Häufige Probleme
Das Andocken an ein Firmen-LAN ist oft zu einfach.
Firmen-LAN's haben den Anspruch einfach benutzbar und zuverlässig zu sein. Oft haben aber diverse Personen wie Besucher, Putzpersonal oder temporäre Mitarbeitende physischen Zutritt zu LAN Anschlussdosen in offen zugänglichen Arbeitsräumen wie zum Beispiel:
- Grossraumbüros
- Sitzungszimmer
- Flure und Nebenräume (Drucker, Informationsterminals, Webcams, …)
- Nicht abgeschlossene Verkabelungsschrankräume
Die Mobilität kann das Problem der nicht autorisierten Benutzer in Ihrem Netzwerk noch verschlimmern, weil Benutzer erwarten dass sie sich einfach ohne weiteres an jede beliebige Netzwerkdose anschliessen können, in jedem beliebigen Raum. Oft sind nicht genug Ethernet-Kabel vorhanden was zum Verwenden von Hubs / nicht verwalteten Switches verleitet, was wiederum sogar noch mehr Möglichkeiten für das Anschliessen von nicht autorisierten Endgeräten eröffnet. Ethernet
LAN-Netzwerkanschlussdosen können für Mitarbeiter aber auch für Putzpersonal, Elektriker, usw. zugänglich sein. Deshalb möchte man eigentlich wissen was alles am Netz angeschlossen ist, wo, wann, so dass der Zugriff durch betrügerische Benutzer verhindert werden kann, welche ein potentielles Sicherheitsrisiko darstellen können indem sie Viren einschleusen, Dienste unterbrechen, Datenverkehr abhören oder auf interne Informationen und Ressourcen zugreifen.
LAN-Netzwerkanschlussdosen können für Mitarbeiter aber auch für Putzpersonal, Elektriker, usw. zugänglich sein. Deshalb möchte man eigentlich wissen was alles am Netz angeschlossen ist, wo, wann, so dass der Zugriff durch betrügerische Benutzer verhindert werden kann, welche ein potentielles Sicherheitsrisiko darstellen können indem sie Viren einschleusen, Dienste unterbrechen, Datenverkehr abhören oder auf interne Informationen und Ressourcen zugreifen.
Dynamische Verwaltung von Kabeln und VLAN's
Änderungen an der Verkabelung sind im Allgemeinen schwierig und teuer.
Immer wenn Mitarbeiter ihr Büro wechseln sollte wenn möglich die bestehende Verkabelungsinfrastruktur wiederverwendet werden können. Patch-Kabel sollten ausserdem dokumentiert sein, so dass der Standort von nicht autorisierten Geräten genau ermittelt werden kann.
- Ist die Verkabelung dokumentiert?
- Erlaubt die Art der Verwaltung des LAN eine einfache Segmentierung von PC's/Endgeräten?
- Werden Kabel dynamisch verwendet, oder sind sie jeweils für einzelne Segmente reserviert?
Die Verwaltung von VLAN's sollte eine einfache Segmentierung von PC's/Endgeräten ermöglichen, und die Segmente sollten durch den Helpdesk / 1st Level Support konfiguriert werden können und keine Intervention von Switch-Spezialisten erfordern. Neue VLAN's sollten innert Minuten, nicht Tagen, konfiguriert werden können.
Kontrolle des Informatiknetzes
- Wissen wir was alles am LAN hängt?
- Können Geräte identifiziert, geortet und einem Eigner zugeordnet werden? (Echtzeit-Inventar)
- Wie setzen wir Sicherheitsbestimmungen für den Zugriff aufs LAN durch, d.h. wie autorisieren oder blockieren wir Endgeräte?
Netzwerkzugriff durch Besucher/Gäste
- Können externe Personen wie Berater und Gäste sich an Ihr Netzwerk anschliessen ohne dass sie auf das Intranet gelangen (interne Dienste, Server, Ressourcen)?
- Ist es möglich diesen Besuchern in einer einfachen und kontrollierten Art und Weise Zugriff zu erteilen?
- Werden solche Besucher erfasst und überwacht?