Tech-Talk: Lightweight Network Explorer

Im TechTalk vom Mittwoch dem 26. März 2025 hat Luc Heitz das Forschungsprojekt «Cyber Regulatory Co-Pilot for Network Security» vorgestellt. Das Projekt wird von Prof. Dr. Christopher Scherb geleitet und es wird in Zusammenarbeit mit der narrowin GmbH als Industriepartner durchgeführt.

Was ist das Ziel des Projekts?

Das Hauptziel des Projekts ist die Entwicklung eines Lightweight Network Explorers. Diese Software soll es ermöglichen heterogene IT- und OT-Netzwerke zu visualisieren und zu verwalten. Dabei liegt der Fokus vor allem auf Layer 2 Geräten, vor allem Layer 2 Netzwerkswitches. Im Gegensatz zu anderen Lösungen, soll die Software auch problemlos mit heterogenen Netzwerken umgehen können. Ein heterogenes Netzwerk besteht aus Netzwerkkomponenten von verschiedenen Herstellern und Generationen. Die Software ist primär für KMUs konzipiert und läuft momentan in sehr verschiedenen Umgebungen wie zum Beispiel in Spitälern oder bei Unternehmen in der Energiebranche.

Poller

Der Poller ist eine unverzichtbare Komponente im Lightweight Network Explorer. Er ist dafür zuständig, den Ist-Zustand des Netzwerks abzufragen. Dafür loggt der Poller sich auf allen relevanten Geräten (Switches, Router, etc..) ein und fragt die relevanten Daten von den Geräten ab. Die Daten, die der Poller abfragt, werden lokal auf dem Poller selbst auf das Dateisystem gespeichert. Es wäre angenehmer, würde der Poller die gesammelten Daten direkt an den Network Explorer senden. Das ist aber nicht in allen Umgebungen möglich. Der Lightweight Network Explorer soll zum Beispiel auch in OT-Umgebungen eingesetzt werden, die oftmals air-gapped sind. Die gesammelten Daten müssen also manuell vom Poller auf einen USB-Stick geladen werden und dann in den Lightweight Network Explorer importiert werden.

Parser

Die Daten, welche der Poller sammelt, können sehr unterschiedlich strukturiert sein, da er Netzwerkausrüstung einer Vielzahl von Herstellern unterstützt. Um die Daten in den Lightweight Network Explorer importieren zu können, braucht es für jeden Hersteller einen sogenannten Parser, der das Datenformat des jeweiligen Herstellers interpretieren kann und schliesslich in das Datenformat des Lightweight Network Explorers übersetzt.

Features des Lightweight Network Explorers

Impact Analysis: Der Network Explorer ermöglicht es, den Ausfall eines Netzwerkknotens zu simulieren. Es wird sichtbar, welchen Einfluss das Ausfallen eines bestimmten Netzwerkknotens hat. So können Ausfallszenarien entwickelt werden. Es können auch Bereiche des Netzwerks identifiziert werden, die ein Risiko darstellen, im Fall eines Ausfalls im jeweiligen Bereich.

Spanning Tree Analysis: Kann Zyklen im Netzwerk identifizieren. Solche Zyklen sollten meistens vermieden werden für ein stabiles Netzwerk.

Verschiedene Layouts: Der Lightweight Network Explorer kann auf Grund der Netzwerkdaten selbst ein übersichtliches Layout für die Komponenten erstellen. Es ist aber auch möglich, selbst ein Layout zu erstellen oder Komponenten manuell zu verschieben oder auch zu gruppieren. Auf diese Weise können Layouts erstellt werden, die im Kontext der jeweiligen Organisation Sinn ergeben.

Regulatorisches Assessment: Der Lightweight Network Explorer kann ein Netzwerk automatisch auf Einhaltung von Best-Practices prüfen. Somit können möglich Schwachstellen in Bezug auf Regularien frühzeitig und automatisch aufgespürt werden.

 Zukunft des Lightweight Network Explorers

Der Lightweight Network Explorer wird bereits produktiv in verschiedenen Organisationen eingesetzt und bringt bereits heute einen grossen Mehrwert. In Zukunft soll die Software aber noch um einige weitere Wertvolle Features ergänzt werden.

Momentan wird an einem Cyber Copilot gearbeitet, der auf LLM-Technologie aufbaut. Der Copilot soll es zum Beispiel ermöglichen, fragen über ein Netzwerk zu stellen, die dann intelligent beantwortet werden. Das eingesetzte LLM kann mittels Function Calls auf Daten des Network Explorers zugreifen.

In Zukunft soll es auch möglich sein, ein ganzes Netzwerk simulieren zu können. Somit könnten Änderungen am Netzwerk zuerst in der Software simuliert werden, um sicherzustellen, dass keine Ausfälle entstehen.

Auch das regulatorische Assessment soll erweitert werden. In Zukunft sollen nicht nur mögliche Schwachstellen identifiziert werden, sondern es sollen direkt konkrete Handlungsempfehlungen ausgestellt werden, um die Schwachstellen zu beheben.

Lessons Learned

Bei der Entwicklung einer neuen Software kann man auch immer viel neues lernen. Hier sind die drei wichtigsten Erkenntnisse aus diesem Projekt:

• Planen lohnt sich: Oft wurden neue Features sehr hastig umgesetzt, wodurch die Entwicklung später im Projekt schwieriger wurde.
• Arbeiten mit einem Startup: narrowin ist ein Startup. Für Startups ist es wichtig schnell Resultate zu erzielen und somit müssen auch neue Features schnell umgesetzt werden. Das kann durchaus herausfordernd sein für die Softwareentwicklung.
• Entwicklung von echten Softwaresystemen macht Spass! Der Lightweight Network Explorer ist nicht lediglich ein Prototyp, sondern er wird tatsächlich bei Kunden eingesetzt. Es ist toll zu sehen, wie die Software einen echten Mehrwert bringt.

Blog Beitrag: Aaron Ebnöther (aaron.ebnoether@fhnw.ch), MSE Student und Assistent am IMVS
Tech-Talk: Luc Heitz (luc.heitz@fhnw.ch), MSc Student und Assistent am IMVS