Compliance von Netzwerkgeräten mit DeviceExpert prüfen

Montag, den 20. Juni 2011 um 12:06 Uhr

In diesem Artikel werden die Compliance-Checks der Konfigurationsmanagement Software DeviceExpert vorgestellt. Der erste Teil umfasst eine kurze Einführung in die Compliance-Welt und behandelt die Vorteile von automatisierten Checks. Im zweiten Teil geht es darum, wie Regeln mit DeviceExpert erstellt werden, die die Konfiguration von Netzwerkgeräten überprüfen. Und es wird erläutert, wie man die Regeln zu Gruppen zusammenfasst und diese sinnvoll einsetzt.

Was ist Compliance? Ein deutscher Ausdruck dafür lautet Regelkonformität, also die Eigenschaft, dass sich etwas wie erwartet verhält. Der Duden bezeichnet es als "regelgerechtes, vorschriftsgemäßes, ethisch korrektes Verhalten". In der IT versteht sich Compliance natürlich weniger ethisch und dafür mehr technisch. Eine Router-Konfiguration ist neudeutsch "compliant", wenn sie ein festgelegtes Sicherheitslevel erfüllt und sich an Best Practices, also bewährte Lösungen, hält. Einfach gehalten: Wenn eine Firma bestimmt, dass Admin-Passwörter auf den Switches nur verschlüsselt gespeichert werden dürfen, erfüllen Geräte mit verschlüsseltem Admin-Passwort die Firmen-Compliance.

Compliance-Checks dienen zur Überprüfung der Compliance. Meist sind Administratoren dafür zuständig. Configuration Management Software im Netzwerkbereich automatisiert diese Checks, da sie einen hohen Aufwand mit sich bringen. Wenn es in einem Unternehmen 20 Compliance-Regeln für 10 Switches gibt, ergibt das 200 Einzelaktionen – je nachdem wie die Aufgaben aufgeteilt werden. Generell stellt sich die Frage, warum man diesen Aufwand überhaupt betreiben sollte. Hier drei Gründe:

• Angreifer suchen sich im Netzwerk die schwächste Stelle. Die Netzwerkgeräte sollten immer wieder auf kurze Passwörter oder laxe Passwortrichtlinien, unbenutzte und gefährdete Dienste, veraltete Firmware und vor allem Konfigurationsfehler überprüft werden.

• Entgegen der landläufigen Meinung führen Individuallösungen im Gegensatz zu Standardisierung zu Sicherheitslücken und Fehlfunktionen. Daher die Konfiguration von Netzwerkgeräten so gut es geht vereinheitlichen und Best Practices einsetzen.

• Netzwerkgeräte-Konfigurationen wachsen historisch. Selten werden alle Konfigurationen vollständig überarbeitet, so dass Compliance-Berichte aufzeigen, ob und was geändert werden sollte.

ManageEngine Device Expert verwendet für Compliance-Checks eine dreischichtige Architektur:

• Policy

  Eine "Policy" hat mehrere "Rule Groups" und kann zeitversetzt auf einem oder mehreren Geräten ausgeführt werden.

  • Rule Group

    Eine "Rule Group" umfasst eine oder mehrere "Rules".

    • Rule

      Eine "Rule" oder Regel überprüft eine Eigenschaft einer Konfiguration. Im Folgenden wird beschrieben, wie dies entweder mit einfachen Abfragen oder umfangreichen regulären-Ausdrücken (Regex) geschehen kann.

Zuerst öffnen wir die Startseite unserer Device Expert-Installation mit einem Webbrowser und klicken im oberen Menü auf "Compliance".

Anschließend gelangen wir über den Reiter "Rule" und den Button "New Rule" zum Formular "Compliance Rule Details".

Wir füllen die Felder "Rule Name" mit "Bandbreite für NetFlow definiert" sowie Description – kurzer Beschreibungstext – aus und klicken auf "Advanced Custom Criteria". Warum "Advanced Custom" statt den anderen zwei Möglichkeiten? Mit "Simple Criteria" überprüfen wir, ob eine oder mehrere statische Zeilen in der Konfigurationsdatei enthalten sind. Statisch bedeutet in diesem Zusammenhang, dass die Zeilen keine Werte enthalten, die auf den Geräten verschieden sind. Es können also keine gerätespezifische Parameter wie eine IP-Adresse oder eine Gerätename unterschieden werden. Mit "Advanced Criteria" hingegen ist dies möglich: Angenommen, wir wollen die Regel erstellen, dass es zu jedem Interfaces eines Geräts in der Gerätekonfiguration eine Beschreibung geben soll, dann kann dies mittel regulärer Ausdrücke umgesetzt werden. Eine Einleitung zu Regex gibt es hier.

Der Unterschied zwischen "Advanced" und "Advanced Custom" liegt darin, dass letzteres sehr variabel die Eigenschaften von Konfigurationsblöcken überprüft. Beispiel: Wir hinterlegen Bedingungen für Anfang und Ende des "Config Blocks". Hinzu kommt die Möglichkeit, zusätzliche Bedingungen im "Config Block" abzufragen. Ein Beispiel für die Bedingungen befindet sich unterhalb. Zuletzt legen wir fest, welche Dringlichkeit diese Compliance-Regel hat und können einen Lösungsvorschlag eingeben.

In der Grafik konfigurieren wir eine Regel, die Folgendes anzeigt:

1. Es werden alle Interfaces einer Konfiguration durchsucht, die NetFlow-Daten exportieren.

2. Für jedes solches Interface muss eine Bandbreite angegeben sein.

3. Falls bei einem Interface die Bandbreitenangabe fehlt, wird dies als kritischer Fehler markiert.

Nun fügen wir unter dem Reiter "Rule Group" eine neue Regelgruppe hinzu und weisen ihr die soeben erstellte Compliance-Regel zu.

Anschließend legen wir unter dem Reiter "Policy" eine neue "Policy" an und geben ihr einen Namen sowie eine Beschreibung.

In diesem Formular wählen wir aus, ob die Startup- oder Running-Konfiguration geprüft werden soll, und legen das Verhalten der "Policy" bei Regelverletzungen fest. Zuletzt weisen wir die Regelgruppe hinzu.

Nun navigieren wir über das obere Menü zur Liste aller Compliance-Policies. Mit einem Klick auf "Associate" können wir Geräte oder Gerätegruppen mit der Policy verknüpfen. Nach dem Speichern geht Device Expert automatisch die Regeln der Policy durch und überprüft die Compliance der Gerätekonfigurationen.

Klicken wir auf den Namen einer Policy anstatt auf "Associate", gelangen wir zur Übersicht der letzten Compliance-Checks. Auf einen Blick sehen wir, wann die letzte Überprüfung stattgefunden hat und wie viele Regeln erfüllt sowie nicht erfüllt wurden. Zu den Policies gibt es in Device Expert Berichte, die auch als PDF, XLS oder CSV exportiert als auch versendet werden können.

Mehr zur Configuration Management Software Device Expert.