Bundesamt für Sicherheit in der Informationstechnik

Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)

Sollen in einem lokalen Netz (LAN) Web, E-Mail oder andere Internet-Dienste nicht nur intern genutzt werden, so muss dieses lokale Netz an ein nicht vertrauenswürdiges Netz (z. B. Internet) angeschlossen werden. Mit diesem Schritt setzt der Betreiber eines LANs sein bislang geschlossenes Netz jedoch erheblichen zusätzlichen Gefährdungen aus, noch bevor er die erste Anwendung auch nur installiert hätte. Angreifer aus dem Internet können Schwachstellen der grundlegenden Internet-Protokolle, -Dienste und -Komponenten ausnutzen und so Datenverkehr abhören (Sniffing), Systeme mit gefälschten Absenderangaben zu unerwünschtem Verhalten bringen (Spoofing) oder in das interne Netz eindringen (Hacking).

Die Studie ISi-LANA gibt Empfehlungen, wie diesen Gefahren bei normalem Schutzbedarf durch eine robuste Grundarchitektur, eine geeignete Geräteauswahl, sichere Konfigurationseinstellungen und einen kontrollierten Betrieb zu begegnen ist. Es werden zudem Varianten für den hohen Schutzbedarf aufgezeigt. Sie bietet dem Anwender damit Unterstützung in der Konzeptionsphase des in ISi-E vorgeschlagenen Ablaufplans und hilft ihm, den Netzaufbau, die Komponenten-Beschaffung sowie die Realisierung und den Betrieb des Netzes zu konzipieren. Die Studie behandelt vornehmlich die drei unteren Schichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Die spezifischen Aspekte der einzelnen Dienste und Anwendungen werden in anderen Teilen der ISi-Reihe behandelt.

Im Mittelpunkt der Studie steht der Vorschlag einer Grundarchitektur für normalen Schutzbedarf, die sowohl das sichere Nutzen als auch das sichere Anbieten von Diensten im Internet berücksichtigt. Diese Grundarchitektur ist in vier Zonen untergliedert.

  • Die erste Zone umfasst das interne Netz. Sie enthält alle Client-Systeme sowie alle Infrastruktur- und Anwendungs-Server, die für den autonomen, lokalen LAN-Betrieb benötigt werden.
  • In der zweiten Zone befindet sich das dreistufige Sicherheits-Gateway, das aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter besteht. Dieser Aufbau schützt das LAN vor Angriffen aus dem Internet. Des Weiteren sind hier die erforderlichen Server zum Anbieten von Diensten im Internet untergebracht, welche wiederum durch Paketfilter abgesichert werden, sich also in sogenannten demilitarisierten Zonen befinden.
  • Die dritte Zone umfasst die Komponenten zur Internet-Anbindung. Sie enthält im einfachsten Fall einen einzelnen Router, der mit dem Netz eines Internet-Diensteanbieters verbunden ist. Bei höheren Anforderungen an die Verfügbarkeit muss die Anbindung redundant ausgelegt werden.
  • In der Management-Zone werden alle Management-Daten zentral gesammelt und verarbeitet. Hier ist auch der zentrale Zeitserver untergebracht, mit dem sämtliche Systemuhren im Netz synchronisiert werden.

Neben einer sicheren Konzeption ist die Beschaffung und Konfiguration der verwendeten Komponenten von besonderer Wichtigkeit. In der Studie (ISi-S) "Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)" werden dazu umfassende Empfehlungen gegeben. So sollten zum Beispiel alle Komponenten über separate Management-Schnittstellen verfügen oder zumindest über verschlüsselte Protokolle administrierbar sein. Wichtig ist auch, dass die Paketfilter komplexe Regelwerke anwenden können, um den möglichen Datenverkehr bestmöglich einzuschränken, sowie dass das Application-Level Gateway nur Daten passieren lässt, die es auch auf Anwendungsschicht untersuchen kann.

Um den Bedürfnissen möglichst vielfältiger Einsatzszenarien gerecht zu werden, ist das Lösungskonzept flexibel anpassbar an die Größe und Komplexität der LAN-Infrastruktur, an die Anzahl und Art der zu unterstützenden Dienste sowie an den individuellen Schutzbedarf der Daten und Anwendungen in den unterschiedlichen Sicherheitszonen. Dazu enthält ISi-LANA neben der Grundarchitektur für normalen Schutzbedarf verschiedene Architektur- und Konfigurationsvarianten: einerseits Varianten für kleine, unkritische IT-Infrastrukturen, die sich mit reduziertem Aufwand realisieren lassen, und andererseits Varianten, die durch ergänzende Maßnahmen oder modulare Erweiterungen auch hohem Schutzbedarf gerecht werden.

Dokumente der ISi-Reihe zur sicheren Anbindung von lokalen Netzen an das Internet (ISi-LANA)

Das Modul ISi-LANA besteht aus drei Dokumenten: der Leitlinie (ISi-L), in der die wichtigsten Informationen kurz zusammengefasst sind, der Studie (ISi-S), die das Thema ausführlich behandelt, sowie einer Checkliste (ISi-Check). Die Leitlinie ISi-L richtet sich primär an Führungskräfte und IT-Koordinatoren, die Studie ISi-S an alle IT-Fachleute und die Checkliste ISi-Check speziell an die Administratoren, Programmierer und Web-Entwickler sowie an die Revisoren.
Der Leitfaden für eine Sichere IPv6-Netzwerkarchitektur richtet sich wie die Leitlinie ISi-L primär an Führungskräfte und IT-Koordinatoren. Er gibt Hinweise für die Vorgehensweise bei der Einführung des neuen Internetprotokolls IPv6 und zeigt Wege auf, wie die neuen Möglichkeiten von IPv6 sinnvoll genutzt werden können, um die Sicherheit des internen Netzes bei der Einführung von IPv6 durch eine angepasste Architektur zu gewährleisten.

IT-Grundschutz: Gefährdungen und Maßnahmen zu diesem Thema

Mit den IT-Grundschutz-Katalogen stellt das BSI in Form von Bausteinen zu verschiedenen Themen Zusammenstellungen von Gefährdungen und Maßnahmen zur Verfügung. Nachfolgend werden exemplarisch einige dieser Gefährdungen und Maßnahmen herausgegriffen, die einen besonderen Bezug zum betrachteten Thema haben. Eine umfassende Grundsicherung nach IT-Grundschutz eines IT-Verbunds kann jedoch nur erreicht werden, wenn die im BSI-Standard 100-2 beschriebene IT-Grundschutz-Vorgehensweise insgesamt angewendet wird.

Folgende Bausteine der IT-Grundschutz-Kataloge beschäftigen sich mit lokalen IT-Netzen:

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK