Netztrennung und Network Access Control

Die Netztrennung ist oftmals ein unterschätztes Instrument in der IT-Sicherheit – kann aber bei guter und konsequenter Umsetzung das Sicherheitsniveau deutlich steigern.

Netzwerke sind die Grundvoraussetzung, um verschiedene Teilnehmer miteinander zu verbinden.
Diese Infrastrukturen sind nicht selten über einen langen Zeitraum gewachsen. Schutzmaßnahmen wie Firewall, Antivirus oder regelmäßige Updates sind oftmals implementiert, werden aber heutigen Sicherheitsanforderungen nicht mehr gerecht.

Was ist das Ziel einer Netztrennung?

Durch eine granulare Segmentierung des Netzwerkes und Abschottung der Segmente durch eine Firewall, soll das Sicherheitslevel angehoben werden und die Angriffsfläche verringert werden. Die Ausbreitung von schadhaften Vorgängen soll verhindert oder deutlich verlangsamt werden (vgl. im Risikomanagment: „Risikoreduktion“). Eine Erkennung von Angriffen soll durch eine Zonierung ermöglicht werden. Zugriffe sollen über Firewall-Systeme auf das notwendige beschränkt werden.

Vorraussetzungen für das Umsetzen und Einführen

einer Netztrennung in neue und bestehende Netzwerkarchitekturen

Wichtig ist zuerst eine Bestandsaufnahmen aller betroffenen Standorten, Bereichen und Geschäftsprozess in Form einer Dokumentationen zu machen. Die gesamte Netzwerkinfrastruktur mit alle Netzteilnehmer werden so sauber erfasst. 

Abgrenzung / Out-of-Scope

Das Konzept beschreibt einen möglichen technischen Ansatz, um das Netzwerk in verschiedene Segmente zu unterteilen. Tiefgreifende Konfigurationen werden nicht beschrieben. Des Weiteren muss ein Berechtigungskonzept (Aufbauorganisatorischer Art des Unternehmens) vorliegen, anhand dessen Sicherheitszonen abgeleitet werden können.

Besondere Randbedingungen und Restriktionen

Durch die Kombination von verschiedenen Technologien ist die Komplexität hoch.

Die verwendete Hard- und Software ist aufeinander abzustimmen.

Umsetzungsrisiken

Bei nicht vorliegenden Abhängigkeiten oder fehlerhafter Dokumentation, auf dessen Basis beispielsweise Firewallregeln erstellt werden, kann es zur nicht Verfügbarkeit von Diensten für Benutzer kommen. Es besteht die Gefahr sich im Micro-Management zu verlieren.

Bei allen verwendeten System mit zentraler Bedeutung ist zu vermeiden, dass ein SPOF (Single Point of Failure) entsteht. Es wird empfohlen, die Verfügbarkeit dieser Systeme zusätzlich durch einen Servicevertrag mit dem Hersteller oder Dienstleister sicherzustellen.

Du willst Dir die Folgen eines erfolgreichen Angriffs auf Dein IT-System ersparen?
Teste jetzt deine IT durch einen professionellen Penetrationstest!
Zum Penetrationstest

Konzept - Voraussetzungen

Netztrennung auf Layer 1 bis 7

Die Umsetzung einer Netztrennung findet auf allen Netzwerk-Layern statt. Daher ist es notwendig die jeweiligen Schichten der Netzwerkinfrastruktur zu betrachten.

 

#ISO/OSITCP/IPProtokollSystem
7AnwendungenAnwendungSNMP, SMTP, http, DNS, DHCP, LDAP,Firewall, NAC
6Darstellung
5Sitzung
4TransportTransportTCP, UDP
3Vermittlung-/PaketInternetIP, ICMPRouter, L3-Switch, Firewall
2SicherungNetzzugriffARPSwitch, NAC
1Bitübertragung Netzwerkkabel, Patchfeld

Die Netzwerksegmentierung ist auf den “Nord-Süd-Datenverkehr” ausgerichtet – also den eingehenden und ausgehenden Datenverkehr für das Netzwerk.

Die Mikrosegmentierung führt eine weitere Schutzschicht für den „Ost-West- Datenverkehr“ ein – also den internen Datenverkehr wie Client zu Server, Server zu Server oder Anwendung zu Server. Hier werden die Segmente verkleinert – ein größeres Netzwerk wird in kleinere Netzsegmente unterteilt.

Bei einem bildlichen Vergleich mit einer Burg ist die Netzwerksegmentierung der Verbund aus Mauern, Türmen und tiefen Wassergräben. Die Mikrosegmentierung stellt die Bogenschützen auf den Zinnen oder die Wachposten an den Türen und Toren zu wichtigen Bereichen dar, welche die Losung abverlangen und ein ungewolltes Eindringen verhindern.

Netztrennung auf Layer 1 bis 7

Die Umsetzung einer Netztrennung findet auf allen Netzwerk-Layern statt. Daher ist es notwendig die jeweiligen Schichten der Netzwerkinfrastruktur zu betrachten.

Netztrennung_table1

Die Netzwerksegmentierung ist auf den “Nord-Süd-Datenverkehr” ausgerichtet – also den eingehenden und ausgehenden Datenverkehr für das Netzwerk.

Die Mikrosegmentierung führt eine weitere Schutzschicht für den „Ost-West- Datenverkehr“ ein – also den internen Datenverkehr wie Client zu Server, Server zu Server oder Anwendung zu Server. Hier werden die Segmente verkleinert – ein größeres Netzwerk wird in kleinere Netzsegmente unterteilt.

Bei einem bildlichen Vergleich mit einer Burg ist die Netzwerksegmentierung der Verbund aus Mauern, Türmen und tiefen Wassergräben. Die Mikrosegmentierung stellt die Bogenschützen auf den Zinnen oder die Wachposten an den Türen und Toren zu wichtigen Bereichen dar, welche die Losung abverlangen und ein ungewolltes Eindringen verhindern.

Berechtigungskonzept

Ein Berechtigungskonzept ist nicht zwingend erforderlich, jedoch kann hierüber festgestellt werden, welche Zugriffe benötigt werden, um daraus Sicherheitszonen für die Netztrennung ableiten zu können. Für die Erstellung eines Berechtigungskonzepts kann das Firmenorganigramm als Grundlage dienen.

Berechtigung und Rolle in einer Netwerktrennung

Sicherheitszonen

Eine Sicherheitszone ist ein Netzbereich, der von anderen Netzbereichen getrennt ist. Der Traffic in eine Zone hinein sowie aus einer Zone hinaus wird durch Sicherheitsmechanismen kontrolliert. Hierfür werden Firewalls auch in Kombination mit IPS/IDS Systemen eingesetzt. In Abhängigkeit des Schutzbedarfs, kann die Kommunikation innerhalb einer Zone eingeschränkt werden. Dies kann durch Privat-VLANs umgesetzt werden. Zonen können neben dem Berechtigungskonzept auch aus einem IP/VLAN-Konzept abgeleitet werden.

Beispiele für Zonen

Trusted-Zonen:

In Trusted Zonen werden ausschließlich bekannte Systeme mit einer bestimmten Konfiguration und einem bestimmten Zustand verwaltet. Durch Eigenschaften wie die Version der Betriebssystems, dem Patchlevel oder ob eine aktuelle End-Point-Protection vorhanden ist werden diese Systeme als vertrauenswürdig eingestuft.

DMZ-Zonen:

Über eine DMZ-Zone wird der Datenaustausch mit dem Internet geregelt. Die DMZ-Zone hat weder eine direkte Verbindung in das Internet noch in das Campusnetz. E-Mail-Gateway, Reverse-Proxy, WAF oder andere Sicherheitsgateways werden typischerweise in einer DMZ untergebracht.

Management-Zonen:

Management-Zonen beinhalten ausschließlich Systeme oder Dienste, die zur Bereitstellung und Verwaltung von IT-Infrastruktur verwendet werden. Da diese System i.d.R. als hoch sensitiv eingestuft sind, ist der Zugriff in diese Zone äußerst streng zu limitieren. Ein Zugriff aus dem Access-Bereich ist zu vermeiden.

Zonenmatrix

Netztrennung_table2
 Ziel
WANDMZClientServerMGMT
QuelleWAN X   
DMZXX X 
Client   X 
Server  XX 
MGMT    X

Verkabelung: Layer 1

Die Grundlage für den Betrieb von leistungsfähigen Netzwerken zur Übertragung von Daten und Sprache, ist die strukturierte Verkabelung. Hier sind die Anforderungen für mehrerer Jahrzehnte ebenso zu berücksichtigen wie Reserven und flexible Erweiterbarkeit, unabhängig von der genutzten Anwendung.

Strukturierte Gebäudeverkabelung

  • standardisierte Komponenten
  • hierarchische Netzwerk-Topologie (Stern, Baum, …)
  • Empfehlungen für Verlegung und Installation einhalten
  • standardisierte Mess-, Prüf- und Dokumentationsverfahren
  • Unterstützung aller aktuellen und zukünftigen Kommunikationssysteme
  • Kapazitätsreserve
  • flexible Erweiterbarkeit
  • Ausfallsicherheit durch redundante Verkabelung mit unterschiedlicher Wegeführung
  • Einhaltung existierender Standards
  • ausreichend bis zum Endpunkt dimensioniert

Bereits bei der Verkabelung können Netzbereiche, die nicht miteinander verbunden sein sollen, voneinander getrennt werden. Beispiel für Netzbereiche mit physikalischer Trennung:

  • DMZ
  • Netz für Storage-Systeme
  • separates Netz für Vorstand, BR
  • Hochsicherheitsbereiche bei KRITIS (z.B. Produktionsnetze oder ähnliches)

 

Hinweis: Auch bei der Auswahl der GBIC-Module (Gigabit Interface Converter) für die Anbindung der Switche und Firewalls untereinander, sind die Kabel-Typen und Längen zu berücksichtigen.

Lichtwellenleiter
https://de.wikipedia.org/wiki/Lichtwellenleiter 

Hierarchische Switch-Infrastrukturen (Layer 1 & 2)

Die Switche sind in unterschiedliche Klassen unterteilt und müssen für Ihre jeweilige Funktion ausgelegt sein. Für das Management der Switche ist ein separater IP-Adressbereich und ein eigenes VLAN auszuwählen. Es gibt unterschiedliche Architekturmodelle – abhängig von der Größe des Netzwerkes:

Dreistufige Architektur

Dreistufige Architektur - Hierarchische Switch-Infrastrukturen

Zweistufige Architektur

Zweistufige Architektur - Hierarchische Switch-Infrastrukturen

Beispiel für ein zweistufiges Modell

Switche, die Aufgrund ihrer Funktion nicht direkt angebunden sind, müssen über einen dedizierten Management Port verbunden werden. Das Management-Interface hat in diesem Fall eine andere IP-Adresse als der Switch intern. Der Switch kann über das Management-Interface nur administriert werden.

Core-Switche
  • mehrfach redundante Anbindung untereinander
  • Anbindung der Core-Firewall
  • im Idealfall getrennte Wegstrecke der (Gebäude-)verkabelung
  • redundante Netzteile
Core-Switche mehrfach Redundante Anbindung untereinander
Workgroup-Switche
  • Bereitstellung des Campus-Netzes für Netzteilnehmer
  • redundante Anbindung an die Core-Switches
  • ausreichende Anzahl an Access-Ports
  • mittelfristige Erweiterungsmöglichkeiten berücksichtigen
  • jeden Teilnehmer über einen eigenen Port anbinden
  • PoE für Telefonie oder Kameras berücksichtigen
  • ausreichend Ersatzgeräte bevorraten
Workgroup-Switche Bereitstellung des Campus-Netzes für Netzteilnehmer, Netztrennung
Server-Switche
  • werden über den Core-Switch angebunden
  • Breitstellung des Netzwerkes für die Serverinfrastruktur
  • mehrfach redundante Anbindung an die Core-Switche
  • redundante Netzteile
Server-Switche - werden über den Core-Switch angebunden, Netztrennung
Data-Switche / SAN
  • über MGMT-Port an Serverswitche angebunden
  • keine direkte Verbindung ins Campus-Netz
  • mehrfach redundante Anbindung
  • redundante Netzteile
Data-Switche über MGMT-Port an Serverswitche angebunden, Netztrennung
Virtueller Switch
Virtuelle Switche verbinden die virtuellen Netzwerkkarten von virtuellen Maschinen mit den physischen Netzwerkkarten der Hosts. Der Host kann mit einem dedizierten Speichernetz und über andere Ports mit einem Serverswitch aus dem Campusnetz verbunden sein.
DMZ
  • über MGMT-Port an Serverswitche angebunden
  • keine direkte Verbindung ins Campus-Netz
  • redundante Anbindung
  • redundante Netzteile
DMZ über MGMT-Port an Serverswitche angebunden, Netztrennung

Logische Segmente (Layer 2 & 3)

VLAN (Layer 2)

Über VLANs wird das Netzwerk logisch auf Layer 2 getrennt. Ein Switch wird mit VLANs in mehrere virtuelle Switche aufgeteilt – auch Switch übergreifend. Dabei wird ein 32-Bit Header vorangestellt, der auch die VLAN-ID (12 Bit) transportiert. Nur an Teilnehmer, eines bestimmten VLANs werden Pakete auf den Switchports übertragen. Technisch gesehen bilden VLANs separate Broadcast-Domains.

Es gibt verschiedenen Arten von VLANs:

Portbasierte VLANs (untagged)

Mit portbasierten VLANs werden physische Switche in mehrere logische Switche unterteilt. Alle Switch-Ports die einem VLAN zugeordnet sind, können untereinander kommunizieren.

Netztrennung_table3

 

 VLAN1VLAN 2VLAN 3
VLAN 1O
VLAN 2O
VLAN 3O

 

Tagged VLANs

Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist zu dessen VLAN das Frame gehört.

Privat-VLANs

Private-VLANs beschränken die Kommunikation innerhalb eines VLANs. Ein PVLAN enthält Switch-Ports, die so eingeschränkt sind, dass sie nur mit einem bestimmten Uplink-Port oder einer Link Aggregation Group (LAG) kommunizieren können. Der Uplink-Port oder die LAG ist in der Regel mit einem Switch, einem Router oder einer Firewall verbunden.

Im Gegensatz zu einer Trennung durch VLANs wird die Kommunikation in einem PVLAN zwischen bestimmten Ports im gleichen VLAN verhindert.

Porttypen von PVLAN:

  • Isolated Ports
  • Promiscuous Ports
  • Community Ports (mit Community n)

Isolated Ports können nur mit dem Promiscuous Port kommunizieren. Promiscuous Ports können zu allen Ports kommunizieren. Community Ports (n) können zum Promiscuous und den eigenen Community Ports kommunizieren.

Netztrennung_table4
 IsolatedPromiscuousCommunity (1)Community (2)
IsolatedO
PromiscuousOOOO
Community (1)OO
Community (2)OO

 

IP-Konzept (Layer 3)

Über das IP-Protokoll wird das Netzwerk auf Layer-3 in Segmente aufgeteilt. Hier werden Systeme nach Funktion, Standort oder anderen Kriterien zusammengefasst oder aufgeteilt. Beispielsweise kann im zweiten Oktett nach Standort und im dritte Oktett nach Funktion unterschieden werden: 172.Standort. Funktion.x.

Es ist darauf zu achten, dass die Host-Range ausreichend bemessen wird, um auch ein mittelfristiges Wachstum zu ermöglichen. Auch eine sinnvolle Ergänzung um zusätzliche Segmente muss berücksichtigt werden. Die IP-Adressvergabe kann statisch, dynamisch oder dynamisch mit Reservierung erfolgen. Bei der Reservierung erhält ein Netzteilnehmer immer dieselbe IP-Adresse.

Beispiel für ein IP und VLAN Konzept

Für unterschiedliche Anwendungsfälle sind IP-Bereiche definiert. Pro Anwendungsfall ist ein VLAN definiert. Netze, die ein hohes Schadenspotential bieten, werden durch PVLANs zusätzlich gesichert, indem die Teilnehmer untereinander insoliert werden.

Netztrennung_table5
Netztrennung_table6
Netztrennung_table7

 

NameHost-RangeMaskGateway

Dynamisch

/ statisch

VLAN-ID
 172.16.x.x   Default (1)
 172.16.0.1 – 172.16.3.254    
Server (AD)172.16.4.1 – 172.16.4.254255.255.255.0 /24172.16.4.1statisch1004
Server (Mail)172.16.5.1 – 172.16.5.254255.255.255.0 /24172.16.5.1statisch105
Server (DB)172.16.6.1 – 172.16.6.254255.255.255.0 /24172.16.6.1statisch106
 172.16.7.1 – 172.16.7.254    
Data172.16.8.1 – 172.16.8.254255.255.255.0 /24172.16.8.1statisch108
 172.16.9.1 – 172.16.9.254    
 172.16.10.1 – 172.16.10.254    
 172.16.11.1 – 172.16.11.254    
Client172.16.12.1 – 172.16.14.254255.255.252.0 /22172.16.12.1dynamisch1012 + 2012* (PVLAN)
Client172.16.15.1 – 172.16.15.254255.255.252.0 /22172.16.12.1statisch1012 + 2012* (mit PVLAN)
 172.16.16.1 – 172.16.19.254    
Drucker Laser172.16.20.1 – 172.16.20.254255.255.255.0 /24172.16.20.1statisch1020
Drucker Label172.16.21.1 – 172.16.21.254255.255.255.0 /24172.16.21.1statisch1021
 172.16.22.1 – 172.16.22.254    
 172.16.23.1 – 172.16.23.254    
Peripherie172.16.24.1 – 172.16.27.254255.255.252.0 /22172.16.24.1statisch1024
 172.16.28.1 – 172.16.31.254    
Telefonie172.16.32.1 – 172.16.35.254255.255.252.0 /22172.16.32.1dynamisch1032
 172.16.32.1 – 172.16.35.254    
 172.16.36.1 – 172.16.39.254    
Prod.Systeme 1172.16.40.1 – 172.16.43.254255.255.252.0 /22172.16.40.1statisch1040
Prod.Systeme 2172.16.44.1 – 172.16.47.254255.255.252.0 /22172.16.44.1statisch1044
Prod.Systeme 3172.16.48.1 – 172.16.51.254255.255.252.0 /22172.16.48.1statisch1048
Prod.Systeme 4172.16.52.1 – 172.16.55.254255.255.252.0 /22172.16.52.1statisch1052
IoT172.16.56.1 – 172.16.59.254255.255.252.0 /22172.16.56.1statisch1059
 172.16.60.1 – 172.16.63.254    
Fremdsysteme172.16.64.1 – 172.16.64.254255.255.255.0 /24172.16.64.1statisch1064 + 2064* (mit PVLAN)
EOL-Systeme172.16.65.1 – 172.16.65.254255.255.255.0 /24 statisch

1065 + 2064*

(mit PVLN)

Transition172.16.68.1 – 172.16.68.254255.255.255.0 /24172.16.68.1dynamisch1068
      
 192.168.x.x    
DMZ192.168.200.1 – 192.168.200.254255.255.255.0 /24192.68.200.1statisch200
Transfernetz 1192.168.220.1 – 192.168.220.2255.255.255.252 /30statisch220
Transfernetz 2192.168.221.1 – 192.168.221.6255.255.255.248 /29statisch221
MGMT192.168.230.1 – 192.168.230.254255.255.255.0 /24192.68.230.1statisch230

*Privat-VLAN

Besondere Netze:

Transfer-Netz

Ein Transfernetz verbindet i.d.R. zwei, in manchen Fällen auch mehrere Netzteilnehmer miteinander – z.B. ISP-Router und Perimeter-Firewall. Der Datenverkehr ist in einem Transfernetz so gesehen nur auf der Durchreise und wird nicht weiter behandelt.

Ein Transfernetz ist üblicherweise ein /30-Netz. In ein /30-Netz passen genau die beiden Hosts, die miteinander verbunden werden sollen.

Transition-Netz

Im Transition-Netz werden Netzteilnehmer untergebracht, die legitimiert sind, jedoch bestimmte Voraussetzungen nicht oder nicht mehr erfüllen. Diese Teilnehmer werden vom Regelbetrieb ganz oder teilweise, temporär oder dauerhaft ausgeschlossen.

Beispiel:

EPP-Version ist zu alt > Transition-Netz

EPP-Version wurde aktualisiert > Client-Netz

VRF - Virtual Routing and Forwarding

Über virtuelle Router kann eine zusätzliche Trennung auf Layer 3 eingerichtet werden. Hier werden auf einem physischen Routing-Device mehrere virtuelle Router betrieben. Auf einem Gerät werden voneinander getrennte Routinginstanzen betrieben. Eine Kommunikation zwischen den einzelnen Instanzen ist ohne explizites Routing nicht möglich.

Einfache Darstellung einer Netztrennung

Einfache Darstellung einer Netztrennung​

Firewall (Layer 3 bis 7)

Über Firewalls wird eine Netzwerkzone vor einer anderen geschützt. Dabei wird nur benötigter und geprüfter Traffic über ein Regelwerk zugelassen. Durch UTM-Profile (Unified Threat Management) für Application-Control, IPS oder andere Mechanismen kann im Regelwerk die Sicherheit zusätzlich erhöht werden.

Empfehlung: 2-stufiges Firewall-Konzept

Bei einem 2-stufigen Firewall-Konzept trennt die Perimeter-Firewall das öffentliche vom internen Netz. Die Core-Firewall trennt die internen Netze voneinander und stellt die Verbindung zur Perimeter-Firewall her.

Im Idealfall sind beide Firewalls von verschiedenen Herstellern. Hierdurch wird vermieden, dass eine bekannte Schwachstelle ausreicht, um beide Firewalls zu überwinden. Zudem hat eine Denial of Service Attacke aus dem öffentlichen Netz keine direkte Auswirkung auf die internen Systeme.

Verschiedene Hersteller setzen auf eine ASIC-basierte Architektur, die den Inhalt von Datenpaketen in Echtzeit analysiert und somit den Durchsatz beschleunigt.

Perimeter-Firewall

  • High availability
  • Anbindung ans WAN (ISP-Router)
  • ausreichend Durchsatz bei IPsec-VPN
  • Side-2-Side VPN
  • Client-VPN: IP-Sec
  • Unified Threat Management (AV, IPS, DLP, WEB-Filter, Mail, APP, DNS)
  • Gateway und Router für alle externen Netze & DMZ

Core-Firewall

  • High availability
  • hoher Durchsatz auch bei Paket Inspektion
  • Unified Threat Management (AV, IPS, DLP, WEB-Filter, Mail, APP, DNS)
  • Proxy:
    • Transparent
    • Explicit
    • TLS- Inspection
  • Anbindung per LWL und Kupfer
  • Gateway und Router für alle internen Netze

Regelwerk

Im Regelwerk wird genau definiert welcher Absender zu welcher Zieladresse mit welchem Protokoll ein Verbindungen aufbauen und Daten übertragen darf. Nicht erlaubter Traffic wird geblockt. Wünschenswert ist es, jegliche Kommunikation zu protokollieren, um die Nachvollziehbarkeit sicherzustellen.

Regelwerk Absender Zieladresse Protokoll

Beispiel 2-stufiges Firewall-Konzept

Beispiel 2-stufiges Firewall-Konzept als Netztrennung

IPS/IDS

Über Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) kann die Sicherheit zusätzlich erhöht werden. Über solche System wird das Netzwerk kontinuierlich überwacht, Sicherheitsvorfälle werden erkannt oder verhindert. Die dazugehörigen Informationen werden protokolliert.

IPS (Intrusion Detection System) und IDS (Intrusion Prevention Systemen) sind häufig in UTM-Firewalls bereits integriert. Die Leistungsfähigkeit variiert je nach Hersteller und Firewall-Modell. In Abhängigkeit vom Datendurchsatz, der Architektur und vor allem des Schutzbedarfs, ist eine dedizierte Lösung zu empfehlen.

Application Layer Gateway Architecture (Layer 5-7)

Reverse Proxy

Ein Reverse Proxy leitet Anfragen aus dem Internet an einen internen Webserver weiter. Hierdurch wird der Webserver nur über eine definierte Zwischenstufe angesprochen. Eine direkte Kommunikation aus dem Internet Richtung Webserver ist so nicht möglich. Damit steigert der Reverse Proxy die Sicherheit von Webservern.

Über einen eigenen Cache kann der Reverse Proxy den Webserver entlasten. Auch können Zugriffe auch mehrere Webserver verteilt werden – Load Balancing.

Web Application Firewalls (WAF)

Ein weiterer Schutzmechanismus auf Anwendungsebene ist eine WAF. Ein- und ausgehender Traffic wird, überwacht, analysiert, gefiltert oder blockiert. So werden Anwendungen beispielsweise vor Angriffen wie SQL Injection, Cross-Site Scripting (XSS) oder Cookie Poisoning geschützt.

WAF-Funktionalitäten sind häufig in UTM-Firewalls bereits integriert. In Abhängigkeit vom Datendurchsatz, der Architektur und vor allem des Schutzbedarfs, ist eine dedizierte Lösung zu empfehlen.

Network Access Control (NAC) (Layer 2 bis 7)

Ein NAC realisiert eine port-basierte Zugriffskontrolle im LAN und setzt über ein Regelwerk individuelle Sicherheitspolicies im gesamten Netzwerk durch. Als Ergänzung zu den gängigen Sicherheitssystemen wie Firewalls, Virenschutz oder Intrusion Detection Systeme ist das eine NAC ein wichtiger Baustein bei der Segmentierung von Netzwerken. Eine Voraussetzung für die Einführung eines NAC-Systems sind managed Switches.
Durch den Einsatz einer NAC können VLANs nicht nur statisch, sondern auch dynamisch eingesetzt werden und die Flexibilität wird deutlich erhöht. Der Konfigurationsaufwand wird verringert.

Aufgabe:

  • Netzwerkzugangskontrolle
  • dynamisches VLAN-Management
  • Schutz vor unautorisierten Zugriffen
  • Lokalisierung und Identifizierung aller Geräte im Netzwerk
  • Aussperrung oder Isolierung von Fremdgeräten
  • Angriffe auf Layer 2 (ARP-Poisoning, MAC-Flooding, IP-Spoofing etc.) erkennen, lokalisieren und abwehren
  • Regelwerk

Bei der Planung ist zu definieren, welche Ports vom NAC aktiv gemanaged werden sollen. Ports von Core-, Data-, Server- oder DMZ-Switchen werden bevorzugt statisch konfiguriert, ebenso Uplink-Ports oder LAGs (Link Aggregation)

Im NAC-System werden Gruppen definiert – z.B. analog des IP-&VLAN-Konzepts. Anhand der Zugehörigkeit zu einer bestimmten Gruppe wird über ein Regelwerk bei einem definierten Ereignis (z.B: link up) der entsprechende Port auf dem Switch in das gewünschte VLAN verschoben. Bei link down kann ebenfalls eine Aktion ausgelöst werden.

Unbekannte Teilnehmer können abgelehnt werden. Als Aktion kann hier der Port für einen bestimmten Zeitraum deaktiviert werden. Alternativ können unbekannte Teilnehmer auch einem isolierten Netzbereich mit einem Privat-VLAN zugewiesen werden.

Verschiedene NAC-Systeme sind in der Lage, während der Authentifizierung zu prüfen, ob Endgeräte einen bestimmten Sicherheitsstandard erfüllen. Kriterien können beispielsweise der Patch-Level des OS oder die Aktualität der EPP sein.

Geräte, die diese Anforderungen nicht erfüllen, können so lange isoliert werden, bis alle erforderlichen Voraussetzungen geschaffen sind. Erst dann erfolgt der Zugang zum regulären Netzbereich.

Network Access Control sollte nach Möglichkeit auch auf vSwitches realisiert werden.

Netzteilnehmer

MAC-Adressen Authentifizierung

Die Netzteilnehmer werden eindeutig über die MAC-Adresse identifiziert. Idealerweise sind die MAC-Adressen bei neuen Netzteilnehmern vorab bekannt und werden im NAC-System eingepflegt und zugeordnet. Anhand der MAC-Adresse wird das entsprechende VLAN auf dem Access-Port geschaltet. Da MAC-Adressen manipuliert werden können, bietet dieser Ansatz nur einen einfachen Schutz.

IEEE 802.1X

Um das Sicherheitslevel weiter anzuheben kann die zertifikatsbasierte Netzwerkzugangskontrolle IEEE 802.1x angewendet werden. Hier wird auf dem dem Client ein Zertifikat hinterlegt, welches er zu Anmeldung verwendet.

Der Aufwand für eine erfolgreiche IEEE 802.1X Implementierung ist nicht zu unterschätzen. Auch ist zu berücksichtigen, dass die Zertifikate vor dem Ablaufdatum zu ersetzen sind.

Fingerprint

Beim Fingerprint werden verschiedene Eigenschaften von einen Endgerät erfasst. Der so generierte Fingerprint wird zur eindeutigen Identifizierung (auch in Kombination mit der MAC-Adresse) des Endgerätes herangezogen.

Selbst für Endgeräte, die keine IEEE-802.1x-Unterstützung mitbringen, wie zum Beispiel Drucker, Webcams oder VoIP-Telefone, kann so eine sichere Identifizierung bewerkstelligt werden.

Interne Netzteilnehmer

Jeder interne Netzteilnehmer wird über einen eigenen Switchport in das Netzwerk eingebunden.

Externe Netzteilnehmer

Externe Netzteilnehmer sind über eine sichere Methode anzubinden. Die gebräuchlichste VPN-Technologien hierfür ist IPSec (Internet Protocol Security).

Eine gute Alternative zu IPSec ist die freie Software WireGuard. Die erste Version von WireGuard wurde unter Linux veröffentlicht. Mittlerweile ist WireGuard für verschiedene Betriebssysteme sowie als App für Android und iOS verfügbar.

Voraussetzungen:

  • kein Split-Tunnel
  • nur gemanagte Endgeräte zulassen
  • Authentifizierung, z.B. gegen AD
Steigere jetzt die Sicherheit Deines IT-Systems!
Von uns erhältst Du eine ausführliche Beratung!
Jetzt kontaktieren
ANDERE BEITRÄGE
Subnetzmasken und Subnetting abstrakt Dargestellt
Subnetting

Was ist Subnetting? Als Subnetting bezeichnet man die Aufteilung eines Netzes in mehrere kleinere Netzwerke.Das Gegenteil hiervon ist das sogenannte

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.