Batfish: Fehlkonfigurationen im Netz vor ihrer Anwendung vermeiden
Im eigenen Licht
Änderungen der Netzkonfiguration vor dem Ausrollen zu testen, ist die Kernanwendung des Netzwerkanalysewerkzeugs Batfish. Es lässt sich mit Python-Skripten oder Ansible-Playbooks bedienen.
Admins müssen laufend neue Anwendungen im Netz freigeben und dadurch viele Anpassungen etwa bei VPN-Gateways und Firewalls vornehmen. Vor allem in heterogenen Netzen kann es dabei schnell zu Konfigurationsfehlern, Netzwerkausfällen und Sicherheitslücken kommen. Hilfreich wäre es, die Konfigurationsanpassungen vor einer Änderung zu prüfen und damit schwer nachvollziehbare Fehlkonfigurationen und Totalausfälle wie jüngst bei Facebook zu vermeiden.
Viele Testing-Frameworks für aktive Netzwerkkomponenten wie Router und Switches können Livetests erst nach den Changes an den Konfigurationen durchführen – also eigentlich zu spät. Dagegen konzentrieren sich die meisten Automatisierungstools auf das Konfigurationsmanagement und nicht auf das Validieren oder die Analyse der geplanten Changes. Dennoch möchte man etwa vor dem Ändern der Firewallrichtlinien die gewünschte Konfiguration mit den zu erlaubenden oder zu verbietenden Daten testen. Nach Möglichkeit sollten sich automatisierte Flows betriebskritischer Anwendungen, sei es ein CRM-, ein ERP-System oder ein Videokonferenzsystem, ebenso wie VDI-Plattformen (Virtual Desktop Infrastructure) zur Prüfung heranziehen lassen.