Netzwerksicherheit

Die Unterteilung des IT-Systems in Netzwerksegmente trägt dazu bei, eine höhere IT-Sicherheit zu gewährleisten. Als Beispiel kann die Segmentierung nach Abteilungen wie Produktion, Personalabteilung, Buchhaltung. Erfolgen. Es gibt keinen Grund, warum der PC der Personalabteilung auf eine Produktionsanlage zugreifen soll. Das gleiche gilt natürlich auch umgekehrt.

Wichtige Aspekte und Empfehlungen zur Netzwerksegmentierung:

• Identifizieren Sie die Segmente in Ihrem Unternehmen, die kritische Daten, Prozesse und Systeme enthalten.

• Definieren Sie Sicherheitszonen zur effektiven Segmentierung kritischer Bereiche auf Grundlage der Datensensibilität und Zugriffsanforderungen.

• Legen Sie in Ihrem Firmennetzwerk Zonen fest, die der Zugriffskontrolle unterliegen und zu denen nur Personen mit IT-administrativen Funktionen Zugang haben.

• Überprüfen Sie die Trennung der Segmente kontinuierlich. So können Sie gewährleisten, dass bei Erweiterungen oder Änderungen der Netzwerkumgebung die Sicherheitskontrollen und die Funktionsfähigkeit Ihrer IT-Infrastruktur immer noch gegeben sind.

Dies sind Aspekte der Netzwerk-Ingenieure in ihrem Unternehmen. Was verwendet man nun um dies umzusetzen.

VLAN

Ein VLAN (Virtual Local Area Network) ist ein Teilnetzwerk, das sich innerhalb eines gesamten physischen Netzwerks befindet. Computer in einem VLAN können nur miteinander kommunizieren, aber nicht mit anderen Computern, die sich im physischen Netzwerk befinden.

So können verschiedene Endgeräte dieselben Kabel, Switches und Router nutzen, aber dennoch nicht aufeinander zugreifen. Die Konfiguration von virtuellen Netzwerken erfolgt über die beteiligten Endgeräte, die Kosten für einen VLAN-Switch und eine VLAN-fähige Netzwerkkarte sind dabei nicht viel teurer als vergleichbare Geräte ohne diese Funktion.

Warum werden virtuelle Netzwerke eingesetzt?

Die Einsatzmöglichkeiten von virtuellen Netzwerken sind vielfältig, sie können sowohl im privaten Bereich als auch für Firmen-Netzwerke eingesetzt werden. Im Idealfall können durch virtuelle Netzwerke einige Geräte eingespart werden, da sich die Endgeräte in den einzelnen Netzwerken die Hardware teilen können. Bei grossen Netzwerken ist zudem die physische Verkabelung nur schwer zu erweitern, sodass virtuelle Netzwerke viel flexibler eingesetzt werden können. Die einzelnen Computer innerhalb des Netzwerks werden dabei quasi standortunabhängig, sie können an einen anderen Standort versetzt werden, ohne dass die Verkabelung und die beteiligten Switches physikalisch geändert werden müssen.

Virtuelle Netzwerke werden ausserdem aus Performance-Gründen eingesetzt. So lassen sich zum Beispiel VoIP-Dienste in einem separaten VLAN betreiben und mit einer höheren Priorität ausstatten, damit die Daten schneller durch das Netzwerk geleitet werden können. Darüber hinaus ist die Aufteilung in verschiedene virtuelle Netzwerke auch aus Sicherheitsgründen sinnvoll, sowohl bei Firmen-Netzwerken als auch in privaten Haushalten. Wird von zuhause gearbeitet und sensible Daten übermittelt, macht es Sinn, den Arbeits-PC in einem separaten Netzwerk zu betreiben, damit Viren und andere Schadsoftware nicht aus dem Rest des Netzwerks eindringen können. In Firmennetzwerken sieht es ähnlich aus. Hier kann mit einem VLAN zum Beispiel die Buchhaltung vom restlichen Netz getrennt werden, damit sensible Firmendaten nicht über andere Rechner ausgespäht werden können.

Grün VLAN ID 10 / Orange VLAN ID 20

Markierung virtueller Netzwerke

Um die einzelnen Computer bestimmten virtuellen Netzwerken zuzuordnen, gibt es verschiedene Modelle, die dazu genutzt werden können. Die einfachste Form ist ein portbasiertes Netzwerk. Hier werden die verschiedenen VLANs über die Ports voneinander unterschieden. Das kann entweder bei einem Einzelnen oder auch über mehrere Switches erfolgen. Um die Netzwerke miteinander zu verbinden, kommt ein Router zum Einsatz. Diese Form ist nicht besonders flexibel und bei einem Standort-Wechsel der beteiligten Geräte müssen auch physische Änderungen an den Switches vorgenommen werden. Flexibler im Einsatz sind sogenannte Tagged-VLANs. Hier werden die einzelnen Datenpakete nach ihrer Zugehörigkeit markiert und können so dem gewünschten Endgerät zugestellt werden. Allerdings kann es hier bei älteren Geräten zu Problemen kommen, da diese nicht immer in der Lage sind, entsprechende Markierungen an den Paketen anzubringen. Diese Geräte können auch Pakete mit Markierung nicht verarbeiten. Der VLAN-Switch muss daher je nach Herkunft und Ziel des Paketes entscheiden, ob er die Markierungen entfernen muss, beziehungsweise zunächst einmal eine Markierung anhängt, weil das Herkunftsgerät keine Daten übermittelt.

Eine weitere Form der Markierung wird in dynamischen VLANs getroffen. Dort wird die Zugehörigkeit der Pakete nach dem Inhalt bestimmt. Diese Verfahrensweise ist zum Beispiel dann zu verwenden, wenn bestimmte Geräte immer zu einem bestimmten VLAN gehören sollen oder bestimmte Dienste (VoIP) eine höhere Priorität erhalten sollen. Sowohl dynamische als auch Tagged-VLANs werden heute nicht mehr als sicher betrachtet, da die Pakete eines Netzwerkes theoretisch beliebig manipuliert werden können.

Tagged VLAN

Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist zu dessen VLAN das Frame gehört. Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen. Diese Verbindung wird auch trunk genannt.

Versuchen Sie ihre Netzwerkumgebung auch entsprechend zu segmentieren. Machen Sie sich Gedanken was für Teilnetze Sie vornehmen wollen.