Spezielle IT-Herausforderung im Fußballstadion Sichere Netzwerke beim 1. FSV Mainz 05
Anbieter zum Thema
WLAN, 5G, IPTV, IoT, Smart Stadium – das alles sind Begriffe, mit denen sich Betreiber moderner Sport-Stadien immer häufiger auseinandersetzen. Ziel ist das vollvernetzte Stadion. Das signifikante Wachstum der IT-Netzwerke resultiert in einem gesteigerten Bedarf an IT-Sicherheit, denn mit der Expansion der Netze geht auch eine erhöhte Vulnerabilität einher.

Der Verein 1. FSV Mainz 05 e.V. zählt zu den mitgliederstärksten Sportvereinen Deutschlands. Sein Stadion bietet Platz für über 33.000 Zuschauer. Neben den Kommunikationsanforderungen der Fans ist die IT-Abteilung mit einer Vielzahl von Themen beschäftigt. So stellt auch die Bürokommunikation der 1.095 Mitarbeiter, darunter 460 Office Benutzer, höchste Herausforderungen an eine reibungslose und vor ungewollten Zugriffen geschützte IT. Hinzu kommen regelmäßig rund 700 externe Nutzer der Kommunikationssysteme, die beispielsweise einen Netzwerkzugang für die Wartung der 210 Kassensysteme benötigen. Die Administration von Gastzugängen muss sowohl einfach als auch sicher sein. Und nicht zuletzt besteht die gewachsene Multi-Vendor IT-Infrastruktur allein aus 155 Netzwerkswitches, 380 Access Points und 7.500 Netzwerk-Ports.
Viel Action an einem Spieltag: 1.472 autorisierte Verbindungen, 8.775 unautorisierte Verbindungen, 50 Gerätegruppen
Der Spielbetrieb sorgt für besondere Anforderungen: So ist das WLAN-Netz eines Stadions gekennzeichnet durch komplexe Servicebereitstellung in Echtzeit. In der IT-Infrastruktur ist ein reibungslos funktionierendes Wi-Fi-6 Netz ein zentraler Faktor für die Besucherzufriedenheit, denn Zuschauer möchten das Live-Erlebnis via Smartphone filmen und in den Sozialen Medien und mit Freunden teilen. Außerdem ist die Nutzung der Mainz-05-App ein wichtiger Faktor für die Kundenbindung des Vereins. Im Wettbewerb mit TV-Angeboten wird es immer wichtiger das Erlebnis im Stadion multimedial zu gestalten. Die Herausforderung besteht in der Bereitstellung eines ausreichenden Signals und der hohen Benutzerdichte. So werden an einem typischen Spieltag 1.472 autorisierte Verbindungen und 8.775 unautorisierte Verbindungen mit insgesamt 50 Gerätegruppen genutzt. Das WLAN-Netz muss in der Lage sein Benutzer zu erkennen, deren Zugriff zu kontrollieren, differenzierte Services bereitzustellen und widerstandsfähig vor potenziellen Sicherheitsbedrohungen geschützt sein. Diese speziellen Anforderungen, insbesondere an die Netzwerksicherheit, veranlassten Karsten Lippert, Leiter ICT & Digitalisierung des Clubs, sich mit der Auswahl einer zuverlässigen Lösung für Netzwerkzugangskontrolle, auch im Hinblick auf die die Anforderungen der DSGVO, zu befassen.
NAC: Schnelle Übersicht, niedrige Komplexität und hohe Effizienz
Das Projekt startete mit einer ausführlichen Risikoanalyse. In dieser Phase stellte man unter anderem fest, dass die Verbindung zwischen Switches und Accesspoints der kritischste abzusichernde Zugangspunkt in das Netzwerk ist, da auf den Anschlüssen der Access Points nahezu alle im Netz verwendeten VLANs anliegen, und diese an „ungesicherten“ Orten (zum Beispiel Außenwänden, Laternenmasten, etc.) angebracht sind, so dass eine Demontage nicht verhindert werden kann. Exakt die Netzwerkgerät-zu-Netzwerkgerätverbindung kann jedoch durch klassisches 802.1x nicht abgedeckt werden, alternative Methoden wie MACsec-Verschlüsselung werden von den meisten Edge-Switches und APs nicht unterstützt. Diese Herausforderung löste man mit der SNMP-NAC-Funktionalität der ausgewählten NAC-Lösung eines deutschen Herstellers, mit entsprechenden Event-Überwachungen und insgesamt nur drei Regeln. Zum einen werden am Spieltag zwei isolierte Netze für die Gast-Mannschaft und die Heim-Mannschaft, in vorgegebenen Bereichen, aktiv geschaltet. Zum anderen werden Access Point Ports gesondert behandelt, solange der Access Point mit der Infrastruktur verbunden ist.
Besonderer Schutz für Access Point Anschlüsse - Für ein sicheres und flächendeckendes WLAN-Netz im Stadion
Access Points werden von der Netzwerksicherheitssoftware anhand der MAC-Adresse und dem Fingerprint erkannt. Konforme Access Points kommunizieren über die tagged VLANs am Switch Port in ihre Netze. Die NAC-Lösung registriert innerhalb von einer Sekunde, wenn ein Access Point abgezogen wurde, der Port wird sofort heruntergefahren. Wenn ein Access Point an einen neuen Port angeschlossen wird, setzt die Anwendung die tagged VLANs, die benötigt werden, damit die Service Set Identifier in die jeweiligen Netze kommunizieren können. Wenn der Access Point abgezogen wird, werden alle tagged VLANs entfernt, die zuvor für die WLAN-Kommunikation am Port gesetzt waren, damit wird der tagged Zugang zu jeglichen Netzen am Port geschlossen. Das bedeutet höchste Sicherheit und Schutz vor Manipulation.
Schneller Überblick - vereinfachtes Handling
Ein weiterer Aspekt bei der Implementierung einer NAC-Lösung ist der schnelle Überblick über alle sich im Netzwerk befindlichen Endgeräte. Diese Visualisierung ist schon an sich ein schneller Gewinn. Die Nutzung ist für einen IT-Administrator fast schon intuitiv und bietet vielfältige Mehrwerte, dazu gehört der Ausfall der bisher manuellen, zeitaufwendigen Konfiguration von Netzwerkanschlüssen zu den verschiedenen Anlässen im Stadion. Zu den rund 20 Spielen pro Jahr kommen auch circa 200 externe Veranstaltungen. Durch die Automatisierung der Konfigurationen wurde die Anzahl der Helpdesk Tickets minimiert. Dabei nutzt der 1. FSV Mainz 05 e.V. drei Mechanismen für die Authentifizierung: SNMP-NAC basiert, mac-basiert über RADIUS und 802.1X. Abhängig vom Port und dem verwendeten Endgerät wird der richtige Mechanismus angewandt. Dieser Prozess ist auf der GUI in einem Menü zusammengefasst und so vereinfacht, dass der Administrator lediglich die richtigen VLANs eintragen muss. Die Netzwerkzugangskontroll-Lösung regelt den Rest im Hintergrund, somit benötigt man keine protokollabhängigen Einstellungen.
Führende Lösung arbeitet mit allen marktüblichen Switchen
Es mussten keine bestehenden Switch-Hersteller aussortiert werden, die bestehende Switch-Infrastruktur konnte nahtlos genutzt werden, eine Umstellung war nicht notwendig, ein wichtiger Aspekt bei der Auswahl der passenden Lösung. Folgende verwaltete Systeme setzt der Verein ein, welche auch gegenüber der NAC-Lösung als Netzwerkgerät agieren: Aruba/HPE ehemalig Procurve Switches, Commscope/Ruckus Accesspoints (z.T. Hospitality-Ausführung mit LAN-Ports) und Microsens Microswitches (für den Kabelkanal). Darüber hinaus nutzen die Mainzer nicht-verwaltete PD-Switches von Netgear sowie Kabeltrommel-Switches von Pandacom, welche aus Sicht der NAC-Lösung als Endgerät agieren.
Heterogene Netzwerke an verschiedenen Standorten – kein Problem
Seit der Einführung der Netzwerkmanagement-Lösung hat sich diese als zuverlässiger Helfer im Alltag und insbesondere am Spieltag bewährt. Für die Nutzung benötigt man nicht zwangsläufig eine Appliance an jedem der drei Standorte. Die Außenstandorte können auch vom Hauptstandort bedient werden. Wichtig ist bei der Projektierung immer die Frage: Welche Sicherheit / welche Hochverfügbarkeit braucht man, wenn die Verbindung zum Außenstandort wegfällt und wie kritisch ist das Szenario in diesem Fall? Wenn am Außenstandort keine RADIUS-basierten Authentifizierungen gemacht werden, wäre ein Ausfall der Anbindung dorthin je nach Einsatzszenario möglicherweise vertretbar. Wenn ein Unternehmen aber auch dort die RADIUS-basierte Authentifizierung nutzen möchte, ist eine Appliance am Außenstandort sinnvoll. Im Fall des 1. FSV Mainz 05 e.V. sind die drei Standorte in Mainz mittels eines kanten- und knotendisjunkten Darkfiber-Ringes verbunden, so dass die redundanten Knoten in dem zentralen Rechenzentrum ausreichen.
Zentrale Herausforderungen während der Inbetriebnahme der Netzwerksicherheitslösung:
Geräte, welche von sich aus keinerlei Datenpakete an das Netzwerk senden, wodurch keine Authentifizierung stattfindet
- Beispiel: Eintrittskartendrucker und EC-Terminals
- Lösung: Umstellung der Geräte von fester IP-Konfiguration auf DHCP, Konfiguration von „Nachhause“-Telefonie (Regelupdates) zur Aufrechterhaltung des Authentifizierungs-Timers, Einführung von mac-pinning
Korrekte Zuordnung der Geräte, welche LAN- und WLAN-Schnittstellen haben
- Beispiel: Notebooks
- Lösung: Änderung der VLAN-Architektur von bisheriger Anbindungsartzuweisung (VLAN1=LAN, VLAN2=WLAN) zu Nutzergruppenzuweisung (VLAN11=Verwaltung, VLAN12=Lizenzspieler, …)
Absicherung der Accesspoint-Anbindung und gleichzeitige Gewährleistung der Hospitality-Funktionen (mit bis zu vier downlink-ports pro Access Point)
- Lösung: Definition der Access Points als Endgerät und gleichzeitig als Netzwerkgerät
In einem zweiten Projektschritt stehen bei dem 1. FSV Mainz 05 e.V. Themen wie das umfassende Reporting der im Netzwerk ermittelten Messdaten und die Darstellung der Ereignisse im Netzwerk auf der Agenda. Dazu gehören Sicherheitsaspekte wie das Auftauchen bekannter Geräte zu ungewöhnlichen Zeiten oder das Aufzeigen von Angriffen wie ARP-Spoofing oder MAC-Spoofing. Neben klassischen Vorteilen einer soliden und flexiblen Lösung für Netzwerkzugangskontrolle bieten sich außerdem hoch flexible Anbindungsmöglichkeiten von Drittanbietern über die offene Schnittstelle REST-API für diverse Lösungen geplanter Digitalisierungsprojekte.
Über die Autorin: Sabine Kuch arbeitet seit mehr als 20 Jahren in der IT-Branche in unterschiedlichen Positionen. Für Macmon Secure ist Kuch seit 2017 als Freelancer tätig.
(ID:48172893)