M 2.139 Ist-Aufnahme der aktuellen Netzsituation
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für eine gezielte Sicherheitsanalyse des bestehenden Netzes. Sie ist ebenso erforderlich für die Erweiterung eines bestehenden Netzes. Bei der Planung von Netzen sind die im folgenden beschriebenen Punkte bei der Konzeption zu berücksichtigen.
Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die zum Teil aufeinander aufbauen, notwendig:
- Netztopographie,
- Netztopologie,
- verwendete Netzprotokolle,
- Kommunikationsübergänge im LAN und zum WAN sowie
- Netzperformance und Verkehrsfluss.
In den einzelnen Schritten ist im wesentlichen folgendes festzuhalten:
Ist-Aufnahme der Netztopographie
Für die Ist-Aufnahme der Netztopographie ist die physikalische Struktur des Netzes zu erfassen. Dabei ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz aufgebaut wird. Es ist ein Plan zu erstellen bzw. fortzuschreiben, der
- die aktuelle Kabelführung,
- die Standorte aller Netzteilnehmer, insbesondere der verwendeten aktiven Netzkomponenten,
- die verwendeten Kabeltypen sowie
- die festgelegten Anforderungen an den Schutz von Kabeln (M 1.22 Materielle Sicherung von Leitungen und Verteilern )
enthält. Zur Pflege dieses Plans ist es sinnvoll, ein entsprechendes Tool zur Unterstützung einzusetzen (z. B. CAD -Programme, spezielle Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools oder Ähnlichem). Eine konsequente Aktualisierung dieser Pläne bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vergleiche auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung ).
Ist-Aufnahme der Netztopologie
Für die Ist-Aufnahme der Netztopologie ist die logische Struktur des Netzes zu betrachten. Dazu ist es notwendig, die Segmentierung der einzelnen OSI-Schichten und ggf. die VLAN-Struktur zu erfassen.
Anhand der Darstellung der Netztopologie muss feststellbar sein, über welche aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen Endgeräten aufgebaut werden kann. Zusätzlich sind die Konfigurationen der aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente verwendet werden. Dies können bei logischer Segmentierung die Konfigurationsdateien sein, bei physikalischer Segmentierung die konkrete Konfiguration der Netzkomponenten.
Ist-Aufnahme der verwendeten Netzprotokolle
Bezogen auf die gewählte Segmentierung des Netzes, sind die in den einzelnen Segmenten verwendeten Netzprotokolle und die hierfür notwendigen Konfigurationen (z. B. die MAC-Adressen, die IP-Adressen und die Subnetzmasken für das IP-Protokoll) festzustellen und zu dokumentieren. Hier sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B. HTTP, SMTP, Telnet) und welche Dienste nach welchen Kriterien gefiltert werden.
Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN
Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Für jeden Kommunikationsübergang zwischen zwei Netzen ist zu beschreiben,
- welche Übertragungsstrecken (z. B. Funkstrecke für eine LAN/LAN-Kopplung) hierfür eingesetzt werden,
- welche Kommunikationspartner und -dienste in welche Richtung hierüber zugelassen sind, und
- wer für die technische Umsetzung zuständig ist.
Hierzu gehört auch die Dokumentation der verwendeten WAN-Protokolle (z. B. ISDN , X.25). Bei einem Einsatz einer Firewall (siehe Baustein B 3.301 Sicherheitsgateway (Firewall) ) ist zusätzlich deren Konfiguration (z. B. Filterregeln) zu dokumentieren.
Ist-Aufnahme der Netzperformance und des Verkehrsflusses
Es ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen den Segmenten oder Teilnetzen durchzuführen. Für jedes eingesetzte Netzprotokoll müssen die entsprechenden Messungen erfolgen.
Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren, dass sie einerseits vor unbefugtem Zugriff geschützt ist, aber andererseits für das Sicherheitsmanagement oder die Administratoren jederzeit verfügbar ist.
Prüffragen:
- Existiert eine aktuelle Ist-Aufnahme der Netztopographie?
- Ist die Dokumentation zur Netztopographie auch für Dritte verständlich und nachvollziehbar?
- Existiert eine Ist-Aufnahme der Netztopologie auf den Schichten des ISO / OSI Referenzmodells?
- Umfasst die Dokumentation der Netzsegmentierung auch die zugelassenen Dienste und Netzprotokolle?
- Umfasst die Dokumentation der Netzsituation alle Kommunikationsübergänge zwischen den Netzen?
- Sind anhand der Dokumentation der Kommunikationsübergänge die Übertragungsstrecken ersichtlich?
- Ist anhand der Dokumentation der Kommunikationsübergänge der Kommunikationsfluss bzw. Datenfluss zwischen den Kommunikationspartnern ersichtlich?
- Ist die Dokumentation zur Netzsituation vor unbefugtem Zugriff geschützt, für die Zuständigen aber jederzeit verfügbar?