Einführung Network Access Control

 Cisco ISEAlcatel OmniswitchRoutingSwitching802.1xPKI

Aufgrund des zuvor durchgeführten Pilot-Projektes viel die Produktauswahl auf die Cisco Identity Services Engine (ISE). Im Rahmen des Projektes wurden ca. 200 Switche (Alcatel und Cisco) angepasst und vorbereitet. Nach der Erstellung der notwendigen ISE-Policys konnte die Einführung Standort für Standort erfolgen.

Pilot Network Access Control

 Cisco ISEAlcatel OmniswitchRoutingSwitching802.1xPKIKonzeptionValidierung

Aufgrund eines durchgeführten TISAX-Audits wurde die Einführung einer unternehmensweiten Network Access Control Lösung gefordert. Damit diese die Anforderung erfüllt und sich bestmöglich in die bestehende Infrastruktur integriert, wurden verschiedene Ansätze getestet.

Firewall Redesign

 FortigateFortimanagerSecuritykonzepteOptimierungProjektsteuerungFirewalls

Aufgrund einer vorherigen 1:1-Migration vorhandener Firewalls, auf eine neue Firewall-Plattform (Fortigate), entstand ein aufgeblähtes und unüberschaubares Regelwerk welches kaum noch zu administrieren war. Außerdem blieben zentrale Managementfunktionen ungenutzt und modernere Ansätze wurden nicht berücksichtigt. Durch eingehende Analyse und eine Konzeptionelle Neugestaltung konnte die Administrierbarkeit und Effizienz deutlich gesteigert werden. Das erstellte Konzept dient ab sofort als Leitfaden für künftige Änderungen.

Network Automation & Network Discovery

 Network Automationnetboxslurp’itSwitchingRoutingAzure Networking

Mit Hilfe der eingesetzten, automatisierten Network Discovery Lösung werden Veränderungen im Netzwerk automatisch protokolliert und Daten mit den entsprechenden Managementsystemen (IPAM, Assett-Mangagement, usw.) ausgetauscht und aktualisiert. Dies führt zu einer singnifikanten Verringerung der Aufwände für die Aktualisierung der Dokumentation. Außerdem können Fehlkonfigurationen schneller erkannt und behoben werden.

Network Refresh Hardware / Network Layout (worldwide)

 Netzwerk HardwareNetzwerk MigrationNetzwerk Architektzero-touch-provisioning

Aufgrund des auslaufenden Supports/EOL der Netzwerk-Hardware an 12 weltweiten Standorten, muss diese erneuert werden. Im Zuge der Hardwareerneuerung wurde, in Zusammenarbeit mit lokalen Admins, das aktuelle Netzwerk-Layout überprüft und an einigen Standorten neu definiert. Alle erfassten Informationen und Restrukturierungen legten die Grundlagen für die Erstellung eines Lastenheftes, als Basis der erforderlichen Ausschreibung.

MPLS-Ablösung weltweit / Cisco Meraki MESH-VPN / SD-WAN

 Azure NetworkingCisco MerakiRoutingSD-WANSwitchingVPN

Das MPLS-Netz zwischen den 12 weltweiten Standorten sollte aus wirtschaftlichen Gründen durch eine kostengünstigere Alternative ersetzt werden. Gleichzeitig musste aber die Ausfallsicherheit, Verfügbarkeit und Bandbreite nicht nur erhalten, sondern verbessert werden. Die Umstellungen aller Niederlassungen, der Zentrale und der Rechenzentren, fanden während der laufenden Produktion statt. Somit mussten Unterbrechungen auf ein Minimum reduziert werden.

Pilot Network Automation / netYCE

 Network AutomationPythonnetyce

Um die immer wiederkehrenden administrativen Arbeiten effizienter zu gestalten, sollte eine Network Automation Lösung eingeführt werden. Eine Hauptanforderung war, Geräte herstellerunabhängig über ein System managen zu können. Außerdem sollte die Möglichkeit bestehen, nicht autorisierte Änderungen zu erkennen und auf einfache Weise rückgängig machen zu können. Zu diesem Zweck wurde eine virtuelle Managementappliance des Herstellers NetYCE implementiert.

Cisco Administration

 Cisco ASAsCisco ASR1001XCisco Administration und WeiterentwicklungCisco Catalyst 6500Cisco NexusSecuritykonzepte

Langfristiges Administrationsprojekt für den Betrieb und die Weiterentwicklung der Netzwerkinfrastruktur. Bestandteil der Aufgaben ist sowohl das Trouble-Shooting eventueller Störungen, Hardwareaustausch, Betreuung der acht ASA Firewall-Cluster und zahlreicher Access-Switche, sowie die Betreuung der verschiedenen WAN-Verbindungen zwischen Berlin und Bonn.

Cisco Core Erneuerung

 Cisco CatalystMigrationsplanung & DurchführungOSPFHSRP

Die Cisco Core-Komponenten an zwei Standorten, bestehend aus vier Cisco Catalyst 4500 sollen gegen aktuelle Hardware der Cisco Catalyst 9500er Serie getauscht werden. Aufgrund gestiegener Anforderungen wird der bisherige Core in einen Distribution- und einen Server-Core aufgetrennt. Außerdem kommen mit den Catalyst 9500er Switchen Geräte mit deutlich höherer Portdichte zum Einsatz. Gleichzeitig werden die Core-Komponenten untereinander nun mit je zweimal 40Gbit/sec verbunden.

Azure Client VPN Access

 Cisco ASAClient-VPNAzure Networking

Damit die Client-VPN Einwahl nicht von der Verfügbarkeit eines einzelnen Standortes abhängt, sollte das zentrale VPN-Gateway als virtual Appliance innerhalb der vorhandenen Azure Subscription betrieben werden und nicht mehr am Standort des HQ. Zum Einsatz kam eine virtual ASA von Cisco.

MPLS-Ablösung / Cisco Meraki MESH-VPN

 Azure NetworkingCisco MerakiRoutingSD-WANSwitchingVPN

Die vorhandene MPLS-Infrastruktur sollte durch eine kostengünstigere Alternative ersetzt werden. Zu diesem Zweck wurden in den 7 Niederlassungen Cisco Meraki MX Firewall-Cluster ausgerollt und diese per MESH-VPN verbunden. Zur Anbindung der Azure-Ressourcen kam eine Cisco Meraki vMX zum Einsatz.

Azure virtual WAN

 Azure NetworkingKonzepterstellungRoutingVirtual WAN

Vernetzung der 12 weltweiten Niederlassungen über Azure virtual WAN. Hierdurch sollten zentrale Azure workloads besser zugänglich gemacht werden. Außerdem alternative Vernetzungswege gebildet und die Administration vereinfacht werden.

Firewall Erneuerung

 FirewallsBarracudaPaloAltoSecuritykonzepteDokumentation

Zwei aus der Wartung ausgelaufenen Firewall-Cluster sollten gegen ein SD-WAN fähiges Barracuda Firewall-Cluster ersetzt werden. Im Rahmen der Transition-Phase mussten MPLS-Strecken angepasst und DMZs neu ausgerichtet werden. Außerdem wurde eine grundlegende Policy-Matrix erarbeitet, welche alle weltweiten Standorte mit abdeckt.

Network Engineering

 Alcatel OmniswitchCisco CatalystKonzeptionNetzwerkadministrationRoutingSwitchingstrategische Planung

Aufgrund der Zusammenlegung dezentraler Strukturen an einen Standort, muss der noch bestehende 'Wildwuchs' im Netzwerkbereich aufgeräumt und zukunftssicher gemacht werden. Außerdem muss die komplette Netzwerkinfrastruktur den immer größeren Kundenanforderungen an die Umsetzung diverser Industrie 4.0 Themen Rechnung tragen. Darüber hinaus stehen die Themen IT-Security, unkomplizierte Administrierbarkeit und flexible Segmentierung im Fokus der Planungen.

OpenWLAN II

 AusleuchtungsmessungenCisco WIFIKonzepterstellungRoutingSwitching

Die vorhandene WIFI-Infrastruktur aus dem Projekt 'OpenWLAN I' soll weiter ausgebaut werden, so dass eine flächendeckende Verfügbarkeit, innerhalb der Ministeriums-Standorte, garantiert werden kann. Um den Hardwarebedarf besser einschätzen zu können, wird aufgrund entsprechender Messungen vor Ort, ein Ausleuchtungskonzept erstellt. Darauf basierend kann sowohl die Anzahl notwendiger APs, wie auch die Anzahl zusätzlicher Netzwerkports für deren Anbindung bestimmt werden.

OpenWLAN I

 AusleuchtungsmessungenCisco WIFIKonzepterstellungRoutingSwitching

Die vorhandene WLAN-Infrastruktur muss vor der Einführung eines OpenWLAN erneuert werden um die definierten Anforderungen erfüllen zu können. Unter anderem soll eine Bandbreitenbegrenzung auf SSID-Ebene durchgeführt werden. Darüber hinaus soll ein performanter Contentfilter in der neuen Umgebung betrieben werden und aktuelle Sicherheitsanforderungen müssen berücksichtigt werden.

Interims Netzwerkadministration

 BSI-GrundschutzCisco CatalystCisco NexusFirewallsMonitoringNetzwerkadministrationPaloAlto

Nach dem Weggang des fest angestellten Administrator wurde die Stelle übergangsweise besetzt bis ein neuer Administrator, in Festanstellung, gefunden wurde. Zu den Aufgaben gehörte die konzeptionelle Überprüfung der vorhandenen Netzwerkarchitektur, mit punktuellen Verbesserungsvorschlägen, die Wartung und laufende Anpassung aller beteiligter Komponenten und der Umbau des vorhandenen Monitoring Systems. Darüber hinaus die Wartung und Aktualisierung des PaloAlto Firewall Clusters, sowie die grundlegende Einführung des BSI-Grundschutz. Außerdem die Auswahl möglicher Kandidaten für die dauerhafte Besetzung der ausgeschriebenen Stelle.

Code Pipeline Management 2 / docker

 DockerLinuxPythonGo

Die im Projekt 'Code Pipeline Management 1' eingeführte docker-Infrastruktur soll auf den aktuellen Stand gebracht werden. Zusätzlich sollen Funktionen wie Autobuild von docker-Images und eine Versionsverwaltung der Images mit gitLab eingeführt werden.

Proxmox VE Virtualisierungsumgebung

 VirtualisierungVMwareProxmoxLinuxRoutingSwitching

Die vorhandenen Virtualisierungslösungen sollten durch eine einheitliche und hoch verfügbare Umgebung ersetzt werden. Zu Projektbeginn liefen alle virtuellen Maschinen auf 12 verschiedenen Servern in unterschiedlichen Umgebungen (KVM, VMware, lxc). Hochverfügbarkeit war zu diesem Zeitpunkt nicht gegeben. Alle vorhandenen VMs sollten auf ein proxmox-VE Cluster migriert werden um Hochverfügbarkeit und eine zentrale Datensicherung gewährleisten zu können. Außerdem sollten alle VMs inklusive der proxmox Hosts mit checkMK überwacht werden können.

Network Access Control (NAC)

 FreeradiusRadius802.1xPKIRoutingSwitchingCisco Catalyst

Aufgrund erweiterter Sicherheitsanforderungen soll das Einbringen fremder Hardware ins Firmennetz verhindert werden. Hierzu wird ein Radius Server verwendet, der mit Hilfe des 802.1x-Standards und entsprechend konfigurierter Switche, die jeweiligen Netzwerkports nur nach erfolgreicher Authentifizierung aktiviert. Darüber hinaus wird das richtige VLAN automatisch je nach LDAP-Gruppe des authentifizierten Benutzers dem Switchport zugewiesen.

Einführung Netzwerk HA

 Cisco CatalystHP EnterpriseHigh Availability

Zuerst wurde die komplette Netzwerkinfrastruktur redundant ausgelegt (Router, Switche, Firewall, WAN-Anbindung). Danach konnten alle Server mit zusätzlichen Netzwerkkarten ausgestattet werden, so dass diese ebenfalls doppelt angebunden sind. Das ESXi-Cluster wurde um zusätzliche Server erweitert, so dass die Funktionsweise auch bei einem Ausfall von einem oder zwei Servern gewährleistet ist. Als letzter Punkt wurde die Backup-Infrastruktur in ein Rechenzentrum verlagert, so dass ein Notbetrieb auch bei einem kompletten Standortausfall gegeben ist.

Vernetzung von Standorten via VPN

 FirewallingVPNpfsenseIPSecopenVPN

Das Projektziel war die Vernetzung von verschiedenen Holding Standorten mit Hilfe von VPN-Verbindungen und das Erstellen von Accesslisten für die jeweiligen lokalen Ressourcen. Zum Einsatz kamen pfsense Firewall Appliances die mit Hilfe von IPSec VPN Verbindungen miteinander vernetzt wurden. Außendienst Mitarbeitern wurden mit Hilfe von openVPN Verbindungen Zugänge zu den jeweiligen Niederlassungen und zu den remote Standorten ermöglicht.