Bundesamt für Sicherheit in der Informationstechnik

M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsbeauftragter

Geräte zur Netzkopplung, wie Router, Switches oder Sicherheitsgateways, verbinden nicht nur Netze, sondern werden auch dazu eingesetzt, um Netze physisch oder logisch zu segmentieren. Durch die Aufteilung von großen Netzen in kleinere Teilnetze kann z. B. die Verfügbarkeit verbessert werden, da ein Fehler nur einen begrenzten Bereich des Netzes betrifft und dort schneller lokalisiert werden kann. Bei zunehmender Anzahl von IT -Systemen können Antwortzeiten inakzeptabel und eine Teilnetzbildung zur Lasttrennung notwendig werden. Ein weiterer Grund für die Segmentierung kann der Schutz von sensitiven Informationen sein, so dass diese nicht auf dem Gesamtnetz verfügbar sind.

Um sich vor externen Angreifern zu schützen, kann es sinnvoll sein, einen Transfer von Paketen nur vom sicheren ins unsichere Netz zuzulassen, zum Schutz von vertraulichen Daten kann es andererseits sinnvoll sein, keinen Transfer von Paketen vom sicheren ins unsichere Netz zuzulassen.

Die Aufteilung in Netzsegmente bzw. die Netzkopplung kann auf verschiedenen Schichten nach dem OSI -Modell erfolgen. Netzkoppelkomponenten in der physischen Schicht (Schicht 1) des OSI -Modells sind z. B. Repeater, in der Sicherungsschicht (Schicht 2) z. B. Bridges oder Switches, auf der Vermittlungsschicht (Schicht 3) z. B. Router und auf der Anwendungsschicht (Schicht 7) im Allgemeinen Sicherheitsgateways.

Unter Berücksichtigung der Anforderungen zur Netzsegmentierung müssen geeignete Netzkopplungselemente nach dem OSI -Referenzmodell ausgewählt werden.

Repeater

Repeater arbeiten auf der Schicht 1 des OSI -Referenzmodells und sind einfache Signalverstärker. Dadurch kann die maximale Kabellänge eines bestehenden Netzsegmentes verlängert werden oder es können mehrere Netzsegmente verbunden werden. In früheren LAN -Implementationen wurden Repeater beispielsweise eingesetzt, um bei Ethernet auf Koaxialkabel die maximale Kabellänge auf über 185 m bzw. 500 m (für Thin- bzw. Thick-Ethernetkabel) zu verlängern.

Bridges

Bridges verbinden Netze auf der Ebene 2 des OSI -Referenzmodells. Eine Bridge verbindet zwei Netze, die in der Regel dasselbe Logical Link Control (LLC) Protokoll benutzen, aber unterschiedliche Medium Access Control (MAC) Protokolle. So kann z. B. ein Netz, das auf Ethernet basiert mit einem Token-Ring-Netz mithilfe einer Bridge verbunden werden. Eine solche Bridge wird dann Translation-Bridge oder T-Bridge genannt.

Hierdurch ergeben sich drei wesentliche Vorteile:

  • Die Bridge trennt Collision-Domains, d. h. performanceverringernde Kollisionen bei CSMA/CD -basierten Netzen gelangen nicht in das andere Segment.
  • Eine Bridge leitet nur diejenigen Datenpakete in ein anderes Segment, die dort auch ihre Zieladresse haben. Hierdurch bleibt der Datenverkehr auf das jeweils notwendige Segment beschränkt, wodurch die Abhörsicherheit steigt.
  • Schließlich steigt dadurch auch der Datendurchsatz in jedem Segment, da auf jeder Seite der Bridge unabhängig Daten übertragen werden können und somit eine Lasttrennung erfolgt.

Repeater und Bridges werden in modernen Netzen nur noch vereinzelt eingesetzt.

Switches

Um Netze auf der Schicht 2 des OSI-Referenzmodells zu segmentieren, werden heutzutage hauptsächlich Switches eingesetzt. Viele Produkte implementieren zusätzlich auch eine Switching-Funktionalität auf der Schicht 3 des OSI-Referenzmodells, erlauben also hiermit auch eine Schicht 3 Segmentierung. Ähnlich wie Bridges verbinden Switches mehrere logische LAN -Segmente miteinander. Im Gegensatz zu Bridges jedoch, bei denen sich mehrere Endgeräte einen Bridge-Port teilen müssen, bildet bei Switches jedes Endgerät eine eigene Kollisionsdomäne.

Somit beruht der Verbindungsaufbau auf den tatsächlichen Erfordernissen. Damit kann jedes angeschlossene Segment mit allen anderen unbeeinflusst von dem Verkehr und der Last der anderen Segmente kommunizieren, solange das entsprechende Segment nicht bereits anderweitig belegt ist. Switches bieten sich vor allem zur Lasttrennung und als zentrale Kopplungskomponente von mehreren Teilsegmenten an. Durch die Kaskadierung von Switches, d. h. durch den Anschluss von nachgeordneten Switches an einen zentralen Switch, lassen sich bei geeigneter Wahl der logischen Netzstruktur sehr leistungsfähige Netze bilden.

Viele Produkte unterstützen inzwischen auch ein Switching auf der Schicht 3 und Schicht 4 des OSI-Referenzmodells (Multi Layer Switching - MLS). Layer-3- bzw. Layer-4-Switches sind Switches, die zusätzlich eine Routing-Funktionalität bieten. Layer-2-Switches verwenden die Ziel- MAC -Adresse im MAC -Header eines Paketes um zu entscheiden, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal wie ein Router (Ziel- IP -Adresse im IP -Header). Alle nachfolgenden Datenpakete des Senders an diesen Empfänger werden daraufhin jedoch auf Schicht 2 des OSI -Referenzmodells (Ziel- MAC -Adresse im MAC -Header) weitergeleitet. Dadurch kann ein solcher Switch einen wesentlich höheren Durchsatz als ein herkömmlicher Router erzielen.

Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer-3-Switch verfügt in der Regel über eine wesentlich größere Portdichte. Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen herkömmliche LAN -to- LAN -Router ersetzen.

Bei der Auswahl von Switches, mit denen ein Collapsed Backbone realisiert werden soll, muss die zur Verfügung gestellte Portdichte berücksichtigt werden. Bei einem "Collapsed backbone" sollte es vermieden werden, mehrere Switches einzusetzen, die nicht über eine gemeinsame (Hochgeschwindigkeits-) Backplane verfügen (siehe M 5.2 Auswahl einer geeigneten Netz-Topologie ).

Router

Router trennen bzw. verbinden Netze auf der Schicht 3 des OSI-Referenzmodells. Damit arbeiten Router nicht mehr protokolltransparent, sondern müssen die im Einsatz befindlichen Protokolle auf der Vermittlungsschicht auch verarbeiten können. Dadurch verlangsamen Router den Datenverkehr zwischen zwei verbundenen Teilnetzen, da sie jedes Paket auf der Schicht 3 auswerten müssen.

Aufgrund ihrer Fähigkeit, Protokolle zu verarbeiten und diese umzusetzen, werden Router vor allem zur LAN - LAN -Kopplung und zur Anbindung eines LAN s an ein WAN genutzt. Ein Router kann beispielsweise zwei LAN s über eine ISDN-Leitung miteinander verbinden. Hierbei wird das LAN -Protokoll unverändert in das WAN -Protokoll eingekapselt (encapsulation) und übertragen. In großen Netzen, in denen viele Teilnetze durch Router verbunden sind, ist eine wesentliche Aufgabe des Routers die Wegewahl (Routing) zwischen den Teilnetzen. Hierbei können prinzipiell zwei Verfahren unterschieden werden:

  • Das statische Routing, bei dem die Wegewahl manuell angegeben wird.
  • Das dynamische Routing, bei dem die Wegewahl durch die Router bestimmt und laufend aktualisiert wird. Hierzu stehen mehrere Algorithmen bzw. Protokolle zur Verfügung, die auch den Abgleich der Router untereinander gewährleisten. Die bekanntesten Protokolle sind unter anderem RIP (Routing Information Protocol), OSPF (Open Shortest Path First) und IGRP (Interior Gateway Routing Protocol). Für die Auswahl eines geeigneten Routing-Protokolls ist auch M 4.82 Sichere Konfiguration der aktiven Netzkomponenten zu beachten.

Weiterhin kann durch den Einsatz von Filtern eine Zugriffskontrolle gewährleistet werden, d. h. welche Systeme mit welchen Protokollen über den Router in welche Richtung miteinander kommunizieren dürfen.

Sicherheitsgateway

Ein Sicherheitsgateway (oft auch Firewall genannt) ist ein System aus soft- und hardwaretechnischen Komponenten, dass dazu eingesetzt wird, um IP -Netze sicher zu koppeln. Sicherheitsgateways werden am zentralen Übergang zwischen zwei unterschiedlich vertrauenswürdigen Netzen eingesetzt. Unterschiedlich vertrauenswürdige Netze stellen dabei nicht unbedingt nur die Kombination Internet-Intranet dar. Vielmehr können auch zwei organisationsinterne Netze unterschiedlich hohen Schutzbedarf besitzen, zum Beispiel bei der Trennung des Bürokommunikationsnetzes vom Netz der Personalabteilung, in dem besonders schutzwürdige, personenbezogene Daten übertragen werden.

Beim Einsatz eines Sicherheitsgateways ist zwischen Paketfilter und Application-Level-Gateway zu untescheiden.

Paketfilter sind IT -Systeme mit spezieller Software, die die Informationen anhand der Header-Daten der unteren Schichten (Transportschicht oder Verbindungsschicht) des OSI -Modells filtern und anhand spezieller Regeln Pakete weiterleiten oder verwerfen (siehe M 2.74 Geeignete Auswahl eines Paketfilters ). Paketfilter treffen ihre Entscheidungen beispielsweise anhand von Quell- und Ziel-Adressen oder -Ports eines Paketes, ohne den Inhalt zu berücksichtigen.

Ein Application-Level-Gateway ist ein IT -System, das die Informationen der Anwendungsschicht, also den tatsächlichen Inhalt (die Nutzdaten) eines Paketes oder mehrerer zusammengehöriger Pakete, filtert und anhand spezieller Regeln Verbindungen oder auch bestimmte Kommandos verbieten oder erlauben kann (siehe M 2.75 Geeignete Auswahl eines Application-Level-Gateways ). Während Paketfilter auf Schicht 3 und 4 des OSI -Referenzmodells arbeiten, arbeiten Application-Level-Gateways auf Schicht 7. Ein Application-Level-Gateway ist im Allgemeinen auf einem IT -System implementiert, das ausschließlich für diese Aufgabe eingesetzt wird und dessen Befehlsumfang auf das Notwendigste reduziert ist.

Prüffragen:

  • Werden geeignete Netzkopplungselemente nach dem OSI-Referenzmodell unter Berücksichtigung der Anforderungen zur Netzsegmentierung ausgewählt?

Stand: 15. EL Stand 2016