Redundanz im Netzwerk - Sicherheit geht vor

25.11.2002
Betrachtung von Risiken und Maßnahmen im Rahmen von Sicherheitsanalysen bei Datennetzwerk Infrastrukturen
Glasfaserkabel

Was wäre, wenn in einem modernen Unternehmen die Kommunikationsinfrastruktur nicht mehr funktioniert? Dieser Bericht erläutert warum Sicherheitsanalysen und Redundanzkonzepte so wichtig sind und was man dabei unbedingt beachten sollte!

Problemstellung

Kommunikation - ohne läuft heute nichts mehr!

Mit der zunehmenden Nutzung von Kommunikations- und Informationsdiensten am Arbeitsplatz wächst auch die Abhängigkeit der Anwender von diesem Service und damit von der Kommunikationsinfrastruktur.
Ohne diese Infrastruktur, einerseits Verkabelung und Übertragungsgeräte im lokalen Bereich und andererseits Provider und WAN-Accessysteme im Weitverkehrsbereich läuft heutzutage im wahrsten Sinne des Wortes nichts mehr.

Mit der rasanten Verbreitung klassischer (Email/WWW) und moderner Internetdienste (Ecommerce) wird zusätzlich die Akzeptanz von Ausfällen oder Verzögerungen immer geringer - Zwangsweiser Verzicht auf solche Hilfsmittel wird bei vielen Anwendern bereits nach wenigen Minuten oder Stunden lautstark reklamiert - Unabhängig davon wie unternehmenskritisch und teuer solche Ausfälle in Wirklichkeit sind.

Da der Teufel häufig im Detail steckt und derartige Anwendungen viele Fehlerquellen kennen, ist es umso wichtiger an der Basis über eine leistungsfähige, sichere und fehlertolerante Infrastruktur zu verfügen. Nur dadurch können häufige Prob-leme bei den Rechnern und der Software schnell und sicher ermittelt und behoben werden.

Netzwerk - Das Rückgrat moderner Kommunikation!

Auch das beste Netzwerk, der stabilsten Infrastruktur, kann es mal erwischen - Blitzschlag, Bauarbeiten, Brand oder Sabotage können hier jederzeit gnadenlos zuschlagen.

Es muss nicht immer der GAU (größte anzunehmende Unfall) sein, auch ein kleiner "Fehltritt" bei Bauarbeiten und das Verbindungskabel zwischen zwei Netzwerkverteilern oder zum Server ist tot. Oder eine Überspannung hervorgerufen durch einen Schaltvorgang beim EVU dem Stromversorger und ein elektronisches Übertragungsgerät (Switch oder Hub) will nicht mehr. 
´
Der Ernstfall - Die Anwender müssen warten

"Nicht so schlimm" - "Das kriegen wir wieder hin" - "Die Anwender kommen auch mal ohne EDV aus"

Schön für Sie, wenn in diesem Moment die EDV nicht unternehmenskritisch ist - bei Wiederbeschaffungszeiten von mehreren Wochen (bis zu 8 Wochen) für bestimmte Backboneswitches und ausgebuchten Verkabelungsspezialisten müssen Anwender schon einmal mehrere Tage oder auch Wochen auf Ihr wichtiges Email warten.

Ob das auch für Sie zutrifft, können wir Ihnen nicht sagen. Aus Erfahrung wissen wir, das häufig erst beim Ausfall festgestellt wird, wie wichtig die EDV Kommunikation eigentlich ist. Dann ist es zwar zu spät, aber Argumente für eine Investition in Redundanz und Ausfallsicherheit müssen Sie sicherlich nicht mehr suchen, denn auch der letzte Anwender wird es dann am eigenen Leib erfahren haben wie abhängig er von diesen Systemen ist. 

Konzept - Was kann ein solcher Artikel leisten

Die nachfolgende Ausarbeitung kann eine projektspezifische und detaillierte Sicherheitsanalyse, die wir auf Wunsch gerne bei Ihnen im Hause durchführen, sicherlich nicht ersetzen.Wir wollen jedoch hiermit auf die Risiken hinweisen, die bei einem Schadenseintritt den EDV Betrieb des ganzen Komplexes oder wichtiger Teilbereiche des Unternehmensnetzes zum Erliegen bringen können. Gleichzeitig wollen wir ein paar ausgewählte Lösungsansätze vorstellen, die zeigen sollen mit welchen einfachen Mitteln manchmal eine wirkungsvolle Redundanz herbeigeführt werden kann.

Die eierlegende Wollmilchsau - Leider nicht bei uns
Eine exemplarische Sicherheitsanalyse für ein theoretisches EDV Gesamtkonzept können und wollen wir an dieser Stelle nicht entwickeln. Hier betrachtet werden ausschließlich die passiven (Verkabelung) und aktiven Netzwerkkomponenten (Switches), die den Datentransport zwischen zentralen EDV Diensten (Server, Datenbanken, Internet, Fileservices) abwickeln. Die Endgeräte, zentrale Einrichtungen und Softwareapplikationen werden ausdrücklich nicht betrachtet. Die 230Volt Stromversorgung und die Telekommunikation sind ebenfalls nicht Teil dieses Konzeptes, da uns darüber keine Informationen vorliegen. Diese sollten jedoch unbedingt ebenfalls ausreichend im Sicherheitskonzept berücksichtigt werden. Bei Bedarf helfen wir hier gerne mit unserer Erfahrung.

Alle nachstehend aufgeführten Möglichkeiten stellen technisch machbare Lösungen dar und müssen im Rahmen einer projektspezifischen Sicherheitsanalyse von den verantwortlichen Gremien jeweils im Einzelnen nach Risiko und Aufwand bewertet und abgewägt werden.

 

Risiken und Maßnahmen zur fehlertoleranten Auslegung einer LAN Infrastruktur

1. Verkabelungsinfrastruktur

Bei der Verkabelungsinfrastruktur ist zu unterscheiden zwischen der Endgeräteverkabelung und der Backboneverkabelung

2.a. Endgeräteverkabelung

Kabelverbindungen (Twisted-Pair Kupfertechnik) zwischen den Bereichsverteilern und den EDV Arbeitsplätzen, sowie in Einzelfällen auch zentralen Einrichtungen wie Server oder Ähnliches.

Risiko:
Bei Arbeiten im Bereich der Kabelführung, wie z.B. unsachgemäßer Handhabung oder Sabotage kann es zur Beschädigung der Leitungen, Anschlussdosen oder Verteilerreinrichtung kommen.

Auswirkung:
Die betroffenen Endgeräte können Netzwerkdienste nicht mehr erreichen. Bei derartigen Schäden ist ohne einen Wartungsvertrag und je nach Schaden, bzw. Verfügbarkeit der dafür zuständigen Techniker, sowie des Materials mit mindestens einem Tag, bis zu einer Woche Ausfall zu rechnen. 

Lösung:
Eine schnelle Reparatur von kleineren Schäden an Anschlussdosen und Verteilereinrichtungen kann durch entsprechend ausgebildete hauseigene Mitarbeiter und eine begrenzte Materialvorhaltung, sowie relativ preiswertes Werkzeug gewährleistet werden (Wiederherstellungszeit - ca. 1 Stunde).

Bei besonders wichtigen Endgeräten/Servern kann eine redundante Anbindung, sinnvollerweise über getrennte Kabelwege und gegebenenfalls an einen getrennten Verteilerpunkt, vorgesehen werden (Wiederherstellungszeit - ca. 10 Minuten). Alternativ kann ein mobiles FunkLAN Notfallset bereitgestellt werden, das im Schadensfall innerhalb kurzer Zeit, z.B. mit hauseigenen Kräften in Betrieb genommen werden kann (Wiederherstellungszeit - ca. 1/2 Stunde). 
Hier ist auch die Montage des Funklan´s für eine dauerhaft sofort verfügbare Redundanz denkbar (Wiederherstellungszeit - ca. 10 Minuten).

Anmerkungen:
In der Regel werden nur sehr wichtige Arbeitsplätze oder Server von vorne herein redundant angebunden. Ein Servicevertrag für Verkabelungssystem wird üblicherweise nicht abgeschlossen, hier empfiehlt sich die Vorhaltung eines kleinen Handlagers für die wichtigsten Komponenten.

2.b. Backboneverkabelung (Sekundär- und Primärbereich)

Kabelverbindungen (Glasfaser Multimodetechnik) zwischen Bereichsverteilern untereinander und je nach Konzept mit einem Hauptverteiler. Backboneverbindungen in einem Gebäude werden üblicherweise als Sekundärbackbone bezeichnet. Primär Backboneverbindungen beschreiben die Leitungen zwischen Gebäuden mit eigenem internen Sekundärbäckbone 

Risiko:
Bei Arbeiten im Bereich der Kabelführung, im Aussenbereich (Erde, Kanäle, Rohre, Freiluft) oder bei Beschädigungen im Verteilerbereich, wie z.B. unsachgemäßer Handhabung oder Sabotage kann es zur Beschädigung der Leitungen, Anschlussdosen oder der Verteilerreinrichtung kommen.

Auswirkung:
Die betroffenen Gebäude/Etagen oder Netzwerkteile mit mehreren Gebäude/Etagen können zentrale Netzwerkdienste nicht mehr erreichen. Bei derartigen Schäden ist ohne einen Wartungsvertrag und je nach Schaden, bzw. Verfügbarkeit der dafür zuständigen Techniker, sowie des Materials mit mindestens einem Tag, bis zu einer Woche Ausfall zu rechnen.

Lösung:
Eine schnelle Reparatur von Schäden an Glasfaserverbindungen kann in der Regel nicht durch hauseigene Mitarbeiter aus-geführt werden, da hierzu Mess- und Montagesysteme mit sehr hohen Kosten notwendig sind. (Ein Satz für Spleißtechnik ca. 50-120 Tsd. DM).
Bei wichtigen Verbindungen sollte im Rahmen eine Backbone-Redundanzkonzeptes eine redundante Anbindung, sinnvollerweise über getrennte Kabelwege vorgesehen werden (Wiederherstellungszeit - sofort oder bis ca. 30 Minuten). Alternativ kann ein mobiles FunkLAN Notfallset (max. 22 Mbps brutto) bereitgestellt werden, das im Schadensfall innerhalb kurzer Zeit, z.B. mit hauseigenen Kräften in Betrieb genommen werden kann (Wiederherstellungszeit - ca. 1 Stunde). 
Hier ist auch die Montage des Funklan´s für eine dauerhaft sofort verfügbare Redundanz denkbar, das auch mit einer automatischen Redundanzschaltung der LAN Switches gekoppelt werden kann (Wiederherstellungszeit - sofort bis ca. 30 Minuten)

Anmerkungen:
In der Regel werden Backboneverbindungen von vorne herein redundant konzipiert und angebunden. Ein Servicevertrag für Verkabelungssysteme wird üblicherweise nicht abgeschlossen.

2.c. Verteilereinrichtungen (Passiv)

Eine Verteilereinrichtung beinhaltet in der Regel die Anschlüsse für Endgeräte und Backboneverkabelung und die aktive Netzwerkübertragungstechnik. Man unterscheidet, je nach Konzept zwischen Unter- und Hauptverteiler.

Risiko:
Bei Arbeiten am Verteiler oder Beschädigungen durch Wasser, Feuer oder Ähnlichem kann es zur Beeinträchtigungen einzelner Verteilerbereiche oder des gesamten Verteilers kommen.

Auswirkung: (Komplettausfall)

Die betroffenen Endgeräteanschlüsse, incl. Server usw. und andere hier angebundene Verteiler können entsprechende Netzwerkdienste nicht mehr erreichen. Bei derartigen Schäden ist ohne einen Wartungsvertrag und je nach Schaden, bzw. Verfügbarkeit der dafür zuständigen Techniker, sowie des Materials mit mindestens mehreren Tagen, bis zu mehreren Wochen Ausfall zu rechnen.

Lösung:

Eine schnelle Reparatur von Verteilereinrichtungen beschränkt sich auf den Ausfall von Teilbereichen, wie unter den Rub-riken Endgeräteverkabelung und Backboneverkabelung bereits beschrieben. Ein Komplettausfall ist z.B. bei einem Brand nur sehr aufwendig wieder herzustellen. Eine Wiederherstellungszeit ist kaum zu kalkulieren und kann je nach Größe und Ausstattung bis zu mehreren Wochen dauern. Bei wichtigen Gebäuden/Bereichen kann im Rahmen eines Backbone-Redundanzkonzeptes über einen redundant vorgesehenen Verteiler, an einem vom ersten Verteiler räumlich getrennten Punkt mit redundanter Anbindung an wichtige Endgeräte und Backboneverbindungen, nachgedacht werden. Alternativ kann ein mobiles FunkLAN Notfallset bereitgestellt werden, das im Schadensfall innerhalb kurzer Zeit, z.B. mit hauseigenen Kräften in Betrieb genommen werden kann (Wiederherstellungszeit - ca. 1 - 8 Stunden). 
Hier ist auch die Montage des Funklan´s für eine dauerhaft sofort verfügbare Redundanz denkbar (Wiederherstellungszeit - sofort bis ca. 30 Minuten).

Anmerkungen:

In Einzelfällen können hier auch Server, Router und andere zentrale EDV Systeme mit untergebracht sein und von einem Schaden in Mitleidenschaft gezogen werden.

Bei kritischen Anwendungen in mehreren Bereichen des Backbones kann mit einem zweiten räumlich getrennten redundanten Backbone eine Notfallversorgung garantiert werden.

3. Netzwerkübertragungsgeräte (Aktiv)

Die Netzwerkübertragungsgeräte verbinden auf der Basis standardisierter Netzwerkprotokolle die Endgeräte an den Arbeitsplätzen mit zentralen Diensten wie z.B. Server, Internet oder Drucker. Man unterscheidet, je nach Konzept zwischen Backbone- und Arbeitsgruppengeräten (z.B. Switches).

Risiko

Bei Arbeiten am Verteiler oder Beschädigungen durch Wasser, Feuer, Überspannung oder Ähnlichem kann es zum Ausfall einzelner Arbeitsplätze oder Backboneverbindungen, sowie zum Ausfall eines kompletten Gerätes mit allen angeschlossenen Verbindungen kommen. Durch die empfindliche Elektronik und den Anschluss an das 230V Stromnetz (Niederspannungsversorgung) ist hier eine besondere Gefährdung gegeben. Durch die zentrale Bedeutung für die Datenkommunikation sollte diesen Systemen und deren Sicherheit besondere Beachtung zukommen.

Auswirkung:

Je nach Schaden und Einsatzzweck können betroffene Endgeräte, Server, Internet oder Backboneverbindungen zu anderen Verteilern ausfallen. Je nach Schaden und Funktionalität ist ohne einen Wartungsvertrag mit mehreren Wochen Wiederbeschaffung oder Reparaturzeit zu rechnen. (Wiederbeschaffungszeit: üblicherweise 4-8 Wochen). Je nach Konzept ist bei Backboneswitches das ganze Netzwerk und bei Arbeitsgruppenswitches nur ein Teil betroffen. Je nach Funktionalität der Komponenten kann auch eine aufwendig vorzunehmende Softwarekonfiguration im System betroffen sein.

Prävention:

Empfehlenswert ist in jedem Fall die Abkopplung vom normalen Stromversorgungsnetz über eine Online-USV (Unterbrechungsfreie Stromversorgung) die neben der zeitlichen Pufferung von Stromausfällen auch die Beschädigung durch allgemein übliche Spannungsspitzen (Netzschwankungen und indirekter Blitzeinschlag) wirksam verhindern kann. Alternativ zu einer großen zentralen USV Anlage können auch kleine dezentrale Geräte im jeweiligen Verteilerschrank eingesetzt werden.
Zusätzlich können bei hochwertigen Komponenten auch das leider empfindlichste Teil der Elektronik, das Netzteil mit einem automatisch umschaltenden redundanten Netzteil (Backup Powersuply) ausgestattet wird. Im Schadensfall entsteht keine Unterbrechung. Des weiteren kann bei einigen modernen sogenannten Backboneswitches auch die Elektronik redundant ausgelegt werden, so das auch hier keine Unterbrechungen auftreten können.
Je nach Funktionalität der Komponenten sollten von aufwendig vorzunehmenden Softwarekonfigurationen eine Backup auf Flash Speicher oder anderen Datenträgern gesichert werden. Selbstverständlich wird auch eine detaillierte und laufend aktualisierte Dokumentation aller Netzwerkeinrichtungen benötigt.

Lösung:

Um möglichst schnell ein ausgefallenes Netzwerkgerät zu ersetzen, kann entweder ein entsprechender Servicevertrag mit dem Lieferanten abgeschlossen werden oder entsprechendes Ersatzequipment bei gleichzeitiger Ausbildung hausinterner Mitarbeiter vorgehalten werden.
Eine schnelle Reparatur von Übertragungsgeräte kann aufgrund der komplexen Elektronik in der Regel nicht Vorort durchgeführt werden. Dies wird auch bei Wartungsverträgen normalerweise durch Austausch der Komponenten gelöst.
Für Geräte mit besonders zeitkritischen Anforderungen empfiehlt sich eine redundante Auslegung wie unter Punkt Prävention beschrieben.
Alternativ kann ein mobiles Funklan Notfallset bereitgestellt werden, das im Schadensfall innerhalb kurzer Zeit, z.B. mit hauseigenen Kräften in Betrieb genommen werden kann (Wiederherstellungszeit - ca. 1-8 Stunden). Hier ist auch die Montage des Funklan´s für eine dauerhaft sofort verfügbare Redundanz denkbar (Wiederherstellungszeit - ca. 10 Minuten).

Anmerkungen:

Alle Vorsorgemaßnahmen die für zentrale Dienste wie Server, Router und andere zentrale Systeme sinnvoll sind, sollten auch auf die Netzwerkübertragungsgeräte angewendet werden.


© copyright @ Bachert Datentechnik GmbH 2018