Bereits seit 2006 schützt die BSR ihr heterogenes IT-Netzwerk zuverlässig mit macmon

    Die Berliner Stadtreinigung vertraut bereits seit 2006 auf die NAC-Lösung macmon. Bilanz: umfassende Transparenz über alle im Netz befindlichen Geräte, klare Reduzierung des administrativen Aufwands und zuverlässiger Schutz vor den aktuellen Bedrohungsszenarien.
     

    Die Berliner Stadtreinigung zählt mit rund 5.300 Beschäftigten und einem Umsatz von 485 Millionen Euro europaweit zu den größten kommunalen Unternehmen der Entsorgungsbranche. Die IT-Landschaft der BSR umfasst heute ca. 2.300 User, knapp 2.000 PC-Arbeitsplätze, 600 Notebooks, 600 Drucker, über 300 Server und 320 Switche verschiedener Hersteller, einschließlich knapp 200 Winterfahrzeugen, die ihre Tourendaten per WLAN ins Netz liefern. Insgesamt sind in macmon zur Zeit 4.500 MAC-Adressen hinterlegt, wovon ca. 3.500 durchschnittlich pro Tag aktiv sind. 

    Key Facts zu Anwenderbericht BSR

    Größte Herausforderungen:

    • Heterogene IT-Infrastruktur
       

    Gründe für macmon NAC:

    • Herstellerunabhängigkeit
    • Einfache Integration
    • Leichte Administration
    • Bedarfsgerechter Netzwerkschutz

    Erfolge durch macmon NAC:

    • Schaffen einer zentralen Sicherheitsinstanz
    • Umfangreiche Analysemöglichkeiten und Reporting

    Lokalisierung und Überwachung aller – einschließlich nicht 802.1X-fähiger Geräte im Netz

    Auslöser für die Beschaffung von macmon war die im Jahre 2004 geäußerte konkrete Forderung des Wirtschaftsprüfers, im Hause einen Netzwerkzugangsschutz zu etablieren. In einem ersten Schritt wurde überlegt, den für den Netzwerkzugangsschutz verfügbaren Standard IEEE 802.1X einzuführen.

    Frank Basler

    verantwortlicher Projektleiter der GE IT-Services, Bereich Netze

    „Dabei sind wir schnell an die Grenzen dieses Standards gestoßen, da Drucker oder auch IP-Telefone nicht zufriedenstellend unterstützt werden.“

    Da bei der BSR außerdem eine Erweiterung der vorhandenen Switches geplant war und man herstellerseitig flexibel sein wollte, war eine herstellerunabhängige Lösung gefragt. Nach der Evaluierung, die im Rahmen eines Ausschreibungswettbewerbs stattgefunden hat und umfassender Teststellung entschied sich die BSR für die NAC-Lösung macmon der macmon secure GmbH (zuvor mikado soft). „Die Ergebnisse haben uns überzeugt. Unsere Erwartungen an eine einfach zu installierende, leicht integrierbare und unkompliziert zu administrierende Sicherheitslösung wurden in überzeugender Weise erfüllt. Der Netzwerkschutz, den macmon uns bietet, ist genau auf unsere Bedürfnisse zugeschnitten. Aufgrund der Unterstützung bestehender Standards und der Herstellerunabhängigkeit der Lösung ist macmon bestens für die bei uns eingesetzten heterogenen Switches geeignet.

    Frank Basler Projektleiter der GE IT-Services

    Berliner Stadtreinigung

    macmon ist seit 2006 bei uns im reibungslosen Einsatz. Mit macmon haben wir Transparenz in unser Netz bekommen, komplexe Informationen fließen hier zusammen und wir können jetzt auch Geräteumzüge oder Geräteausfälle beispielsweise von Druckern schnell erkennen und dokumentieren. Selbst der Tausch von Motherboard-PC-Netzwerkkarten wird sichtbar.

