Bundesamt für Sicherheit in der Informationstechnik

M 2.582 Möglichkeiten zur Einrichtung eines Managementnetzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Das Managementnetz stellt die Kommunikationsverbindungen zwischen dem Netz- bzw. Systemmanagement-System und den verwalteten Komponenten zur Verfügung. Hierfür stehen verschieden Varianten zur Auswahl:

  • Out-of-Band: Es wird ein separates, physikalisches Managementnetz aufgebaut, dass ausschließlich für das Management der Netz- oder Systemkomponenten verwendet wird. Diese müssen demnach über eine zusätzliche Netzschnittstelle mit dem Managementnetz verbunden werden.
  • In-Band: Die Netz- oder Systemkomponenten werden über das bestehende (Daten-)Netz verwaltet.
  • Lokal: Die Netz- oder Systemkomponenten werden lokal z. B. über eine Konsole gewartet.
  • Gemischtes Managementnetz: Kritische Netz- oder Systemkomponenten sind über ein Out-of-Band-Managementnetz angeschlossen und die anderen Systeme im Netz per In-Band-Management.

Out-of-Band-Management ist die sicherste, aber auch zugleich aufwändigste Variante eines Managementnetzes. Sie empfiehlt sich z. B. bei aktiven Netzkomponenten, deren Verfügbarkeit angegriffen werden kann, wie beispielsweise ein Perimeterrouter. Nur so kann im Falle eines Denial-of-Service-Angriffs mit der Netzkomponente kommuniziert werden.

Für große Netze empfiehlt sich zudem, über eine geeignete Segmentierung des Managementnetzes nachzudenken, um so beispielsweise Netzadministratoren nur Zugriff auf den Bereich des Netzes zu geben, für den sie zuständig sind.

Weit verbreitet ist In-Band-Management, da es kein zusätzliches Netz und keine zusätzlichen Schnittstellen an den Netz- oder Systemkomponenten benötigt. Hierfür sollte die Management-Kommunikation geschützt sein, was durch ein entsprechendes Management-Protokoll gewährleistet werden kann.

Eine ausschließlich lokales Management der Netz- oder Systemkomponenten ist nur in sehr kleinen Netzen möglich, aber auch dann nur in begründeten Ausnahmefällen einzusetzen.

Genauer zu betrachten ist die Verwaltung der IT -Systeme in der DMZ (Demilitarisierte Zone) eines Sicherheits-Gateways bei der Nutzung von SNMP als Netzmanagement-Protokoll. Die für das Sicherheitsgateway definierten Regeln sollen nicht für das Netzmanagement aufgeweicht werden.

Dies ist am einfachsten realisierbar, wenn ein Out-of-Band-Netz zur Kommunikation mit den überwachten Komponenten verwendet wird. Falls die Kommunikation In-Band durch das Sicherheitsgateway abläuft, sollte Folgendes beachtet werden:

Da oftmals keine UDP -Verbindungen aus einer DMZ in das interne Netz zugelassen werden sollen, kommt eine In-Band-Kommunikation über UDP zwischen einem Manager im internen Netz und Komponenten in der DMZ nicht in Frage. Für diesen Fall bieten diverse Hersteller Möglichkeiten an, die Managementinformationen über andere verbindungsorientierte Protokolle auszutauschen. Mangels eines einheitlichen Standards sei hier auf die Informationen der Hersteller verwiesen.

Stand: 15. EL Stand 2016