Experten-Blog

Was ist Zero Touch Provisioning?

Über ZTP, Minimal Touch Provisioning und Security

In den Beschreibungen von Netzwerkprodukten tauchen in letzter Zeit häufiger die Funktionsbezeichnungen „Zero Touch Provisioning“ und „ZTP“ auf. Angeboten wird ZTP für Switches, Wireless Access Points, (SD-WAN-)Router, NFV-Plattformen und Firewalls.

Worum geht es dabei und welche Vorteile gibt es? Bieten alle ZTP-Implementierungen die gleichen Funktionen und sind sie alle gleichermaßen einfach in der Anwendung? In diesem Blog werde ich genauer darauf eingehen, was die einzelnen Hersteller anbieten, welche Unterschiede zwischen verschiedenen ZTP-Implementierungen bestehen und wie sich ZTP auf die betriebliche Praxis auswirken kann.

Was ist Zero Touch Provisioning (ZTP) und was macht es?

Wie der Name Zero Touch Provisioning schon sagt, besteht das Ziel darin, an irgendeinem Ort eine Netzwerk-Appliance zu installieren, ohne dass jemand diese lokal konfigurieren muss. Ein Neu- oder Austauschgerät kann zu einem Standort gesendet und von einem dort anwesenden Mitarbeiter ohne IT-Kenntnisse physisch installiert und eingeschaltet werden. An dieser Stelle klinkt sich die ZTP-Funktion ein, führt die Konfiguration durch und stellt die Verbindung zum Managementsystem her. Wie das im Einzelnen funktioniert, werde ich später in diesem Blogbeitrag beschreiben.

Welchen Nutzen hat ZTP?

Manuelle Konfigurationsschritte sind arbeitsintensiv, fehleranfällig sowie kosten- und zeitaufwändig. Eine Person mit Grundkenntnissen für die Konfiguration und einem Laptop muss vor Ort sein und das Gerät für den grundlegenden Betrieb konfigurieren, bevor die Konfiguration vom zentralen Managementsystem aus abgeschlossen werden kann. Alternativ könnte das Gerät zunächst an einen zentralen Ort geschickt werden, an dem es bereitgestellt wird, bevor es zum eigentlichen Installationsort gesendet wird. Dies kann ebenfalls kostspielig sein, weil das Gerät zweimal versendet werden muss, also möglicherweise auch zweimal durch den Zoll geht. Außerdem besteht die Gefahr, dass ein Gerät mit der für Standort A bestimmten IP-Adresse versehentlich an Standort B gesendet wird.

Mit ZTP kann ein Gerät von einem beliebigen Lager direkt an den endgültigen Standort gesendet und sofort nach seiner Ankunft installiert werden, so dass es innerhalb weniger Minuten nach der Installation betriebsbereit ist. Dadurch werden die Vorlaufzeiten, die Anzahl der für eine Installation aufgewendeten Stunden und die Anzahl der Konfigurationsfehler drastisch reduziert. Dies sind potenziell große Vorteile, wenn es viele Standorte ohne IT-Mitarbeiter gibt oder wenn häufig neue Standorte eröffnet werden, zum Beispiel (Pop-up-)Stores oder temporäre Büros. ZTP kann auch für die Einrichtung von Home-Office-Umgebungen hilfreich sein.

Wie funktioniert ZTP und was ist Minimal oder One Touch Provisioning?

Hier wird es interessant. Die Bezeichnung „Zero Touch“ legt nahe, dass derjenige, der die physische Installation durchführt, für die Konfiguration des Geräts nichts weiter unternehmen wird, dass also das Gerät selbst (mit seiner werkseitigen Standardkonfiguration) in der Lage sein muss, das Managementsystem zu finden, das ihm seine Konfiguration für seinen Standort und sein Unternehmen übermittelt. Nicht alle ZTP-Implementierungen sind jedoch wirklich „Zero Touch“, weshalb manchmal auch mit Bezeichnungen wie „Minimal Touch Provisioning“ oder „One Touch Provisioning“ gearbeitet wird.

Das erste, was ein Gerät zur Kommunikation benötigt, ist eine IP-Adresse. Glücklicherweise ist das Dynamic Host Configuration Protocol (DHCP) heutzutage ziemlich allgegenwärtig. Das ist für die ersten ZTP-Schritte sehr nützlich. DHCP liefert auch die Adresse des Gateways, den lokalen Domainnamen und den Standort eines DNS-Servers. Wenn DNS nicht zur Verfügung steht oder nicht erreichbar ist, kann das Gerät jederzeit versuchen, den DNS-Dienst von Google unter 8.8.8.8 zu verwenden. DHCP verfügt auch über einige optionale Felder, mit denen das Gerät mit einer IP-Adresse des Managementsystems versorgt werden kann. Die werkseitige Standardkonfiguration kann auch einen vordefinierten Namen für das Managementsystem enthalten (z. B. „Orchestrator“), den es mit dem Domänennamen kombiniert, den DHCP für den DNS-Lookup bereitgestellt hat. Daraus ergibt sich dann eine Host-Anfrage nach dem Muster „orchestrator.example.com“. Diese Anfrage muss im DNS auf die IP-Adresse Ihres Managementsystems auflösbar sein, Ihr Netzwerk muss also einmalig dafür eingerichtet werden. Dasselbe gilt für die Bereitstellung der Management-Adresse über DHCP-Optionen.

Wenn das Gerät über eine IP-Adresse verfügt und weiß, wo es seine Konfiguration abrufen muss, kann es jedoch weitere Hindernisse geben, die es zu überwinden gilt. Häufig ist die WAN-Verbindung ein Internetanschluss, der über ein Portal oder durch Authentifizierung der PPoE- oder PPoA-Verbindung aktiviert werden muss. In solchen Fällen ist ein manueller Eingriff erforderlich, und das „Z“ in ZTP wird zu einem „M“. Ein weiteres Hindernis könnte eine Firewall sein, die den Verbindungsaufbau verhindert. In diesem Fall müssen die Firewall regeln angepasst werden, aber dies kann in der Regel aus der Ferne geschehen. Ausgehendes HTTPS ist in der Regel erlaubt, deshalb ist dieses Protokoll der De-facto-Standard für die Herstellung der Verbindung zum Managementsystem.

 

Abbildung 1: Typischer Ablauf eines ZTP-Prozesses

Alternative Lösungen verwenden weder DNS noch eine DHCP-Option, um den Standort ihres Konfigurationsservers herauszufinden. Es gibt auch einen Anbieter, der zwar ZTP als Funktion nennt, aber verlangt, dass sich ein Benutzer über den Konsolenport anmeldet und einen CLI-Befehl eingibt, um die IP-Adresse des Konfigurationsservers einzustellen.

Immer mehr Anbieter bieten einen Cloud-Service zur Unterstützung des Konfigurations- und ZTP-Prozesses an, dazu zählen unter anderem, Cisco Meraki, Riverbed, Citrix und Juniper Networks. Alles, was erforderlich ist, ist die Registrierung der Seriennummern der gekauften Geräte. Auf dieser Basis stellt der Hersteller sicher, dass die Geräte korrekt registriert sind und im persönlichen  Management Portal sichtbar werden. Anschließend lassen sich die Geräte vollständig über die Cloud konfigurieren und verwalten.

Für diejenigen unter Ihnen, die das Management des Netzwerks nicht in der Cloud, sondern vor Ort durchführen wollen, gibt es ebenfalls Optionen. Der Cloud-Service des Herstellers bleibt in diesem Fall zwar weiterhin der erste Anlaufpunkt für Geräte mit einer werkseitigen Standardkonfiguration. Anschließend werden die Geräte aber an den lokalen Konfigurationsserver weitergeleitet. Natürlich setzt jedes Cloud-basierte Provisionierungsschema Internetzugriff voraus, entweder direkt oder über das Unternehmensnetzwerk.

„Minimal Touch Provisioning“ mit Smartphone-Apps

Erinnern Sie sich noch, wie Sie früher Heimgeräte wie Powerline-Adapter und Access Points konfiguriert haben? Häufig enthielt der Verkaufskarton eine CD mit einem kleinen Programm, welches das neue Gerät in Ihrem LAN finden und Ihnen bei der Konfiguration behilflich sein sollte. Dieses Grundprinzip hat sich bis heute erhalten, aber es wurde weiterentwickelt. Einige Anbieter bieten inzwischen Minimal Touch Provisioning zum Beispiel über Smartphone-Apps an. Vorausgesetzt wird dabei, dass eine Person vor Ort ist, die eine solche App auf dem Smartphone installieren kann (und will), und die im lokalen LAN oder über eine Standard-SSID eine Verbindung zum Gerät herstellen kann (wobei Letzteres natürlich WLAN-Funktionen voraussetzt). Nach der Installation verbindet sich die App mit dem Konfigurationsserver und dem neuen Gerät und fungiert als Proxy zwischen beiden Geräten – entweder über das lokale Netzwerk oder über eine mobile Datenverbindung. Häufig wird die Kamera verwendet, um den Barcodeaufkleber des Geräts mit Seriennummer und Modellbezeichnung zu scannen.

Gibt es Sicherheitsprobleme bei ZTP?

Es ist wichtig, das Gerät zu authentifizieren und die Verbindung zur richtigen Verwaltungsdomäne sicherzustellen. Es wäre etwas peinlich, wenn eine falsche Seriennummer registriert würde und Ihr Gerät nun von einer anderen (bösartigen) Instanz konfiguriert wird. Ebenso sollte ein verlorenes (oder gestohlenes) Gerät in Ihrer Infrastruktur nicht automatisch akzeptiert werden. Stellen Sie sich vor, dass Ihr SD-WAN-Router in die Hände eines Angreifers gelangt, der denselben mit dem Internet verbindet und automatisch direkten Zugriff auf Ihr internes Netzwerk erhält. So etwas würden Sie nicht wollen. Jeder Cloud-basierte Dienst muss außerdem hinreichend sicher sein, um zu verhindern, dass Angreifer eigene Geräte in Ihre Domäne einfügen oder die Kontrolle über diese übernehmen können.

ZTP im Überblick

ZTP wird immer breiter unterstützt, weil die Anbieter erkennen, dass ihre Geräte damit an beliebigen Orten installiert werden können und dass die Installation ein wesentlicher Kostenfaktor ist. Werfen Sie einen Blick auf ZTP, wenn Sie häufig Geräte an Remote-Standorten ohne lokales IT-Personal installieren. Testen Sie, ob die ZTP-Funktionen für Ihre Geräte in Ihrer Umgebung funktionieren und ob Anpassungen vorgenommen werden müssen, damit sie funktionieren. Die ZTP-Implementierungen der verschiedenen Anbieter unterscheiden sich erheblich, und nicht bei allen handelt es sich wirklich um ZTP. Es kann einige grundlegende Anforderungen geben, die erfüllt sein müssen, damit ZTP funktioniert, wie DHCP und andere, die vom DNS und vom Internetzugang abhängen. Stellen Sie außerdem sicher, dass ZTP-Funktionen nicht als Einfallstore für Angriffe auf Ihr Netzwerk genutzt werden können.

Jan-Willem Keinke - 25 Februar 2019

Experten-Blog

Sie wollen mehr über dieses Thema erfahren oder haben konkrete Fragen? Kontaktieren Sie uns! Sprechen Sie mit einem Lösungs-Experten oder Architekten. Rufen Sie uns an oder hinterlassen Sie eine Nachricht. Unser Team freut sich darauf, Sie zu unterstützen.

Jan-Willem Keinke
Cloud Solution Architect

Diese Seite teilen: