Das Netzwerk der Universität Bern muss grossen Belastungen Stand halten: Mehr als 5400 Benutzer in insgesamt 120 Gebäuden haben durch rund 12000 Geräte heute darauf Zugriff - Tendenz steigend. Mit dieser stetig wachsenden Anzahl an Usern, die sich ins Netz einloggen, erhöht sich auch die Gefahr unberechtigter und bösartiger Zugriffe.

Dieser Umstand machte bei der Universität Bern einen Ausbau des Netzwerks nötig. Oberstes Ziel war es, die Policy- und NAC-Funktionalitäten (Network Access Control) zu verbessern. Damit sollten die sensiblen Daten vor unerlaubten Zugriffen geschützt und Angriffe auf das Netzwerk frühzeitig erkannt und unterbunden werden.

Das universitäre Umfeld ist im IT-Bereich allerdings völlig anders aufgestellt als übliche Unternehmensnetzwerke. Durch den ständigen Wechsel der einzelnen Anwender ohne feste Arbeitsplätze - also Studenten, Mitarbeiter und Gäste - an unterschiedlichen Standorten muss das Netzwerk besonders flexibel sein. Die Krux: Einerseits muss den Berechtigten ein einfacher, offener Zugang ermöglicht werden, andererseits darf darunter die umfassende Absicherung des Netzwerks nicht leiden. Dadurch kommt einer starken, effektiven Authentisierung grosse Bedeutung zu.

Ebenfalls besonders wichtig ist die einfache und zentrale Administration des Netzwerks. Denn die personellen Ressourcen sind begrenzt: Für den gesamten Unterhalt des umfangreichen Netzes, zu dem auch rund 70 Wirless Access Points gehören, sind lediglich vier IT-Mitarbeiter zuständig.

Bei der Auswahl der für den Netzausbau benötigten Produkte musste Fritz Bütikofer, Leiter der Netzwerkgruppe bei den Informatikdiensten der Universität Bern, indes nicht lange überlegen. Für ihn stand von Anfang an fest, dass die Netzwerkspezialistin Enterasys zum Zuge kommen würde. Bütikofer begründet: «Wir arbeiten seit rund 20 Jahren eng mit Enterasys zusammen und nehmen als starker Partner auch Einfluss auf die Produktentwicklung. Somit konnten wir die technologischen Veränderungen der Produkte der letzten beiden Jahrzehnte hautnah mitverfolgen und auch mitgestalten. Damit fiel es uns leicht, uns auch bei unserem neuesten Projekt für Enterasys zu entscheiden.»

Nach dem Ausbau besteht die Netwerk--infrastruktur der Uni Bern heute aus 45 grossen, chassisbasierenden Switches der N-Serie, 35 Switches der E-Serie und über 100 SecureStack Edge Switches. Den Kern der Infrastruktur bilden neuerdings drei Matrix X Secure Core Router.

Mit Enterasys Sentinel wurde eine NAC-Lösung eingeführt, die gewährleistet, dass nur korrekt abgesicherte Systeme Zugang zum Netzwerk erhalten. Im Gegensatz zu vielen anderen Zugangskontroll-Lösungen wird dafür jedoch kein so genannter Assessment-Agent benötigt. Dass heisst, die enstprechende Software muss nicht auf jedem einzelnen PC installiert und verwaltet werden. «Dies ist besonders im Hochschulbereich von Bedeutung, da es praktisch unmöglich ist, Clientsoftware auf den persönlichen Rechnern der Anwender zu installieren», erklärt Bütikofer.

Die neuen Enterasys-Produkte bieten überdies die Möglichkeit, mehrere Benutzer oder Geräte gleichzeitig am Port zu authentifizieren und diesen auch unterschiedliche Rechte zuzuweisen (Multi User Authentication and Policy; MUA+P).

Um Angriffe auf das Netzwerk frühzeitig erkennen und auch abwenden zu können, wurde zusätzlich das IDS- und IPS (Intrusion Detection und Prevention System) Enterasys Dragon eingeführt. Der dringenden Forderungen der Netzwerkadministratoren nach einfacheren Verwaltungsmöglichkeiten wurde mit der Implementierung der Netsight-Produktefamilie entsprochen. So bietet die Netsight Console ein zentrales Management zum Konfigurieren und Überwachen des Netzwerks und beinhaltet ausserdem Troubleshooting-Funktionen. Der Netsight Policy Manager sorgt derweil für die zentrale Verwaltung der rollenbasierten Policies.

Neben der effizienten und sicheren Zugangskontrolle spielte auch die Kompatibilität der Produkte für die Berner eine grosse Rolle. Bütikofer erklärt: «Durch die stetig steigende Benutzer- und Anschlussdichte muss die Sicherheit laufend ausgebaut werden - und das, ohne die Kosten oder den Administrationsaufwand in die Höhe zu treiben.» Durch die ständige Erweiterung des Netzwerks mussten sich die eingesetzten Produkte in die bestehende Infrastruktur integrieren lassen. Dies war umso wichtiger, weil im Netzwerk der Universität Bern auch Produkte von Drittherstellern zum Einsatz kommen. «Der offene, architekturbasierte Ansatz von Enterasys ermöglicht eine problemlose Zusammenarbeit mit diesen Komponenten», freut sich Bütikofer. Dadurch ist neben der Netzwerk- auch die Investitionssicherheit garantiert.

Insgesamt zieht Bütikofer eine positive Bilanz des Netzwerkausbaus. Das Projekt habe zu einer verbesserten Redundanz sowie einer Erhöhung der Stabilität und Robustheit des Netzwerks geführt. Überzeugt hat ihn vor allem die Multi-User-Unterstützung per Switchport: Bereits jetzt sei die Effektivität der neu eingesetzten Produkte messbar. So ist es nicht möglich, Geräte mit gefährlichen Services wie beispielsweise DHCP oder nicht registrierte Geräte an das Netzwerk anzuschliessen.

Weitere Informationen

Die Universität Bern wurde 1834 gegründet. Mit rund 13000 Studierenden zählt sie zu den mittelgrossen Schweizer Universitäten. Die Uni Bern ist eine Volluniversität mit acht Fakultäten und etwa 160 Instituten und bietet ein breitgefächertes Angebot von Studiengängen an. Sie beteiligt sich an zahlreichen eruopäischen und weltweiten Forschungsprojekten, unter anderem im Bereich der Weltraumforschung.