Bundesamt für Sicherheit in der Informationstechnik

M 5.77 Bildung von Teilnetzen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

IT -Systeme in Behörden und Unternehmen sind typischerweise in lokale Netze ( LAN s) integriert, die ihrerseits wieder mit anderen Netzen verbunden sind. Allein aus technischen Gründen ist es bei mittleren und größeren Netzen meist erforderlich, ein LAN in mehrere Teilnetze aufzuteilen.

Die Bildung von Teilnetzen ist jedoch auch aus Gründen der Informationssicherheit empfehlenswert. Einerseits können sensitive Daten auf bestimmte Bereiche innerhalb des LAN s begrenzt werden (Vertraulichkeit), andererseits kann verhindert werden, dass Störungen in oder Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen (Integrität und Verfügbarkeit).

Oft werden in Institutionen in der Regel große, aber einfache Netze aufgebaut, die ohne zusätzliche Sicherheitszonen auskommen. Dabei werden alle IT -Systeme einem einheitlichen Netz zugeordnet, an dessen Schnittstelle zum Internet eine zentrale Sicherheitsgateway-Lösung (siehe B 3.301 Sicherheitsgateway (Firewall) ) zum Schutz des Netzes zuständig ist. Eine solche einfache Sicherheitsarchitektur bietet jedoch gegen Angreifer oder Schadsoftware häufig ein zu geringes Maß an Sicherheit, da das gesamte Netz mit all seinen Komponenten und Daten offen steht, wenn das Sicherheitsgateway überwunden worden ist. Angesichts dieser Gefährdung sollten Institutionen Maßnahmen ergreifen, um ihr Netz und damit die angeschlossenen IT -Systeme wie beispielsweise Server, Arbeitsplatz- PC s, Storage-Systeme etc. abzusichern. Eine mögliche Maßnahmen in diesem Zusammenhang ist es, das Netz in separate Bereiche (sogenannte Zonen) zu untergliedern, die dann voneinander durch eigene Sicherheitsgateways (Application-Level-Gateway oder Paket Filter) getrennt beziehungsweise abgesichert werden. Innerhalb der jeweiligen Zonen können dann Teilnetze gebildet werden. Bewährt hat sich eine Aufteilung in vier Zonen: Internes Netz, Sicherheitsgateway-Zone ( ALG -Zone), Internet-Anbindung und Management-Zone (siehe auch M 2.476 Konzeption für die sichere Internet-Anbindung ).

Internes Netz

Die erste Zone umfasst das interne Netz. Sie enthält alle Client-Systeme sowie alle Infrastruktur- und Anwendungsserver, die für den autonomen, lokalen LAN -Betrieb benötigt werden. Bei der Bildung von Teilnetzen im internen Netz wird empfohlen, zunächst festzulegen, welche IT -Systeme jeweils in einem gemeinsamen Teilnetz betrieben werden sollen. Es wird empfohlen, dabei auf die Ergebnisse der Schutzbedarfsfeststellung zurückzugreifen und wie folgt vorzugehen:

  • Alle IT -Systeme in einem Teilnetz sollten in Bezug auf den Grundwert Vertraulichkeit den selben Schutzbedarf haben. Hierdurch wird erreicht, dass sensitive Daten möglichst auf speziell geschützte Teilnetze begrenzt werden. Entsprechend erforderliche Schutzmaßnahmen können auf diese Teilnetze konzentriert werden.
  • IT -Systeme mit einem hohen Schutzbedarf in Bezug auf Verfügbarkeit oder Integrität sollten möglichst jeweils in einem eigenen Teilnetz betrieben werden. Hierdurch wird erreicht, dass der ordnungsgemäße Betrieb dieser Komponenten bei Störungen in anderen Teilnetzen nicht beeinträchtigt wird. Weiterhin können dadurch Störungen schneller eingegrenzt und behoben werden.

Darüber hinaus sollte darüber nachgedacht werden, Arbeitsplatz- PC s und Server in getrennten Segmenten zu platzieren, um Server vor dem Einfluss fehlkonfigurierter oder potenziell manipulierter Clients zu schützen.

Auch kann eine beliebige Anzahl weiterer Teilnetze ( LAN -Segmente) eingerichtet werden, etwa um Benutzer je nach ihren Rollen in gesonderten Client-Bereichen anzusiedeln oder um IT -Systeme mit besonderen Anforderungen, beispielsweise an die Quality-of-Service (zum Beispiel IP -Telefone), in einem eigenen Teilnetz zu betreiben.

Sicherheitsgateway-Zone ( ALG -Zone)

Die Sicherheitsgateway-Zone besteht, außer bei kleinen oder sehr kleinen Netzen, in der Regel aus einem äußeren Paketfilter, einem Application-Level-Gateway in der Mitte und einem inneren Paketfilter (siehe M 2.73 Auswahl geeigneter Grundstrukturen für Sicherheitsgateways ). Nach Möglichkeit sollte die ALG -Zone in zwei Bereiche (interne und externe DMZ ) unterteilt werden. In der externen DMZ sollten Anwendungen platziert werden, die dafür eingesetzt werden, Dienste im Internet anzubieten. Beispiele hierfür sind der externe Webserver, DNS -Server oder FTP -Server. Externe Zugriffe sollten in der externen DMZ terminiert werden. In der internen DMZ sollten solche Anwendungen betrieben werden, die nachgelagerte Dienste anbieten. Beispiele hierfür sind Anwendungsserver, Datenbankserver oder VPN -Server. Die vorgelagerten Server ( z. B. Webserver) können dann bei Bedarf auf Rechner in nachgelagerten Sicherheitszonen ( z. B. Datenbanken) zurückgreifen, um ihre Dienste bereitzustellen.

Je nach Einsatzzweck des LAN s können auch weitere Dienste in der externen DMZ platziert werden. Abhängig vom Schutzbedarf ist es auch möglich, weitere DMZ s in der externen DMZ -Zone zu bilden, um unterschiedliche Internet-Dienste in getrennten Sicherheitszonen zu betreiben.

Internet-Anbindung

Die dritte Zone umfasst die Komponenten zur Internet-Anbindung. Sie enthält im einfachsten Fall einen einzelnen Router, der mit dem Netz eines Internet-Diensteanbieters verbunden ist. Bei höheren Anforderungen an die Verfügbarkeit muss die Anbindung redundant ausgelegt werden.

Management-Zone

In der Management-Zone könnten alle Management-Daten zentral gesammelt und verarbeitet werden. Hier könnte auch ein Zeitserver untergebracht werden, mit dem sämtliche Systemuhren im Netz synchronisiert werden.

Auswahl geeigneter Komponenten

Nachdem Teilnetze gebildet worden sind, besteht der zweite Schritt in der Auswahl geeigneter Komponenten für die Kopplung der gebildeten Teilnetze. Empfehlungen hierzu finden sich in der Maßnahme M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung .

Empfehlungen für die technische Realisierung der Segmentierung im LAN sind in M 5.61 Geeignete physische Segmentierung und M 5.62 Geeignete logische Segmentierung enthalten.

Prüffragen:

  • Ist das lokale Netz gemäß den Ergebnissen der Schutzbedarfsfeststellung sinnvoll in Zonen und Teilnetze aufgeteilt worden?

  • Ist festgelegt worden, welche Netzkoppelelemente für die Aufteilung in Teilnetze zu verwenden sind?

Stand: 15. EL Stand 2016