Probleme von firmenweiten Netzwerken
Wie in einer Bank, wo die Zugriffsbereiche unterteilt sind, sollten unsere Firmennetze einen ähnlich segmentierten Aufbau haben. Die einzelnen Bereiche sollten strikt voneinander getrennt sein und nur autorisierten Personen oder Systemen Zugriff ermöglichen.
Eine Bank lässt beispielsweise ihre Kunden nur während den Öffnungszeiten bis in die Schalterhalle, Kundenberater können neben der Schalterhalle auch in die Sitzungszimmer, Anlageberater in ihre Büros und nur der Direktor hat Zugriff auf den Tresor. Das gleiche sollte in Firmennetzwerken passieren: Wir haben diverse sensitive Bereiche, welche wir so unterteilen sollten, dass sie untereinander nicht unbeschränkt kommunizieren können.
Die klassische Netzwerksegmentierung: DMZ und Private LAN
Beginnen wir mit der klassischen Unterteilung in DMZ (Demilitarized Zone) und Private LAN. Wir haben einerseits Webserver und Applikationsserver, welche für Externe (Kunden oder Systeme) jederzeit erreichbar sein müssen. Diese stellen wir in eine eigene Zone und öffnen pro Server nur die notwendigen Ports über die Firewall. Bei klar definierten Zugriffen öffnen wir die Zugriffspattern auf einer WAF (Web Application Firewall; Mehr dazu in unseren Blogbeiträgen «Die 10 grössten Sicherheitslücken von Websites und wie man sie behebt» und «WAF as a Service»)
Dies wäre also die DMZ. Im Bankenbeispiel entspricht sie dem Geldautomat, der Infotafel mit den Wechselkursen und der Schalterhalle, die über einen klar definiertes Zugriffspattern (Öffnungszeiten) verfügt.
Die Arbeitsplatzcomputer der normalen Mitarbeiter werden hingegen ins private LAN eingebunden. Zugriffe auf andere Zonen sind via Firewalls geregelt und werden protokolliert. Der Büroarbeitsplatz in der Bank repräsentiert diesen Bereich im Netzwerk.
Das wäre der klassische Aufbau. Wir haben aber noch weitere Zonen, bei welchen es sich lohnt, sie zu segmentieren. Grundsätzlich sollten kritische Daten, Prozesse und Systeme von weniger kritischen Umgebungen getrennt werden – Geldanlieferungen und Kundenberatung finden schliesslich auch nicht in den gleichen Räumen statt.
- Servernetzwerk:
Das Servernetzwerk soll nicht im gleichen Netzwerk wie die Anwendercomputer stehen und nur über eine Firewall ansprechbar sein. - Gäste und Wireless-Netzwerke:
Das Gäste-Wireless-LAN darf auf keinen Fall ins interne Netzwerk eingebunden sein, damit auf interne Systeme nicht darüber zugegriffen werden kann. Es sollte grundsätzlich gleich behandelt werden wie Zugriffe aus dem Internet. Der Zugriff auf das Unternehmens-Wireless muss durch eine starke Authentifizierung oder durch Client-Zertifikate mittels des Standards IEEE 802.1x geschützt werden. - VoIP-Netzwerk: VoIP (Voice over IP, Internet Telefonie) Netzwerke sollten aus Qualitätsüberlegung vom restlichen Netzwerk via VLAN segmentiert werden, um ein abhören der Telefongespräche zu erschweren.
- Backup-Netzwerk: Die Backupdaten müssen ausserhalb der normalen Systeme liegen, so dass bei einem Virenbefall diese immer noch sicher sind und für den Restore verwendet werden können.
- Sicherheitsnetzwerk (für zentralen IDS-Server (Was ist ein IDS?), Logging, Antivirusserver, Monitoring):
Zentrale Server, die für die Sicherheit mitverantwortlich sind, sollten sich auch in einer dedizierten Netzwerkzone befinden, damit von dort aus der Zugriff auf die notwendigen Zonen geregelt ist. - Physische Sicherheitssysteme:
Physische Sicherheitssysteme wie Kameraüberwachung, ID-Scanner und Zugriffssysteme müssen aus Sicherheitsgründen komplett von den anderen Netzwerken getrennt werden. In die gleiche Kategorie gehören auch Industrie-Steuerungsanlagen. Beispielsweise Roboter, CNC-Fräsen, Misch-Roboter oder Zentrifugen) - Industrie-Steuerungssysteme (Bsp.: Produktionsanlagen)
Segmentierungsarten und -Techniken
Je nach Sicherheitsanforderung ist eine physikalische Trennung von Netzwerken (physische Sicherheitssysteme oder Industrie-Steueranlagen) oder eine virtuelle Segmentierung mit VLANs (ein logisches Teilnetz innerhalb eines gesamten physischen Netzwerks) erforderlich. Weitere Zugriffssicherungen erfolgen mit Firewalls. Mittels Regeln wird definiert, welches Netzwerk über welchem Port und mit welchem Protokoll auf eine Ressource zugreifen darf. Bei der Bank ist das vergleichbar mit dem Schlüssel oder der Batchkarte, die für das Öffnen der Türen benötigt werden. So gelangen Mitarbeiter nur in jene Räume, in die Sie reindürfen und dadurch kann auch verhindert werden, dass Kunden den BackOffice-Bereich betreten.
Für Zugriffe auf Applikationen und Webseiten können sogenannte WAF eingesetzt werden. Mittels eines bestimmten Musters werden Zugriffe erlaubt oder abgewiesen. Dies ist beispielsweise mit den Öffnungszeiten einer Bankfiliale vergleichbar.
Vor- und Nachteile der Netzwerksegmentierung
Anhand des Bankenbeispiels können wir uns sicher ein paar Vorteile vorstellen, zuerst aber zu den Nachteilen:
- Komplexität wird erhöht
- Hardware- und Software-Kosten für zusätzliche Netzwerkkomponenten entstehen
Und die Vorteile:
- kritische Systeme und Daten von nichtkritischen getrennt
- Verbreitung von Viren und Trojaners eingeschränkt
- Angriffe eindämmen, erkennen und abwehren
- Priorisierung
- Vereinfachung des Netzwerkmanagements
… denn niemand möchte, dass ein Kunde, sei es mit guter oder böser Absicht, plötzlich unbeaufsichtigt in unserem Tresor steht und sich darin frei bewegen kann.
In den aspectra Rechenzenter wird die Netzwerksegmentierung so gemacht:
Und hier noch eine exzellente Infografik: Network Segementation, Making Security Manageable - Tufin
Weiterführende Blogbeiträge: