Batfish: Fehlkonfigurationen im Netz vor ihrer Anwendung vermeiden Im eigenen Licht Benjamin Pfister Änderungen der Netzkonfiguration vor dem Ausrollen zu testen, ist die Kernanwendung des Netzwerkanalysewerkzeugs Batfish. Es lässt sich mit Python-Skripten oder Ansible-Playbooks bedienen.

iX-tract Batfish kann Netzwerkkonfigurationen bereits vor ihrer Anwendung testen. Dazu beherrscht es unter anderem Compliance Checks, semantische Tests, Regelprüfungen für ACLs und Paketfilter sowie ein virtuelles Traceroute.

Dafür erstellt Batfish aus den ihm bekannten Daten Netzwerkmodelle, in denen es von den herstellerspezifischen Konfigurationen abstrahiert.

Deshalb benötigt der Batfish-Server, der in einem Docker-Container läuft, keinen direkten Zugriff auf die Netzwerkkomponenten, sondern nur auf deren Konfigurationsdaten.

Für Anfragen an den Batfish-Server stehen auf der Clientseite die Python-Bibliothek pybatfish zum Erstellen von Skripten und Batfish-Module für Ansible-Playbooks bereit.

Admins müssen laufend neue Anwendungen im Netz freigeben und dadurch viele Anpassungen etwa bei VPN-Gateways und Firewalls vornehmen. Vor allem in heterogenen Netzen kann es dabei schnell zu Konfigurationsfehlern, Netzwerkausfällen und Sicherheitslücken kommen. Hilfreich wäre es, die Konfigurationsanpassungen vor einer Änderung zu prüfen und damit schwer nachvollziehbare Fehlkonfigurationen und Totalausfälle wie jüngst bei Facebook zu vermeiden.

Viele Testing-Frameworks für aktive Netzwerkkomponenten wie Router und Switches können Livetests erst nach den Changes an den Konfigurationen durchführen – also eigentlich zu spät. Dagegen konzentrieren sich die meisten Automatisierungstools auf das Konfigurationsmanagement und nicht auf das Validieren oder die Analyse der geplanten Changes. Dennoch möchte man etwa vor dem Ändern der Firewallrichtlinien die gewünschte Konfiguration mit den zu erlaubenden oder zu verbietenden Daten testen. Nach Möglichkeit sollten sich automatisierte Flows betriebskritischer Anwendungen, sei es ein CRM-, ein ERP-System oder ein Videokonferenzsystem, ebenso wie VDI-Plattformen (Virtual Desktop Infrastructure) zur Prüfung heranziehen lassen.