M 5.62 Geeignete logische Segmentierung
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT
Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer festen physischen Segmentierung des Netzes dieses darüber hinaus auch noch logisch zu segmentieren. Die Möglichkeit hierzu bieten so genannte virtuelle LANs (VLANs). Mit VLANs können Gruppen im Netz so zusammengefasst werden, als ob sie in dem selben physischen Segment wären. Hierdurch ergibt sich vor allem die Möglichkeit, Gruppen dynamisch und zeitnah neu zu bilden bzw. umzugruppieren, ohne dass hierfür in die physische Vernetzung eingegriffen werden muss.
Es gibt zwei Arten von VLANs: statische und dynamische VLANs. Bei statischen VLANs (auch portbasierte VLANs genannt) werden einzelne Switch-Ports fest einem VLAN zugeordnet, unabhängig vom angeschlossenen Gerät. Bei dynamischen VLANs wird die Zugehörigkeit eines VLANs beispielsweise über die MAC-Adresse oder IP-Adresse des angeschlossenen Geräts gesteuert. Da sich diese Inhalte leicht manipulieren lassen, sollte auch schon bei normalem Schutzbedarf nach Möglichkeit darauf verzichtet werden, dynamische VLANs zu verwenden. Daher werden diese im Folgenden nicht weiter betrachtet.
Um effektiv ein Netz mit VLANs zu trennen, kann eine Architektur gewählt werden, die aus vier Zonen besteht:
- Internes Netz,
- Sicherheitsgateway-Zone (ALG-Zone),
- Internet-Anbindung und
- Management-Zone) besteht (siehe M 2.476 Konzeption für die sichere Internet-Anbindung). Die Zonen müssen physisch getrennt werden. Darauf basierend können dann entsprechende Teilnetze gebildet werden (siehe auch M 5.77 Bildung von Teilnetzen).
Auf jeden Fall müssen nachfolgende grundlegende Bedingungen an Teilnetze hinsichtlich des Schutzbedarfs erfüllt sein:
- Innerhalb eines VLANs sollten sich nur Fachverfahren / Arbeitsgruppen desselben Schutzbedarfs befinden.
- Der Schutzbedarf der zu trennenden Teilnetze darf nur entweder "normal" oder "hoch" sein. Bei sehr hohem Schutzbedarf dürfen aus Sicherheitsgründen keine VLANs eingesetzt werden.
- Ist der Schutzbedarf der zu trennenden Teilnetze gleich, dann ist der Einsatz von VLANs grundsätzlich unbedenklich. Eine Ausnahme besteht jedoch für den Fall, dass die Inhaber der VLANs unterschiedliche Institutionen sind. In diesem Fall sollte die Trennung entweder physisch erfolgen oder es sollte Verschlüsselung eingesetzt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.
- Ist der Schutzbedarf der zu trennenden Teilnetze unterschiedlich, dann ist der Einsatz von VLANs abhängig von den Einsatzsszenarien (siehe Einsatzszenarien von VLANs).
Neben den oben erwähnten grundlegenden Bedingungen hinsichtlich des Schutzbedarfs sind außerdem die folgenden allgemeinen bzw. technischen Anforderungen an die Netzkoppelelemente zu beachten:
- Auf keinen Fall darf durch ein VLAN eine Verbindung zwischen einer Zone vor einem Application-Level-Gateway (Anbindung an das Internet) und dem dahinter liegenden internen Netz geschaffen werden.
- VLANs bieten keinen nennenswerten Schutz vor Abhören an der physischen Übertragungstechnik (Kabel, Stecker, Schnittstellen etc.). Werden beispielsweise Passwörter im Klartext übertragen, dann können diese abgehört werden. Daher müssen zusätzliche Sicherheitsmaßnahmen, wie zum Beispiel Verschlüsselung umgesetzt werden.
- Backplane und Uplinkports der eingesetzten aktiven Netzkomponenten müssen über einen ausreichenden Durchsatz verfügen.
- Die eingesetzten Switches müssen sicher konfiguriert werden (siehe M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches Sichere Netz-Grundkonfiguration von Routern und Switches).
Einsatzszenarien von VLANs
Bei den nachfolgenden Szenarien wird von einer Netzarchitektur ausgegangen, die aus vier Zonen besteht (siehe auch M 2.476 Konzeption für die sichere Internet-Anbindung).
Szenario 1: Einsatz von VLANs im internen Netz
Im internen Netz dürfen VLANs eingesetzt werden, um Teilnetze mit unterschiedlichem Schutzbedarf voneinander zu trennen. Eine Ausnahme besteht jedoch für den folgenden Fall: Die VLANs an einem Switch haben den selben Schutzbedarf, erfüllen dieselben Aufgaben, aber gehören unterschiedlichen Institutionen an. In diesem Fall sollte die Trennung entweder physisch erfolgen oder es sollte Verschlüsselung eingesetzt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.
Szenario 2: Einsatz von VLANS in der ALG-Zone
Es wird empfohlen, die ALG-Zone in zwei Subzonen (externe und interne DMZ) aufzuteilen. In der externen DMZ sollten IT-Systeme platziert werden, die eine öffentliche IP-Adresse haben, damit sie aus dem Internet erreichbar sein können. In der internen DMZ sollten IT-Systeme stehen, die üblicherweise eine private IP-Adresse haben und damit grundsätzlich aus dem Internet nicht direkt erreichbar sind. Innerhalb der jeweiligen DMZ dürfen VLANs zur Trennung eingesetzt werden. Eine interne DMZ sollte jedoch nicht von einer externen DMZ durch VLANs getrennt werden.
Szenario 3: Einsatz von VLANS in der Management-Zone
Physisch getrennte Management-Netze dürfen durch VLANs separiert werden. Es ist jedoch darauf zu achten, dass der äußere Paketfilter sowie die daran angeschlossenen Geräte in einem eigenen Teilnetz stehen und nicht dadurch, dass VLANs eingesetzt werden, unter der Umgehung des ALGs eine Verbindung zwischen dem äußerem Paketfilter mit dem internen Netz geschaffen wird.
Prüffragen:
-
Befinden sich innerhalb eines VLANs ausschließlich Fachverfahren bzw. Arbeitsgruppen desselben Schutzbedarfs?
-
Wurden die Zonen untereinander physisch getrennt?
-
Ist sichergestellt, dass bei sehr hohem Schutzbedarf keine VLANs eingesetzt werden?
-
Ist sichergestellt, dass es keine Verbindungen zwischen einer Zone vor einem Application-Level-Gateway (Anbindung an das Internet) und dahinter liegenden internen Netzen gibt?
-
Werden Daten in VLANs angemessen vor Abhören geschützt, zum Beispiel durch Verschlüsselung?
-
Internes Netz: Erfolgt bei VLANs, die unterschiedlichen Institutionen angehören, eine saubere Trennung (physisch oder durch Verschlüsselung)?