NET.1.1 Netzarchitektur und -design: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Keine Bearbeitungszusammenfassung
 
(337 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= Beschreibung =
'''NET.1.1 Netzarchitektur und -design''' - Baustein des [[:Kategorie:IT-Grundschutz/Kompendium|IT-Grundschutz/Kompendiums]]
== Einleitung ==
; Die meisten Institutionen benötigen heute für ihren Geschäftsbetrieb und für die Erfüllung ihrer Fachaufgaben Datennetze, über die beispielsweise Informationen und Daten ausgetauscht sowie verteilte Anwendungen realisiert werden.  
* An solche Netze werden nicht nur herkömmliche Endgeräte, Netze von Partner-Institutionen und das Internet angeschlossen.  
* Sie integrieren zunehmend auch mobile Endgeräte und Elemente, die dem Internet of Things (IoT) zugerechnet werden.
* Darüber hinaus werden über Datennetze vermehrt auch Cloud-Dienste sowie Dienste für Unified Communication and Collaboration (UCC) genutzt.
* Die Vorteile, die sich dadurch ergeben, sind unbestritten.
* Aber durch die vielen Endgeräte und Dienste steigen auch die Risiken.
* Deshalb ist es wichtig, das eigene Netz bereits durch eine sichere Netzarchitektur zu schützen.
* Dafür muss zum Beispiel geplant werden, wie ein lokales Netz (Local Area Network, LAN) oder ein Wide Area Network (WAN) sicher aufgebaut werden kann.
* Ebenso müssen nur eingeschränkt vertrauenswürdige externe Netze, z. B. das Internet oder Netze von Kunden, geeignet angebunden werden.


; Um ein hohes Sicherheitsniveau zu gewährleisten, sind zusätzliche sicherheitsrelevante Aspekte zu berücksichtigen.
== Beschreibung ==
* Beispiele hierfür sind eine sichere Trennung verschiedener Mandanten und Gerätegruppen auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall.
Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren
* Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle.


== Zielsetzung ==
; Institutionen benötigen Datennetze
; Ziel dieses Bausteins ist es, die Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns zu etablieren.
* Geschäftsbetrieb
* Fachaufgaben
* Informationens-/Datenaustausch
* Verteilte Anwendungen
* ...


= Abgrenzung und Modellierung =
; Nicht nur herkömmliche Endgeräte
; Der Baustein NET.1.1 Netzarchitektur und -design ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden.
* Partnernetze
* Internet
* Mobile Endgeräte
* [[IoT]]-Komponenten (Internet of Things)


; Der Baustein enthält grundsätzliche Anforderungen, die zu beachten und erfüllen sind, wenn Netze geplant, aufgebaut und betrieben werden.
; Cloud-Dienste
* Anforderungen für den sicheren Betrieb der entsprechenden Netzkomponenten, inklusive Sicherheitskomponenten wie z. B. Firewalls, sind nicht Gegenstand des vorliegenden Bausteins.
* Dienste für Unified Communication and Collaboration (UCC)
* Diese werden in der Bausteingruppe NET.3 Netzkomponenten behandelt.


; Der Fokus dieses Bausteins liegt auf kabelgebundenen Netzen und der Datenkommunikation.
; Viele Endgeräte und Dienste erhöhen Risiken
* Jedoch müssen allgemeine Anforderungen an die Architektur und das Design, z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern, für alle Netztechniken beachtet und erfüllt werden.


; Weitergehende spezifische Anforderungen für Netzbereiche wie Wireless LAN (WLAN) oder Speichernetze (Storage Area Networks, SAN) werden in der Bausteinschicht NET.2 Funknetze bzw. im Baustein SYS.1.8 Speicherlösungen behandelt.
; Sicheren Netzarchitektur
* Darüber hinaus wird auch das Thema Voice over IP (VoIP) sowie die dafür zugrunde liegende Sicherheitsinfrastruktur nicht in diesem Baustein erörtert, sondern in dem entsprechenden Baustein NET.4.2 VoIP behandelt.
* Planung
* Netz durch sichere Netzarchitektur schützen
* Lokales Netz (Local Area Network, LAN)
* Wide Area Network (WAN)  
* Eingeschränkt vertrauenswürdige Netze


; Spezifische sicherheitstechnische Anforderungen für Virtual Private Clouds und Hybrid Clouds liegen ebenfalls nicht im Fokus dieses Bausteins.
; Hohes Sicherheitsniveau
* Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
** Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
* Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
* Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die [[Netzzugangskontrolle]]


; Das Netzmanagement wird im Rahmen der Zonierung und Segmentierung betrachtet, alle weitergehenden Themen des Netzmanagements werden im Baustein NET.1.2 Netzmanagement behandelt.
; Grundsätzliche Anforderungen
* Netzwerkplanung
* Netzwerkaufbau
* Netzwerkbetrieb
* Architektur und Design


= Gefährdungslage =
; Allgemeine Anforderungen
; Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein NET.1.1 Netzarchitektur und -design von besonderer Bedeutung.
* Müssen für alle Netztechniken beachtet und erfüllt werden
: z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern


=== Ausfall oder unzureichende Performance von Kommunikationsverbindungen ===
; Fokus
; Sind die Kommunikationsverbindungen unzureichend dimensioniert oder reicht ihre Leistung aufgrund eines technischen Ausfalls oder eines Denial-of-Service-(DoS)-Angriffs nicht mehr aus, können z. B. Clients nur noch eingeschränkt mit Servern kommunizieren.
* Kabelgebundenen Netzen und Datenkommunikation
* Dadurch erhöhen sich die Zugriffszeiten auf interne und externe Dienste.
* Diese sind so mitunter nur noch eingeschränkt oder gar nicht mehr nutzbar.
* Auch sind eventuell institutionsrelevante Informationen nicht mehr verfügbar.
* In der Folge können essenzielle Geschäftsprozesse oder ganze Produktionsprozesse still stehen.


=== Ungenügend abgesicherte Netzzugänge ===
=== Modellierung ===
; Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
''NET.1.1'' ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden
* z. B. weil keine Firewall eingesetzt wird oder sie falsch konfiguriert ist, können Angreifer auf schützenswerte Informationen der Institution zugreifen und diese kopieren oder manipulieren.


=== Unsachgemäßer Aufbau von Netzen ===
=== Abgrenzung ===
; Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.  
; Relevante Bausteine
* Angreifer können so leichter Sicherheitslücken finden, ins interne Netz der Institution eindringen und dort Informationen stehlen, Daten manipulieren oder auch ganze Produktionssysteme stören.  
{| class="wikitable sortable options"
* Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt.
|-
 
! Baustein !! Bezeichnung !! Beschreibung
== Anforderungen ==
|-
; Im Folgenden sind die spezifischen Anforderungen des Bausteins aufgeführt
| [[NET.3 Netzkomponenten | NET.3]] || Netzkomponenten || Betrieb von Netzkomponenten
* Grundsätzlich ist der Planer für die Erfüllung der Anforderungen zuständig.  
|-
* Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen.  
| [[NET.2 Funknetze | NET.2]] || Funknetze || Wireless LAN (WLAN)
* Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.  
|-
* Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Erfüllung von Anforderungen haben.  
| [[SYS.1.8 Speicherlösungen | SYS.1.8]] || Speicherlösungen || Speichernetze (Storage Area Networks, SAN)
* Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.
|-
 
| [[NET.4.2 VoIP | NET.4.2]] || VoIP || Voice over IP
{|  
|-
|-  
| || Virtual Private Cloud/Hybrid Cloud || Cloud-Computing
|-
|[[NET.1.2 Netzmanagement | NET.1.2]] || Netzmanagement || Netzmanagement
|}
=== Zuständigkeiten ===
{| class="wikitable options"
|-
!| Zuständigkeiten
!| Zuständigkeiten
!| Rollen
!| Rollen
|-  
|-
|| Grundsätzlich zuständig
|| Grundsätzlich zuständig
|| Planer
|| [[Planende]]
|-  
|-
|| Weitere Zuständigkeiten
|| Weitere Zuständigkeiten
|| IT-Betrieb
|| [[IT-Betrieb]]
|-
|}
|}


=== Basis-Anforderungen ===
; Informationssicherheitsbeauftragte (ISB)
Die folgenden Anforderungen MÜSSEN für den Baustein NET.1.1 Netzarchitektur und -design vorrangig erfüllt werden:
: Bei strategischen Entscheidungen einbeziehen
=== NET.1.1.A1 Sicherheitsrichtlinie für das Netz [IT-Betrieb] (B) ===
: Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
Ausgehend von der allgemeinen Sicherheitsrichtlinie der Institution MUSS eine spezifische Sicherheitsrichtlinie für das Netz erstellt werden.
:* erfüllt
* Darin MÜSSEN nachvollziehbar Anforderungen und Vorgaben beschrieben werden, wie Netze sicher konzipiert und aufgebaut werden.
:* überprüft
* In der Richtlinie MUSS unter anderem festgelegt werden,
:werden
* in welchen Fällen die Zonen zu segmentieren sind und in welchen Fällen Benutzergruppen bzw. Mandanten logisch oder sogar physisch zu trennen sind,
* welche Kommunikationsbeziehungen und welche Netz- und Anwendungsprotokolle jeweils zugelassen werden,
* wie der Datenverkehr für Administration und Überwachung netztechnisch zu trennen ist,
* welche institutionsinterne, standortübergreifende Kommunikation (WAN, Funknetze) erlaubt und welche Verschlüsselung im WAN, LAN oder auf Funkstrecken erforderlich ist sowie
* welche institutionsübergreifende Kommunikation zugelassen ist.


Die Richtlinie MUSS allen im Bereich Netzdesign zuständigen Mitarbeitern bekannt sein.
== Gefährdungslage ==
* Sie MUSS zudem grundlegend für ihre Arbeit sein.
Bedrohungen und Schwachstellen von besonderer Bedeutung
* Wird die Richtlinie verändert oder wird von den Anforderungen abgewichen, MUSS dies dokumentiert und mit dem verantwortlichen ISB abgestimmt werden.
* Es MUSS regelmäßig überprüft werden, ob die Richtlinie noch korrekt umgesetzt ist.
* Die Ergebnisse MÜSSEN sinnvoll dokumentiert werden.


=== NET.1.1.A2 Dokumentation des Netzes [IT-Betrieb] (B) ===
{| class="wikitable sortable options"
Es MUSS eine vollständige Dokumentation des Netzes erstellt werden.
|-
* Sie MUSS einen Netzplan beinhalten.
! Schwachstelle !! Beschreibung
* Die Dokumentation MUSS nachhaltig gepflegt werden.
|-
* Die initiale Ist-Aufnahme, einschließlich der Netzperformance, sowie alle durchgeführten Änderungen im Netz MÜSSEN in der Dokumentation enthalten sein.
| [[#Performance|Performance]] || Unzureichend dimensionierte Kommunikationsverbindungen
* Die logische Struktur des Netzes MUSS dokumentiert werden, insbesondere, wie die Subnetze zugeordnet und wie das Netz zoniert und segmentiert wird.
|-
| [[#Netzzugänge|Netzzugänge]] || Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
|-
| [[#Aufbau|Aufbau]] || Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.
|}


=== NET.1.1.A3 Anforderungsspezifikation für das Netz (B) ===
=== Performance ===
Ausgehend von der Sicherheitsrichtlinie für das Netz MUSS eine Anforderungsspezifikation erstellt werden.
; Unzureichend dimensionierte Kommunikationsverbindungen
* Diese MUSS nachhaltig gepflegt werden.
* Clients nur noch eingeschränkt mit Servern kommunizieren
* Aus den Anforderungen MÜSSEN sich alle wesentlichen Elemente für Netzarchitektur und -design ableiten lassen.


=== NET.1.1.A4 Netztrennung in Zonen (B) ===
; Mögliche Auslöser
Das Gesamtnetz MUSS mindestens in folgende drei Zonen physisch separiert sein: internes Netz, demilitarisierte Zone (DMZ) und Außenanbindungen (inklusive Internetanbindung sowie Anbindung an andere nicht vertrauenswürdige Netze).
* Technischer Ausfall
* Die Zonenübergänge MÜSSEN durch eine Firewall abgesichert werden.
* Denial-of-Service-(DoS)-Angriff
* Diese Kontrolle MUSS dem Prinzip der lokalen Kommunikation folgen, sodass von Firewalls ausschließlich erlaubte Kommunikation weitergeleitet wird (Whitelisting).


Nicht vertrauenswürdige Netze (z. B. Internet) und vertrauenswürdige Netze (z. B. Intranet) MÜSSEN mindestens durch eine zweistufige Firewall-Struktur, bestehend aus zustandsbehafteten Paketfiltern (Firewall), getrennt werden.
; Folgen
* Um Internet und externe DMZ netztechnisch zu trennen, MUSS mindestens ein zustandsbehafteter Paketfilter eingesetzt werden.
* Erhöhte Zugriffszeiten auf interne und externe Dienste
** Eingeschränkte Erreichbarkeit/nutzbar
** Wichtige Informationen sind nicht verfügbar
* Unterbrechung von Geschäftsprozessen/Produktionsprozesse


In der zweistufigen Firewall-Architektur MUSS jeder ein- und ausgehende Datenverkehr durch den äußeren Paketfilter bzw. den internen Paketfilter kontrolliert und gefiltert werden.
=== Netzzugänge ===
Ungenügend abgesichert
; Fehlende Firewall
* Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
** Firewall nicht aktivier/falsch konfiguriert


Eine P-A-P-Struktur, die aus Paketfilter, Application-Layer-Gateway bzw. Sicherheits-Proxies und Paketfilter besteht, MUSS immer realisiert werden, wenn die Sicherheitsrichtlinie oder die Anforderungsspezifikation dies fordern.
; Angreifer
* können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)


=== NET.1.1.A5 Client-Server-Segmentierung (B) ===
=== Aufbau ===
Clients und Server MÜSSEN in unterschiedlichen Netzsegmenten platziert werden.
Unsachgemäßer Aufbau
* Die Kommunikation zwischen diesen Netzsegmenten MUSS mindestens durch einen zustandsbehafteten Paketfilter kontrolliert werden.
; Unsichere Netztopologie
* Unsachgemäß aufgebaut
* Fehlerhafte Erweiterung


Es SOLLTE beachtet werden, dass mögliche Ausnahmen, die es erlauben, Clients und Server in einem gemeinsamen Netzsegment zu positionieren, in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt werden.
; Risiken
Angreifer können leichter
* Sicherheitslücken finden
* ins interne Netzwerk eindringen
* Informationen stehlen
* Daten manipulieren
* Produktionssysteme stören
Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt


Für Gastzugänge und für Netzbereiche, in denen keine ausreichende interne Kontrolle über die Endgeräte gegeben ist, MÜSSEN dedizierte Netzsegmente eingerichtet werden.
=== Elementare Gefährdungen ===
{| class="wikitable sortable options col1center"
|-
! Nr. !! Gefährdungen !! !! !!
|-
| G 0.9 || Ausfall oder Störung von Kommunikationsnetzen ||  ||  ||
|-
| G 0.11 || Ausfall oder Störung von Dienstleistern ||  ||  ||
|-
| G 0.15 || Abhören ||  ||  ||
|-
| G 0.18 || Fehlplanung oder fehlende Anpassung ||  ||  ||
|-
| G 0.19 || Offenlegung schützenswerter Informationen ||  ||  ||
|-
| G 0.22 || Manipulation von Informationen ||  ||  ||
|-
| G 0.23 || Unbefugtes Eindringen in IT-Systeme ||  ||  ||
|-
| G 0.25 || Ausfall von Geräten oder Systemen ||  ||  ||
|-
| G 0.27 || Ressourcenmangel ||  ||  ||
|-
| G 0.29 || Verstoß gegen Gesetze oder Regelungen ||  ||  ||
|-
| G 0.30 || Unberechtigte Nutzung oder Administration von Geräten und Systemen ||  ||  ||
|-
| G 0.40 || Verhinderung von Diensten (Denial of Service) ||  ||  ||
|-
| G 0.43 || Einspielen von Nachrichten ||  ||  ||
|-
| G 0.46 || Integritätsverlust schützenswerter Informationen ||  ||  ||
|}


=== NET.1.1.A6 Endgeräte-Segmentierung im internen Netz (B) ===
== Anforderungen ==
Es DÜRFEN NUR Endgeräte in einem Netzsegment positioniert werden, die einem ähnlichen Sicherheitsniveau entsprechen.
{| class="wikitable options"
|-
! Schutzbedarf !! Beschreibung
|-
|| [[#Basis | Basis]] || ''[[MÜSSEN]]'' vorrangig erfüllt werden
|-
|| [[#Standard | Standard]] || ''[[SOLLTEN]]'' grundsätzlich erfüllt werden
|-
|| [[#Erhöht | Erhöht]] || Exemplarische Vorschläge
|}


=== NET.1.1.A7 Absicherung von schützenswerten Informationen (B) ===
=== Basis ===
Schützenswerte Informationen MÜSSEN über nach dem derzeitigen Stand der Technik sichere Protokolle übertragen werden, falls nicht über vertrauenswürdige dedizierte Netzsegmente (z. B. innerhalb des Managementnetzes) kommuniziert wird.
{| class="wikitable options col1center"
* Können solche Protokolle nicht genutzt werden, MUSS nach Stand der Technik angemessen verschlüsselt und authentisiert werden (siehe NET.3.3 VPN).
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A1 || [[#A1 Sicherheitsrichtlinie für das Netz|Sicherheitsrichtlinie für das Netz]] || [[IT-Betrieb]]
|-
| A2 || [[#A2 Dokumentation des Netzes|Dokumentation des Netzes]] || [[IT-Betrieb]]
|-
| A3 || [[#A3 Anforderungsspezifikation für das Netz|Anforderungsspezifikation für das Netz]] ||
|-
| A4 || [[#A4 Netztrennung in Zonen|Netztrennung in Zonen]] ||
|-
| A5 || [[#A5 Client-Server-Segmentierung|Client-Server-Segmentierung]] ||
|-
| A6 || [[#A6 Endgeräte-Segmentierung im internen Netz|Endgeräte-Segmentierung im internen Netz]] ||
|-
| A7 || [[#A7 Absicherung von schützenswerten Informationen|Absicherung von schützenswerten Informationen]] ||
|-
| A8 || [[#A8 Grundlegende Absicherung des Internetzugangs|Grundlegende Absicherung des Internetzugangs]] ||
|-
| A9 || [[#A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen|Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen]] ||
|-
| A10 || [[#A10 DMZ-Segmentierung für Zugriffe aus dem Internet|DMZ-Segmentierung für Zugriffe aus dem Internet]] ||
|-
| A11 || [[#A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz|Absicherung eingehender Kommunikation vom Internet in das interne Netz]] ||
|-
| A12 || [[#A12 Absicherung ausgehender interner Kommunikation zum Internet|Absicherung ausgehender interner Kommunikation zum Internet]] ||
|-
| A13 || [[#A13 Netzplanung|Netzplanung]] ||
|-
| A14 || [[#A14 Umsetzung der Netzplanung|Umsetzung der Netzplanung]] ||
|-
| A15 || [[#A15 Regelmäßiger Soll-Ist-Vergleich|Regelmäßiger Soll-Ist-Vergleich]] ||
|}


=== NET.1.1.A8 Grundlegende Absicherung des Internetzugangs (B) ===
=== Standard ===
Der Internetverkehr MUSS über die Firewall-Struktur geführt werden (siehe NET.1.1.A4 Netztrennung in Zonen).
{| class="wikitable options col1center"
* Die Datenflüsse MÜSSEN durch die Firewall-Struktur auf die benötigten Protokolle und Kommunikationsbeziehungen eingeschränkt werden.
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A16 || [[#A16 Spezifikation der Netzarchitektur|Spezifikation der Netzarchitektur]] ||
|-
| A17 || [[#A17 Spezifikation des Netzdesigns|Spezifikation des Netzdesigns]] ||
|-
| A18 || [[#A18 P-A-P-Struktur für die Internet-Anbindung|P-A-P-Struktur für die Internet-Anbindung]] ||
|-
| A19 || [[#A19 Separierung der Infrastrukturdienste|Separierung der Infrastrukturdienste]] ||
|-
| A20 || [[#A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen|Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen]] ||
|-
| A21 || [[#A21 Separierung des Management-Bereichs|Separierung des Management-Bereichs]] ||
|-
| A22 || [[#A22 Spezifikation des Segmentierungskonzepts|Spezifikation des Segmentierungskonzepts]] ||
|-
| A23 || [[#A23 Trennung von Netzsegmenten|Trennung von Netzsegmenten]] ||
|-
| A24 || [[#A24 Sichere logische Trennung mittels VLAN|Sichere logische Trennung mittels VLAN]] ||
|-
| A25 || [[#A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design|Fein- und Umsetzungsplanung von Netzarchitektur und -design]] ||
|-
| A26 || [[#A26 Spezifikation von Betriebsprozessen für das Netz|Spezifikation von Betriebsprozessen für das Netz]] ||
|-
| A27 || [[#A27 Einbindung der Netzarchitektur in die Notfallplanung|Einbindung der Netzarchitektur in die Notfallplanung]] || [[IT-Betrieb]]
|}


=== NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen (B) ===
=== Erhöht ===
Für jedes Netz MUSS festgelegt werden, inwieweit es als vertrauenswürdig einzustufen ist.
{| class="wikitable options col1center"
* Netze, die nicht vertrauenswürdig sind, MÜSSEN wie das Internet behandelt und entsprechend abgesichert werden.
|-
 
! Anforderung !! Beschreibung !! Rolle
=== NET.1.1.A10 DMZ-Segmentierung für Zugriffe aus dem Internet (B) ===
|-
Die Firewall-Strukur MUSS für alle Dienste bzw. Anwendungen, die aus dem Internet erreichbar sind, um eine sogenannte externe DMZ ergänzt werden.
| A28 || [[#A28 Hochverfügbare Netz- und Sicherheitskomponenten | Hochverfügbare Netz- und Sicherheitskomponenten]] ||
* Es SOLLTE ein Konzept zur DMZ-Segmentierung erstellt werden, das die Sicherheitsrichtlinie und die Anforderungsspezifikation nachvollziehbar umsetzt.
|-
* Abhängig vom Sicherheitsniveau der IT-Systeme MÜSSEN die DMZ-Segmente weitergehend unterteilt werden.
| A29 || [[#A29 Hochverfügbare Realisierung von Netzanbindungen | Hochverfügbare Realisierung von Netzanbindungen]] ||
* Eine externe DMZ MUSS am äußeren Paketfilter angeschlossen werden.
|-
 
| A30 || [[#A30 Schutz vor Distributed-Denial-of-Service|Schutz vor Distributed-Denial-of-Service]] ||
=== NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B) ===
|-
Ein IP-basierter Zugriff auf das interne Netz MUSS über einen sicheren Kommunikationskanal erfolgen.
| A31 || [[#A31 Physische Trennung von Netzsegmenten|Physische Trennung von Netzsegmenten]] ||
* Der Zugriff MUSS auf vertrauenswürdige IT-Systeme und Benutzer beschränkt werden (siehe NET.3.3 VPN).
|-
* Derartige VPN-Gateways SOLLTEN in einer externen DMZ platziert werden.
| A32 || [[#A32 Physische Trennung von Management-Netzsegmenten|Physische Trennung von Management-Netzsegmenten]] ||
* Es SOLLTE beachtet werden, dass hinreichend gehärtete VPN-Gateways direkt aus dem Internet erreichbar sein können.
|-
* Die über das VPN-Gateway authentisierten Zugriffe ins interne Netz MÜSSEN mindestens die interne Firewall durchlaufen.
| A33 || [[#A33 Mikrosegmentierung des Netzes|Mikrosegmentierung des Netzes]] ||
 
|-
IT-Systeme DÜRFEN NICHT via Internet oder externer DMZ auf das interne Netz zugreifen.
| A34 || [[#A34 Einsatz kryptografischer Verfahren auf Netzebene|Einsatz kryptografischer Verfahren auf Netzebene]] ||
* Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt werden.
|-
 
| A35 || [[#A35 Einsatz von netzbasiertem DLP|Einsatz von netzbasiertem DLP]] ||
=== NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B) ===
|-
Ausgehende Kommunikation aus dem internen Netz zum Internet MUSS an einem Sicherheits-Proxy entkoppelt werden.
| A36 || [[#A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf|Trennung mittels VLAN bei sehr hohem Schutzbedarf]] ||
* Die Entkoppelung MUSS außerhalb des internen Netzes erfolgen.
|}
* Wird eine P-A-P-Struktur eingesetzt, SOLLTE die ausgehende Kommunikation immer durch die Sicherheits-Proxies der P-A-P-Struktur entkoppelt werden.
 
=== NET.1.1.A13 Netzplanung (B) ===
Jede Netzimplementierung MUSS geeignet, vollständig und nachvollziehbar geplant werden.
* Dabei MÜSSEN die Sicherheitsrichtlinie sowie die Anforderungsspezifikation beachtet werden.
* Darüber hinaus MÜSSEN in der Planung mindestens die folgenden Punkte bedarfsgerecht berücksichtigt werden:* Anbindung von Internet und, sofern vorhanden, Standortnetz und Extranet,
* Topologie des Gesamtnetzes und der Netzbereiche, d. h. Zonen und Netzsegmente,
* Dimensionierung und Redundanz der Netz- und Sicherheitskomponenten, Übertragungsstrecken und Außenanbindungen,
* zu nutzende Protokolle und deren grundsätzliche Konfiguration und Adressierung, insbesondere IPv4/IPv6-Subnetze von Endgerätegruppen sowie
* Administration und Überwachung (siehe NET.1.2 Netzmanagement).
 
Die Netzplanung MUSS regelmäßig überprüft werden.
 
=== NET.1.1.A14 Umsetzung der Netzplanung (B) ===
Das geplante Netz MUSS fachgerecht umgesetzt werden.
* Dies MUSS während der Abnahme geprüft werden.
 
=== NET.1.1.A15 Regelmäßiger Soll-Ist-Vergleich (B) ===
Es MUSS regelmäßig geprüft werden, ob das bestehende Netz dem Soll-Zustand entspricht.
* Dabei MUSS mindestens geprüft werden, inwieweit es die Sicherheitsrichtlinie und Anforderungsspezifikation erfüllt.
* Es MUSS auch geprüft werden, inwiefern die umgesetzte Netzstruktur dem aktuellen Stand der Netzplanung entspricht.
* Dafür MÜSSEN zuständige Personen sowie Prüfkriterien bzw. Vorgaben festgelegt werden.
 
== Standard-Anforderungen ==
Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein NET.1.1 Netzarchitektur und -design.
* Sie SOLLTEN grundsätzlich erfüllt werden.
 
=== NET.1.1.A16 Spezifikation der Netzarchitektur (S) ===
Auf Basis der Sicherheitsrichtlinie und der Anforderungsspezifikation SOLLTE eine Architektur für die Zonen inklusive internem Netz, DMZ-Bereich und Außenanbindungen entwickelt und nachhaltig gepflegt werden.
* Dabei SOLLTEN je nach spezifischer Situation der Institution alle relevanten Architekturelemente betrachtet werden, mindestens jedoch:* Netzarchitektur des internen Netzes mit Festlegungen dazu, wie Netzvirtualisierungstechniken, Layer-2- und Layer-3-Kommunikation sowie Redundanzverfahren einzusetzen sind,
* Netzarchitektur für Außenanbindungen, inklusive Firewall-Architekturen, sowie DMZ- und Extranet-Design und Vorgaben an die Standortkopplung,
* Festlegung, an welchen Stellen des Netzes welche Sicherheitskomponenten wie Firewalls oder IDS/IPS zu platzieren sind und welche Sicherheitsfunktionen diese realisieren müssen,
* Vorgaben für die Netzanbindung der verschiedenen IT-Systeme,
* Netzarchitektur in Virtualisierungs-Hosts, wobei insbesondere Network Virtualization Overlay (NVO) und die Architektur in Vertikal integrierten Systemen (ViS) zu berücksichtigen sind,
* Festlegungen der grundsätzlichen Architektur-Elemente für eine Private Cloud sowie Absicherung der Anbindungen zu Virtual Private Clouds, Hybrid Clouds und Public Clouds sowie
* Architektur zur sicheren Administration und Überwachung der IT-Infrastruktur.
 
=== NET.1.1.A17 Spezifikation des Netzdesigns (S) ===
Basierend auf der Netzarchitektur SOLLTE das Netzdesign für die Zonen inklusive internem Netz, DMZ-Bereich und Außenanbindungen entwickelt und nachhaltig gepflegt werden.
* Dafür SOLLTEN die relevanten Architekturelemente detailliert betrachtet werden, mindestens jedoch:* zulässige Formen von Netzkomponenten inklusive virtualisierter Netzkomponenten,
* Festlegungen darüber, wie WAN- und Funkverbindungen abzusichern sind,
* Anbindung von Endgeräten an Switching-Komponenten, Verbindungen zwischen Netzelementen sowie Verwendung von Kommunikationsprotokollen,
* Redundanzmechanismen für alle Netzelemente,
* Adresskonzept für IPv4 und IPv6 sowie zugehörige Routing- und Switching-Konzepte,
* virtualisierte Netze in Virtualisierungs-Hosts inklusive NVO,
* Aufbau, Anbindung und Absicherung von Private Clouds sowie sichere Anbindung von Virtual Private Clouds, Hybrid Clouds und Public Clouds sowie
* Festlegungen zum Netzdesign für die sichere Administration und Überwachung der IT-Infrastruktur.
 
=== NET.1.1.A18 P-A-P-Struktur für die Internet-Anbindung (S) ===
Das Netz der Institution SOLLTE über eine Firewall mit P-A-P-Struktur an das Internet angeschlossen werden (siehe NET.1.1.A4 Netztrennung in Zonen).
 
Zwischen den beiden Firewall-Stufen MUSS ein proxy-basiertes Application-Layer-Gateway (ALG) realisiert werden.
* Das ALG MUSS über ein eigenes Transfernetz (dual-homed) sowohl zum äußeren Paketfilter als auch zum internen Paketfilter angebunden werden.
* Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen für das ALG belegt sein.
 
Falls kein ALG eingesetzt wird, dann MÜSSEN entsprechende Sicherheits-Proxies realisiert werden.
* Die Sicherheits-Proxies MÜSSEN über ein eigenes Transfernetz (dual-homed) angebunden werden.
* Das Transfernetz DARF NICHT mit anderen Aufgaben als denjenigen für die Sicherheits-Proxies belegt sein.
* Es MUSS geprüft werden, ob über die Sicherheits-Proxies gegenseitige Angriffe möglich sind.
* Ist dies der Fall, MUSS das Transfernetz geeignet segmentiert werden.
 
Jeglicher Datenverkehr MUSS über das ALG oder entsprechende Sicherheits-Proxies entkoppelt werden.
* Ein Transfernetz, das beide Firewall-Stufen direkt miteinander verbindet, DARF NICHT konfiguriert werden.
* Die interne Firewall MUSS zudem die Angriffsfläche des ALGs oder der Sicherheits-Proxies gegenüber Innentätern oder IT-Systemen im internen Netz reduzieren.
 
Authentisierte und vertrauenswürdige Netzzugriffe vom VPN-Gateway ins interne Netz SOLLTEN NICHT das ALG oder die Sicherheits-Proxies der P-A-P-Struktur durchlaufen.
 
=== NET.1.1.A19 Separierung der Infrastrukturdienste (S) ===
Server, die grundlegende Dienste für die IT-Infrastruktur bereitstellen, SOLLTEN in einem dedizierten Netzsegment positioniert werden.
* Die Kommunikation mit ihnen SOLLTE durch einen zustandsbehafteten Paketfilter (Firewall) kontrolliert werden.
 
=== NET.1.1.A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen (S) ===
Unterschiedliche IPv4-/IPv6- Endgeräte SOLLTEN je nach verwendetem Protokoll (IPv4-/IPv6- oder IPv4/IPv6-DualStack) dedizierten Subnetzen zugeordnet werden.
 
=== NET.1.1.A21 Separierung des Management-Bereichs (S) ===
Um die Infrastruktur zu managen, SOLLTE durchgängig ein Out-of-Band-Management genutzt werden.
* Dabei SOLLTEN alle Endgeräte, die für das Management der IT-Infrastruktur benötigt werden, in dedizierten Netzsegmenten positioniert werden.
* Die Kommunikation mit diesen Endgeräten SOLLTE durch einen zustandsbehafteten Paketfilter kontrolliert werden.
* Die Kommunikation von und zu diesen Management-Netzsegmenten SOLLTE auf die notwendigen Management-Protokolle mit definierten Kommunikations-Endpunkten beschränkt werden.
 
Der Management-Bereich SOLLTE mindestens die folgenden Netzsegmente umfassen.
* Diese SOLLTEN abhängig von der Sicherheitsrichtlinie und der Anforderungsspezifikation weiter unterteilt werden in* Netzsegment(e) für IT-Systeme, die für die Authentisierung und Autorisierung der administrativen Kommunikation zuständig sind,
* Netzsegment(e) für die Administration der IT-Systeme,
* Netzsegment(e) für die Überwachung und das Monitoring,
* Netzsegment(e), die die zentrale Protokollierung inklusive Syslog-Server und SIEM-Server enthalten,
* Netzsegment(e) für IT-Systeme, die für grundlegende Dienste des Management-Bereichs benötigt werden sowie
* Netzsegment(e) für die Management-Interfaces der zu administrierenden IT-Systeme.
 
Die verschiedenen Management-Interfaces der IT-Systeme MÜSSEN nach ihrem Einsatzzweck und ihrer Netzplatzierung über einen zustandsbehafteten Paketfilter getrennt werden.
* Dabei SOLLTEN die IT-Systeme (Management-Interfaces) zusätzlich bei folgender Zugehörigkeit über dedizierte Firewalls getrennt werden:* IT-Systeme, die aus dem Internet erreichbar sind,
* IT-Systeme im internen Netz sowie
* Sicherheitskomponenten, die sich zwischen den aus dem Internet erreichbaren IT-Systemen und dem internen Netz befinden.
 
Es MUSS sichergestellt werden, dass die Segmentierung nicht durch die Management-Kommunikation unterlaufen werden kann.
* Eine Überbrückung von Netzsegmenten MUSS ausgeschlossen werden.
 
=== NET.1.1.A22 Spezifikation des Segmentierungskonzepts (S) ===
Auf Basis der Spezifikationen von Netzarchitektur und Netzdesign SOLLTE ein umfassendes Segmentierungskonzept für das interne Netz erstellt werden.
* Dieses Segmentierungskonzept SOLLTE eventuell vorhandene virtualisierte Netze in Virtualisierungs-Hosts beinhalten.
* Das Segmentierunskonzept SOLLTE geplant, umgesetzt, betrieben und nachhaltig gepflegt werden.
* Das Konzept SOLLTE mindestens die folgenden Punkte umfassen, soweit diese in der Zielumgebung vorgesehen sind:* Initial anzulegende Netzsegmente und Vorgaben dazu, wie neue Netzsegmente zu schaffen sind und wie Endgeräte in den Netzsegmenten zu positionieren sind,
* Festlegung für die Segmentierung von Entwicklungs- und Testsystemen (Staging),
* Netzzugangskontrolle für Netzsegmente mit Clients,
* Anbindung von Netzbereichen, die über Funktechniken oder Standleitung an die Netzsegmente angebunden sind,
* Anbindung der Virtualisierungs-Hosts und von virtuellen Maschinen auf den Hosts an die Netzsegmente,
* Rechenzentrumsautomatisierung sowie
* Festlegungen dazu, wie Endgeräte einzubinden sind, die mehrere Netzsegmente versorgen, z. B. Load Balancer, und Speicher- sowie Datensicherungslösungen.
 
Abhängig von der Sicherheitsrichtlinie und der Anforderungsspezifikation SOLLTE für jedes Netzsegment konzipiert werden, wie es netztechnisch realisiert werden soll.
* Darüber hinaus SOLLTE festgelegt werden, welche Sicherheitsfunktionen die Koppelelemente zwischen den Netzsegmenten bereitstellen müssen (z. B. Firewall als zustandsbehafteter Paketfilter oder IDS/IPS).
 
=== NET.1.1.A23 Trennung von Netzsegmenten (S) ===
IT-Systeme mit unterschiedlichem Schutzbedarf SOLLTEN in verschiedenen Netzsegmenten platziert werden.
* Ist dies nicht möglich, SOLLTE sich der Schutzbedarf nach dem höchsten vorkommenden Schutzbedarf im Netzsegment richten.
* Darüber hinaus SOLLTEN die Netzsegmente abhängig von ihrer Größe und den Anforderungen des Segmentierungskonzepts weiter unterteilt werden.
* Es MUSS sichergestellt werden, dass keine Überbrückung von Netzsegmenten oder gar Zonen möglich ist.
 
Gehören die virtuellen LANs (VLANs) an einem Switch unterschiedlichen Institutionen an, SOLLTE die Trennung physisch erfolgen.
* Alternativ SOLLTEN Daten verschlüsselt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.
 
=== NET.1.1.A24 Sichere logische Trennung mittels VLAN (S) ===
Falls VLANs eingesetzt werden, dann DARF dadurch KEINE Verbindung geschaffen werden zwischen dem internen Netz und einer Zone vor dem ALG oder den Sicherheits-Proxies.
 
Generell MUSS sichergestellt werden, dass VLANs nicht überwunden werden können.
 
=== NET.1.1.A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design (S) ===
Eine Fein- und Umsetzungsplanung für die Netzarchitektur und das Netzdesign SOLLTE durchgeführt, dokumentiert, geprüft und nachhaltig gepflegt werden.
 
=== NET.1.1.A26 Spezifikation von Betriebsprozessen für das Netz (S) ===
Betriebsprozesse SOLLTEN bedarfsgerecht erzeugt oder angepasst und dokumentiert werden.
* Dabei SOLLTE insbesondere berücksichtigt werden, wie sich die Zonierung sowie das Segmentierungskonzept auf den IT-Betrieb auswirken.
 
=== NET.1.1.A27 Einbindung der Netzarchitektur in die Notfallplanung [IT-Betrieb] (S) ===
Es SOLLTE initial und in regelmäßigen Abständen nachvollziehbar analysiert werden, wie sich die Netzarchitektur und die abgeleiteten Konzepte auf die Notfallplanung auswirken.
 
== Anforderungen bei erhöhtem Schutzbedarf ==
Im Folgenden sind für den Baustein NET.1.1 Netzarchitektur und -design exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN.
* Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse.
 
=== NET.1.1.A28 Hochverfügbare Netz- und Sicherheitskomponenten (H) ===
Zentrale Bereiche des internen Netzes sowie die Sicherheitskomponenten SOLLTEN hochverfügbar ausgelegt sein.
* Dazu SOLLTEN die Komponenten redundant ausgelegt und auch intern hochverfügbar realisiert werden.
 
=== NET.1.1.A29 Hochverfügbare Realisierung von Netzanbindungen (H) ===
Die Netzanbindungen, wie z.
* B.
* Internet-Anbindung und WAN-Verbindungen, SOLLTEN vollständig redundant gestaltet werden.
* Je nach Verfügbarkeitsanforderung SOLLTEN redundante Anbindungen an einen oder verschiedene Anbieter bedarfsabhängig mit unterschiedlicher Technik und Performance bedarfsgerecht umgesetzt werden.
* Auch SOLLTE Wegeredundanz innerhalb und außerhalb der eigenen Zuständigkeit bedarfsgerecht umgesetzt werden.
* Dabei SOLLTEN mögliche Single Points of Failures (SPoF) und störende Umgebungsbedingungen berücksichtigt werden.
 
=== NET.1.1.A30 Schutz vor Distributed-Denial-of-Service (H) ===
Um DDoS-Angriffe abzuwehren, SOLLTE per Bandbreitenmanagement die verfügbare Bandbreite gezielt zwischen verschiedenen Kommunikationspartnern und Protokollen aufgeteilt werden.
 
Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu können, SOLLTEN Mitigation-Dienste über größere Internet Service Provider (ISPs) eingekauft werden.
* Deren Nutzung SOLLTE in Verträgen geregelt werden.
 
=== NET.1.1.A31 Physische Trennung von Netzsegmenten (H) ===
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.
 
=== NET.1.1.A32 Physische Trennung von Management-Netzsegmenten (H) ===
Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente des Management-Bereichs physisch voneinander getrennt werden.
 
=== NET.1.1.A33 Mikrosegmentierung des Netzes (H) ===
Das Netz SOLLTE in kleine Netzsegmente mit sehr ähnlichem Anforderungsprofil und selbem Schutzbedarf unterteilt werden.
* Insbesondere SOLLTE dies für die DMZ-Segmente berücksichtigt werden.
 
=== NET.1.1.A34 Einsatz kryptografischer Verfahren auf Netzebene (H) ===
Die Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich mittels kryptografischer Techniken bereits auf Netzebene realisiert werden.
* Dafür SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden.
 
Wenn innerhalb von internem Netz, Extranet oder DMZ über Verbindungsstrecken kommuniziert wird, die für einen erhöhten Schutzbedarf nicht ausreichend sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschlüsselt werden.


=== NET.1.1.A35 Einsatz von netzbasiertem DLP (H) ===
<noinclude>
Auf Netzebene SOLLTEN Systeme zur Data Lost Prevention (DLP) eingesetzt werden.
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/NET}}


=== NET.1.1.A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf (H) ===
=== Dokumentation ===
Bei sehr hohem Schutzbedarf SOLLTEN KEINE VLANs eingesetzt werden.= Weiterführende Informationen =
Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
== Wissenswertes ==
* Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht:* Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
* Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0
* Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0


Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.
Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.


= Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen =
=== Links ===
Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen.
==== Projekt ====
* Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind.
==== Weblinks ====
* Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt.
* Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden.
* Die folgenden elementaren Gefährdungen sind für den Baustein NET.1.1 Netzarchitektur und -design von Bedeutung.


G 0.9 Ausfall oder Störung von Kommunikationsnetzen
[[Kategorie:NET]]
G 0.11 Ausfall oder Störung von Dienstleistern
</noinclude>
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.46 Integritätsverlust schützenswerter Informationen
[[Kategorie:BSI-Kompendium]]

Aktuelle Version vom 13. Dezember 2024, 08:51 Uhr

NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums

Beschreibung

Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren

Institutionen benötigen Datennetze
  • Geschäftsbetrieb
  • Fachaufgaben
  • Informationens-/Datenaustausch
  • Verteilte Anwendungen
  • ...
Nicht nur herkömmliche Endgeräte
  • Partnernetze
  • Internet
  • Mobile Endgeräte
  • IoT-Komponenten (Internet of Things)
Cloud-Dienste
  • Dienste für Unified Communication and Collaboration (UCC)
Viele Endgeräte und Dienste erhöhen Risiken
Sicheren Netzarchitektur
  • Planung
  • Netz durch sichere Netzarchitektur schützen
  • Lokales Netz (Local Area Network, LAN)
  • Wide Area Network (WAN)
  • Eingeschränkt vertrauenswürdige Netze
Hohes Sicherheitsniveau
  • Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
    • Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
  • Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
  • Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
Grundsätzliche Anforderungen
  • Netzwerkplanung
  • Netzwerkaufbau
  • Netzwerkbetrieb
  • Architektur und Design
Allgemeine Anforderungen
  • Müssen für alle Netztechniken beachtet und erfüllt werden
z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
Fokus
  • Kabelgebundenen Netzen und Datenkommunikation

Modellierung

NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden

Abgrenzung

Relevante Bausteine
Baustein Bezeichnung Beschreibung
NET.3 Netzkomponenten Betrieb von Netzkomponenten
NET.2 Funknetze Wireless LAN (WLAN)
SYS.1.8 Speicherlösungen Speichernetze (Storage Area Networks, SAN)
NET.4.2 VoIP Voice over IP
Virtual Private Cloud/Hybrid Cloud Cloud-Computing
NET.1.2 Netzmanagement Netzmanagement

Zuständigkeiten

Zuständigkeiten Rollen
Grundsätzlich zuständig Planende
Weitere Zuständigkeiten IT-Betrieb
Informationssicherheitsbeauftragte (ISB)
Bei strategischen Entscheidungen einbeziehen
Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
  • erfüllt
  • überprüft
werden

Gefährdungslage

Bedrohungen und Schwachstellen von besonderer Bedeutung

Schwachstelle Beschreibung
Performance Unzureichend dimensionierte Kommunikationsverbindungen
Netzzugänge Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
Aufbau Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.

Performance

Unzureichend dimensionierte Kommunikationsverbindungen
  • Clients nur noch eingeschränkt mit Servern kommunizieren
Mögliche Auslöser
  • Technischer Ausfall
  • Denial-of-Service-(DoS)-Angriff
Folgen
  • Erhöhte Zugriffszeiten auf interne und externe Dienste
    • Eingeschränkte Erreichbarkeit/nutzbar
    • Wichtige Informationen sind nicht verfügbar
  • Unterbrechung von Geschäftsprozessen/Produktionsprozesse

Netzzugänge

Ungenügend abgesichert

Fehlende Firewall
  • Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
    • Firewall nicht aktivier/falsch konfiguriert
Angreifer
  • können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)

Aufbau

Unsachgemäßer Aufbau

Unsichere Netztopologie
  • Unsachgemäß aufgebaut
  • Fehlerhafte Erweiterung
Risiken

Angreifer können leichter

  • Sicherheitslücken finden
  • ins interne Netzwerk eindringen
  • Informationen stehlen
  • Daten manipulieren
  • Produktionssysteme stören

Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt

Elementare Gefährdungen

Nr. Gefährdungen
G 0.9 Ausfall oder Störung von Kommunikationsnetzen
G 0.11 Ausfall oder Störung von Dienstleistern
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.46 Integritätsverlust schützenswerter Informationen

Anforderungen

Schutzbedarf Beschreibung
Basis MÜSSEN vorrangig erfüllt werden
Standard SOLLTEN grundsätzlich erfüllt werden
Erhöht Exemplarische Vorschläge

Basis

Anforderung Beschreibung Rolle
A1 Sicherheitsrichtlinie für das Netz IT-Betrieb
A2 Dokumentation des Netzes IT-Betrieb
A3 Anforderungsspezifikation für das Netz
A4 Netztrennung in Zonen
A5 Client-Server-Segmentierung
A6 Endgeräte-Segmentierung im internen Netz
A7 Absicherung von schützenswerten Informationen
A8 Grundlegende Absicherung des Internetzugangs
A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen
A10 DMZ-Segmentierung für Zugriffe aus dem Internet
A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz
A12 Absicherung ausgehender interner Kommunikation zum Internet
A13 Netzplanung
A14 Umsetzung der Netzplanung
A15 Regelmäßiger Soll-Ist-Vergleich

Standard

Anforderung Beschreibung Rolle
A16 Spezifikation der Netzarchitektur
A17 Spezifikation des Netzdesigns
A18 P-A-P-Struktur für die Internet-Anbindung
A19 Separierung der Infrastrukturdienste
A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen
A21 Separierung des Management-Bereichs
A22 Spezifikation des Segmentierungskonzepts
A23 Trennung von Netzsegmenten
A24 Sichere logische Trennung mittels VLAN
A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design
A26 Spezifikation von Betriebsprozessen für das Netz
A27 Einbindung der Netzarchitektur in die Notfallplanung IT-Betrieb

Erhöht

Anforderung Beschreibung Rolle
A28 Hochverfügbare Netz- und Sicherheitskomponenten
A29 Hochverfügbare Realisierung von Netzanbindungen
A30 Schutz vor Distributed-Denial-of-Service
A31 Physische Trennung von Netzsegmenten
A32 Physische Trennung von Management-Netzsegmenten
A33 Mikrosegmentierung des Netzes
A34 Einsatz kryptografischer Verfahren auf Netzebene
A35 Einsatz von netzbasiertem DLP
A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf


Anhang

Siehe auch

Dokumentation

Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht

  • Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
  • Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0

Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.

Links

Projekt

Weblinks