Bundesamt für Sicherheit in der Informationstechnik

M 5.61 Geeignete physische Segmentierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Unter einer physischen Segmentierung wird der Vorgang der Segmentbildung mit Hilfe von Netzkomponenten auf Schicht 1, 2 oder 3 des OSI -Referenzmodells verstanden. Durch eine geeignete physische Segmentierung können die erforderlichen Sicherheitsmaßnahmen in den Teilnetzen entsprechend dem jeweiligen Schutzbedarf an Verfügbarkeit, Integrität und Vertraulichkeit ausgewählt werden, wenn entsprechende Netzkomponenten (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung ) geeignet eingesetzt werden. Ein zielgerechter Zuschnitt der Netzsicherheit erleichtert es, die erforderlichen Sicherheitsmaßnahmen umzusetzen und zu pflegen.

Daher muss beim Entwurf oder bei grundlegenden Änderungen eines lokalen Netzes auf eine geeignete physische Segmentierung geachtet werden.

Verfügbarkeit

Unter dem Gesichtspunkt der Verfügbarkeit wird auch die Performance eines Netzes betrachtet. Diese kann erhöht werden, wenn das Netz auf den entsprechenden Schichten des OSI -Modells 1, 2 oder 3 segmentiert wird. Bei einer Auftrennung auf der Schicht 1 kann die geringste Erhöhung der Verfügbarkeit in den Einzelsegmenten, aber der höchste Durchsatz zwischen den Segmenten und bei einer Trennung auf Schicht 3 die größte Erhöhung der Verfügbarkeit und der geringste Durchsatz zwischen den Segmenten erzielt werden.

In früheren LAN -Implementationen wurden Netze auf Schicht 1 mit Hilfe von Repeatern segmentiert. Dadurch konnte die Verfügbarkeit des Netzes erhöht werden, weil elektrische Fehler des einen Segmentes das andere nicht beeinflussen konnten.

Um Netze auf Schicht 2 zu segmentieren, werden Layer-2-Switches eingesetzt. Dadurch kann die Verfügbarkeit bzw. Performance eines Netzes erhöht werden, weil Layer-2-Switches für jedes IT -System, das an einem Switch-Port angeschlossen ist, eine individuelle Kollisionsdomäne erzeugen. Die IT -Systeme müssen sich nicht, wie es früher beispielsweise bei Hubs der Fall war, die verfügbare Übertragungskapazität mit anderen Netzteilnehmern teilen. Dies führt dazu, dass der Verkehr lokal bleibt und andere Segmente entlastet werden.

Besteht ein Netz allerdings ausschließlich aus Layer-2-Switches, dann werden Broadcast-Pakete an alle angeschlossenenen IT -Systeme (Switches, Arbeitsstationen, Servers etc. ) versendet. Vergrößert sich der Broadcast-Verkehr, beispielsweise wenn neue IT -Systeme in das Netz hinzugefügt werden, dann wächst die Gefähr von Überlastungen in den einzelnen Netzsegmenten. Um dies zu verhindern, wird empfohlen, große Broadcast-Domänen in kleinere Broadcast-Domänen zu unterteilen und diese dann mit mit Hilfe von Layer-3-Switches oder Routern miteinander zu verbinden.

Werden Router zur Segmentierung eingesetzt, dann kann der Netzverkehr auf Layer 3 fast vollständig kontrolliert werden. Insbesondere werden keine Broadcasts zwischen Segmenten (Teilnetzen) weitergeleitet, die durch einen Router getrennt sind. Somit kann ein Broadcaststurm auf dem einen Segment das andere nicht beeinflussen.

Ausgehend von den Ergebnissen einer durchgeführten Verkehrsflussanalyse (siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation ) sollte eine physische Segmentierung vorgenommen werden, um den Durchsatz bzw. die Performance im erforderlichen Maße zu erhöhen.

Beispiel:

Ein Netz besteht ausschließlich aus Layer-2-Switches (flaches Netz). Um die Verfügbarkeit bzw. Performance des Netzes zu erhöhen, werden kleinere Broadcast-Domänen gebildet, indem einige Layer-2-Switches durch Layer-3-Switches oder Router ersetzt werden.

Vertraulichkeit

Um die Vertraulichkeit von Daten in einem Netz entsprechend ihres Schutzbedarfs gewährleisten zu können, sind alle Maßnahmen geeignet, die einen unkontrollierten Austausch von Daten zwischen zwei Segmenten verhindern. Verglichen mit Hubs oder Repeatern stärken Router und Switches die Vertraulichkeit, weil sie den Datenverkehr auf Schicht 2 bzw. 3 kontrollieren können bzw. dediziert auf Port-Ebene Segmente verbinden oder trennen können. Router und Layer-3-Switches bieten die umfassendsten Kontrollmöglichkeiten der hier behandelten Komponenten. Mit Hilfe von Routern bzw. Layer-3-Switches kann nicht nur der Zugang und die Wegewahl in andere Netze bestimmt werden, sondern zusätzlich auch, welcher Netzteilnehmer mit Systemen in anderen Segmenten auf welcher Basis kommunizieren darf. Durch den Ausschluss bestimmter Layer-3-Protokolle am Router kann verhindert werden, dass Daten entsprechender Protokolle in andere Segmente gelangen. Dies geschieht durch die Definition geeigneter Filterregeln (Access Control Lists, ACL s) in den Routern, die auf Protokollebene gebildet werden können. So können beispielsweise einzelne TCP - und UDP -Ports für den Übergang in das andere Segment selektiv gesperrt oder freigegeben werden.

Beispiel: Durch die Trennung eines Netzes mit Hilfe eines Routers und eine entsprechende Konfiguration der Filterregeln kann erreicht werden, dass keine Kommunikation zwischen den Segmenten möglich ist. Somit kann ein Segment auch nicht vom jeweils anderen abgehört werden. Ebenso werden keine Broadcast-Paketen zwischen den Teilnetzen übertragen. Außerdem müssen die Filter standardmäßig derart konfiguriert sein, dass zunächst die Kommunikation maximal eingeschränkt und erst nach Bedarf und dienstebezogen freigegeben wird. Hierbei sollte ggf. eine IP -bezogene Filterung berücksichtigt werden.

Daten- und Netzintegrität

Die Integrität der Daten bis zur Schicht 3 wird in der Regel durch das eingesetzte Netzzugangsprotokoll sichergestellt, während die Sicherstellung der Netzintegrität, also dem Übereinstimmen der aktuellen Netzsituation mit der geplanten und vorgesehenen physischen und logischen Segmentierung, zusätzliche Maßnahmen erfordert. Diese Maßnahmen müssen sicherstellen, dass keine unautorisierten oder fehlgeleiteten Kommunikationsverbindungen aufgebaut oder unautorisierten Systemzugriffe durchgeführt werden, die im integren Netzzustand unterbunden sind.

Die Netzintegrität wird daher im Wesentlichen dadurch sichergestellt, dass

  • Veränderungen unmittelbar an Netzkomponenten (Umrangierungen, Installation neuer, nicht autorisierter Komponenten etc. ) verhindert oder zumindest erkannt werden (Hardware-bezogene Sicherheit),
  • Veränderungen an der Konfiguration der Netzkomponenten ( z. B. an Routing-Protokollen, an der Port-Switching-Matrix oder an der VLAN -Zuweisung) verhindert oder zumindest erkannt werden (Software-bezogene Sicherheit).

Dazu ist es erforderlich, den Zugang zu den Netzkomponenten mit ausreichender Stärke zu verwehren (z. B. durch Infrastrukturmaßnahmen bezüglich Verteilerraum, Verkabelung etc. ) und das Netzmanagement so zu konzipieren, dass unberechtigte Zugriffe über das Netz auf die Netzkomponenten verhindert werden.

Eine Erhöhung des Schutzes bezüglich der Integrität der Daten auf Schicht 3 (z. B. der Anwendungsdaten) kann nicht alleine durch den Einsatz von Netzkomponenten erreicht, aber ein gezielter Angriff auf die Datenintegrität kann erschwert werden. Hierzu können Netzkomponenten verwendet werden, die das Mithören und Verändern von Datenpaketen verhindern. Dies sind z. B. Switches und Router, die ein Netz in Segmente bzw. Teilnetze aufspalten können, zwischen denen der Datenverkehr kontrolliert, beschränkt oder konfiguriert werden soll.

Zusätzlich ist durch die geeignete Dimensionierung und Auswahl von Netzkomponenten dafür Sorge zu tragen, dass weder durch deren Überlastung noch durch deren Fehlfunktion Datenpakete verloren gehen können bzw. verfälscht werden.

Prüffragen:

  • Wurde das lokale Netz geeignet physisch segmentiert?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK