikte mit physischen oder virtuellen Hosts oder virtuellen Maschinen (VM) im Netzwerk geben wird. Troubleshooting Die IPAM-Lösung dient nicht allein zum Einrichten und Nachverfolgen von Netzwerk- Devices. Sie kann auch für eine weitere und manchmal leider vorrangige Aufgabe der Netzwerk-Verwaltung genutzt werden: das Beheben von Störungen. Eine Best Practice IPAM-Lösung muss die richtigen Tools für eine schnelle, präzise Fehlerdiagnose bieten, wenn eine Störungsmeldung eingeht. Das Erkennen von Port-Fehlern sowie Tools wie Ping, Dig, Traceroute, Nmap und Paketerfassung sind für ein schnelles Troubleshooting unverzichtbar. Wenn Sie die notwendigen Troubleshooting Tools direkt in der IPAM-Lösung zur Hand haben, hat dies einen entscheidenden Vorteil: Ist die Fehlerquelle gefunden, können Administratoren gleich auch Tests durchführen alles mit dem gleichen Tool. Vorteile für IT-Teams Wie IT-Teams arbeiten, unterscheidet sich von Unternehmen zu Unternehmen vom Outsourcing in Kleinunternehmen an unabhängige IT-Experten bis hin zu Konzernen mit mehreren Netzwerk-Security-Gruppen. Wir verwenden hier eine gängige Aufgabenteilung, um die Vorteile einer Best Practice IPAM-Lösung für Unternehmen jeder Größe zu veranschaulichen. Schwerpunkte sind dabei mehr Produktivität und eine bessere Arbeitsverteilung für alle IT-Teams. 6

7 Vorteile für Desktop-Teams Die erste Gruppe mag in einem Unternehmen anders heißen, ihre Funktion ist aber meist identisch: Der hier verwendete Begriff Desktop-Team bezeichnet die Gruppe, die für die Verwaltung interner Benutzer-Ressourcen zuständig ist. Diese Gruppe übernimmt allgemeine Installations- und Verwaltungsaufgaben für Endbenutzer-Systeme in unterschiedlichsten Umgebungen. Das Desktop-Team ist auch für die Verwaltung und Störungsbehebung von Laptops, Desktops, IP-Telefonen und Druckern zuständig. Eine Best Practice IPAM-Lösung unterstützt das Desktop-Team bei folgenden Aufgaben: Bereitstellung, Wechsel und Änderungen von Desktops, Laptops und Telefonen Bereitstellung von Netzwerk-Ressourcen (Switch-Port-Management) Workflow (Self-Service mit erforderlichen Genehmigungen) Geräteerkennung (z. B. Hosts) Discovery und Verwendungsnachweis Automatische Discovery (wichtig für ein korrektes Inventar in BYOD-Umgebungen) DHCP Fingerprinting und Filter (zur Abgrenzung von BYOD-Geräten) Troubleshooting für Desktop-Benutzer (meist mit Übersichten zum Finden und Prüfen von Ressourcen, am besten in einer zentralen Ansicht mit Protokollen und Ports) Troubleshooting-Eskalation (hauptsächlich Änderungen, erfordert eine Paketerfassung und die Möglichkeit, Ports zu rekonfigurieren) Desktop-Teams Beispiele: Installieren eines neuen Druckers Die folgenden vergleichenden Beispiele zeigen, wie eine Best Practice IPAM-Lösung Workflows und den Austausch verschiedener IT-Teams vereinfacht. Das Desktop- Team übernimmt hier die Ausführung in Absprache mit den Netzwerk- und Server- Teams, die bei Infrastruktur-Änderungen helfen. Durch die Zusammenarbeit wird deutlich, wie Netzwerk- und Server-Teams durch eine Best Practice IPAM-Lösung mehr Zeit für ihren eigentlichen Aufgabenbereich bleibt. Zugleich erhalten Desktop- Teams mehr Verantwortung und können selbstständig die Geräte installieren, die sie später auch verwalten werden. Installieren eines neuen Druckers Ohne eine Best Practice IPAM-Lösung ist dieser Prozess zeitaufwändig und besteht aus vielen kleinen Schritten. Der Großteil der Aufgaben und Nachforschungen muss vom Netzwerk- und Server-Team übernommen werden. Der gesamte Prozess wird ausgebremst, wenn eine Gruppe überlastet ist. Anders mit der Best Practice IPAM-Lösung: Hier übernimmt das Desktop-Team die Vorbereitung und Bereitstellung. Aber die endgültige Genehmigung des neuen Gerätes liegt bei den Netzwerk- und Server-Teams. Für untergeordnete Teams wird der Prozess stark vereinfacht, was die Bereitstellung beschleunigt weil die Arbeit dem Team übertragen wird, das für die Ressource zuständig ist. 7

8 Ohne Best Practice IPAM Der neue Drucker wird gemäß den Namenskonventionen des Unternehmens benannt. Ein Ticket wird erstellt, um den neuen Drucker in das DNS einzutragen und eine IP-Adresse zu erhalten. Das Ticket wird genehmigt. Das Desktop-Team fordert eine IP-Adresse, einen Port und eine feste DHCP-Adresse beim Netzwerk-Team an. Das Desktop-Team fordert beim Server-Team einen DNS-Eintrag mit dem Namen und der IP-Adresse an, die vom Netzwerk-Team zugewiesen wurden. Das Server-Team erstellt einen DNS-Eintrag und aktualisiert das Ticket. Das Desktop-Team kann endlich den neuen Drucker installieren. Mit Best Practice IPAM Ein Ticket wird für die Installation des neuen Druckers erstellt. Das Desktop-Team meldet sich bei der IPAM-Lösung an und findet alles Notwendige selbst heraus: verfügbare IP-Adresse, Hostname und Port. Das Desktop-Team stellt alles bereit und aktualisiert das Ticket, das nur noch genehmigt werden muss. Die IPAM-Lösung informiert alle betroffenen Teams, dass der neue Host fertig ist und nur noch genehmigt werden muss. Die Netzwerk- und Server-Teams genehmigen die vom Desktop-Team vorgenommenen Änderungen. Das Desktop-Team kann den neuen Drucker installieren. Vorteile für Server-Teams Die Zeiten, als Server-Teams lediglich Server installieren, veraltete Server ersetzen und den neuen Servern wieder den gleichen Namen und die gleiche IP-Adresse zuzuweisen mussten, sind längst vorbei. Heutzutage wachsen und verändern sich Server-Umgebungen ständig. Server-Teams sind mittlerweile auch für virtuelle Umgebungen und interne Cloud-Dienste zuständig. Folglich müssen Ressourcen dynamisch nachverfolgt und schnell bereitgestellt werden können. Nur so bleibt die Server-Umgebung stabil und kann an Kundenanforderungen angepasst werden. Unternehmen finden immer mehr Einsatzmöglichkeiten für interne Clouds. Und je mehr klar wird, wie stark das Unternehmen von direkten Zuständigkeiten für Daten und Infrastruktur profitiert, desto wichtiger werden einfache, integrierte und dynamische Bereitstellungsprozesse. Virtuelle Server lassen sich zwar schnell mit wenigen Ressourcen bereitstellen. Doch das Ganze wird ausgebremst, wenn das Zuweisen von Netzwerk-Ressourcen, Sicherheitsprüfungen und Genehmigungen manuell erfolgen. Angesichts der Fülle von Aufgaben profitieren Server-Teams stark von einer Best Practice IPAM-Lösung beim: Bereitstellen, Wechseln und Ändern von physischen und virtuellen Servern Optimieren von Betriebssystemen und Anwendungen sowie Durchführen von Security-Patches für alle Server Nachverfolgen und Aufrechterhalten von hochverfügbaren Diensten in einer zunehmend segmentierten Netzwerk-Umgebung Nachverfolgen von Security Alerts für alle verfügbaren Dienste Reagieren auf Anfragen anderer Teams für Funktionen wie: DNS-Einträge DHCP-Einträge Administrativer Zugang Webservices Erstellen von Benutzern Troubleshooting bei der Dienstbereitstellung und -verfügbarkeit sowie DNS- und DHCP-Probleme 8

9 Server-Teams Beispiel 1: Bereitstellen eines neuen virtuellen Servers Bereitstellen eines neuen Servers In einer neuen Einzelhandelsfiliale soll ein File-Sharing-Server installiert werden. Ohne Best Practice IPAM Ressourcen-Check: Sind genug Ressourcen für das neue virtuelle Server-Image vorhanden? Erstellen einer IP-Adresse in dem virtuellen System, basierend auf anderen Images und der VM-Umgebung Anmelden beim DNS und Erstellen von Einträgen für die neuen Server Anfrage beim Security-Team, das die Ports für die Dateifreigabedienste öffnen soll Hoffen, dass das Security-Team Sicht auf die virtuelle und physische Umgebung hat, um zu klären, ob diese für die Dateifreigabe sicher sind. Warten, bis das Security-Team die Ports öffnet oder Informieren des Server-Teams, dass die neuen Dienste in einem anderen Netzwerk oder einer anderen Umgebung bereitgestellt werden müssen Mit Best Practice IPAM Das Server-Team klärt, ob genug Ressourcen für das neue virtuelle Server-Image vorhanden sind. Das Team für die VM-Verwaltung sucht direkt in der IPAM-Datenbank nach der nächsten verfügbaren IP-Adresse im korrekten Subnetz. Das Server-Team akzeptiert die IP-Adresse und benennt den Server. Die virtuelle Umgebung aktualisiert die IPAM-Lösung automatisch. Das Server-Team muss jetzt das Security-Team bitten, die Ports für die Dateifreigabedienste zu öffnen. Das Server-Team erstellt einen DNS-Eintrag und aktualisiert das Ticket. Das Security-Team entscheidet basierend auf der IPAM-Datenbank, ob der Ort für die Dateifreigabe sicher ist. Dabei berücksichtigt es alle Netzwerk- Informationen und öffnet ggf. die Ports. Ohne eine Best Practice IPAM-Lösung dauert das alles nicht nur ewig, sondern lässt viele Gruppen außen vor. Oft ist auch die Überprüfung mehrerer Umgebungen und Architekturen durch das Security-Team notwendig. Nur so lässt sich abschätzen, wie sich der neue Dienst in der Praxis auswirkt. Doch weder das Netzwerk- noch das Desktop-Team kennen die zugewiesene IP-Adresse, die derzeit verwendet wird. Für das Server-Team mag das ein einfacher Prozess sein, weil das Gros der Aufgaben zwangsläufig von anderen Teams ausgeführt werden muss. Zugleich ist das aber ein echtes Problem für das Server-Team wegen der Abhängigkeit vom Netzwerk-Team, das das Routing und Switching übernimmt. Wird ein einziger Host in einem virtuellen Netzwerk infiziert, gibt es nur eine Abhilfe: Sämtliche Verbindungen zum virtuellen Host müssen vom Netzwerk genommen werden. Das kann zu katastrophalen Ausfällen führen. Netzwerke sind heutzutage dynamisch und wachsen ständig. Deshalb brauchen alle Gruppen eine sichere und zentrale Sicht auf das gesamte Netzwerk einschließlich virtueller Umgebungen. Wird der virtuelle Server in der neuen Filiale dagegen mit einer Best Practice IPAM- Lösung bereitgestellt, entfallen viele Schritte. Einiges erfolgt sogar automatisch. Sowohl das Server-Team als auch das Security-Team können schnell auf benötigte Informationen zugreifen, um ihre Aufgaben abzuschließen. 9

10 Server-Teams Beispiel 2: Störungsbehebung bei einem Server, der nicht wie erwartet reagiert Troubleshooting bei einem Server Ein Kunde meldet, dass ein bestimmter Dienst an einem Standort nicht verfügbar ist. Mit einer Best Practices IPAM-Lösung erfolgt die Störungsbehebung äußerst effizient weil alle benötigten Informationen und Tools über eine einzige IPAM-Lösung verfügbar sind. Das Server-Team kann das Problem schnell finden. Weil die gesamte Datenbank nach allen Störungsangaben des Kunden durchsucht werden kann, brauchen Sie keine weiteren Infos über Benutzer, Standorte oder MAC-Adressen. Wurde die Störungsursache erkannt, lassen sich Protokoll- und Netzwerk-Probleme direkt mit der IPAM-Lösung beheben z. B. Korrigieren der Protokoll- oder Switch- Port-Einstellungen bei dem Hostobjekt, das bei der Datenbanksuche gefunden wurde. Aus Sicherheitsgründen kann das Server-Team auch nur die Änderungen vornehmen und die Ausführung so lange zurückhalten, bis die Genehmigung vom Netzwerk- Team vorliegt. Müssen eine Firewall- oder andere Sicherheitseinstellungen geändert werden, kann das Server-Team das Security-Team genau instruieren. Mehrarbeit lässt sich so vermeiden. Ohne Best Practice IPAM Mit Best Practice IPAM Festlegen, welcher Server auf den Client je nach Standort oder anderen Netzwerk-Faktoren reagieren soll (basiert oft auf Tracking-Software und Tabellen) Klären, ob der Server auf dem richtigen virtuellen Host läuft Klären, ob die richtigen Dienste ausgeführt werden Klären, ob der Server oder sein Gateway gepingt werden kann Hinzuziehen des Netzwerk-Teams, um die Port- Einstellungen und VLAN-Tags zu überprüfen Hinzuziehen des Security-Teams, um sicherzustellen, dass der Server nicht gesperrt wurde Das Server-Team kann mit der IPAM-Lösung folgende Fragen selbstständig klären: Benutzer-Standort? Welcher Server stellt den Dienst im gemeldeten Benutzer-Standort bereit? Funktioniert der Dienst und welcher Host versorgt diesen Standort? Sind die Switch-Port-, VLAN- und ACL-Einstellungen für den virtuellen Host korrekt? Müssen Genehmigungen eingeholt werden, kann das Team vorerst nur die Switch-Port-Änderungen vornehmen, die Ausführung aber vom Netzwerk- Team absegnen lassen. Hat das Server-Team Zugriffsrechte für Konfigurationsänderungen an Servern, die es sowieso betreut, kann es die Änderungen selbstständig vornehmen und dann den Benutzer testen lassen, ob das Problem gelöst ist. Ist der Switch-Port nicht das Problem, helfen die in der IPAM-Lösung integrierten Troubleshooting Tools weiter: Ping/Traceroute zum Prüfen der Layer-2- und Layer-3-Verfügbarkeit Nmap für die TCP-/UDP-Verfügbarkeit des betroffenen Dienstes Paketerfassung bei DNS- und DHCP-Problemen zum Prüfen, ob Pakete über die richtigen Server laufen Bei Bedarf kann das Server-Team das Security-Team hinzuziehen, um benötigte Ports zu öffnen und die Sicherheitseinstellungen für den Host in der IPAM- Lösung vorzunehmen. Server-Teams Beispiel 3: Neue virtuelle Maschine (VM) für Cloud- Dienste je nach Dienstauslastung Bereitstellen einer virtuellen Maschine (VM) Künftig sollen Daten in der Cloud gespeichert werden können. Dafür wird ein neuer Server dynamisch bereitgestellt. 10

