Netzwerksegmentierung
Netzwerksegmentierung – Praxisbeispiel
IT-Administrator in einem Unternehmen
- Für ihn ist es wichtig, dass er Zugriff auf die Server hat, die er verwaltet.
- Um technische Probleme lösen, Installationen und Wartungen durchführen sowie Server starten und stoppen zu können, braucht er hierfür Zugriff auf sensible Netzwerkdienste.
- Solche Dienste könnten beispielsweise der Konsolenzugang aus der Ferne über das Secure Shell (SSH) oder das Remote Desktop Protocol (RDP) sein.
Häufig ist keine Netzsegmentierung implementiert
Am nächsten Tag muss Peter kurzfristig den Arbeitsplatz wechseln, da in seinem Büro gerade Sanierungsarbeiten durchgeführt werden.
- Mürrisch nimmt er sein Notebook und setzt sich runter in die Cafeteria, um zumindest ein paar Zeilen im Betriebshandbuch zu schreiben und einige Mails zu beantworten.
- Eine Chatnachricht seiner Kollegin Birgt poppt auf, sie hat heute Home Office.
“Hallo Peter, kannst du mir mal eben helfen? Ich bin aus der Session geflogen und muss den Server neu starten, damit der Server die Updates installiert”.
Wohlwissend, dass er Birgit aus der Cafeteria nicht helfen kann, beginnt er im Chatfenster zu tippen, während Peter aus Jux einfach mal das Desktop-Icon für den RDP-Login aufruft. “Tut mir leid Birgit, ich bin gerade in der Cafe…”
Peter hört auf zu schreiben, als er feststellt, dass er sich soeben erfolgreich am Server eingeloggt hat.
- Aber wie kann das sein? Peter befindet sich doch gerade in der Cafeteria.
- Diese Umgebung ist schließlich nicht sicher für die Administration hochsensibler Server, auf denen sich die Kronjuwelen des Unternehmens befinden: Kundendaten, Produktbeschreibungen, Preistabellen, ja sogar die Gehaltsabrechnungen seines Chefs befindet sich auf diesem Server.
Warum eine Netzwerksegmentierung wichtig ist
In der Cafeteria ist Peter nicht nur den diebischen Blicken von Mitarbeitern anderer Abteilungen, sondern auch denen externer Lieferanten, Betriebsfremden und mitunter sogar Wirtschaftsspionen ausgesetzt.
“Das gibt’s doch nicht!”, bemerkt Peter mit Erstaunen und versucht sich auch noch auf anderen Servern einzuloggen.
- Das Active Directory, auf denen die Windows-Anmeldekonten der Mitarbeiter gespeichert sind, ist ebenso erreichbar wie die Datenbank des Gehaltsabrechnungssystems.
- Und sogar der E-Mail Server mit den Nachrichten des Vorstands darauf kann über das Netzwerk erreicht werden. “Und das ganze über’s WLAN von der Cafeteria!”
Alles was ein Angreifer jetzt noch bräuchte um auf die Server zu kommen, wäre Peter’s Passwort.
- Das könnte er sich entweder per Shouldersurfing von ihm abgucken, oder indem er einen Netzwerksniffer laufen lässt und den Netzwerkverkehr abhört.
- Wenn sich Peter dann mal nicht mit einem verschlüsselten Protokoll anmeldet, sondern mit einer unverschlüsselten Variante wie RSH, hat er damit die Zugangsdaten von Peter erhascht.
Solche Szenarien, wie Peter sie erlebt hat, sind leider in Unternehmen nicht ungewöhnlich und stellen ein hohen Bedrohungspotenzial für die IT Sicherheit dar.
- Auch wenn das WLAN in der Kantine häufig noch abgeschottet ist und nur zum Surfen verwendet werden kann, sind andere ungeschützte Bereiche wie beispielsweise die Lobby oder Meetingräume im selben Netzwerk wie die Administratoren.
- Damit haben Betriebsfremde de fakto Zugriff auf sensible Unternehmensbereiche und Daten, für die sie nur noch die passenden Zugangsdaten brauchen.
Eine Netzwerksegmentierung mindert Risiken
Als Sicherheitsbeauftragter in Ihrem Unternehmen sollten Sie daher darauf achten, dass Sie eine sogenannte Netzwerksegmentierung durchführen.
- Durch eine Netzwerksegmentierung stellen Sie sicher, dass eine Sicherheitslücke wie etwa ein abgehörtes Benutzerkennwort keinen weiteren Schaden anrichten kann, solange der Angreifer keinen Zugriff auf das exponierte System hat.
Bei einer Netzwerksegmentierung handelt es sich um die Aufteilung von vernetzten Komponenten in verschiedene Subnetze oder auch VLANs.
- Immer nur die Geräte, welche sich im selben Netzsegment befinden, können miteinander kommunizieren, ohne an speziellen Routern und Firewalls vorbei zu müssen.
- Wenn über ein Netzsegment hinweg kommuniziert werden soll, entscheidet hingegen wieder die Firewall darüber, ob dies genehm ist oder nicht.
- Dadurch haben Sie eine bessere Kontrolle darüber, wer mit wem sprechen darf.
Best Practices bei der Netztrennung
Bei der Segmentierung von Netzwerken gibt es einige Best Practices.
- So sollten etwa Netzwerke, in die sich auch Betriebsfremde einwählen können, komplett von Ihren Unternehmensdaten abgeschottet sein.
- Sie sollten sich also nicht im selben Netzwerk wie Mitarbeiter, Drucker, Telefone oder Server befinden.
Gewöhnliche Anwender, die beispielsweise ein E-Mail Programm wie Microsoft Outlook verwenden, brauchen keinen administrativen Zugriff auf den dahinter befindlichen Mailserver.
- Der ist nur Administratoren wie Peter vorbehalten.
Funktionstrennung durch eine Netzwerksegmentierung
Und Peter wiederum administriert auch nicht alle Server des Unternehmens.
- Peter braucht also lange nicht Zugriff auf alle Server, sondern nur zu denen, die unter seinen Zuständigkeitsbereich fallen.
- Nur so etablieren Sie eine sauber Funktionstrennung und verhindern, dass Peter seine Allmacht irgendwann zu Kopf steigt.
Auch gibt es durchaus Netzsegmente, in denen sich nur Server oder andere Backend-Komponenten miteinander unterhalten.
- Wenn etwa ein Shopsystem mit der darunterliegenden Datenbank kommuniziert, um sich Produktdaten und Preise abzuholen, hat niemand sonst etwas in diesem Segment zu suchen.
Sie können also durch eine ordentliche Netzwerksegmentierung auch eine Funktionstrennung einführen: Damit Peter den Online-Shop administrieren kann, erstellen Sie ein Netzsegment, in welchem sich Peter’s Admin-PC sowie der Shop-Server befindet.
Für die Kommunikation mit der Datenbank packen Sie den Online-Shop und die Datenbank in ein zweites Netzsegment, und damit der Online-Shop von Besuchern aus dem Internet genutzt werden kann, kommt noch eine dritte Zone hinzu.
Am Ende entscheidet dann die Firewall, wer mit wem über welches Protokoll sprechen darf.
- So darf sich Peter etwa per SSH auf den Shop schalten, während dieser sich über ODBC mit der Datenbank unterhalten kann.
- Die Besucher aus dem Internet hingegen haben einzig und allein per HTTPS Zugriff auf den Shop.
Testumgebungen von der Produktivumgebung trennen
Auch sollten Sie Testumgebungen von Produktivumgebungen trennen.
- Denn auf Testsystemen werden häufig Sachen ausprobiert und Performancetests gefahren.
- Wenn dabei etwas schief geht und beispielsweise eine Sicherheitslücke eingeführt oder aus Versehen das “falsche” System getestet wird, legen ihre Tester ganz schnell das Produktivsystem lahm.
Netzwerke nach Geräteart trennen
Eine weitere Option, Netzwerke zu trennen, ist nach der Geräteart.
- Warum sollten beispielsweise IP-Telefone im selben Netzwerk sein wie ein Drucker? Durch eine saubere Netzwerksegmentierung verhindern Sie somit, dass jemand ein IP-Telefon in einem Meeting-Raum hackt und über eine zweite Schwachstelle Druckeraufträge abfängt und auf einen USB-Stick speichert.
Die wichtigste Trennung: Demilitarisierte Zone
Die wohl wichtigste Trennung in Ihrem Netzwerk geschieht zwischen Ihrem internen Unternehmensnetzwerk und der Außenwelt: Als Puffer zwischen Ihrem internen Netzwerk und dem öffentlichen Internet sollten Sie eine sogenannte DMZ einrichten.
- DMZ steht für “Demilitarisierte Zone” und ist ein Netzwerksegment, welches über Router sowohl mit Ihrem internen Unternehmensnetzwerk als auch mit dem öffentlichen Internet verbunden ist.
- Server, welche Daten in das öffentliche Internet exponieren oder aus diesem abrufen, gehören hier hin.
- Typische Beispiele sind beispielsweise Webserver mit dem öffentlichen Internetauftritt Ihres Unternehmens, öffentlich erreichbare Mailserver oder ein Proxyserver für den Internetzugang der Mitarbeiter.
Durch die demilitarisierte Zone stellen Sie sicher, dass ein potenzieller Angreifer beim Kapern eines Ihrer Server sich nicht gleich im internen Netzwerk befindet und mit den wirklich sensiblen Systemen Ihres Unternehmens kommunizieren kann.
- Denn es stellt noch einmal eine zusätzliche Hürde für einen Angreifer dar, aus der demilitarisierten Zone auszubrechen und in das interne Netzwerk einzudringen.
Mit diesen Best Practices haben Sie nun die Kommunikationsregeln der einzelnen Geräte in Ordnung gebracht und somit eine solide Verteidigungsmauer gegenüber Angreifern etabliert.
Netztrennung ist kein Allheilmittel
Eins sollte Ihnen aber bewusst sein: Eine Netzwerksegmentierung ist nur eine weitere Verteidigungslinie n der Stärkung Ihrer technischen IT-Sicherheit.
- Auch wenn ein Angreifer keinen Netzwerkzugriff auf ein sensibles System hat, sollten Sie dennoch diese Systeme schützen, patchen und härten.
- Denn wenn eine Ihrer Verteidigungslinien einmal bricht, weil beispielsweise eine Firewall umgangen werden kann, müssen die dahinter geschalteten Fangnetze diese Schwachstelle auffangen können.
Kombinieren Sie also eine Netzwerksegmentierung immer zumindest mit regelmäßigen Systemupdates, schwer zu erratenden Zugangsdaten sowie mit Systemen zur Erkennung von Angriffen.
Handeln Sie jetzt
Nun ist es an Ihnen.
- Schaffen Sie heute eine solide Grundlage für die Absicherung Ihrer Kronjuwelen und Daten, indem Sie sensible Netzbereiche von öffentlichen Segmenten trennen.
- Eine Netzwerksegmentierung ist der erste Schritt für mehr IT-Sicherheit in Ihrem Unternehmen und kann häufig auf Basis bereits existierender Firewallsysteme in Ihrem Unternehmen umgesetzt werden.
- Als erfahrener Partner bieten wir langjährige Expertise bei der Konzeptionierung von Netzwerktopologien und der Firewallkonfiguration und verhelfen Ihnen zu einer sicheren Infrastruktur in Ihrem Unternehmen.
Nicht nur für Ihr gutes Gewissen lohnt sich eine Investition in die Segmentierung Ihrer Netze: Denn auch gängige Industrienormen für IT Sicherheit, wie etwa die ISO 27001, fordern eine Trennung der Netze.
- Sie verhelfen sich mit diesem Schritt also nicht nur zu einer soliden IT Sicherheit, sondern können damit nach außen auch das Vertrauen Ihrer Kunden stärken.
Netzwerksegmentierung – Ein unterschätztes Instrument in der IT-Sicherheit Teil 2
Nachdem wir im ersten Teil die Basics der Netzwerksegmentierung erläutert haben, möchten wir im zweiten Teil mehr in die technische Tiefe gehen.
- Dazu haben wir unseren Sicherheits-Experten Nox eingeladen.
- Nox sind die BSI IT-Grundschutz Bausteine schon länger ein Begriff.
- Während der Zeit im Homeoffice hatte Nox Zeit sich mit dem Punkt „NET – Netzwerke und Kommunikation“ beschäftigt.
- Der Auszubildene Paul ist an dieser Thematik ebenso interessiert und sucht das Gespräch mit Nox.
BSI Grundschutz NET.1.1: Netzarchitektur und – design
Besonders interessant für die Netzwerksegmentierung hält Nox den Punkt NET.1.1.
- Hier steht:
„Um ein hohes Sicherheitsniveau zu gewährleisten, sind zusätzliche sicherheitsrelevante Aspekte zu berücksichtigen.
- Beispiele hierfür sind eine sichere Trennung verschiedener Mandanten und Gerätegruppen auf Netzebene und die Kontrolle ihrer Kommunikation durch Firewall-Techniken.
- Ein weiteres wichtiges Sicherheitselement, speziell im Client-Bereich, ist außerdem die Netzzugangskontrolle.“
Das hat Paul schon einmal gehört und hängt Nox an den Lippen.
Dieser geht weiter ins Detail.
- Das BSI fordert darin pauschal die strikte Trennung von Clients und Servern, siehe Anforderung NET.1.1.A5 Client-Server-Segmentierung: „Clients und Server müssen in unterschiedlichen Sicherheitssegmenten platziert werden.
- Die Kommunikation zwischen diesen Segmenten muss mindestens durch eine Firewall kontrolliert werden.“ Außerdem wird eine bedarfsorientierte weitere Unterteilung des Netzes in Sicherheitssegmente empfohlen, die sich am Schutzbedarf der IT-Systeme orientiert.
- Nox zückt einen Stift und stellt die Segmentierung schematisch dar.
Das Ergebnis ist eine Separierung unterschiedlicher Gruppen im Netz mit den Mitteln von beispielsweise VLANs.
- Die Übergänge zwischen den so geschaffenen Segmenten (Sicherheitszonen) werden meist durch Firewalls gebildet, die den ein- und ausgehenden Verkehr kontrollieren können.
Paul versteht nur Bahnhof, sodass Nox nochmal einen Schritt zurückgeht.
Die Basics der Netzwerksegmentierung
Bei der Segmentierung werden dem Unternehmensnetzwerk sprichwörtlich Türen und Wände eingebaut.
- Aus technischer Sicht wird das gesamte Netzwerk in einzelne Netzwerksegmente, also IP-Subnetze, unterteilt.
- Technisch und auch organisatorisch bedingt kann dies eine große Zahl Segmente ergeben, jedoch ist nicht für jedes einzeln eine Schutzbedarfs-Abklärung nötig.
- Kriterien können zum Beispiel sein, ob die enthaltenen Systeme unmittelbar mit dem Internet verbunden sind, ob die Geräte direkt im Benutzerzugriff stehen oder ob im Segment sogar unkontrollierbare Fremdgeräte platziert werden können.
In welche Netzwerkzonen kann man pauschal segmentieren?
Die wichtigsten Stereotypen und Grundgedanken seien aber erwähnt:
«Trusted» Zonen:
Sind Zonen, in welchen ausschliesslich verwaltete Geräte mit bekannter Konfiguration und bekanntem Gesundheitszustand zu finden sind.
- Ein Bespiel wäre ein gut geschütztes Client-Netz.
- In unserer Grafik in Magenta dargstellt.
- Jener Zonentyp garantiert implizit, dass keine Gefahr für die Nutzer der Zone durch Fremdgeräte herrscht.
- Für Netzwerksegmente, welche Server/Services beinhalten, ist dies leicht zu garantieren.
- Die einzige Schnittstelle ist der Zonenübergang an der Firewall.
- Alle Systeme darin werden von Administratoren bereitgestellt und betrieben.
- Eine Herausforderung hingegen sind die Clientnetzwerksegmente.
- Einerseits sitzen hinter den Clients Benutzer, welche bei unzureichender Schutzkonfiguration aus Unwissenheit oder Absicht Unfug mit ihren Endgeräten betreiben können.
- Andererseits sind Netzwerkports und WLAN-Zugänge häufig Dritten (Kunden, Passanten, Lieferanten) oder sogar der Öffentlichkeit zugänglich.
- Für vertrauenswürdige Zonen gilt deshalb: Nebst einem durchdachten Firewall-Regelset ist auch der Zugriff auf das Netzwerk durch eine «Network Access Control»-Lösung (NAC-Lösung) zu implementieren.
- Damit sind die Übergänge geschützt.
- Diese sogenannten Endpoint-Clients sind nochmals durch eine Endpoint Security abgesichert. (Siehe hier), welche die Zweckentfremdung der Endgeräte weitgehend unmöglich macht.
DMZ»-Zonen
Sind Zonen, welche den Austausch mit dem Internet in kontrollierter Art und Weise ermöglichen, um Dienste wie E-Mail, Webzugang, Authentisierung (Federation), etc.
- bereitzustellen.
- Jene Zonen exponieren sich im Internet.
- Dabei sollte darauf geachtet werden, dass die Systeme darin weitest möglich auf Netzwerkebene geschützt sind, sprich, die Systeme stehen hinter einer Perimeter-Firewall (externe Firewall), welche den Zugriff nur auf den nötigsten IPs und Ports erlaubt.
- Ein häufiges Missverständnis sei noch erwähnt: DMZs erlauben zwar den Zugriff aus dem Internet, jedoch ist zu keiner Zeit ein Zugriff direkt auf dem Medium (Einstecken eines Endgeräts) zu erlauben.
- Netzwerktechnisch handelt es sich um besonders gekapselte Zonen, in welchen keine Benutzerendgeräte anzutreffen sind.
- Die im besteht lediglich auf Netzwerkebene und durch eine Firewall.
Management»-Zonen
Sie beinhalten ausschließlich Systeme, welche zur Bereitstellung und Verwaltung der IT-Infrastruktur dienen und werden nur von privilegierten Administratoren genutzt.
- Die Systeme darin sollten stets als äusserst sensitiv betrachtet werden, da mit ihnen die Steuerung der IT-Infrastruktur möglich ist.
- Als Grundregel beim Erstellen der Zonenmatrix und beim Implementieren der Firewall-Regeln gilt: Aus Management-Zonen darf in verschiedene Zonen zugegriffen werden (Source), jedoch sind Zugriffe in Management-Zonen (Destination) weitestgehend zu vermeiden.
- Medienzugriff aus dem Access-Bereich ist strikt untersagt.
Wichtig ist, dass alle Systeme innerhalb der Zone ähnliche Anforderungen an den Schutzbedarf stellen.
- Gradmesser und Taktgeber ist jenes System, welches die höchsten Anforderungen stellt.
Was bedeutet Mikrosegmentierung ?
Das leuchtet Paul ein und fragt wie die Kommunikation innerhalb der groben Segmente gesichert wird ?
Aus der Erfahrung heraus wird die Kommunikation auf Ebene des Netzes oft nicht weiter eingeschränkt und genau hier liegt ein interessantes Problem.
Nehmen wir das oben skizzierte Beispiel einer strikten Client- und Serversegmentierung.
- Die Server sind so vor unberechtigten Zugriffen von Clients in einem gewissen Rahmen geschützt.
- Nehmen wir außerdem an, dass die Server, die besonders kritische Daten verarbeiten, in einem zusätzlichen eigenen Sicherheitssegment für den hohen Schutzbedarf abgetrennt werden.
- Auf den ersten Blick scheint dies eine passable Lösung zu sein, die einmal aufgebaut wird und dann ein solides Sicherheitsniveau liefern kann.
Leider gibt es da noch die ausgesprochen dynamische Welt der Schwachstellen.
- Es kann nämlich durchaus sein, dass (vielleicht sogar von den Servern mit hohem Schutzbedarf) gewisse Server als unsicher zu werten sind, da z.B.
- die Betriebssysteme auf Grund der laufenden Anwendungen nicht geregelt (oder gar nicht) gepatcht werden dürfen oder die Anwendungen selbst Schwachstellen aufweisen, die auf absehbare Zeit nicht beseitigt werden können.
- Diese Server stellen dann natürlich grundsätzlich eine Bedrohung dar.
Schwachstellen könnten von einem Angreifer ausgenutzt werden, um die betroffenen Systeme zu kompromittieren und Daten zu entwenden bzw.
- zu manipulieren oder von dieser Angriffsbasis aus die anderen Server unter Beschuss zu nehmen.
Endgeräte-Segmentierung im internen Netz
Das BSI IT-Grundschutz-Kompendium sagt dann auch folgerichtig in Anforderung NET.1.1.A6 Endgeräte-Segmentierung im internen Netz: „Es dürfen nur Endgeräte in einem Sicherheitssegment positioniert werden, die einem ähnlichen Sicherheitsniveau entsprechen.“Die Antwort darauf ist klar: Mit den Mitteln der Netzsegmentierung wird weiteres Sicherheitssegment als Käfig aufgebaut, in dem unsichere Systeme (in unserem Beispiel sind es IOT Geräte) gelagert werden.
- Hier werden beispielsweise alle Sprachassistenten, Live-Kameras, … in separate Netze gepackt.
- Der Verkehr von und zu dem Käfig kann dann z.B.
- durch ein besonders strenges Regelwerk und durch Intrusion-Prevention-Techniken genauestens kontrolliert werden.
Mit den Mitteln einer Mikrosegmentierung könnte beispielsweise durch den Einsatz der Distributed Firewall ein solcher zielgerichteter Schutz von VMs bedarfsweise geschaffen werden.
- Diese Lösung ist hier auch deshalb interessant, weil die Distributed Firewall für das Netz transparent ist und das System netztechnisch nicht in ein anderes Sicherheitssegment umgezogen werden müsste.
Netzwerksegmentierung aus Sicht der IT-Sicherheit ist ein dynamischer Prozess
In der Praxis zeigt sich immer wieder, dass Netzsegmentierungen auch stets den Umgang mit unsicheren Systemen berücksichtigen müssen und damit nie statischer Natur sind.
- Ohne ein Konzept für den Aufbau von Giftschränken und den Umgang mit ihnen ist eine Netzsegmentierung nicht besonders sinnvoll.
- Eine Netzsegmentierung muss also dynamisch und schnell genug auf neue Schwachstellen in den Systemen reagieren und flexibel einen zusätzlichen Schutz für betroffene Systeme schaffen können.
- Wenn dieser Schutz nicht mehr benötigt wird (weil vielleicht ein Patch die Schwachstellen beseitigt hat) muss er außerdem auch genauso flexibel wieder entfernt werden können.
- Der Schutz muss also hier möglichst nah an den betroffenen Endgeräten liegen und für Layer 3 transparent sein.
- Eine traditionelle Netzsegmentierung auf Basis von VLANs kann dies nicht leisten und SDN-basierte Lösungen werden vermehrt diese Lücke schließen.
Weiterführende Links
BSI Grundschutz NET 1.1 – Hier klicken
Peter, IT-Leiter, und die Netzwerksegmentierung – Teil 1 – Hier klicken