Bundesamt für Sicherheit in der Informationstechnik

M 5.62 Geeignete logische Segmentierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer festen physischen Segmentierung des Netzes dieses darüber hinaus auch noch logisch zu segmentieren. Die Möglichkeit hierzu bieten so genannte virtuelle LAN s ( VLAN s). Mit VLAN s können Gruppen im Netz so zusammengefasst werden, als ob sie in dem selben physischen Segment wären. Hierdurch ergibt sich vor allem die Möglichkeit, Gruppen dynamisch und zeitnah neu zu bilden bzw. umzugruppieren, ohne dass hierfür in die physische Vernetzung eingegriffen werden muss.

Es gibt zwei Arten von VLAN s: statische und dynamische VLAN s. Bei statischen VLAN s (auch portbasierte VLAN s genannt) werden einzelne Switch-Ports fest einem VLAN zugeordnet, unabhängig vom angeschlossenen Gerät. Bei dynamischen VLAN s wird die Zugehörigkeit eines VLAN s beispielsweise über die MAC -Adresse oder IP -Adresse des angeschlossenen Geräts gesteuert. Da sich diese Inhalte leicht manipulieren lassen, sollte auch schon bei normalem Schutzbedarf nach Möglichkeit darauf verzichtet werden, dynamische VLAN s zu verwenden. Daher werden diese im Folgenden nicht weiter betrachtet.

Um effektiv ein Netz mit VLAN s zu trennen, kann eine Architektur gewählt werden, die aus vier Zonen besteht:

Auf jeden Fall müssen nachfolgende grundlegende Bedingungen an Teilnetze hinsichtlich des Schutzbedarfs erfüllt sein:

  • Innerhalb eines VLAN s sollten sich nur Fachverfahren / Arbeitsgruppen desselben Schutzbedarfs befinden.
  • Der Schutzbedarf der zu trennenden Teilnetze darf nur entweder "normal" oder "hoch" sein. Bei sehr hohem Schutzbedarf dürfen aus Sicherheitsgründen keine VLAN s eingesetzt werden.
  • Ist der Schutzbedarf der zu trennenden Teilnetze gleich, dann ist der Einsatz von VLAN s grundsätzlich unbedenklich. Eine Ausnahme besteht jedoch für den Fall, dass die Inhaber der VLAN s unterschiedliche Institutionen sind. In diesem Fall sollte die Trennung entweder physisch erfolgen oder es sollte Verschlüsselung eingesetzt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.
  • Ist der Schutzbedarf der zu trennenden Teilnetze unterschiedlich, dann ist der Einsatz von VLAN s abhängig von den Einsatzsszenarien (siehe Einsatzszenarien von VLAN s).

Neben den oben erwähnten grundlegenden Bedingungen hinsichtlich des Schutzbedarfs sind außerdem die folgenden allgemeinen bzw. technischen Anforderungen an die Netzkoppelelemente zu beachten:

  • Auf keinen Fall darf durch ein VLAN eine Verbindung zwischen einer Zone vor einem Application-Level-Gateway (Anbindung an das Internet) und dem dahinter liegenden internen Netz geschaffen werden.
  • VLAN s bieten keinen nennenswerten Schutz vor Abhören an der physischen Übertragungstechnik (Kabel, Stecker, Schnittstellen etc. ). Werden beispielsweise Passwörter im Klartext übertragen, dann können diese abgehört werden. Daher müssen zusätzliche Sicherheitsmaßnahmen, wie zum Beispiel Verschlüsselung umgesetzt werden.
  • Backplane und Uplinkports der eingesetzten aktiven Netzkomponenten müssen über einen ausreichenden Durchsatz verfügen.
  • Die eingesetzten Switches müssen sicher konfiguriert werden (siehe M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches Sichere Netz-Grundkonfiguration von Routern und Switches).

Einsatzszenarien von VLANs

Bei den nachfolgenden Szenarien wird von einer Netzarchitektur ausgegangen, die aus vier Zonen besteht (siehe auch M 2.476 Konzeption für die sichere Internet-Anbindung ).

Szenario 1: Einsatz von VLAN s im internen Netz

Im internen Netz dürfen VLAN s eingesetzt werden, um Teilnetze mit unterschiedlichem Schutzbedarf voneinander zu trennen. Eine Ausnahme besteht jedoch für den folgenden Fall: Die VLAN s an einem Switch haben den selben Schutzbedarf, erfüllen dieselben Aufgaben, aber gehören unterschiedlichen Institutionen an. In diesem Fall sollte die Trennung entweder physisch erfolgen oder es sollte Verschlüsselung eingesetzt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.

Szenario 2: Einsatz von VLAN S in der ALG -Zone

Es wird empfohlen, die ALG -Zone in zwei Subzonen (externe und interne DMZ ) aufzuteilen. In der externen DMZ sollten IT -Systeme platziert werden, die eine öffentliche IP -Adresse haben, damit sie aus dem Internet erreichbar sein können. In der internen DMZ sollten IT -Systeme stehen, die üblicherweise eine private IP -Adresse haben und damit grundsätzlich aus dem Internet nicht direkt erreichbar sind. Innerhalb der jeweiligen DMZ dürfen VLAN s zur Trennung eingesetzt werden. Eine interne DMZ sollte jedoch nicht von einer externen DMZ durch VLAN s getrennt werden.

Szenario 3: Einsatz von VLAN S in der Management-Zone

Physisch getrennte Management-Netze dürfen durch VLAN s separiert werden. Es ist jedoch darauf zu achten, dass der äußere Paketfilter sowie die daran angeschlossenen Geräte in einem eigenen Teilnetz stehen und nicht dadurch, dass VLAN s eingesetzt werden, unter der Umgehung des ALG s eine Verbindung zwischen dem äußerem Paketfilter mit dem internen Netz geschaffen wird.

Prüffragen:

  • Befinden sich innerhalb eines VLANs ausschließlich Fachverfahren bzw. Arbeitsgruppen desselben Schutzbedarfs?

  • Wurden die Zonen untereinander physisch getrennt?

  • Ist sichergestellt, dass bei sehr hohem Schutzbedarf keine VLAN s eingesetzt werden?

  • Ist sichergestellt, dass es keine Verbindungen zwischen einer Zone vor einem Application-Level-Gateway (Anbindung an das Internet) und dahinter liegenden internen Netzen gibt?

  • Werden Daten in VLAN s angemessen vor Abhören geschützt, zum Beispiel durch Verschlüsselung?

  • Internes Netz: Erfolgt bei VLAN s, die unterschiedlichen Institutionen angehören, eine saubere Trennung (physisch oder durch Verschlüsselung)?

Stand: 15. EL Stand 2016