Ganz normales Chaos im RZ – eine fiktive Story der Baron Münchhausen Universität
Ohne ein belastbares Inventar funktioniert in einem RZ nichts mehr, erst recht keine Automatisierung, IT-Security, Disaster Recovery oder Zertifizierung.
(Bild: iX)
- Daniel Menzel
Die RZ-Dokumentation in Spreadsheets und Fileshares zu verwalten, führt zu Dateninkonsistenz, Fehlern und gipfelt letztlich im Chaos. Dieses Chaos beschreibt dieses Mal eine fiktive Kurzgeschichte. In ihr kämpfen IT-Supporterin Yara und ihre Kollegen scheinbar aussichtslos gegen die Folgen der inkonsistenten Dokumentationen und der Schatten-IT der Fachgebiete. Und doch finden sie einen Ausweg – das Open-Source-Werkzeug NetBox.
Der Angriff
Yara wachte vom Piepen ihres Smartphones auf und quittierte noch im Halbschlaf die Notification des Logservers, dass das Active Directory mit mehr als 1500 Requests pro Sekunde unter Dauerfeuer stehe. 2:32 Uhr, am zweiten Weihnachtstag. Eine ungewöhnliche Zeit für einen Angriff – aber zugegeben: Trotz Universität – unwahrscheinlicher wäre es, wenn sich jetzt mehr Angehörige irgendwo einloggen würden als an einem normalen Wochentag. Nun gut, das Verbrechen schläft nie, nicht einmal am frühen Morgen des zweiten Weihnachtstages, dachte sie, während sie sich den Schlaf aus den Augen rieb und dabei den Laptop anschaltete. Immerhin war es für sie als Supporterin die letzten Tage erfreulich ruhig gewesen.
Sie loggte sich ins VPN ein und sah, dass die Log-in-Versuche im Wesentlichen von zwei IP-Adressen kamen. Jap, das war ganz sicher kein normales Verhalten im Netz. Normalerweise hätte sie jetzt Pakete von diesen IP-Adressen einfach temporär an der Perimeter-Firewall blockiert und den Rest der Tagesschicht überlassen – aber hier war etwas komisch: Die Adressen 203.0.113.17 und 203.0.113.182 waren definitiv aus der IP-Range der Baron Münchhausen Universität selbst – das erkannte sie auch um halb drei nachts ohne Mate. Und die Anfragen sahen definitiv nach Brute-Force aus.
Sie überlegte kurz: Interne Firewall-Regeln konnte sie nicht setzen – fast alles lag noch in einer Layer-2-Domäne. Also musste sie forschen. Aber wem in der Uni gehörten die IP-Adressen und damit die Geräte? Eine schnelle Reverse-DNS-Anfrage brachte keine Aufklärung: NXDOMAIN. Wahrscheinlich gehörten sie einem Fachgebiet. Die zentrale IT-Abteilung war da bei ihren eigenen Diensten eigentlich immer sehr hinterher, die DNS-Einträge valide zu halten. 2:37, das Smartphone klingelte erneut. Ach ja, den Alert eben noch acknowledgen.
Die Spreadsheets
Sie öffnete den Fileshare und navigierte zum geteilten Ordner für die Admins, um sich das Spreadsheet mit den IP-Adress-Zuweisungen anzuschauen. Ihre Laune sank augenblicklich, als sie drei Kopien mit ähnlichem Namen im Ordner sah. Echt jetzt? Sich widersprechende Infos konnte sie jetzt gerade wirklich nicht gebrauchen. Sie öffnete die Hauptdatei. Kein Eintrag zu den besagten IP-Adressen. Dann die jüngste Kopie. Eine IP-Adresse war als Notiz dem Fachgebiet Luftfahrttechnik zugewiesen, die andere fehlte auch hier. "Aller guten Dinge sind drei", dachte sie, während sie die dritte Datei öffnete. Doch statt der Auflösung der gesuchten IP-Adresse fehlte hier das Tabellenblatt IP-Zuweisungen gänzlich. "Einmal mit Profis", grummelte sie. Also ab ins Rechenzentrum und sich des Problems vor Ort annehmen.
Da der Nachtexpress erst in 27 Minuten fahren würde, ging sie zum Späti, versorgte sich mit der ihrer Meinung nach jetzt schon wohlverdienten Mate und nahm ein Taxi. Wurde ja bezahlt. Auf dem Weg zur Universität wachte sie langsam vollständig auf und erinnerte sich, dass die Core-Switches ja Layer-3-fähig waren und sie mit traceroute hätte einmal schauen können, ob der Traffic auch wirklich aus dem Rack der Luftfahrttechniker kam. Unmut machte sich in ihr breit. All das wäre nicht nötig, wenn alle sich an die Vorgaben aus dem Wiki halten und sauber dokumentieren würden. Das Taxi passierte die ersten Universitätsgebäude am Hauptcampus. Alles war dunkel, nur das Gebäude von Nexachem wurde durch das große Logo hell erleuchtet. Das Chemie-Start-up war das Vorzeigeprojekt der Uni. Ob deren Admins wohl auch am zweiten Weihnachtsfeiertag nachts durch die Stadt müssten?
