Bundesamt für Sicherheit in der Informationstechnik

B 4.1 Lokale Netze

Logo Heterogene Netze

Beschreibung

Ein Local Area Network ( LAN ) ist ein Zusammenschluss von netzfähigen IT -Systemen, wie z. B. Clients, Server, Router oder Switches innerhalb eines räumlich begrenzten Gebiets. Um die IT -Systeme zu vernetzen, können unterschiedliche Übertragungsmedien eingesetzt werden, wie beispielsweise verdrillte Kupferkabel oder Lichtwellenleiter. Zunehmend werden die Daten auch drahtlos übertragen, z. B. per WLAN . Neben den IT -Systemen und der Verkabelung sind die eingesetzten LAN -Techniken und insbesondere die zugrunde liegende Topologie wesentliche Bestandteile eines LAN s.

Die Verkabelung sowie die anwendungsbezogenen IT -Systeme, wie beispielsweise Server oder Clients, werden im Baustein B 2.12 IT-Verkabelung beziehungsweise in den entsprechenden Bausteinen der Schicht 3 behandelt, so dass im vorliegenden Baustein primär netzspezifische Aspekte (geeignete Segmentierung, Auswahl einer geeigneten Netztopologie, Bildung von Teilnetzen etc. ) betrachtet werden.

Ethernet ist die am häufigsten eingesetzte LAN -Technik und gilt als der de-facto LAN -Standard. Daher werden in diesem Baustein nur Ethernet- LAN s sowie die zugehörigen Netzkomponenten, wie z. B. Router und Switches betrachtet. FDDI , Token Ring und Token Bus gelten als veraltet und werden kaum noch verwendet. Bei der Auswahl aktiver Netzkomponenten wird der Fokus auf Router und Switches gelegt. Shared LAN s unter dem Einsatz von Repeatern, Hubs und Bridges werden heutzutage nicht mehr betrieben. Fragestellungen im Zusammenhang mit einer WAN -Anbindung werden im vorliegenden Baustein ebenfalls nicht behandelt. Hier sei unter anderem auf den Baustein B 3.301 Sicherheitsgateway (Firewall) verwiesen.

Dieser Baustein beschreibt einen Leitfaden, wie ein lokales Netz analysiert und darauf aufbauend unter Sicherheitsaspekten konzipiert und betrieben werden kann. Damit richtet er sich an die Stelle einer Institution, die für den Netzbetrieb verantwortlich ist und das entsprechende fachliche Wissen besitzt.

Gefährdungslage

Für den IT -Grundschutz eines lokalen Netzes werden pauschal die folgenden Gefährdungen angenommen:

Höhere Gewalt

G 1.2Ausfall von IT-Systemen
G 1.3Blitz
G 1.4Feuer
G 1.5Wasser
G 1.7Unzulässige Temperatur und Luftfeuchte
G 1.8Staub, Verschmutzung

Organisatorische Mängel

G 2.1Fehlende oder unzureichende Regelungen
G 2.2Unzureichende Kenntnis über Regelungen
G 2.4Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.7Unerlaubte Ausübung von Rechten
G 2.9Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.22Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.27Fehlende oder unzureichende Dokumentation
G 2.32Unzureichende Leitungskapazitäten
G 2.44Inkompatible aktive Netzkomponenten
G 2.45Konzeptionelle Schwächen des Netzes
G 2.46Überschreiten der zulässigen Kabellänge

Menschliche Fehlhandlungen

G 3.2Fahrlässige Zerstörung von Gerät oder Daten
G 3.3Nichtbeachtung von Sicherheitsmaßnahmen
G 3.5Unbeabsichtigte Leitungsbeschädigung
G 3.6Gefährdung durch Reinigungs- oder Fremdpersonal
G 3.8Fehlerhafte Nutzung von IT-Systemen
G 3.9Fehlerhafte Administration von IT-Systemen
G 3.28Ungeeignete Konfiguration der aktiven Netzkomponenten
G 3.29Fehlende oder ungeeignete Segmentierung
G 3.43Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen

Technisches Versagen

G 4.1Ausfall der Stromversorgung
G 4.10Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
G 4.31Ausfall oder Störung von Netzkomponenten

Vorsätzliche Handlungen

G 5.1Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2Manipulation an Informationen oder Software
G 5.4Diebstahl
G 5.5Vandalismus
G 5.6Anschlag
G 5.7Abhören von Leitungen
G 5.8Manipulation von Leitungen
G 5.9Unberechtigte IT-Nutzung
G 5.18Systematisches Ausprobieren von Passwörtern
G 5.20Missbrauch von Administratorrechten
G 5.28Verhinderung von Diensten
G 5.66Unberechtigter Anschluss von IT-Systemen an ein Netz
G 5.67Unberechtigte Ausführung von Netzmanagement-Funktionen
G 5.68Unberechtigter Zugang zu den aktiven Netzkomponenten
G 5.71Vertraulichkeitsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT -Grundschutz.

Hierzu zählen zwingend die Bausteine B 4.2 Netz- und Systemmanagement , B 2.12 IT-Verkabelung und B 3.302 Router und Switches .

Weiterhin müssen die aktiven Netzkomponenten gesichert aufgestellt sein, also beispielsweise in Räumen für technische Infrastruktur (z. B. Verteilerräumen) untergebracht werden, so dass auch die Maßnahmen aus dem Baustein B 2.6 Raum für technische Infrastruktur realisiert werden müssen.

Für den sicheren Einsatz eines lokalen Netzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Analyse der aktuellen Netzsituation über die Konzeption bis zum Betrieb. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Die Absicherung eines LAN s beginnt in der Planungsphase. Der erste Schritt ist immer die Erhebung und daran anschließende Analyse der vorliegenden Netzsituation. Basierend auf den Ergebnissen der Analyse kann dann das LAN konzipiert und realisiert werden, um die vorher festgelegten Netz-Anforderungen zu erfüllen. Besondere Aufmerksamkeit bei der Planung und Konzeption eines LAN s ist der Netz-Segmentierung zu widmen. Nur durch eine geeignete physische und gegebenenfalls logische Segmentierung kann verhindert werden, dass Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen.

Außerdem muss eine Sicherheitsrichtlinie für das LAN erstellt werden, in der Regelungen und Hinweise zum sicheren Betrieb und zur sicheren Administration des LAN s beschrieben sind (siehe M 2.576 Erstellung einer Sicherheitsrichtlinie für den Einsatz von lokalen Netzen ).

Umsetzung

Sind alle Komponenten beschafft und geht es um die Einrichtung des LAN s, so hat die Konfiguration der unterschiedlichen LAN -Komponenten und insbesondere der aktiven Netzkomponenten (siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten ) während der Installation stets gemäß der Sicherheitsrichtlinie und der festgelegten Strategie zu erfolgen.

Betrieb

Ist das LAN in Betrieb genommen und wurden alle LAN -Anwender ausreichend geschult, so ist zum einen durch regelmäßige Audits (siehe M 2.579 Regelmäßige Audits des lokalen Netzes ) sicherzustellen, dass alle getroffenen Sicherheitseinstellungen noch aktuell sind und durch regelmäßige Sicherheitschecks (siehe M 5.8 Regelmäßiger Sicherheitscheck des Netzes ), ob diese Einstellungen auch greifen. Durch den Einsatz einer Netz-Management-Software kann das LAN zentral administriert werden (siehe M 2.146 Sicherer Betrieb eines Netzmanagement-Systems ).

Aussonderung

Werden LAN -Komponenten außer Betrieb genommen, so sind entsprechende Konfigurationseinstellungen, wieder auf Standard-Werte zurückzusetzen und eventuell auf den LAN -Komponenten gespeicherte Informationen oder Zugangsinformationen zu löschen (M 2.580 Außerbetriebnahme von Netzkomponenten ).

Notfallvorsorge

Damit in einem Fehlerfall der Betrieb so schnell wie möglich wieder aufgenommen werden kann, muss ein Notfallplan für den Ausfall des lokalen Netzes (siehe M 6.165 Erstellen eines Notfallplans für den Ausfall des lokalen Netzes ) erstellt werden. Hierzu gehört insbesondere auch eine regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten ).

Nachfolgend wird das komplette Maßnahmenbündel für den Bereich Lokale Netze vorgestellt.

Planung und Konzeption

M 2.139(A)Ist-Aufnahme der aktuellen Netzsituation
M 2.140(Z)Analyse der aktuellen Netzsituation
M 2.141(B)Entwicklung eines Netzkonzeptes
M 2.576(A)Erstellung einer Sicherheitsrichtlinie für den Einsatz von lokalen Netzen
M 2.577(Z)Auswahl geeigneter Kryptoverfahren für Netze
M 4.79(A)Sichere Zugriffsmechanismen bei lokaler Administration
M 5.2(A)Auswahl einer geeigneten Netz-Topologie
M 5.13(A)Geeigneter Einsatz von Elementen zur Netzkopplung
M 5.60(A)Auswahl einer geeigneten Backbone-Technologie
M 5.61(A)Geeignete physische Segmentierung
M 5.62(C)Geeignete logische Segmentierung
M 5.77(Z)Bildung von Teilnetzen

Umsetzung

M 4.7(A)Änderung voreingestellter Passwörter
M 4.80(B)Sichere Zugriffsmechanismen bei Fernadministration
M 4.82(A)Sichere Konfiguration der aktiven Netzkomponenten
M 5.7(A)Netzverwaltung

Betrieb

M 2.578(Z)Installation, Konfiguration und Betreuung eines lokalen Netzes durch Dritte
M 2.579(B)Regelmäßige Audits des lokalen Netzes
M 4.81(B)Audit und Protokollierung der Aktivitäten im Netz
M 4.83(C)Update/Upgrade von Soft- und Hardware im Netzbereich
M 5.8(B)Regelmäßiger Sicherheitscheck des Netzes

Aussonderung

M 2.580(C)Außerbetriebnahme von Netzkomponenten

Notfallvorsorge

M 6.52(A)Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
M 6.53(Z)Redundante Auslegung der Netzkomponenten
M 6.54(B)Verhaltensregeln nach Verlust der Netzintegrität
M 6.75(Z)Redundante Kommunikationsverbindungen
M 6.165(C)Erstellen eines Notfallplans für den Ausfall des lokalen Netzes

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK