Zum Inhalt springen

NET.1.1 Netzarchitektur und -design

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Zielsetzung

Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren

Einleitung

Institutionen benötigen Datennetze
  • Geschäftsbetrieb
  • Fachaufgaben
  • Informationens-/Datenaustausch
  • Verteilte Anwendungen
Nicht nur herkömmliche Endgeräte
  • Partnernetze
  • Internet
  • Mobile Endgeräte
  • IoT-Komponenten (Internet of Things)
  • Cloud-Dienste
  • Dienste für Unified Communication and Collaboration (UCC)
Durch viele Endgeräte und Dienste steigen Risiken
Planung einer sicheren Netzarchitektur
  • Netz durch sichere Netzarchitektur schützen

Dafür muss zum Beispiel geplant werden, wie

  • ein lokales Netz (Local Area Network, LAN)
  • ein Wide Area Network (WAN)

sicher aufgebaut werden kann

Eingeschränkt vertrauenswürdige Netze
  • Ebenso müssen nur eingeschränkt vertrauenswürdige externe Netze, z. B. das Internet oder Netze von Kunden, geeignet angebunden werden
Um ein hohes Sicherheitsniveau zu gewährleisten
  • sind zusätzliche sicherheitsrelevante Aspekte zu berücksichtigen
  • Beispiele hierfür sind eine sichere Trennung verschiedener Mandanten und Gerätegruppen auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
  • Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle

Abgrenzung und Modellierung

Grundsätzliche Anforderungen
  • Netzwerkplanung
  • Netzwerkaufbau
  • Netzwerkbetrieb
  • Architektur und Design
Allgemeine Anforderungen
  • Müssen für alle Netztechniken beachtet und erfüllt werden
z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
  • Fokus: Kabelgebundenen Netzen und Datenkommunikation

Modellierung

Der Baustein ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden

Abgrenzung

Weitere relevante Bausteine
Baustein Bezeichnung Beschreibung
NET.3 Netzkomponenten Betrieb von Netzkomponenten
NET.2 Funknetze Wireless LAN (WLAN)
SYS.1.8 Speicherlösungen Speichernetze (Storage Area Networks, SAN)
NET.4.2 VoIP Voice over IP
Virtual Private Cloud/Hybrid Cloud Cloud-Computing
NET.1.2 Netzmanagement Netzmanagement

Gefährdungslage

Bedrohungen und Schwachstellen von besonderer Bedeutung
Schwachstelle Beschreibung
Performance
Ausfall/Unzureichend		 Unzureichend dimensionierte Kommunikationsverbindungen

Reicht ihre Leistung aufgrund

  • eines technischen Ausfalls oder
  • eines Denial-of-Service-(DoS)-Angriffs

nicht mehr aus, können z. B. Clients nur noch eingeschränkt mit Servern kommunizieren.

Dadurch erhöhen sich die Zugriffszeiten auf interne und externe Dienste

  • Diese sind so mitunter nur noch eingeschränkt oder gar nicht mehr nutzbar
  • Auch sind eventuell institutionsrelevante Informationen nicht mehr verfügbar
  • In der Folge können essenzielle Geschäftsprozesse oder ganze Produktionsprozesse stillstehen
Netzzugänge
ungenügend abgesichert		 Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
  • z. B. weil keine Firewall eingesetzt wird oder sie falsch konfiguriert ist,
  • können Angreifer
    • auf schützenswerte Informationen der Institution zugreifen
    • diese kopieren
    • oder manipulieren
Aufbau von Netzen
unsachgemäß		 Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.
  • Angreifer können so leichter Sicherheitslücken finden, ins interne Netz der Institution eindringen und dort Informationen stehlen, Daten manipulieren oder auch ganze Produktionssysteme stören.
  • Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt.

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Siehe auch

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

TMP

Weiterführende Informationen

Wissenswertes

Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
  • Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
  • Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0
Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1
Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.

Elementaren Gefährdungen

Zuordnung elementarer Gefährdungen zu Anforderungen
  • Anhand dieser Tabelle kann ermittelt werden, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind
  • Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entsprechenden elementaren Gefährdungen entgegengewirkt
  • Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden
Nr. Gefährdungen
G 0.9 Ausfall oder Störung von Kommunikationsnetzen
G 0.11 Ausfall oder Störung von Dienstleistern
G 0.15 Abhören
G 0.18 Fehlplanung oder fehlende Anpassung
G 0.19 Offenlegung schützenswerter Informationen
G 0.22 Manipulation von Informationen
G 0.23 Unbefugtes Eindringen in IT-Systeme
G 0.25 Ausfall von Geräten oder Systemen
G 0.27 Ressourcenmangel
G 0.29 Verstoß gegen Gesetze oder Regelungen
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.40 Verhinderung von Diensten (Denial of Service)
G 0.43 Einspielen von Nachrichten
G 0.46 Integritätsverlust schützenswerter Informationen
Abgerufen von „https://wiki.foxtom.de/index.php?title=NET.1.1_Netzarchitektur_und_-design&oldid=57957