Bundesamt für Sicherheit in der Informationstechnik

M 2.139 Ist-Aufnahme der aktuellen Netzsituation

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Um ein bestehendes Netz gezielt sicherheitstechnisch analysieren zu können, ist die Bestandsaufnahme der aktuellen Netzsituation erforderlich. Sie ist ebenso erforderlich, wenn ein bestehendes Netz erweitert wird. Bei der Planung von Netzen sind die im Folgenden beschriebenen Punkte bei der Konzeption zu berücksichtigen.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die zum Teil aufeinander aufbauen, notwendig:

  • physische Netztopologie,
  • logische Netztopologie,
  • verwendete Netzprotokolle,
  • Kommunikationsübergänge im LAN und zum WAN sowie
  • Netzperformance und Verkehrsfluss.

In den einzelnen Schritten ist im Wesentlichen Folgendes festzuhalten:

Ist-Aufnahme der physischen Netztopologie

Die physische Topologie beschreibt die Anordnung der Geräte und die Führung der Kabel, um die Geräte physisch miteinander zu verbinden. Um die physische Struktur des Netzes zu erfassen, ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz aufgebaut wird. Es ist ein Netzplan zu erstellen bzw. fortzuschreiben, der folgendes enthält:

Für jedes IT -System sollte zumindest Folgendes vermerkt sein:

  • eine eindeutige Bezeichnung (beispielsweise der vollständige Hostname oder eine Identifikationsnummer) sowie die verwendete IP -Adresse,
  • Typ und Funktion (beispielsweise Datenbank-Server für Anwendung X),
  • die zugrunde liegende Plattform ( d. h. Hardware-Plattform und Betriebssystem oder Firmware),
  • der Standort (beispielsweise Gebäude- und Raumnummer),
  • zuständige Administratoren,
  • die vorhandenen Kommunikationsschnittstellen (z. B. Internet-Anschluss, Bluetooth, WLAN -Adapter).

Zur Pflege dieses Plans ist es sinnvoll, ein entsprechendes Tool zur Unterstützung einzusetzen). Eine konsequente Aktualisierung dieser Pläne bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vergleiche auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung ).

Ist-Aufnahme der logischen Netztopologie

Um die logische Topologie eines Netzes zu erstellen, ist die logische Struktur des Netzes zu betrachten. Dazu ist es notwendig, die Segmentierung der einzelnen OSI-Schichten und gegebenfalls die VLAN -Struktur zu erfassen.

Anhand der Darstellung der Netztopologie muss feststellbar sein, über welche aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen Endgeräten aufgebaut werden kann. Zusätzlich sind die Konfigurationen der aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente verwendet werden. Dies können bei logischer Segmentierung die Konfigurationsdateien sein, bei physischer Segmentierung die konkrete Konfiguration der Netzkomponenten.

Werden virtuelle IT -Systeme (virtuelle Switches, virtuelle Server etc. ) und virtuelle Netzverbindungen, wie z. B. virtuelle LAN s ( VLAN s) oder virtuelle Private Netze ( VPN s), eingesetzt, dann sind diese ebenfalls in einem logischen Netzplan darzustellen. Hierbei sind virtuelle IT -Systeme gemäß ihrem Typ und Einsatzzweck genauso wie physische IT -Systeme zu behandeln. Darüber hinaus muss die Zuordnung von virtuellen IT -Systemen zu physischen Host-Systemen nachvollziehbar sein. Um die Übersichtlichkeit zu verbessern, ist es bei zunehmender Größe eines Netzes sinnvoll, den Netzplan in mehrere Teilnetzpläne aufzuteilen.

Ähnlich wie bei der physischen Topologie ist auch bei der logischen Topologie auf eine konsequente Aktualisierung des logischen Netzplans bei wesentlichen Konfigurationsänderungen, beispielsweise wenn neue VLAN s eingefügt werden, zu achten.

Ist-Aufnahme der verwendeten Netzprotokolle

Die Netzprotokolle, die in den einzelnen Netzsegmenten verwendet werden, und die hierfür notwendigen Konfigurationen (z. B. die MAC-Adressen, die IP -Adressen und die Subnetzmasken) sind zu dokumentieren. Darüber hinaus sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B. HTTP , SMTP ) und welche gesperrt werden. Auch sollten die zu Grunde liegenden Kriterien, die für die Filterung herangezogen werden, dokumentiert werden.

Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN

Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Für jeden Kommunikationsübergang zwischen zwei Netzen ist zu beschreiben,

  • welche Übertragungsstrecken ( z. B. Funkstrecke für eine LAN / LAN -Kopplung) hierfür eingesetzt werden,
  • welche Kommunikationspartner und -dienste in welche Richtung hierüber zugelassen sind, und
  • wer für die technische Umsetzung zuständig ist.

Hierzu gehört auch die Dokumentation der verwendeten WAN -Protokolle (z. B. ISDN , ATM etc. ). Bei Einsatz einer Firewall ist zusätzlich deren Konfiguration (z. B. Filterregeln) zu dokumentieren, siehe Baustein B 3.301 Sicherheitsgateway (Firewall) .

Ist-Aufnahme der Netzperformance und des Verkehrsflusses

Um frühzeitig mögliche Engpässe im Netz erkennen zu können, ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen den Segmenten oder Teilnetzen durchzuführen.

Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren, dass sie einerseits vor unbefugtem Zugriff geschützt ist, aber andererseits für das Sicherheitsmanagement oder die Administratoren jederzeit verfügbar ist.

Prüffragen:

  • Existiert eine aktuelle Ist-Aufnahme der logischen und physischen Netztopologie?

  • Ist die Dokumentation der physischen und logischen Netztopologie auch für Dritte verständlich und nachvollziehbar?

  • Umfasst die Dokumentation der Netzsegmentierung auch die zugelassenen Dienste und Netzprotokolle sowie die für die Filterung zu Grunde liegenden Kriterien?

  • Umfasst die Dokumentation der Netzsituation alle Kommunikationsübergänge zwischen den Netzen und die hierfür eingesetzten Übertragungsstrecken?

  • Ist anhand der Dokumentation der Kommunikationsübergänge der Kommunikationsfluss bzw. Datenfluss zwischen den Kommunikationspartnern ersichtlich?

  • Ist die Dokumentation zur Netzsituation vor unbefugtem Zugriff geschützt, für die Zuständigen aber jederzeit verfügbar?

Stand: 15. EL Stand 2016