Security Consulting

Wir übernahmen bei einer Stadtverwaltung einer Hessischen Großstadt die Planung und Durchführung einer Migration der Check Point Infrastruktur, bestehend aus einem Multi-Domain Server und einem VSX-Cluster (VSLS). Ziel war es die Migration unter weitest gehender Erhaltung der Verfügbarkeit bei minimierter Downtime auszuführen.

Tätigkeiten 

• Analyse des bestehenden Betriebsnetzes
• Virtualisierung des Multi-Domain Servers auf einem VMware ESXi-Server
• Vorstellung der Migrationsstrategie
• Durchführung der Migration
• Validierung der Funktion und Sicherheit der neuen Check Point R81.10-Infrastruktur

Ergebnis
Wie bei allen anderen Security-Produkten war es sinnvoll und notwendig, die Infrastruktur aktuell zu halten. Somit wurde signifikant erhöhte Sicherheit in einer äußerst sensiblen Umgebung garantiert.

Eine Landesbehörde kam auf uns zu, da die vorhandene Identity Services Engine von Cisco nicht mehr unterstützt wurde und durch eine aktuelle Version ersetzt werden sollte. Die ISE wurde als Virtuelle Maschine mit zwei Nodes betrieben. Das Regelwerk sollte dabei von Altlasten befreit werden. Die Aktualisierung musste im laufenden Betrieb unterbrechungsfrei erfolgen.

Da die Aktualisierung nicht in einem Schritt durchgeführt werden konnte, wurde die Entscheidung getroffen, neue VMs aufzusetzen, das Regelwerk manuell zu übertragen und anschließend in Betrieb zu nehmen.

Tätigkeiten

• Analyse des Regelwerks
• Neuinstallationvon zwei ISE-Nodes auf ESXi-Servern
• Übertragung des Regelwerks
• Umstellung des Radius-Servers auf einem NAD, Funktionstest
• Sukkzessive Umstellung des Radius-Servers auf weiteren NADs, Funktionstests

Ergebnis
Die aktuellen ISE-VMs wurden erfolgreich in Betrieb genommen. Es traten keine Unterbrechungen auf.

Eine Landesbehörde betreibt vier ASA 5516-X, die als zwei hochverfügbarkeitsgesicherte Firewallpaare konfiguriert sind. Da die ASA 5516-X von Cisco nicht mehr unterstützt wird, steht ein rechtzeitiger Ersatz an. Die Wahl fiel auf die Secure Firewall 1150 von Cisco, welche alle Anforderungen des Kunden vollständig erfüllt.

Ein Firewall-Paar arbeitet mit Security Contexts, sodass hier keine Migration auf FTD möglich ist und weiterhin mit dem ASA-Image gearbeitet werden muss. Beim zweiten Firewall-Paar wurde aufgrund der konkreten Anforderungen ebenfalls entschieden, das ASA-Image zu verwenden.

Auf den bisherigen Firewalls waren Etherchannel konfiguriert. Die neuen Firewalls haben 10-Gigabit-Interfaces, sodass die Etherchannel auf ein 10 G-Interface umkonfiguriert werden sollten. Bei der Migration sollten die Regelwerke (Access Control und NAT) überprüft werden.

Das Umschalten auf die neuen Geräte muss im laufenden Betrieb erfolgen.

Tätigkeiten

• Aktualisierung der neuen Firewalls mit der aktuell empfohlenen ASA-Version
• Sicherung der Regelwerke der bestehenden ASAs
• Überprüfung der Regelwerke
• Korrektur der Interfacekonfiguration/der Interface-Bezeichnungen
• Migration der Etherchannel-Konfiguration auf 10 G-Interfaces
• Übertragung der Konfigurationsdateien auf die neuen Geräte, Funktionstest
• Einbau der neuen Geräte und Inbetriebnahme
• Test der Failover-Konfiguration

Ergebnis
Die neuen Geräte wurden erfolgreich in Betrieb genommen. Eine minimale Unterbrechung des Betriebs war unvermeidbar und wurde in Kauf genommen. Das Failover funktioniert zuverlässig.