Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Die Bestandsaufnahme der aktuellen Netzsituation ist Voraussetzung für eine gezielte Sicherheitsanalyse des bestehenden Netzes. Sie ist ebenso erforderlich für die Erweiterung eines bestehenden Netzes. Bei der Planung von Netzen sind die im folgenden beschriebenen Punkte bei der Konzeption zu berücksichtigen.
Hierzu ist eine Ist-Aufnahme mit einhergehender Dokumentation der folgenden Aspekte, die z. T. aufeinander aufbauen, notwendig:
In den einzelnen Schritten ist im wesentlichen folgendes festzuhalten:
Ist-Aufnahme der Netztopographie
Für die Ist-Aufnahme der Netztopographie ist die physikalische Struktur des Netzes zu erfassen. Dabei ist es sinnvoll, sich an den räumlichen Verhältnissen zu orientieren, unter denen das Netz aufgebaut wird. Es ist ein Plan zu erstellen bzw. fortzuschreiben, der
enthält. Zur Pflege dieses Planes ist es sinnvoll, ein entsprechendes Tool zur Unterstützung einzusetzen (z. B. CAD-Programme, spezielle Tools für Netzpläne, Kabelmanagementtools im Zusammenhang mit Systemmanagementtools o. ä.). Eine konsequente Aktualisierung dieser Pläne bei Umbauten oder Erweiterungen ist ebenso zu gewährleisten wie eine eindeutige und nachvollziehbare Dokumentation (vgl. auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung).
Ist-Aufnahme der Netztopologie
Für die Ist-Aufnahme der Netztopologie ist die logische Struktur des Netzes zu betrachten. Dazu ist es notwendig, die Segmentierung der einzelnen OSI-Schichten und ggf. die VLAN-Struktur zu erfassen.
Anhand der Darstellung der Netztopologie muß feststellbar sein, über welche aktiven Netzkomponenten eine Verbindung zwischen zwei beliebigen Endgeräten aufgebaut werden kann. Zusätzlich sind die Konfigurationen der aktiven Netzkomponenten zu dokumentieren, die zur Bildung der Segmente verwendet werden. Dies können bei logischer Segmentierung die Konfigurationsdateien sein, bei physikalischer Segmentierung die konkrete Konfiguration der Netzkomponenten.
Ist-Aufnahme der verwendeten Netzprotokolle
Bezogen auf die gewählte Segmentierung des Netzes, sind die in den einzelnen Segmenten verwendeten Netzprotokolle und die hierfür notwendigen Konfigurationen (z. B. die MAC-Adressen, die IP-Adressen und die Subnetzmasken für das IP-Protokoll) festzustellen und zu dokumentieren. Hier sollte auch dokumentiert werden, welche Dienste zugelassen sind (z. B. HTTP, SMTP, Telnet) und welche Dienst nach welchen Kriterien gefiltert werden.
Ist-Aufnahme von Kommunikationsübergängen im LAN und WAN
Die Kommunikationsübergänge im LAN und WAN sind, soweit sie nicht in der bereits erstellten Dokumentation enthalten sind, zu beschreiben. Für jeden Kommunikationsübergang zwischen zwei Netzen ist zu beschreiben,
Hierzu gehört auch die Dokumentation der verwendeten WAN-Protokolle (z. B. ISDN, X.25). Bei einem Einsatz einer Firewall (siehe Kapitel 7.3 Firewall) ist zusätzlich deren Konfiguration (z. B. Filterregeln) zu dokumentieren.
Ist-Aufnahme der Netzperformance und des Verkehrsflusses
Es ist eine Messung der Netzperformance und eine Analyse des Verkehrsflusses in und zwischen den Segmenten oder Teilnetzen durchzuführen. Für jedes eingesetzte Netzprotokoll müssen die entsprechenden Messungen erfolgen.
Bei jeder Änderung der Netzsituation sind die zuletzt durchgeführten Ist-Aufnahmen zu wiederholen. Die im Rahmen der Ist-Aufnahmen erstellte Dokumentation ist so aufzubewahren, daß sie einerseits vor unbefugtem Zugriff geschützt ist, aber andererseits für das Sicherheitsmanagement oder die Administratoren jederzeit verfügbar ist.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000