Zum Inhalt springen

NET.1.1 Netzarchitektur und -design: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „–“ durch „-“
 
(178 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''NET.1.1 Netzarchitektur und -design''' - Baustein des [[:Kategorie:IT-Grundschutz/Kompendium|IT-Grundschutz/Kompendiums]]
 
== Beschreibung ==
== Beschreibung ==
=== Zielsetzung ===
Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren
; Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren


=== Einleitung ===
; Institutionen benötigen Datennetze
; Institutionen benötigen Datennetze
* Geschäftsbetrieb
* Geschäftsbetrieb
* Fachaufgaben  
* Fachaufgaben
* Informationens-/Datenaustausch
* Informationens-/Datenaustausch
* Verteilte Anwendungen
* Verteilte Anwendungen
* ...


; Nicht nur herkömmliche Endgeräte
; Nicht nur herkömmliche Endgeräte
Zeile 16: Zeile 16:
* Mobile Endgeräte
* Mobile Endgeräte
* [[IoT]]-Komponenten (Internet of Things)
* [[IoT]]-Komponenten (Internet of Things)
* Cloud-Dienste
 
; Cloud-Dienste
* Dienste für Unified Communication and Collaboration (UCC)
* Dienste für Unified Communication and Collaboration (UCC)


; Durch viele Endgeräte und Dienste steigen Risiken
; Viele Endgeräte und Dienste erhöhen Risiken


; Planung einer sicheren Netzarchitektur
; Sicheren Netzarchitektur
* Planung
* Netz durch sichere Netzarchitektur schützen
* Netz durch sichere Netzarchitektur schützen
* Lokales Netz (Local Area Network, LAN)
* Wide Area Network (WAN)
* Eingeschränkt vertrauenswürdige Netze


Dafür muss zum Beispiel geplant werden, wie
; Hohes Sicherheitsniveau
* ein lokales Netz (Local Area Network, LAN)
* Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
* ein Wide Area Network (WAN)
** Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
sicher aufgebaut werden kann
* Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
* Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die [[Netzzugangskontrolle]]


; Eingeschränkt vertrauenswürdige Netze
* Ebenso müssen nur eingeschränkt vertrauenswürdige externe Netze, z. B. das Internet oder Netze von Kunden, geeignet angebunden werden
; Um ein hohes Sicherheitsniveau zu gewährleisten
* sind zusätzliche sicherheitsrelevante Aspekte zu berücksichtigen
* Beispiele hierfür sind eine sichere Trennung verschiedener Mandanten und Gerätegruppen auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
* Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
== Abgrenzung und Modellierung ==
; Grundsätzliche Anforderungen
; Grundsätzliche Anforderungen
* Netzwerkplanung
* Netzwerkplanung
Zeile 46: Zeile 43:
; Allgemeine Anforderungen
; Allgemeine Anforderungen
* Müssen für alle Netztechniken beachtet und erfüllt werden
* Müssen für alle Netztechniken beachtet und erfüllt werden
: z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
: beispielsweise dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
* Fokus: Kabelgebundenen Netzen und Datenkommunikation
 
; Fokus
* Kabelgebundenen Netzen und Datenkommunikation


=== Modellierung ===
=== Modellierung ===
; Der Baustein ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden
''NET.1.1'' ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden


=== Abgrenzung ===
=== Abgrenzung ===
; Weitere relevante Bausteine
; Relevante Bausteine
{| class="wikitable sortable options"
{| class="wikitable sortable options"
|-
|-
Zeile 70: Zeile 69:
|[[NET.1.2 Netzmanagement | NET.1.2]] || Netzmanagement || Netzmanagement  
|[[NET.1.2 Netzmanagement | NET.1.2]] || Netzmanagement || Netzmanagement  
|}
|}
=== Zuständigkeiten ===
{| class="wikitable options"
|-
!| Zuständigkeiten
!| Rollen
|-
|| Grundsätzlich zuständig
|| [[Planende]]
|-
|| Weitere Zuständigkeiten
|| [[IT-Betrieb]]
|}
; Informationssicherheitsbeauftragte (ISB)
: Bei strategischen Entscheidungen einbeziehen
: Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
:* erfüllt
:* überprüft
:werden


== Gefährdungslage ==
== Gefährdungslage ==
; Bedrohungen und Schwachstellen von besonderer Bedeutung
Bedrohungen und Schwachstellen von besonderer Bedeutung


{| class="wikitable sortable options"
{| class="wikitable sortable options"
Zeile 78: Zeile 96:
! Schwachstelle !! Beschreibung
! Schwachstelle !! Beschreibung
|-
|-
| Performance</br>Ausfall/Unzureichend || '''Unzureichend dimensionierte Kommunikationsverbindungen'''
| [[#Performance|Performance]] || Unzureichend dimensionierte Kommunikationsverbindungen
Reicht ihre Leistung aufgrund
* eines technischen Ausfalls oder
* eines Denial-of-Service-(DoS)-Angriffs
nicht mehr aus, können z. B. Clients nur noch eingeschränkt mit Servern kommunizieren.
 
Dadurch erhöhen sich die Zugriffszeiten auf interne und externe Dienste
* Diese sind so mitunter nur noch eingeschränkt oder gar nicht mehr nutzbar
* Auch sind eventuell institutionsrelevante Informationen nicht mehr verfügbar
* In der Folge können essenzielle Geschäftsprozesse oder ganze Produktionsprozesse stillstehen
|-
|-
| Netzzugänge</br>ungenügend abgesichert || Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
| [[#Netzzugänge|Netzzugänge]] || Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
* z. B. weil keine Firewall eingesetzt wird oder sie falsch konfiguriert ist,
* können Angreifer
** auf schützenswerte Informationen der Institution zugreifen
** diese kopieren
** oder manipulieren
|-
|-
| Aufbau von Netzen</br>unsachgemäß || Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.
| [[#Aufbau|Aufbau]] || Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.
* Angreifer können so leichter Sicherheitslücken finden, ins interne Netz der Institution eindringen und dort Informationen stehlen, Daten manipulieren oder auch ganze Produktionssysteme stören.
* Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt.
|}
|}


== Syntax ==
=== Performance ===
=== Optionen ===
; Unzureichend dimensionierte Kommunikationsverbindungen
=== Parameter ===
* Clients nur noch eingeschränkt mit Servern kommunizieren
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==


== Siehe auch ==
; Mögliche Auslöser
=== Dokumentation ===
* Technischer Ausfall
==== RFC ====
* Denial-of-Service-(DoS)-Angriff
==== Man-Pages ====
==== Info-Pages ====
=== Links ===
==== Einzelnachweise ====
<references />
==== Projekt ====
==== Weblinks ====


== Testfragen ==
; Folgen
<div class="toccolours mw-collapsible mw-collapsed">
* Erhöhte Zugriffszeiten auf interne und externe Dienste
''Testfrage 1''
** Eingeschränkte Erreichbarkeit/nutzbar
<div class="mw-collapsible-content">'''Antwort1'''</div>
** Wichtige Informationen sind nicht verfügbar
</div>
* Unterbrechung von Geschäftsprozessen/Produktionsprozesse
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


= TMP =
=== Netzzugänge ===
== Weiterführende Informationen ==
Ungenügend abgesichert
; Fehlende Firewall
* Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
** Firewall nicht aktivier/falsch konfiguriert


=== Wissenswertes ===
; Angreifer
; Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
* können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)
* Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
* Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0


; Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.
=== Aufbau ===
Unsachgemäßer Aufbau
; Unsichere Netztopologie
* Unsachgemäß aufgebaut
* Fehlerhafte Erweiterung


== Elementaren Gefährdungen ==
; Risiken
; Zuordnung elementarer Gefährdungen zu Anforderungen
Angreifer können leichter
* Anhand dieser Tabelle kann ermittelt werden, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind
* Sicherheitslücken finden
* Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt
* ins interne Netzwerk eindringen
* Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden
* Informationen stehlen
* Daten manipulieren
* Produktionssysteme stören
Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt


{| class="wikitable sortable options"
=== Elementare Gefährdungen ===
{| class="wikitable sortable options col1center"
|-
|-
! Nr. !! Gefährdungen !! !! !!  
! Nr. !! Gefährdungen !! !! !!  
Zeile 192: Zeile 175:
|}
|}


[[Kategorie:BSI-Kompendium]]
== Anforderungen ==
{| class="wikitable options"
|-
! Schutzbedarf !! Beschreibung
|-
|| [[#Basis | Basis]] || ''[[MÜSSEN]]'' vorrangig erfüllt werden
|-
|| [[#Standard | Standard]] || ''[[SOLLTEN]]'' grundsätzlich erfüllt werden
|-
|| [[#Erhöht | Erhöht]] || Exemplarische Vorschläge
|}
 
=== Basis ===
{| class="wikitable options col1center"
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A1 || [[#A1 Sicherheitsrichtlinie für das Netz|Sicherheitsrichtlinie für das Netz]] || [[IT-Betrieb]]
|-
| A2 || [[#A2 Dokumentation des Netzes|Dokumentation des Netzes]] || [[IT-Betrieb]]
|-
| A3 || [[#A3 Anforderungsspezifikation für das Netz|Anforderungsspezifikation für das Netz]] ||
|-
| A4 || [[#A4 Netztrennung in Zonen|Netztrennung in Zonen]] ||
|-
| A5 || [[#A5 Client-Server-Segmentierung|Client-Server-Segmentierung]] ||
|-
| A6 || [[#A6 Endgeräte-Segmentierung im internen Netz|Endgeräte-Segmentierung im internen Netz]] ||
|-
| A7 || [[#A7 Absicherung von schützenswerten Informationen|Absicherung von schützenswerten Informationen]] ||
|-
| A8 || [[#A8 Grundlegende Absicherung des Internetzugangs|Grundlegende Absicherung des Internetzugangs]] ||
|-
| A9 || [[#A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen|Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen]] ||
|-
| A10 || [[#A10 DMZ-Segmentierung für Zugriffe aus dem Internet|DMZ-Segmentierung für Zugriffe aus dem Internet]] ||
|-
| A11 || [[#A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz|Absicherung eingehender Kommunikation vom Internet in das interne Netz]] ||
|-
| A12 || [[#A12 Absicherung ausgehender interner Kommunikation zum Internet|Absicherung ausgehender interner Kommunikation zum Internet]] ||
|-
| A13 || [[#A13 Netzplanung|Netzplanung]] ||
|-
| A14 || [[#A14 Umsetzung der Netzplanung|Umsetzung der Netzplanung]] ||
|-
| A15 || [[#A15 Regelmäßiger Soll-Ist-Vergleich|Regelmäßiger Soll-Ist-Vergleich]] ||
|}
 
=== Standard ===
{| class="wikitable options col1center"
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A16 || [[#A16 Spezifikation der Netzarchitektur|Spezifikation der Netzarchitektur]] ||
|-
| A17 || [[#A17 Spezifikation des Netzdesigns|Spezifikation des Netzdesigns]] ||
|-
| A18 || [[#A18 P-A-P-Struktur für die Internet-Anbindung|P-A-P-Struktur für die Internet-Anbindung]] ||
|-
| A19 || [[#A19 Separierung der Infrastrukturdienste|Separierung der Infrastrukturdienste]] ||
|-
| A20 || [[#A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen|Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen]] ||
|-
| A21 || [[#A21 Separierung des Management-Bereichs|Separierung des Management-Bereichs]] ||
|-
| A22 || [[#A22 Spezifikation des Segmentierungskonzepts|Spezifikation des Segmentierungskonzepts]] ||
|-
| A23 || [[#A23 Trennung von Netzsegmenten|Trennung von Netzsegmenten]] ||
|-
| A24 || [[#A24 Sichere logische Trennung mittels VLAN|Sichere logische Trennung mittels VLAN]] ||
|-
| A25 || [[#A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design|Fein- und Umsetzungsplanung von Netzarchitektur und -design]] ||
|-
| A26 || [[#A26 Spezifikation von Betriebsprozessen für das Netz|Spezifikation von Betriebsprozessen für das Netz]] ||
|-
| A27 || [[#A27 Einbindung der Netzarchitektur in die Notfallplanung|Einbindung der Netzarchitektur in die Notfallplanung]] || [[IT-Betrieb]]
|}
 
=== Erhöht ===
{| class="wikitable options col1center"
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A28 || [[#A28 Hochverfügbare Netz- und Sicherheitskomponenten | Hochverfügbare Netz- und Sicherheitskomponenten]] ||
|-
| A29 || [[#A29 Hochverfügbare Realisierung von Netzanbindungen | Hochverfügbare Realisierung von Netzanbindungen]] ||
|-
| A30 || [[#A30 Schutz vor Distributed-Denial-of-Service|Schutz vor Distributed-Denial-of-Service]] ||
|-
| A31 || [[#A31 Physische Trennung von Netzsegmenten|Physische Trennung von Netzsegmenten]] ||
|-
| A32 || [[#A32 Physische Trennung von Management-Netzsegmenten|Physische Trennung von Management-Netzsegmenten]] ||
|-
| A33 || [[#A33 Mikrosegmentierung des Netzes|Mikrosegmentierung des Netzes]] ||
|-
| A34 || [[#A34 Einsatz kryptografischer Verfahren auf Netzebene|Einsatz kryptografischer Verfahren auf Netzebene]] ||
|-
| A35 || [[#A35 Einsatz von netzbasiertem DLP|Einsatz von netzbasiertem DLP]] ||
|-
| A36 || [[#A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf|Trennung mittels VLAN bei sehr hohem Schutzbedarf]] ||
|}
 
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/NET}}
 
=== Dokumentation ===
Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
* Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
* Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0
 
Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 "Information technology - Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios - Threats, design techniques and control issues" Vorgaben für die Absicherung von Netzen.
 
=== Links ===
==== Projekt ====
==== Weblinks ====
 
[[Kategorie:NET]]
</noinclude>

Aktuelle Version vom 11. Mai 2025, 20:55 Uhr

NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums

Beschreibung

Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren

Institutionen benötigen Datennetze
  • Geschäftsbetrieb
  • Fachaufgaben
  • Informationens-/Datenaustausch
  • Verteilte Anwendungen
  • ...
Nicht nur herkömmliche Endgeräte
  • Partnernetze
  • Internet
  • Mobile Endgeräte
  • IoT-Komponenten (Internet of Things)
Cloud-Dienste
  • Dienste für Unified Communication and Collaboration (UCC)
Viele Endgeräte und Dienste erhöhen Risiken
Sicheren Netzarchitektur
  • Planung
  • Netz durch sichere Netzarchitektur schützen
  • Lokales Netz (Local Area Network, LAN)
  • Wide Area Network (WAN)
  • Eingeschränkt vertrauenswürdige Netze
Hohes Sicherheitsniveau
  • Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
    • Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
  • Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
  • Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
Grundsätzliche Anforderungen
  • Netzwerkplanung
  • Netzwerkaufbau
  • Netzwerkbetrieb
  • Architektur und Design
Allgemeine Anforderungen
  • Müssen für alle Netztechniken beachtet und erfüllt werden
beispielsweise dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
Fokus
  • Kabelgebundenen Netzen und Datenkommunikation

Modellierung

NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden

Abgrenzung

Relevante Bausteine
Baustein Bezeichnung Beschreibung
NET.3 Netzkomponenten Betrieb von Netzkomponenten
NET.2 Funknetze Wireless LAN (WLAN)
SYS.1.8 Speicherlösungen Speichernetze (Storage Area Networks, SAN)
NET.4.2 VoIP Voice over IP
Virtual Private Cloud/Hybrid Cloud Cloud-Computing
NET.1.2 Netzmanagement Netzmanagement

Zuständigkeiten

Zuständigkeiten Rollen
Grundsätzlich zuständig Planende
Weitere Zuständigkeiten IT-Betrieb
Informationssicherheitsbeauftragte (ISB)
Bei strategischen Entscheidungen einbeziehen
Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
  • erfüllt
  • überprüft
werden

Gefährdungslage

Bedrohungen und Schwachstellen von besonderer Bedeutung

Schwachstelle Beschreibung
Performance Unzureichend dimensionierte Kommunikationsverbindungen
Netzzugänge Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
Aufbau Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.

Performance

Unzureichend dimensionierte Kommunikationsverbindungen
  • Clients nur noch eingeschränkt mit Servern kommunizieren
Mögliche Auslöser
  • Technischer Ausfall
  • Denial-of-Service-(DoS)-Angriff
Folgen
  • Erhöhte Zugriffszeiten auf interne und externe Dienste
    • Eingeschränkte Erreichbarkeit/nutzbar
    • Wichtige Informationen sind nicht verfügbar
  • Unterbrechung von Geschäftsprozessen/Produktionsprozesse

Netzzugänge

Ungenügend abgesichert

Fehlende Firewall
  • Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
    • Firewall nicht aktivier/falsch konfiguriert
Angreifer
  • können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)

Aufbau

Unsachgemäßer Aufbau

Unsichere Netztopologie
  • Unsachgemäß aufgebaut
  • Fehlerhafte Erweiterung
Risiken

Angreifer können leichter

  • Sicherheitslücken finden
  • ins interne Netzwerk eindringen
  • Informationen stehlen
  • Daten manipulieren
  • Produktionssysteme stören

Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt

Elementare Gefährdungen

Nr. Gefährdungen
G 0.9 Ausfall oder Störung von Kommunikationsnetzen
G 0.11 Ausfall oder Störung von Dienstleistern
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.46 Integritätsverlust schützenswerter Informationen

Anforderungen

Schutzbedarf Beschreibung
Basis MÜSSEN vorrangig erfüllt werden
Standard SOLLTEN grundsätzlich erfüllt werden
Erhöht Exemplarische Vorschläge

Basis

Anforderung Beschreibung Rolle
A1 Sicherheitsrichtlinie für das Netz IT-Betrieb
A2 Dokumentation des Netzes IT-Betrieb
A3 Anforderungsspezifikation für das Netz
A4 Netztrennung in Zonen
A5 Client-Server-Segmentierung
A6 Endgeräte-Segmentierung im internen Netz
A7 Absicherung von schützenswerten Informationen
A8 Grundlegende Absicherung des Internetzugangs
A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen
A10 DMZ-Segmentierung für Zugriffe aus dem Internet
A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz
A12 Absicherung ausgehender interner Kommunikation zum Internet
A13 Netzplanung
A14 Umsetzung der Netzplanung
A15 Regelmäßiger Soll-Ist-Vergleich

Standard

Anforderung Beschreibung Rolle
A16 Spezifikation der Netzarchitektur
A17 Spezifikation des Netzdesigns
A18 P-A-P-Struktur für die Internet-Anbindung
A19 Separierung der Infrastrukturdienste
A20 Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen
A21 Separierung des Management-Bereichs
A22 Spezifikation des Segmentierungskonzepts
A23 Trennung von Netzsegmenten
A24 Sichere logische Trennung mittels VLAN
A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design
A26 Spezifikation von Betriebsprozessen für das Netz
A27 Einbindung der Netzarchitektur in die Notfallplanung IT-Betrieb

Erhöht

Anforderung Beschreibung Rolle
A28 Hochverfügbare Netz- und Sicherheitskomponenten
A29 Hochverfügbare Realisierung von Netzanbindungen
A30 Schutz vor Distributed-Denial-of-Service
A31 Physische Trennung von Netzsegmenten
A32 Physische Trennung von Management-Netzsegmenten
A33 Mikrosegmentierung des Netzes
A34 Einsatz kryptografischer Verfahren auf Netzebene
A35 Einsatz von netzbasiertem DLP
A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf


Anhang

Siehe auch

Dokumentation

Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht

  • Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
  • Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0

Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 "Information technology - Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios - Threats, design techniques and control issues" Vorgaben für die Absicherung von Netzen.

Links

Projekt

Weblinks

Abgerufen von „https://wiki.foxtom.de/index.php?title=NET.1.1_Netzarchitektur_und_-design&oldid=142318