Netzwerktechnik: Mit Batfish Fehlkonfigurationen im Netz frĂĽhzeitig vermeiden
Ă„nderungen der Netzkonfiguration vor dem Ausrollen zu testen, ist die Kernanwendung des Netzwerkanalysewerkzeugs Batfish.
- Benjamin Pfister
Admins müssen laufend neue Anwendungen im Netz freigeben und dadurch viele Anpassungen etwa bei VPN-Gateways und Firewalls vornehmen. Vor allem in heterogenen Netzen kann es dabei schnell zu Konfigurationsfehlern, Netzwerkausfällen und Sicherheitslücken kommen. Hilfreich wäre es, die Konfigurationsanpassungen vor einer Änderung zu prüfen und damit schwer nachvollziehbare Fehlkonfigurationen und Totalausfälle wie jüngst bei Facebook zu vermeiden.
Viele Testing-Frameworks für aktive Netzwerkkomponenten wie Router und Switches können Livetests erst nach den Changes an den Konfigurationen durchführen – also eigentlich zu spät. Dagegen konzentrieren sich die meisten Automatisierungstools auf das Konfigurationsmanagement und nicht auf das Validieren oder die Analyse der geplanten Changes. Dennoch möchte man etwa vor dem Ändern der Firewallrichtlinien die gewünschte Konfiguration mit den zu erlaubenden oder zu verbietenden Daten testen. Nach Möglichkeit sollten sich automatisierte Flows betriebskritischer Anwendungen, sei es ein CRM-, ein ERP-System oder ein Videokonferenzsystem, ebenso wie VDI-Plattformen (Virtual Desktop Infrastructure) zur Prüfung heranziehen lassen.
Man benötigt also ein Testing-Framework, das den Deployment- und Change-Prozess im Netz unter Beibehaltung der Qualität beschleunigen kann und vor dem eigentlichen Deployment ansetzt. Ein solches Werkzeug ist Batfish. Das Open-Source-Tool zur Analyse von Netzwerkkonfigurationen soll die Sicherheit, Verlässlichkeit und Compliance mit der Organisationsrichtlinie sicherstellen. Seine Entwicklung begann 2012 als Forschungsprojekt von Microsoft. Seit 2014 steht es unter der Apache-2.0-Lizenz. Es kommt vor allem zur Konfigurationsanalyse in der Pre-Deployment-Phase zum Einsatz.
Das war die Leseprobe unseres heise-Plus-Artikels "Netzwerktechnik: Mit Batfish Fehlkonfigurationen im Netz frühzeitig vermeiden". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.