NET.1.1 Netzarchitektur und -design

NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums

Beschreibung

Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren

Institutionen benötigen Datennetze

Geschäftsbetrieb, Fachaufgaben, Informationens-/Datenaustausch, Verteilte Anwendungen, ...

Nicht nur herkömmliche Endgeräte

Partnernetze, Internet
Mobile Endgeräte, IoT-Komponenten (Internet of Things)

Cloud-Dienste

Dienste für Unified Communication and Collaboration (UCC)

Viele Endgeräte und Dienste steigen Risiken

Sicheren Netzarchitektur

Planung
Netz durch sichere Netzarchitektur schützen
Lokales Netz (Local Area Network, LAN)
Wide Area Network (WAN)
Eingeschränkt vertrauenswürdige Netze

Hohes Sicherheitsniveau

Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
- Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle

Grundsätzliche Anforderungen

Netzwerkplanung
Netzwerkaufbau
Netzwerkbetrieb
Architektur und Design

Allgemeine Anforderungen

Müssen für alle Netztechniken beachtet und erfüllt werden

z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern

Fokus

Kabelgebundenen Netzen und Datenkommunikation

Modellierung

NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden

Abgrenzung

Relevante Bausteine

Baustein	Bezeichnung	Beschreibung
NET.3	Netzkomponenten	Betrieb von Netzkomponenten
NET.2	Funknetze	Wireless LAN (WLAN)
SYS.1.8	Speicherlösungen	Speichernetze (Storage Area Networks, SAN)
NET.4.2	VoIP	Voice over IP
	Virtual Private Cloud/Hybrid Cloud	Cloud-Computing
NET.1.2	Netzmanagement	Netzmanagement

Zuständigkeiten

Zuständigkeiten	Rollen
Grundsätzlich zuständig	Planende
Weitere Zuständigkeiten	IT-Betrieb

Informationssicherheitsbeauftragte (ISB)

Bei strategischen Entscheidungen einbeziehen

Stellt sicher, dass die Anforderungen des Sicherheitskonzepts

erfüllt und überprüft werden
gemäß dem festgelegten Sicherheitskonzept

Gefährdungslage

Bedrohungen und Schwachstellen von besonderer Bedeutung

Schwachstelle	Beschreibung
Performance	Unzureichend dimensionierte Kommunikationsverbindungen
Netzzugänge	Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt
Aufbau	Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden.

Performance

Unzureichend dimensionierte Kommunikationsverbindungen

Clients nur noch eingeschränkt mit Servern kommunizieren

Mögliche Auslöser

Technischer Ausfall
Denial-of-Service-(DoS)-Angriff

Folgen

Erhöhte Zugriffszeiten auf interne und externe Dienste
- Eingeschränkte Erreichbarkeit/nutzbar
- Wichtige Informationen sind nicht verfügbar
Unterbrechung von Geschäftsprozessen/Produktionsprozesse

Netzzugänge

Ungenügend abgesichert

Fehlende Firewall

Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
- Firewall nicht aktivier/falsch konfiguriert

Angreifer

können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)

Aufbau

Unsachgemäßer Aufbau

Unsichere Netztopologie

Unsachgemäß aufgebaut
Fehlerhafte Erweiterung

Risiken

Angreifer können leichter

Sicherheitslücken finden
ins interne Netzwerk eindringen
Informationen stehlen
Daten manipulieren
Produktionssysteme stören

Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt

Elementare Gefährdungen

Nr.	Gefährdungen
G 0.9	Ausfall oder Störung von Kommunikationsnetzen
G 0.11	Ausfall oder Störung von Dienstleistern
G 0.15	Abhören
G 0.18	Fehlplanung oder fehlende Anpassung
G 0.19	Offenlegung schützenswerter Informationen
G 0.22	Manipulation von Informationen
G 0.23	Unbefugtes Eindringen in IT-Systeme
G 0.25	Ausfall von Geräten oder Systemen
G 0.27	Ressourcenmangel
G 0.29	Verstoß gegen Gesetze oder Regelungen
G 0.30	Unberechtigte Nutzung oder Administration von Geräten und Systemen
G 0.40	Verhinderung von Diensten (Denial of Service)
G 0.43	Einspielen von Nachrichten
G 0.46	Integritätsverlust schützenswerter Informationen

Anforderungen

Schutzbedarf	Beschreibung
Basis	MÜSSEN vorrangig erfüllt werden
Standard	SOLLTEN grundsätzlich erfüllt werden
Erhöht	Exemplarische Vorschläge

Basis

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden

Anforderung	Beschreibung	Rolle
A1	Sicherheitsrichtlinie für das Netz	IT-Betrieb
A2	Dokumentation des Netzes	IT-Betrieb
A3	Anforderungsspezifikation für das Netz
A4	Anforderungsspezifikation für das Netz
A5	Client-Server-Segmentierung
A6	Endgeräte-Segmentierung im internen Netz
A7	Absicherung von schützenswerten Informationen
A8	Grundlegende Absicherung des Internetzugangs
A9	Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen
A10	DMZ-Segmentierung für Zugriffe aus dem Internet
A11	Absicherung eingehender Kommunikation vom Internet in das interne Netz
A12	Absicherung ausgehender interner Kommunikation zum Internet
A13	Netzplanung
A14	Umsetzung der Netzplanung
A15	Regelmäßiger Soll-Ist-Vergleich

Standard

Standard-Anforderungen

SOLLTEN grundsätzlich erfüllt werden

Stand der Technik für Netzarchitektur und -design

Gemeinsam mit den Basis-Anforderungen

Anforderungen

Anforderung	Beschreibung	Rolle
A16	Spezifikation der Netzarchitektur
A17	Spezifikation des Netzdesigns
A18	P-A-P-Struktur für die Internet-Anbindung
A19	Separierung der Infrastrukturdienste
A20	Zuweisung dedizierter Subnetze für IPv4/IPv6-Endgerätegruppen
A21	Separierung des Management-Bereichs
A22	Spezifikation des Segmentierungskonzepts
A23	Trennung von Netzsegmenten
A24	Sichere logische Trennung mittels VLAN
A25	Fein- und Umsetzungsplanung von Netzarchitektur und -design
A26	Spezifikation von Betriebsprozessen für das Netz
A27	Einbindung der Netzarchitektur in die Notfallplanung	IT-Betrieb

Erhöht

Exemplarische Vorschläge für erhöhten Schutzbedarf

Über das den Stand der Technik entsprechende Schutzniveau hinausgehend

SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden

Festlegung im Rahmen einer Risikoanalyse

Anforderung	Beschreibung	Rolle
A28	Hochverfügbare Netz- und Sicherheitskomponenten
A29	Hochverfügbare Realisierung von Netzanbindungen
A30	Schutz vor Distributed-Denial-of-Service
A31	Physische Trennung von Netzsegmenten
A32	Physische Trennung von Management-Netzsegmenten
A33	Mikrosegmentierung des Netzes
A34	Einsatz kryptografischer Verfahren auf Netzebene
A35	Einsatz von netzbasiertem DLP
A36	Trennung mittels VLAN bei sehr hohem Schutzbedarf

A28 Hochverfügbare Netz- und Sicherheitskomponenten

Zentrale Bereiche des internen Netzes sowie die Sicherheitskomponenten SOLLTEN hochverfügbar ausgelegt sein

Dazu SOLLTEN die Komponenten redundant ausgelegt und auch intern hochverfügbar realisiert werden.

A29 Hochverfügbare Realisierung von Netzanbindungen

Netzanbindungen SOLLTEN vollständig redundant gestaltet werden

wie z. B. Internet-Anbindung und WAN-Verbindungen,

Je nach Verfügbarkeitsanforderung SOLLTEN

redundante Anbindungen an einen oder verschiedene Anbieter bedarfsabhängig mit unterschiedlicher Technik und Performance bedarfsgerecht umgesetzt werden
Auch SOLLTE Wegeredundanz innerhalb und außerhalb der eigenen Zuständigkeit bedarfsgerecht umgesetzt werden
Dabei SOLLTEN mögliche Single Points of Failures (SPoF) und störende Umgebungsbedingungen berücksichtigt werden

A30 Schutz vor Distributed-Denial-of-Service

Um DDoS-Angriffe abzuwehren, SOLLTE per Bandbreitenmanagement die verfügbare Bandbreite gezielt zwischen verschiedenen Kommunikationspartnern und Protokollen aufgeteilt werden.

Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu können, SOLLTEN Mitigation-Dienste über größere Internet Service Provider (ISPs) eingekauft werden.

Deren Nutzung SOLLTE in Verträgen geregelt werden.

A31 Physische Trennung von Netzsegmenten

Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente physisch durch separate Switches getrennt werden.

A32 Physische Trennung von Management-Netzsegmenten

Abhängig von Sicherheitsrichtlinie und Anforderungsspezifikation SOLLTEN Netzsegmente des Management-Bereichs physisch voneinander getrennt werden.

A33 Mikrosegmentierung des Netzes

Das Netz SOLLTE in kleine Netzsegmente mit sehr ähnlichem Anforderungsprofil und selbem Schutzbedarf unterteilt werden.

Insbesondere SOLLTE dies für die DMZ-Segmente berücksichtigt werden.

A34 Einsatz kryptografischer Verfahren auf Netzebene

Netzsegmente SOLLTEN im internen Netz, im Extranet und im DMZ-Bereich mittels kryptografischer Techniken bereits auf Netzebene realisiert werden.

Dafür SOLLTEN VPN-Techniken oder IEEE 802.1AE eingesetzt werden.

Wenn innerhalb von internem Netz, Extranet oder DMZ über Verbindungsstrecken kommuniziert wird, die für einen erhöhten Schutzbedarf nicht ausreichend sicher sind, SOLLTE die Kommunikation angemessen auf Netzebene verschlüsselt werden.

A35 Einsatz von netzbasiertem DLP

Auf Netzebene SOLLTEN Systeme zur Data Lost Prevention (DLP) eingesetzt werden

A36 Trennung mittels VLAN bei sehr hohem Schutzbedarf

Bei sehr hohem Schutzbedarf SOLLTEN KEINE VLANs eingesetzt werden.

Anhang

Siehe auch

Sicherheit

Dokumentation

Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht

Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0

Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1: Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.

Links

Projekt

Weblinks