11 Mit einer Best Practices IPAM-Lösung erfolgt dieser Prozess ebenfalls dynamisch. Ein manuelles Eingreifen ist nicht notwendig es sei denn, es wird gewünscht. Die Automation bietet zwei entscheidende Vorteile. Erstens basiert die Zuweisung neuer IP-Adressen auf einer ganzheitlichen Sicht des gesamten Netzwerks. Das bedeutet: Die Zuweisung ist zuverlässiger und es kommt zu weniger IP-Konflikten. Zweitens werden die neuen Informationen sofort zur IPAM-Datenbank hinzugefügt. Dadurch können andere Teams beim Troubleshooting auf diese Daten zugreifen, ohne erst das Server-Team für die Fehlerdiagnose hinzuziehen zu müssen. Ohne Best Practice IPAM Überwachen der Dienstnutzung und Server-Wechsel je nach Auslastung Erkennen notwendiger Änderungen des Diensttyps Ping oder andere Überprüfung einer verfügbaren IP-Adresse Anlegen eines neuen Images, das den erforderlichen Dienst bereitstellt Aktualisieren des DNS mit dem Namen und den IP-Daten Ändern von Switch-Port-ACLs, falls notwendig Optimal wäre: Aktualisieren einer Datenbank zur IP-Nachverfolgung, damit die jetzige Cloud jederzeit geprüft werden kann (meistens wird aber eine Extra-Datenbank ohne Abstimmung mit dem gesamten Netzwerk verwendet) Mit Best Practice IPAM Überwachen der Dienstnutzung und Server-Wechsel je nach Auslastung Erkennen notwendiger Änderungen des Diensttyps Anlegen eines neuen Images, das den erforderlichen Dienst bereitstellt Die virtuelle Umgebung muss nur noch: die IPAM-Lösung nach einer verfügbaren IP-Adresse fragen die IPAM-Datenbank mit den neuen Dienstdaten aktualisieren Den Rest erledigt die IPAM-Lösung: Aktualisieren der DNS-Einträge, Switch-Daten, Switch-Port-Einstellungen und Einholen von Genehmigungen Informieren aller Gruppen über den neuen Server und Dienst Vorteile für Netzwerk-Teams Moderne Netzwerk-Teams verwalten komplexe, dynamische Netzwerke mit Ethernet, WLAN, VoIP und einer Fülle von Routing-Protokollen. Auch müssen sie ständig auf Anfragen von Security-, Server- und Desktop-Teams reagieren. Diese Netzwerke umfassen oft mehrere Standorte mit VPNs, MPLS (Multiprotocol Label Switching) und anderen Punkt-zu-Punkt-Lösungen. Allein der Arbeitsaufwand bei der Verwaltung der Netzwerk-Geräte und -Architektur ist gewaltig. Oft nehmen jedoch Routineaufgaben überhand, weil sich Desktop- und Server-Landschaften laufend ändern und Support für Endgeräte geleistet werden muss. Folglich dürfte das Netzwerk-Team stark profitieren, wenn Desktop- und Server-Teams mehr Verantwortung bei der Nutzung und Konfiguration von Ports am Netzwerk-Rand übernehmen. Eine deutliche Entlastung lässt sich erzielen, wenn untergeordnete Teams den Großteil der Arbeiten selbstständig erledigen, aber die Ausführung erst nach der Absegnung durch das Netzwerk-Team erfolgt. Das Klären von Störungen, die von bestimmten Benutzern und Clients eingehen, gehört ebenfalls zu den Aufgaben des Netzwerk-Teams. Oft muss beim Troubleshooting zuerst der Benutzer gefunden und dann das Problem vom Netzwerk-Rand aus eingekreist werden. Leider können die meisten Tools aber keine vorhandenen DNS- und DHCP-Daten integrieren. Bestenfalls kann das Netzwerk- Team so das Inventar nach MAC-Adressen durchforsten. Und schlimmstenfalls müssen jedes ARP und jede MAC-Adresse Schritt für Schritt geprüft werden, um den Benutzer zu finden. Störungsmeldungen können unterschiedlichste Eckdaten umfassen, z. B. Hostname, Benutzer, Abteilung und wenn das Netzwerk-Team Glück hat eine IP-Adresse. Befinden sich all diese Information in einer einzigen Datenbank, lässt sich die Vorlaufzeit bei Störungsbehebungen stark verkürzen. Noch schneller kann reagiert werden, wenn vom Suchergebnis auf die Port- und 11

12 VLAN-Daten für den betroffenen Host verwiesen und die Port-Einstellungen gleich mit der IPAM-Lösung geändert werden können. Hier die wichtigsten Funktionen, die eine Best Practice IPAM-Lösung zur Entlastung des Netzwerk-Teams bieten muss: Erkennen von Hosts im Netzwerk Schnelles Erkennen von Geräten, die an Ports angeschlossen sind Durchsuchbarkeit nach: Angeschlossenen Geräten Standort Netzwerk MAC-Adresse Netzwerk-Bereitstellung Grundlegende Netzwerk-Änderungen direkt mit der IPAM-Lösung Kein Hin und Her zwischen IPAM und Endgeräten Aktivieren und Deaktivieren von Ports Ändern der Port-Konfigurationen Anzeigen und Bearbeiten von portbasierten ACLs Vorlagen für einheitliche Port-Einstellungen für Gerätekategorien Netzwerk-Teams Beispiel: Ein neuer Standort soll ins Unternehmensnetzwerk eingebunden werden. Das Netzwerk-Team muss dafür eine neue Netzwerk-Umgebung mit VLAN- und Port-Zuweisungen für die Geräte am neuen Standort anlegen. Ohne Best Practice IPAM Das Netzwerk-Team erarbeitet gemeinsam mit dem Server- und Desktop-Team, welche Geräte der neue Standort braucht (z. B. Tischrechner, IP-Telefone, WLAN-Router). Das Netzwerk-Team konsultiert die eigenen Unterlagen zur jetzigen Netzwerk-Nutzung und den VLAN- Nummernplan. Auch ist zu klären, wie viele Netzwerke und VLANs die neue Umgebung haben soll. DHCP wird für den neuen Standort bereitgestellt. Netzwerk-Hardware wird installiert und konfiguriert. Port-Zuweisungen und VLAN Tagging werden mit den Teams abgestimmt, die die Geräte im neuen Büro installieren. Nach der Installation der Geräte werden die Port- Verbindungen dem Netzwerk-Team gemeldet, das dann die Port-Konfiguration für die Clients am Netzwerk- Rand vornimmt. Das Server-Team gibt alle erforderlichen DNS-Daten ein. Mit Best Practice IPAM Jedes Team gibt die Daten zu den neuen Standort- Hosts ein, für die es allein zuständig ist (Hostname, neuer Standort, Wartungsvertrag, Gerätetyp, verfügbare Dienste, Abteilung usw.). Das Netzwerk-Team konsultiert die eigenen Unterlagen, um festzustellen, wie viele Netzwerke und VLANs die neue Umgebung haben soll. DHCP wird für den neuen Standort bereitgestellt. Die Hosts werden verbunden. Das Netzwerk-Team findet mit der IPAM-Lösung alle Hosts, die sich im neuen Standort befinden. Das Netzwerk-Team sieht für jeden Client die zugehörigen Ports und kann jeden Port für diese Clients konfigurieren. Das Netzwerk-Team gibt die Netzwerk-Informationen nach Bedarf in die IPAM-Lösung ein. Dank der Best Practice IPAM-Lösung kann das Netzwerk-Team selbstständig arbeiten weil bei der Einbindung des neuen Standorts jedes Team seine Informationen in eine zentrale, transparente IPAM-Datenbank eingibt. So kann jedes Team seine Aufgaben erledigen und zur Ausführung vormerken. Das Netzwerk-Team kann dadurch die neue Netzwerk-Umgebung schnell bereitstellen und Clients einen raschen, korrekten Zugang ermöglichen. 12

13 Vorteile für Security-Teams Security-Teams brauchen eine funktionsübergreifende Sicht auf alle Geräte, die von anderen IT-Teams verwaltet werden. Auch muss die Security in funktionsübergreifende Prozesse eingebunden sein und die endgültige Entscheidungsgewalt über Bereitstellungen, Wechsel und Änderungen haben. Eine Best Practice IPAM-Lösung bietet große Vorteile für jedes Security-Team. Warum? Weil jetzt Transparenz herrscht und eine exakte rollenbasierte Verwaltung möglich ist. Die wichtigsten Vorteile für das Security-Team auf einen Blick: Erkennen von Hosts im Netzwerk anhand mehrerer Faktoren (Standort, Betriebssystem, Art...) Genaue DNS für mehr Sicherheit und Transparenz Protokolle für Audits mit allen DNS- und DHCP-Änderungen Delegierte Administrationsfunktionen, damit das Security-Team einen besseren Überblick über das Netzwerk erhält Modell vom Netzwerk, damit Geräte verschiedenen Bereichen zugewiesen werden können und eine Analyse nach Segmenten möglich wird DHCP Fingerprinting zum Erkennen von Rogue-Geräten Erkennen von unsicheren Hosts anhand beliebiger Kriterien durch jede Gruppe Security-Teams Beispiel 1: Alle HP-Laserdrucker des Modells HP46XX stellen aufgrund einer Schwachstelle ein Sicherheitsrisiko dar Finden aller HP-Geräte mit dieser Sicherheitslücke Das Security-Team wird über die Sicherheitslücke informiert und ergreift sofort Maßnahmen. Ohne eine Best Practice IPAM-Lösung müssen mehrere Teams hinzugezogen werden, um allein die Drucker im Netzwerk zu finden. Optimal wäre, wenn alle Teams hier übergreifend zusammenarbeiten könnten. Sind die Geräte identifiziert, muss das Security-Team gemeinsam mit dem Netzwerk-Team die Hosts isolieren und Patches ausführen. Doch weil jede einzelne Gruppe eigene isolierte Daten-Silos hat und ein zentrales Tool mit Suchfunktion fehlt, geht alles nur schleppend voran. Bei einer Best Practice IPAM-Lösung sind es deutlich weniger Schritte. Alles läuft über ein einziges Tool: die Suche nach den Druckern, die Isolierung der Geräte im Netzwerk, die Sanierung und die erneute Inbetriebnahme. Ohne Best Practice IPAM Das Netzwerk wird mit allen verfügbaren Tools nach den betroffenen HP-Druckermodellen gescannt. Ist die Suche erfolglos, wird das Desktop-Team oder das für Drucker zuständige Helpdesk hinzugezogen, um die notwendigen Informationen zu erhalten. Eventuell werden alle Gruppen kontaktiert, die für mehrere Standorte oder Unterabteilungen zuständig sind. Die für Routineaufgaben oder Gerätetechnik zuständigen Teams werden hinzugezogen, um auch nicht installierte Geräte im Unternehmen zu finden. Das Netzwerk-Team wird beauftragt, die Switch-Daten für die Geräte zu finden und möglicherweise auch die Drucker aus dem Netzwerk zu nehmen, während die Sanierung läuft (Abschalten der Ports). Es muss geprüft werden, ob alle Patches installiert wurden und die Drucker jetzt sicher sind. Das Netzwerk-Team wird gebeten, die Ports wieder zu aktivieren. Mit Best Practice IPAM Das Security-Team sucht in der IPAM-Datenbank nach Hosts, für die als Hersteller HP und als Modell HP46XX angegeben wurde. Wurden Drucker mit festen DHCP-Adresszuweisungen installiert, lassen sich auch alle Drucker vom Typ HP46XX im gesamten Unternehmen mit DHCP Fingerprinting finden. Hat das Security-Team die Drucker gefunden, werden die Port-Daten mit IPAM Insight überprüft. Abhängig von den Richtlinien kann das Security-Team jetzt: alle Ports mit Port Control selbst schließen oder zu schließende Ports vom Netzwerk-Team markieren lassen Das Security-Team leitet und kontrolliert das Patching der betroffenen Drucker. Das Security-Team aktiviert die Ports selbst oder lässt sie aktivieren (je nach Richtlinien). 13

14 Security-Teams Beispiel 2: Ein DNS-DDoS-Angriff auf Windows XP Clients wurde erkannt, der sich über das Mail-System eingeschlichen hat. Finden und Sanieren aller Windows XP Clients mit außergewöhnlich hohem DNS-Datenverkehr Das Security-Team wird über den Angriff informiert und ergreift sofort Maßnahmen. Ohne eine Best Practice IPAM-Lösung ist dieser Prozess zeitraubend und nimmt Ressourcen und Arbeitszeit vieler Gruppen in Anspruch. Da die Daten nur isoliert in Silos vorliegen, ist der Prozess unnötig mühsam. Je länger das Finden womöglich infizierter Hosts dauert, desto länger können korrumpierte Hosts weiteren Schaden anrichten und das gesamte Unternehmen infizieren. Ohne Best Practice IPAM Das Security-Team verwendet mehrere Scan-Tools und berät sich auch mit dem Desktop-Team, um alle Clients mit Windows XP zu finden. Das Security-Team bittet das DNS-Team, die Hosts mit dem meisten DNS-Datenverkehr zu identifizieren (falls das überhaupt möglich ist, da die meisten Windows- DNS-Versionen das nicht unterstützen). Nach Zusammenstellen aller Daten erhält das Netzwerk-Team eine einzige Liste mit allen Windows XP Clients. Anhand dieser Liste werden die Switch-Ports gesucht, mit denen die Clients verbunden sind, um die infizierten Hosts abzuschalten. Dann wird kontrolliert, ob alle Patches installiert wurden und die Hosts jetzt sicher sind. Das Security-Team bittet das Netzwerk-Team, die Ports wieder zu aktivieren. Mit Best Practice IPAM Das Security-Team wird über die Sicherheitslücke informiert und kann mit einer Best Practice IPAM-Lösung Folgendes erledigen: Suchen in der IPAM-Datenbank nach Hosts, für die als Betriebssystem Windows XP angegeben wurde Finden der Hosts mit dem meisten Datenverkehr anhand der DNS-Nutzungsstatistiken Exportieren der Liste infizierter Hosts mit Port-Informationen Abschalten der Switch-Ports, um identifizierte Hosts zu identifizieren Prüfen, ob alle Patches installiert wurden und die Hosts jetzt sicher sind Erneutes Aktivieren der Ports Mit einer Best Practice IPAM-Lösung reduzieren sich Arbeitsschritte und Reaktionszeiten erheblich. Die Hosts können schnell gefunden und isoliert werden, ohne dass mehrere Gruppen hinzugezogen oder Daten abgeglichen werden müssen. Das Security-Team kann so die Dauer, die infizierte Hosts das Netzwerk während des DDoS-Angriffs belasten oder andere Hosts im Unternehmen anstecken, drastisch verkürzen. Zwar erfolgt das Patching wie gewohnt. Aber der Prozess wird optimiert, weil alle infizierten Hosts über eine zentrale IPAM-Lösung gefunden, isoliert, saniert und wieder in Betrieb genommen werden. Da die IPAM-Datenbank sämtliche Netzwerk-Informationen enthält, können auch die verbundenen Switch-Ports hierüber verwaltet werden. 14

15 Vorteile für andere Teams Gerätetechnik Können Geräte anhand von Metadaten verfolgt und identifiziert werden, erhalten Gerätetechniker aussagekräftige, korrekte Berichte über Hosts mit Informationen wie z. B.: Hersteller Modell Vertragsstatus Geräte-ID Ende des Wartungsvertrags Telefonie Telefonie-Teams können IP-Telefondaten schnell anhand verschiedenster Metadaten feststellen, wie z. B.: Vorwahl Standort Hersteller Modell Geräte-ID MAC-Adresse Standort Zusammenfassung Die Dokumentation von DeepDive zeigt deutlich: Alle Teams im Unternehmen profitieren mit einer Best Practice IPAM-Lösung von mehr Transparenz. Das beschleunigt nicht nur die Umsetzung von Änderungen, sondern auch das Troubleshooting. Die Hauptarbeit leisten die Teams, die direkt für die betroffenen Geräte zuständig sind. Durch den zentralen Überblick über sämtliche Network-Device-Informationen werden Teams entlastet und können sich stärker auf den Netzwerk-Ausbau und die Sicherheit konzentrieren. Dies gilt insbesondere für Umgebungen, in denen IT-Experten dank der IPAM-Lösung die Netzwerk-Infrastruktur an die Unternehmensanforderungen anpassen können. Oft ist nur eine einzige Person für alle Netzwerk-Geräte zuständig. Das kann der CTO oder ein bestimmter Techniker sein. In diesen Fällen genügt es, wenn diese eine Person eine transparente Sicht auf alle Netzwerk-Elemente hat. In Unternehmen mit getrennten Zuständigkeitsbereichen bestehen dagegen Abhängigkeiten zwischen Teams, die Reaktions- und Bereitstellungszeiten ausbremsen. Erhalten aber einzelne Teams für gewisse Aufgaben gezielten Zugriff auf Ressourcen und es gibt eine Genehmigergruppe, die über die endgültige Ausführung entscheidet, funktioniert das Netzwerk besser und die Team-Mitglieder können sich auf ihre Kernkompetenzen konzentrieren. Eine Best Practice IPAM-Lösung bietet für das gesamte Unternehmen und für einzelne Teams zentrale Transparenzvorteile. Durch die beispiellose Sicht auf das Netzwerk profitieren Unternehmen von mehr Produktivität, höherer Datenqualität und -integrität wichtige Faktoren für das erfolgreiche Management heutiger Netzwerke. 15

16 Anhang: DeepDive empfiehlt Infoblox Laut Urteil von DeepDive Networking ist das autoritative IP Address Management (IPAM) mit Network Insight von Infoblox die beste und benutzerfreundlichste IPAM-Lösung auf dem Markt ein Best Practice IPAM, das diese Bezeichnung wirklich verdient. Aufgrund umfassender Erfahrung mit IPAM-Lösungen auf dem Markt hat DeepDive keine Zweifel, dass Infoblox den besten Funktionsumfang und die größte Benutzerfreundlichkeit bietet. Die Infoblox Grid -Technologie und das Virtual Router Redundancy Protocol (VRRP) sorgen für eine hohe Verfügbarkeit. Dadurch wird die Serverwartung vereinfacht und extrem fehlertolerant. Infoblox bietet alle der hier beschriebenen Best-Practice-Standards: Integrierte DNS- und DHCP-Dienste: Infoblox verwendet ISC BIND und ISC DHCPD auf Grundlage einer proprietären semantischen Datenbank. CSV-Importe: Vorhandene Host-Daten können schnell und einfach importiert werden. Extensible Attributes: Mit diesen anpassbaren Metadaten erhalten Sie ein Datenmodell, das genau auf die Unternehmensstruktur abgestimmt ist. Statt nur IP-Adressen können Sie Metadaten für sämtliche Objekte vergeben. Global Search: Mit der globalen Suchfunktion können Sie alle oder bestimmten Daten nach Attribut einschließlich Metadaten