    Erkennt macmon ein unautorisiertes Gerät im Netzwerk, kann über ein individuell konfigurierbares Regelmanagement ein Portblocking eingerichtet werden. Diese Funktion ist aktiviert und beim Auftauchen von unbekannten Geräten wird der jeweilige Port für 20 Minuten blockiert.Ist das Gerät weiterhin im Netz, wird das Portblocking wiederholt, andernfalls kann ein bekanntes Gerät umstandslos angeschlossen werden. Damit wird der administrative Aufwand sehr gering gehalten und mögliche Gefährdungen sofort und konsequent unterbunden.

     

    Frank Basler ergänzt „Mit macmon und der integrierten CMDB-Anbindung agieren wir herstellerunabhängig und reduzieren unseren Administrationsaufwand enorm!.“

     

    Mehrwert durch CMDB-Anbindung und Infoblox-Schnittstelle

    Die Pflege der macmon-Referenzliste erfolgt nicht direkt, sondern wird über eine Import-Schnittstelle zur CMDB geleistet. Da bei der BSR alle im Netzwerk betriebenen Geräte in der CMDB geführt werden, konnte hier Doppelarbeit vermieden werden. Die Prozesse für die Beschaffung und auch für das Change-Management sind bei der BSR bereits nach ITIL organisiert, so dass die CMDB eine sehr gute Basis für die Referenzliste darstellt. Im Zuge der Einführung von ITIL3 ist auch geplant, die in macmon bekannten Standorte der Endgeräte an die CMDB zurückzumelden, was eine wirkungsvolle Verbesserung der Datenqualität bedeutet.

    macmon leistet auch eine große Hilfe bei der Klassifizierung der Geräte. Hier helfen die IP-Adresse der Geräte und die Auflösung der Namen mit DNS. Mit der IP- Adresszuordnung über die Auslesung von ARP-Caches stieß man aber bei Geräten im Außenstellenbereich an Grenzen. Sie waren an fremdverwaltete Netzwerkkomponenten angeschlossen, deren ARP-Caches sich nicht per SNMP auslesen ließen. Mit der Schnittstelle zum InfobloxDHCP-Server ließ sich auch dieses Problem lösen. Jetzt stehen auch die Hostnamen und die Leases der Endgeräte in der Datenbank.

     

     

    „Die Migration vom bestehenden Linux-System lief absolut reibungslos“, so Frank Basler. „Durch die Umstellung auf die Appliance können nun wesentlich mehr Netzwerkeinstellungen konfiguriert werden.“ 

    Die seit einiger Zeit verfügbare „Footprinting“ Option schafft nun noch mehr Transparenz. Es lassen sich der Gerätetyp und auch das eingesetzte Betriebssystem erkennen.

    Ausblick: WLAN-Support

    Die kommende WLAN-Unterstützung durch macmon ist bei der BSR auf großes Interesse gestoßen. WLAN-Infrastrukturen sind bereits im Einsatz, da die Tourendaten der Streufahrzeuge per WLAN im Betriebshof übermittelt werden. Diese Daten sind von besonderer Bedeutung, da für die BSR eine 15-jährige Aufbewahrungspflicht besteht. Die WLAN-Infrastruktur wird aktuell mit proprietären Verfahren gemanagt, eine Integration in macmon ist zur Vereinheitlichung der administrativen Prozesse eine große Hilfe

    Fazit:

    Die BSR hat mit macmon hohe Neuinvestitionen und lange Projektlaufzeiten vermieden, und eine ausgesprochene Optimierung ihres Netzwerkmanagements erfahren. Der Einsatz von macmon ist kostengünstig, Prozesse wurden automatisiert, der administrative Aufwand klar reduziert und das IT-Personal hat nun umfassende Transparenz über alle im Netzwerk befindlichen Geräte“ resümiert Frank Basler, verantwortlicher Projektleiter GE Informationstechnologie IT-Services, Bereich Netze.

    © macmon secure GmbH