M 5.62 Geeignete logische Segmentierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer festen physischen Segmentierung des Netzes dieses darüber hinaus auch noch logisch zu segmentieren. Die Möglichkeit hierzu bieten so genannte virtuelle LANs (VLANs). Mit VLANs können Gruppen im Netz so zusammengefasst werden, als ob sie in dem selben physischen Segment wären. Hierdurch ergibt sich vor allem die Möglichkeit, Gruppen dynamisch und zeitnah neu zu bilden bzw. umzugruppieren, ohne dass hierfür in die physische Vernetzung eingegriffen werden muss.

Es gibt zwei Arten von VLANs: statische und dynamische VLANs. Bei statischen VLANs (auch portbasierte VLANs genannt) werden einzelne Switch-Ports fest einem VLAN zugeordnet, unabhängig vom angeschlossenen Gerät. Bei dynamischen VLANs wird die Zugehörigkeit eines VLANs beispielsweise über die MAC-Adresse oder IP-Adresse des angeschlossenen Geräts gesteuert. Da sich diese Inhalte leicht manipulieren lassen, sollte auch schon bei normalem Schutzbedarf nach Möglichkeit darauf verzichtet werden, dynamische VLANs zu verwenden. Daher werden diese im Folgenden nicht weiter betrachtet.

Um effektiv ein Netz mit VLANs zu trennen, kann eine Architektur gewählt werden, die aus vier Zonen besteht:

Auf jeden Fall müssen nachfolgende grundlegende Bedingungen an Teilnetze hinsichtlich des Schutzbedarfs erfüllt sein:

Neben den oben erwähnten grundlegenden Bedingungen hinsichtlich des Schutzbedarfs sind außerdem die folgenden allgemeinen bzw. technischen Anforderungen an die Netzkoppelelemente zu beachten:

Einsatzszenarien von VLANs

Bei den nachfolgenden Szenarien wird von einer Netzarchitektur ausgegangen, die aus vier Zonen besteht (siehe auch M 2.476 Konzeption für die sichere Internet-Anbindung).

Szenario 1: Einsatz von VLANs im internen Netz

Im internen Netz dürfen VLANs eingesetzt werden, um Teilnetze mit unterschiedlichem Schutzbedarf voneinander zu trennen. Eine Ausnahme besteht jedoch für den folgenden Fall: Die VLANs an einem Switch haben den selben Schutzbedarf, erfüllen dieselben Aufgaben, aber gehören unterschiedlichen Institutionen an. In diesem Fall sollte die Trennung entweder physisch erfolgen oder es sollte Verschlüsselung eingesetzt werden, um die übertragenen Informationen vor unbefugtem Zugriff zu schützen.

Szenario 2: Einsatz von VLANS in der ALG-Zone

Es wird empfohlen, die ALG-Zone in zwei Subzonen (externe und interne DMZ) aufzuteilen. In der externen DMZ sollten IT-Systeme platziert werden, die eine öffentliche IP-Adresse haben, damit sie aus dem Internet erreichbar sein können. In der internen DMZ sollten IT-Systeme stehen, die üblicherweise eine private IP-Adresse haben und damit grundsätzlich aus dem Internet nicht direkt erreichbar sind. Innerhalb der jeweiligen DMZ dürfen VLANs zur Trennung eingesetzt werden. Eine interne DMZ sollte jedoch nicht von einer externen DMZ durch VLANs getrennt werden.

Szenario 3: Einsatz von VLANS in der Management-Zone

Physisch getrennte Management-Netze dürfen durch VLANs separiert werden. Es ist jedoch darauf zu achten, dass der äußere Paketfilter sowie die daran angeschlossenen Geräte in einem eigenen Teilnetz stehen und nicht dadurch, dass VLANs eingesetzt werden, unter der Umgehung des ALGs eine Verbindung zwischen dem äußerem Paketfilter mit dem internen Netz geschaffen wird.

Prüffragen: