M 2.139 Ist-Aufnahme der aktuellen Netzsituation

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Um ein bestehendes Netz gezielt sicherheitstechnisch analysieren zu können, ist die Bestandsaufnahme der aktuellen Netzsituation erforderlich. Sie ist ebenso erforderlich, wenn ein bestehendes Netz erweitert wird. Bei der Planung von Netzen sind die im Folgenden beschriebenen Punkte bei der Konzeption zu berücksichtigen.

Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die zum Teil aufeinander aufbauen, notwendig:

In den einzelnen Schritten ist im Wesentlichen Folgendes festzuhalten:

Ist-Aufnahme der physischen Netztopologie

Die physische Topologie beschreibt die Anordnung der Geräte und die Führung der Kabel, um die Geräte physisch miteinander zu verbinden. Um die physische Struktur des Netzes zu erfassen, ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz aufgebaut wird. Es ist ein Netzplan zu erstellen bzw. fortzuschreiben, der folgendes enthält:

Für jedes IT-System sollte zumindest Folgendes vermerkt sein:

Zur Pflege dieses Plans ist es sinnvoll, ein entsprechendes Tool zur Unterstützung einzusetzen). Eine konsequente Aktualisierung dieser Pläne bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vergleiche auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung).

Ist-Aufnahme der logischen Netztopologie

Um die logische Topologie eines Netzes zu erstellen, ist die logische Struktur des Netzes zu betrachten. Dazu ist es notwendig, die Segmentierung der einzelnen OSI-Schichten und gegebenfalls die VLAN-Struktur zu erfassen.

Anhand der Darstellung der Netztopologie muss feststellbar sein, über welche aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen Endgeräten aufgebaut werden kann. Zusätzlich sind die Konfigurationen der aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente verwendet werden. Dies können bei logischer Segmentierung die Konfigurationsdateien sein, bei physischer Segmentierung die konkrete Konfiguration der Netzkomponenten.

Werden virtuelle IT-Systeme (virtuelle Switches, virtuelle Server etc.) und virtuelle Netzverbindungen, wie z. B. virtuelle LANs (VLANs) oder virtuelle Private Netze (VPNs), eingesetzt, dann sind diese ebenfalls in einem logischen Netzplan darzustellen. Hierbei sind virtuelle IT-Systeme gemäß ihrem Typ und Einsatzzweck genauso wie physische IT-Systeme zu behandeln. Darüber hinaus muss die Zuordnung von virtuellen IT-Systemen zu physischen Host-Systemen nachvollziehbar sein. Um die Übersichtlichkeit zu verbessern, ist es bei zunehmender Größe eines Netzes sinnvoll, den Netzplan in mehrere Teilnetzpläne aufzuteilen.

Ähnlich wie bei der physischen Topologie ist auch bei der logischen Topologie auf eine konsequente Aktualisierung des logischen Netzplans bei wesentlichen Konfigurationsänderungen, beispielsweise wenn neue VLANs eingefügt werden, zu achten.

Ist-Aufnahme der verwendeten Netzprotokolle

Die Netzprotokolle, die in den einzelnen Netzsegmenten verwendet werden, und die hierfür notwendigen Konfigurationen (z. B. die MAC-Adressen, die IP-Adressen und die Subnetzmasken) sind zu dokumentieren. Darüber hinaus sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B. HTTP, SMTP) und welche gesperrt werden. Auch sollten die zu Grunde liegenden Kriterien, die für die Filterung herangezogen werden, dokumentiert werden.

Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN

Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Für jeden Kommunikationsübergang zwischen zwei Netzen ist zu beschreiben,

Hierzu gehört auch die Dokumentation der verwendeten WAN-Protokolle (z. B. ISDN, ATM etc.). Bei Einsatz einer Firewall ist zusätzlich deren Konfiguration (z. B. Filterregeln) zu dokumentieren, siehe Baustein B 3.301 Sicherheitsgateway (Firewall).

Ist-Aufnahme der Netzperformance und des Verkehrsflusses

Um frühzeitig mögliche Engpässe im Netz erkennen zu können, ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen den Segmenten oder Teilnetzen durchzuführen.

Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren, dass sie einerseits vor unbefugtem Zugriff geschützt ist, aber andererseits für das Sicherheitsmanagement oder die Administratoren jederzeit verfügbar ist.

Prüffragen: