Netzwerksegmentierung

Aus Foxwiki

topic - Kurzbeschreibung

Beschreibung

Netzwerksegmentierung mindert Risiken
  • Sicherheitsbeauftragte darauf achten, dass eine Netzwerksegmentierung durchführt wird
  • Netzwerksegmentierung stellt sicher, dass eine Sicherheitslücke, wie etwa ein abgehörtes Benutzerkennwort, keinen weiteren Schaden anrichten kann, solange der Angreifer keinen Zugriff auf das exponierte System hat.
Bei einer Netzwerksegmentierung handelt es sich um die Aufteilung von vernetzten Komponenten
  • Subnetze
  • VLANs
Nur Geräte, die sich im selben Netzsegment befinden, können miteinander kommunizieren, ohne an speziellen Routern und Firewalls vorbeizumüssen.
  • Wenn über ein Netzsegment hinweg kommuniziert werden soll, entscheidet hingegen wieder die Firewall darüber, ob dies genehm ist oder nicht.
  • Dadurch haben Sie eine bessere Kontrolle darüber, wer mit wem sprechen darf.

Anwendungen

Bei der Segmentierung von Netzwerken gibt es einige Best Practices
  • So sollten etwa Netzwerke, in die sich auch Betriebsfremde einwählen können, komplett von Ihren Unternehmensdaten abgeschottet sein.
  • Sie sollten sich also nicht im selben Netzwerk wie Mitarbeiter, Drucker, Telefone oder Server befinden.
Gewöhnliche Anwender, die beispielsweise ein E-Mail Programm wie Microsoft Outlook verwenden, brauchen keinen administrativen Zugriff auf den dahinter befindlichen Mailserver.
  • Der ist nur Administratoren wie Peter vorbehalten.

Funktionstrennung durch eine Netzwerksegmentierung

Und Peter wiederum administriert auch nicht alle Server des Unternehmens.
  • Peter braucht also lange nicht Zugriff auf alle Server, sondern nur zu denen, die unter seinen Zuständigkeitsbereich fallen.
  • Nur so etablieren Sie eine sauber Funktionstrennung und verhindern, dass Peter seine Allmacht irgendwann zu Kopf steigt.
Auch gibt es durchaus Netzsegmente, in denen sich nur Server oder andere Backend-Komponenten miteinander unterhalten.
  • Wenn etwa ein Shopsystem mit der darunterliegenden Datenbank kommuniziert, um sich Produktdaten und Preise abzuholen, hat niemand sonst etwas in diesem Segment zu suchen.
Sie können also durch eine ordentliche Netzwerksegmentierung auch eine Funktionstrennung einführen
Damit Peter den Online-Shop administrieren kann, erstellen Sie ein Netzsegment, in welchem sich Peter’s Admin-PC sowie der Shop-Server befindet.
Für die Kommunikation mit der Datenbank packen Sie den Online-Shop und die Datenbank in ein zweites Netzsegment, und damit der Online-Shop von Besuchern aus dem Internet genutzt werden kann, kommt noch eine dritte Zone hinzu.
Am Ende entscheidet dann die Firewall, wer mit wem über welches Protokoll sprechen darf.
  • So darf sich Peter etwa per SSH auf den Shop schalten, während dieser sich über ODBC mit der Datenbank unterhalten kann.
  • Die Besucher aus dem Internet hingegen haben einzig und allein per HTTPS Zugriff auf den Shop.

Testumgebungen von der Produktivumgebung trennen

Auch sollten Sie Testumgebungen von Produktivumgebungen trennen.
  • Denn auf Testsystemen werden häufig Sachen ausprobiert und Performancetests gefahren.
  • Wenn dabei etwas schief geht und beispielsweise eine Sicherheitslücke eingeführt oder aus Versehen das “falsche” System getestet wird, legen ihre Tester ganz schnell das Produktivsystem lahm.

Netzwerke nach Geräteart trennen

Eine weitere Option, Netzwerke zu trennen, ist nach der Geräteart.
  • Warum sollten beispielsweise IP-Telefone im selben Netzwerk sein wie ein Drucker? Durch eine saubere Netzwerksegmentierung verhindern Sie somit, dass jemand ein IP-Telefon in einem Meeting-Raum hackt und über eine zweite Schwachstelle Druckeraufträge abfängt und auf einen USB-Stick speichert.

Die wichtigste Trennung: Demilitarisierte Zone

Die wohl wichtigste Trennung in Ihrem Netzwerk geschieht zwischen Ihrem internen Unternehmensnetzwerk und der Außenwelt
Als Puffer zwischen Ihrem internen Netzwerk und dem öffentlichen Internet sollten Sie eine sogenannte DMZ einrichten.
  • DMZ steht für “Demilitarisierte Zone” und ist ein Netzwerksegment, welches über Router sowohl mit Ihrem internen Unternehmensnetzwerk als auch mit dem öffentlichen Internet verbunden ist.
  • Server, welche Daten in das öffentliche Internet exponieren oder aus diesem abrufen, gehören hier hin.
  • Typische Beispiele sind beispielsweise Webserver mit dem öffentlichen Internetauftritt Ihres Unternehmens, öffentlich erreichbare Mailserver oder ein Proxyserver für den Internetzugang der Mitarbeiter.
Durch die demilitarisierte Zone stellen Sie sicher, dass ein potenzieller Angreifer beim Kapern eines Ihrer Server sich nicht gleich im internen Netzwerk befindet und mit den wirklich sensiblen Systemen Ihres Unternehmens kommunizieren kann.
  • Denn es stellt noch einmal eine zusätzliche Hürde für einen Angreifer dar, aus der demilitarisierten Zone auszubrechen und in das interne Netzwerk einzudringen.
Mit diesen Best Practices haben Sie nun die Kommunikationsregeln der einzelnen Geräte in Ordnung gebracht und somit eine solide Verteidigungsmauer gegenüber Angreifern etabliert.

Sicherheit

Handlungsbedarf prüfen

  • Schaffen Sie heute eine solide Grundlage für die Absicherung Ihrer Kronjuwelen und Daten, indem Sie sensible Netzbereiche von öffentlichen Segmenten trennen.
  • Eine Netzwerksegmentierung ist der erste Schritt für mehr IT-Sicherheit in Ihrem Unternehmen und kann häufig auf Basis bereits existierender Firewall-Systeme in Ihrem Unternehmen umgesetzt werden.
Nicht nur für Ihr gutes Gewissen lohnt sich eine Investition in die Segmentierung Ihrer Netze
Denn auch gängige Industrienormen für IT-Sicherheit, wie etwa die ISO 27001, fordern eine Trennung der Netze

Netztrennung ist kein Allheilmittel

Eins sollte Ihnen aber bewusst sein
Eine Netzwerksegmentierung ist nur eine weitere Verteidigungslinie n der Stärkung Ihrer technischen IT-Sicherheit.
  • Auch wenn ein Angreifer keinen Netzwerkzugriff auf ein sensibles System hat, sollten Sie dennoch diese Systeme schützen, patchen und härten.
  • Denn wenn eine Ihrer Verteidigungslinien einmal bricht, weil beispielsweise eine Firewall umgangen werden kann, müssen die dahinter geschalteten Fangnetze diese Schwachstelle auffangen können.
Kombinieren Sie also eine Netzwerksegmentierung immer zumindest mit regelmäßigen Systemupdates, schwer zu erratenden Zugangsdaten sowie mit Systemen zur Erkennung von Angriffen.

Siehe auch

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

  1. https://www.bristol.de/netzwerksegmentierung-ein-unterschaetztes-werkzeug-in-der-it-sicherheit/
  2. https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/partner/Partnerbeitrag_Rohde-Schwarz.pdf
  3. https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_112.pdf
  4. http://2014.kes.info/archiv/heft/abonnent/05-2/05-2-039.htm
  5. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_3_2_Firewall_Edition_2021.pdf
  6. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/09_NET_Netze_und_Kommunikation/NET_1_1_Netzarchitektur_und_design_Edition_2021.pdf

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5
Abgerufen von „https://wiki.foxtom.de/index.php?title=Netzwerksegmentierung&oldid=60514