durchsuchen. Netzwerk-Discovery nach Plan: Diese Funktion liefert korrekte, aktuelle Informationen über Hosts im Netzwerk, ohne dass Mitarbeiter eingreifen müssen. VM-Discovery nach Plan: Für das Erkennen von virtuellen Maschinen wird VM-Software (z. B. vsphere) verwendet. Über sichere Kommunikationswege werden alle wichtigen Informationen über virtuelle Hosts erfasst. Da die Discovery regelmäßig nach Plan erfolgt, haben Sie stets korrekte, aktuelle Daten, ohne dass Mitarbeiter eingreifen müssen. Exakte Administratorrechte: Aufgaben können an geeignete Teams übertragen werden. Dabei wird nur soviel Transparenz wie nötig eingeräumt. Sie können Administratorrechte für die gesamte IPAM-Datenbank oder auch nur für spezielle Objekte einrichten. Zugriffsrechte lassen sich so bis ins kleinste Detail individuell vergeben. Genehmigungsprozess und Workflows: Arbeiten werden direkt an die Gruppe übertragen, die für Routineaufgaben zuständig ist. Die endgültige Genehmigung, ob eine Änderung auch ausgeführt wird, liegt aber beim Security-Team oder leitenden IT-Experten. Netzwerk-Transparenz: Infoblox Network Insight kommuniziert mit Netzwerk- Endgeräten und erfasst auch deren Daten für die IPAM-Lösung. Hosts können schnell und präzise Netzwerk-Informationen erhalten, wie z. B.: Informationen über angeschlossene Geräte Beschreibung Typ Hersteller Adresse Modell Name Informationen über Ports Typ Port Name Beschreibung Status Durchsatz Duplex Informationen über VLANs ID Name Beschreibung 16

17 Netzwerk-Steuerung: Seit NIOS 6.11 kann die Infoblox-Lösung auch Ports am Netzwerk-Rand steuern (bisherige Versionen konnten nur Informationen sammeln). Da die Reservierung und Aktivierung von Ports getrennt erfolgt, können administrative Aufgaben leicht delegiert werden. Mit der Port-Reservierung lassen sich Ports für verwaltete, entdeckte Geräte exklusiv für Grid-Mitglieder für einen bestimmten Host oder feste Adressen vormerken. Network Insight stellt sicher, dass es zu keinerlei Konflikten mit vorhandenen Geräte- und Port-Konfigurationen oder aktiven Netzwerken kommt. Port-Reservierungen sind automatisch nur für Ports möglich, die bei Netzwerk-Geräten als verfügbar erkannt wurden. Network Insight verhindert, dass ein Benutzer den gleichen Port für mehrere Objekte reserviert. Die Port-Aktivierung erfolgt direkt mit der Infoblox-Lösung. Nach Prüfung der Port-Reservierung können Administratoren mit entsprechenden Zugriffsrechten einfach einen Port in Betrieb nehmen. IPAM Connector für Microsoft Lesen von IPAM-Daten aus DNS- und DHCP-Protokollen von Microsoft- Servern, kombiniert mit den erfassten IPAM-Informationen aus allen anderen Quellen Optionale Übernahme von Änderungen für Microsoft DNS- und DHCP-Server direkt von der Infoblox-Lösung aus Infoblox mehr als nur IP Address Management (IPAM) Neben einer Best-Practice-IPAM-Lösung bietet Infoblox intelligente Funktionen, die das Sicherheitsprofil und den gesamten Betrieb von Unternehmensnetzwerken verbessern, wie z. B.: Vereinfachte DNSSEC Zonen: Sortieren und Signaturen mit einem Klick Automatischer Zugangsschlüssel Vereinfachtes Trust Anchor Management (TAM) Standardschlüssel gemäß NIST Schlüsselgenerierung und -verteilung Exportieren und Importieren von Schlüsseln Advanced DNS Protection Marktführender DDoS-Schutz Spezielle Hardware-Plattformen Hardware-Beschleunigung zur Abwehr von DDoS-Attacken und anderen Angriffen Benutzerdefinierte Regeln und Standardregeln zum Schutz vor gezielten Attacken und Standardangriffen GSS-TSIG GSS-TSIG-Sicherheit für DNS-Client-Updates Integration in Microsoft-Umgebungen mit vorhandener GSS-TSIG-Authentifizierung Reporting Server Spezielle Hardware-Plattformen Gesonderte Daten, damit größere historische Datenabschnitte analysiert werden können Integriert in die Grid-Technologie für serverübergreifende Transparenz Unterstützung von internationalen Domain-Namen (IDN) Ermöglicht IDN-Dienste Optimierter IDN-Converter für Unicode und Punycode 17

18 UNTERNEHMENSZENTRALE (gebührenfrei in den USA und Kanada) EMEA ZENTRALE info-emea@infoblox.com DEUTSCHLAND BÜRO +49 (0) sales-emeacentral@infoblox.com Infoblox Inc. Alle Rechte vorbehalten. infoblox-whitepaper-autoritatives-ipam-leitfaden-märz2015