B 4.1 Lokale Netze

Beschreibung

Ein Local Area Network (LAN) ist ein Zusammenschluss von netzfähigen IT-Systemen, wie z. B. Clients, Server, Router oder Switches innerhalb eines räumlich begrenzten Gebiets. Um die IT-Systeme zu vernetzen, können unterschiedliche Übertragungsmedien eingesetzt werden, wie beispielsweise verdrillte Kupferkabel oder Lichtwellenleiter. Zunehmend werden die Daten auch drahtlos übertragen, z. B. per WLAN. Neben den IT-Systemen und der Verkabelung sind die eingesetzten LAN-Techniken und insbesondere die zugrunde liegende Topologie wesentliche Bestandteile eines LANs.

Die Verkabelung sowie die anwendungsbezogenen IT-Systeme, wie beispielsweise Server oder Clients, werden im Baustein B 2.12 IT-Verkabelung beziehungsweise in den entsprechenden Bausteinen der Schicht 3 behandelt, so dass im vorliegenden Baustein primär netzspezifische Aspekte (geeignete Segmentierung, Auswahl einer geeigneten Netztopologie, Bildung von Teilnetzen etc.) betrachtet werden.

Ethernet ist die am häufigsten eingesetzte LAN-Technik und gilt als der de-facto LAN-Standard. Daher werden in diesem Baustein nur Ethernet-LANs sowie die zugehörigen Netzkomponenten, wie z. B. Router und Switches betrachtet. FDDI, Token Ring und Token Bus gelten als veraltet und werden kaum noch verwendet. Bei der Auswahl aktiver Netzkomponenten wird der Fokus auf Router und Switches gelegt. Shared LANs unter dem Einsatz von Repeatern, Hubs und Bridges werden heutzutage nicht mehr betrieben. Fragestellungen im Zusammenhang mit einer WAN-Anbindung werden im vorliegenden Baustein ebenfalls nicht behandelt. Hier sei unter anderem auf den Baustein B 3.301 Sicherheitsgateway (Firewall) verwiesen.

Dieser Baustein beschreibt einen Leitfaden, wie ein lokales Netz analysiert und darauf aufbauend unter Sicherheitsaspekten konzipiert und betrieben werden kann. Damit richtet er sich an die Stelle einer Institution, die für den Netzbetrieb verantwortlich ist und das entsprechende fachliche Wissen besitzt.

Gefährdungslage

Für den IT-Grundschutz eines lokalen Netzes werden pauschal die folgenden Gefährdungen angenommen:

Höhere Gewalt

- G 1.2 Ausfall von IT-Systemen
- G 1.3 Blitz
- G 1.4 Feuer
- G 1.5 Wasser
- G 1.7 Unzulässige Temperatur und Luftfeuchte
- G 1.8 Staub, Verschmutzung

Organisatorische Mängel

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
- G 2.27 Fehlende oder unzureichende Dokumentation
- G 2.32 Unzureichende Leitungskapazitäten
- G 2.44 Inkompatible aktive Netzkomponenten
- G 2.45 Konzeptionelle Schwächen des Netzes
- G 2.46 Überschreiten der zulässigen Kabellänge

Menschliche Fehlhandlungen

- G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
- G 3.5 Unbeabsichtigte Leitungsbeschädigung
- G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
- G 3.8 Fehlerhafte Nutzung von IT-Systemen
- G 3.9 Fehlerhafte Administration von IT-Systemen
- G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten
- G 3.29 Fehlende oder ungeeignete Segmentierung
- G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen

Technisches Versagen

- G 4.1 Ausfall der Stromversorgung
- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.31 Ausfall oder Störung von Netzkomponenten

Vorsätzliche Handlungen

- G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
- G 5.2 Manipulation an Informationen oder Software
- G 5.4 Diebstahl
- G 5.5 Vandalismus
- G 5.6 Anschlag
- G 5.7 Abhören von Leitungen
- G 5.8 Manipulation von Leitungen
- G 5.9 Unberechtigte IT-Nutzung
- G 5.18 Systematisches Ausprobieren von Passwörtern
- G 5.20 Missbrauch von Administratorrechten
- G 5.28 Verhinderung von Diensten
- G 5.66 Unberechtigter Anschluss von IT-Systemen an ein Netz
- G 5.67 Unberechtigte Ausführung von Netzmanagement-Funktionen
- G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten
- G 5.71 Vertraulichkeitsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Hierzu zählen zwingend die Bausteine B 4.2 Netz- und Systemmanagement, B 2.12 IT-Verkabelung und B 3.302 Router und Switches.

Weiterhin müssen die aktiven Netzkomponenten gesichert aufgestellt sein, also beispielsweise in Räumen für technische Infrastruktur (z. B. Verteilerräumen) untergebracht werden, so dass auch die Maßnahmen aus dem Baustein B 2.6 Raum für technische Infrastruktur realisiert werden müssen.

Für den sicheren Einsatz eines lokalen Netzes sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Analyse der aktuellen Netzsituation über die Konzeption bis zum Betrieb. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Die Absicherung eines LANs beginnt in der Planungsphase. Der erste Schritt ist immer die Erhebung und daran anschließende Analyse der vorliegenden Netzsituation. Basierend auf den Ergebnissen der Analyse kann dann das LAN konzipiert und realisiert werden, um die vorher festgelegten Netz-Anforderungen zu erfüllen. Besondere Aufmerksamkeit bei der Planung und Konzeption eines LANs ist der Netz-Segmentierung zu widmen. Nur durch eine geeignete physische und gegebenenfalls logische Segmentierung kann verhindert werden, dass Angriffe auf ein Teilnetz die Funktionsfähigkeit anderer Teilnetze beeinträchtigen.

Außerdem muss eine Sicherheitsrichtlinie für das LAN erstellt werden, in der Regelungen und Hinweise zum sicheren Betrieb und zur sicheren Administration des LANs beschrieben sind (siehe M 2.576 Erstellung einer Sicherheitsrichtlinie für den Einsatz von lokalen Netzen).

Umsetzung

Sind alle Komponenten beschafft und geht es um die Einrichtung des LANs, so hat die Konfiguration der unterschiedlichen LAN-Komponenten und insbesondere der aktiven Netzkomponenten (siehe M 4.82 Sichere Konfiguration der aktiven Netzkomponenten) während der Installation stets gemäß der Sicherheitsrichtlinie und der festgelegten Strategie zu erfolgen.

Betrieb

Ist das LAN in Betrieb genommen und wurden alle LAN-Anwender ausreichend geschult, so ist zum einen durch regelmäßige Audits (siehe M 2.579 Regelmäßige Audits des lokalen Netzes) sicherzustellen, dass alle getroffenen Sicherheitseinstellungen noch aktuell sind und durch regelmäßige Sicherheitschecks (siehe M 5.8 Regelmäßiger Sicherheitscheck des Netzes), ob diese Einstellungen auch greifen. Durch den Einsatz einer Netz-Management-Software kann das LAN zentral administriert werden (siehe M 2.146 Sicherer Betrieb eines Netzmanagement-Systems).

Aussonderung

Werden LAN-Komponenten außer Betrieb genommen, so sind entsprechende Konfigurationseinstellungen, wieder auf Standard-Werte zurückzusetzen und eventuell auf den LAN-Komponenten gespeicherte Informationen oder Zugangsinformationen zu löschen (M 2.580 Außerbetriebnahme von Netzkomponenten).

Notfallvorsorge

Damit in einem Fehlerfall der Betrieb so schnell wie möglich wieder aufgenommen werden kann, muss ein Notfallplan für den Ausfall des lokalen Netzes (siehe M 6.165 Erstellen eines Notfallplans für den Ausfall des lokalen Netzes) erstellt werden. Hierzu gehört insbesondere auch eine regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten).

Nachfolgend wird das komplette Maßnahmenbündel für den Bereich Lokale Netze vorgestellt.

Planung und Konzeption

- M 2.139 (A) Ist-Aufnahme der aktuellen Netzsituation
- M 2.140 (Z) Analyse der aktuellen Netzsituation
- M 2.141 (B) Entwicklung eines Netzkonzeptes
- M 2.576 (A) Erstellung einer Sicherheitsrichtlinie für den Einsatz von lokalen Netzen
- M 2.577 (Z) Auswahl geeigneter Kryptoverfahren für Netze
- M 4.79 (A) Sichere Zugriffsmechanismen bei lokaler Administration
- M 5.2 (A) Auswahl einer geeigneten Netz-Topologie
- M 5.13 (A) Geeigneter Einsatz von Elementen zur Netzkopplung
- M 5.60 (A) Auswahl einer geeigneten Backbone-Technologie
- M 5.61 (A) Geeignete physische Segmentierung
- M 5.62 (C) Geeignete logische Segmentierung
- M 5.77 (Z) Bildung von Teilnetzen

Umsetzung

- M 4.7 (A) Änderung voreingestellter Passwörter
- M 4.80 (B) Sichere Zugriffsmechanismen bei Fernadministration
- M 4.82 (A) Sichere Konfiguration der aktiven Netzkomponenten
- M 5.7 (A) Netzverwaltung

Betrieb

- M 2.578 (Z) Installation, Konfiguration und Betreuung eines lokalen Netzes durch Dritte
- M 2.579 (B) Regelmäßige Audits des lokalen Netzes
- M 4.81 (B) Audit und Protokollierung der Aktivitäten im Netz
- M 4.83 (C) Update/Upgrade von Soft- und Hardware im Netzbereich
- M 5.8 (B) Regelmäßiger Sicherheitscheck des Netzes

Aussonderung

- M 2.580 (C) Außerbetriebnahme von Netzkomponenten

Notfallvorsorge

- M 6.52 (A) Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten
- M 6.53 (Z) Redundante Auslegung der Netzkomponenten
- M 6.54 (B) Verhaltensregeln nach Verlust der Netzintegrität
- M 6.75 (Z) Redundante Kommunikationsverbindungen
- M 6.165 (C) Erstellen eines Notfallplans für den Ausfall des lokalen Netzes