23. Mai 2019

Mehr Durchblick im Netzwerk: Aruba ClearPass Device Insight

Der neue Detektiv im Netzwerk findet alle Netz-, User- und IoT-Geräte, seien es wenige Hunderte oder viele Tausende. Der innovative Geräte-Spürhund sortiert sie alle in Kategorien wie Android-Handys, Apple iPhones, und schafft damit mehr Transparenz im Netz, folglich mehr Sicherheit.

Die Flut der Geräte im Netzwerk wächst und wächst: Smartphones, Laptops, Tablets, Drucker, smarte Uhren, Sprach-Assistenten, BYOD-Geräte, aber auch herkömmliche PCs, Workstations, Server, Router, Switches, Funkstationen für WLAN, Zigbee, DECT und Bluetooth sowie eine rasant anschwellende Zahl an IoT-Sensoren. Oft sieht der IT-Admin aber nur deren IP- und MAC-Adressen in seiner Management-Konsole. Doch welche Geräte verbergen sich hinter den nackten Netzwerk-Adressen? Und wurden diese Geräte auch alle ganz legal im Sinne der IT-Abteilung im Netzwerk installiert?

Aruba ClearPass Device Insight im Überblick (Bild: Aruba)

Passive Spürhunde: SPAN und DHCP

Aruba ClearPass Device Insight will den Durchblick im Geräte-Dschungel verbessern: Zu diesem Zweck installiert der Aruba-Anwender entsprechende Kollektoren in der Firmenzentrale und in den Niederlassungen. Es gibt sie als physikalische Appliances in drei verschieden mächtigen Aruba-Modellen für 500, 5.000 oder 25.000 Netz-Geräte, oder als virtuelle Maschinen für Hardware. Diese hoch speziellen Spürhunde durchsuchen das komplette Netzwerk automatisch nach jedweden Geräten unter Einsatz von passiven Methoden wie SPAN und DHCP.

Aktive Spürhunde: WMI, SSH, SNMP, NMAP

Falls das nicht reicht, können die Kollektoren auch aktive Suchmethoden anwenden, etwa WMI, SSH, SNMP und NMAP (Erklärung weiter unten). Natürlich lässt sich auch definieren, welche Kollektoren welche Subnetze mit welchen Suchmethoden durchforsten sollen. Zudem kann der User festlegen, wann und wie oft die Netze oder Subnetze nach Geräten abgesucht werden sollen.

Kollektoren spüren Eigenschaften von Netzwerk-, User- und IoT-Geräten einer Organisation auf und senden sie zur weiteren Klassifizierung in die Aruba Cloud (Bild: Aruba).

Device Insight Analysator gruppiert Geräte

Die Kollektoren senden ihre Ergebnisse an den Device Insight Analysator in der Aruba Cloud. Jener ordnet die detektierten Netz-Geräte in vordefinierte System-Kategorien, in User-definierte Kategorien und in eine dritte Gattung völlig unbekannter Geräte. Jede Kategorie lässt sich noch weiter unterteilen. Darin können die verschiedenen Netzwerk-, User- oder IoT-Devices nach etlichen Unterkategorien sortiert und überwacht werden. Das Ergebnis kann so ähnlich aussehen wie im Aruba ClearPass Device Insight Dashboard des folgenden Bildschirms:

Das Aruba ClearPass Device Insight Dashboard verschafft dem IT-Admin einen Überblick über alle identifizierbaren Geräte-Gattungen im Firmennetzwerk (Bild: Aruba).

Geräte-Erkennung

Die aktiven Suchmethoden zur Geräte-Erkennung umfassen: Network Mapper (NMAP), Windows Management Instrumentation (WMI), Simple Network Management Protocol (SNMP) und Secure Shell (SSH). Zu den passiven Suchmethoden gehören: Switch Port Analyzer (SPAN), Dynamic Host Configuration Protocol (DHCP) sowie NetFlow/S-flow/IPFix-Monitoring. Zudem werden die Ziel-IP-Adressen und die Applikationen der überwachten Geräte durch Deep-Packet-Inspection-Methoden (DPI) analysiert.

Geräte-Klassifizierung

Unbekannte Geräte werden aufgrund ähnlicher Attribute in Cluster gruppiert. Danach kann man sie noch weiter in Geräte-Kategorien, Geräte-Familien und Geräte-Typen unterteilen. Dabei können auch Methoden des Crowdsourcing und Machine-Learning (ML) zum Einsatz kommen.

Machine-Learning wertet zahlreiche Attribute von Netzwerk-Geräten aus, um sie anschließend in möglichst granulare Gattungen einsortieren zu können (Bild: Aruba-Webinar April 19)

Machen wir ein Beispiel: Wenn eine Netzwerkanalyse eine Pelco-Kamera nur als Windows Device erkennt, ist das bei Tausenden von Geräten noch nicht besonders aufschlussreich. Eine weitere Klassifizierung in „Pelco Gerät“ oder gar „Pelco Security Kamera“ ist schon viel hilfreicher. Erkennt der Aruba Device Insight Analysator das Gerät dank Deep-Packet-Inspection, Machine-Learning und weiteren Methoden sogar als „Pelco Sarix Enhanced IME+ Next Generation IME229-1RS Network Surveillance Camera“, so ist diese Information für Netz- und Sicherheits-Verantwortliche wesentlich wertvoller.

Aruba ClearPass Device Insight gibt sich mit der bloßen Erkennung eines „Windows Device“ nicht zufrieden. Der Device Analysator in der Aruba Cloud setzt Deep-Packet-Inspection, Machine-Learning und weitere Methoden ein, um das Gerät als „Pelco Sarix Enhanced IME+ Next Generation IME229-1RS Network Surveillance Camera“ zu erkennen (Bild: Aruba-Webinar April 19)

Fazit

Aruba ClearPass Device Insight hilft Netzwerk- und Sicherheits-Admins, neue und bekannte Geräte im Netzwerk zu entdecken, zu überwachen und in verschiedene Gattungen zu klassifizieren: Etwa IoT-Sensoren, Medizinische Geräte, Drucker, Laptops, VoIP-Telefone, Computer, Router, Server und Switches gleicher oder auch verschiedener Hersteller. Mehr Durchblick schafft im Zweifel auch mehr Sicherheit im Netzwerk.

 

Quelle Titelbild: Image by Gerd Altmann from Pixabay

Kontakt
Fragen?

Nehmen Sie Kontakt mit uns auf!

Telefon: +49-89-413266-0
E-Mail: info@microstaxx.de

Vertrauen und IT sind oft gar nicht so einfach zusammen zu denken. Welche Technologien und Strukturen bieten die höchste Performance? Die beste Sicherheit? Die größtmögliche Flexibilität? Die umfassendsten Optionen für Erweiterungen? Welche Anforderungen auch immer im Fokus stehen – wir entwickeln als Partner Lösungen ganz im Sinne unserer Kunden. Um Bestehendes zu sichern. Um die Basis für neue Ideen zu legen. Um die Chancen aktueller Entwicklungen zu nutzen. Und um als Managed Service Provider den Betrieb zu jeder Zeit sicherzustellen. Das verstehen wir unter ‚Trust your IT – managed by microstaxx‘.