Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Um den Anforderungen bezüglich Verfügbarkeit (auch Bandbreite und Performance), Vertraulichkeit und Integrität zu genügen, muß der Aufbau, die Änderung bzw. die Erweiterung eines Netzes sorgfältig geplant werden. Hierzu dient die Erstellung eines Netzkonzeptes.
Die Entwicklung eines Netzkonzeptes unterteilt sich in einen analytischen und einen konzeptionellen Teil:
Analyse
Zunächst ist zu unterscheiden, ob ein bestehendes Netz zu erweitern bzw. zu verändern ist oder ob das Netz vollständig neu aufgebaut werden soll.
Im ersten Fall sind vorab die Maßnahmen M 2.139 Ist-Aufnahme der aktuellen Netzsituation und M 2.140 Analyse der Netzsituation zu bearbeiten. Im zweiten Fall entfallen diese Maßnahmen. Stattdessen sind die Anforderungen an die Netzkommunikation zu ermitteln sowie eine Schutzbedarfsfeststellung des zukünftigen Netzes durchzuführen.
Zur Ermittlung der Kommunikationsanforderungen ist der zukünftig zu erwartende Daten- und Verkehrsfluß zwischen logischen oder organisatorischen Einheiten festzustellen, da die zu erwartende Last die Segmentierung des zukünftigen Netzes beeinflussen muß. Die notwendigen logischen bzw. physikalischen Kommunikationsbeziehungen (dienste-, anwender-, gruppenbezogen) sind ebenfalls zu eruieren und die Kommunikationsübergänge zur LAN/LAN-Kopplung oder über ein WAN zu ermitteln.
Die Schutzbedarfsanforderungen des Netzes werden aus denen der geplanten oder bereits bestehenden IT-Verfahren abgeleitet. Daraus werden physikalische und logische Segmentstrukturen gefolgert, so daß diesen Anforderungen (z. B. hinsichtlich Vertraulichkeit) durch eine Realisierung des Netzes Rechnung getragen werden kann. Zum Beispiel bestimmt der Schutzbedarf einer IT-Anwendung die zukünftige Segmentierung des Netzes.
Schließlich muß versucht werden, die abgeleiteten Kommunikationsbeziehungen mit den Schutzbedarfsanforderungen zu harmonisieren. Unter Umständen sind hierzu Kommunikationsbeziehungen einzuschränken, um dem festgestellten Schutzbedarf gerecht zu werden.
Abschließend sind die verfügbaren Ressourcen zu ermitteln. Hierzu gehören sowohl Personalressourcen, die erforderlich sind, um ein Konzept zu erstellen und umzusetzen bzw. um das Netz zu betreiben, als auch die hierfür notwendigen finanziellen Ressourcen.
Die Ergebnisse sind entsprechend zu dokumentieren.
Konzeption
Unter den oben genannten Gesichtspunkten, anhand einer Planung, die zukünftige Anforderungen (z. B. hinsichtlich Bandbreite) mit einbezieht, sowie unter Berücksichtigung der örtlichen Gegebenheiten, sind die Netzstruktur und die zu beachtenden Randbedingungen nach den folgenden Schritten zu entwickeln und im Konzept festzuhalten.
Die Erstellung eines Netzkonzeptes erfolgt analog M 2.139 Ist-Aufnahme der aktuellen Netzsituation und besteht danach prinzipiell aus den folgenden Schritten, wobei diese Schritte nicht in jedem Fall streng aufeinander folgend ausgeführt werden können. In einigen Teilen beeinflussen sich die Ergebnisse der Schritte gegenseitig, so daß eine regelmäßige Überprüfung und Konsolidierung der Teilergebnisse vorgenommen werden muß.
1. Konzeption der Netztopographie und der Netztopologie, der physikalischen und logischen Segmentierung
2. Konzeption der verwendeten Netzprotokolle
3. Konzeption von Kommunikationsübergängen im LAN und WAN
In den einzelnen Schritten sind im wesentlichen die folgenden Tätigkeiten auszuführen:
Schritt 1 - Konzeption der Netztopographie und Netztopologie
Basierend auf der Analysesituation (s. o.) und den konkreten baulichen Gegebenheiten muß eine geeignete Netztopographie und Netztopologie ausgewählt werden (siehe hierzu M 5.60 Auswahl einer geeigneten Backbone-Technologie, M 5.2 Auswahl einer geeigneten Netz-Topographie und M 5.3 Auswahl geeigneter Kabeltypen aus kommunikationstechnischer Sicht). Aber auch zukünftige Anforderungen wie Skalierbarkeit müssen hier Berücksichtigung finden. Die so erstellte Konzeption muß dokumentiert werden (Verkabelungspläne usw.).
Ausgehend von den ermittelten Anforderungen und dem zu erwartenden bzw. ermittelten Datenfluß muß bei der Konzeption der Netztopographie und -topologie eine geeignete physikalische und logische Segmentierung durchgeführt werden (siehe M 5.61 Geeignete physikalische Segmentierung, M 5.62 Geeignete logische Segmentierung und M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung).
Schritt 2 - Konzeption der Netzprotokolle
In diesem Schritt sind die einzusetzenden Netzprotokolle auszuwählen und diese entsprechend zu konzipieren. Hierzu gehört beispielsweise für das IP-Protokoll die Erstellung eines Adressierungsschemas und die Teilnetzbildung. Für die Auswahl der Netzprotokolle ist zu beachten, daß diese durch die Netztopologie und die geplanten oder vorhandenen aktiven Netzkomponenten unterstützt werden können.
Schritt 3 - Konzeption der Kommunikationsübergänge im LAN und WAN
Bezogen auf den ermittelten Datenfluß über Kommunikationsübergänge hinweg und die Anforderungen bezüglich der Sicherheit und Verfügbarkeit können in diesem Schritt die Kommunikationsübergänge konzipiert werden. Hierzu gehört die Auswahl geeigneter Koppelelemente (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) aber auch die sichere Konfiguration derselben (siehe Kapitel 7.3 Firewall und M 4.82 Sichere Konfiguration der aktiven Netzkomponenten).
Weitere Schritte
Ausgehend von dem erstellten Netzkonzept können nun die Maßnahmen zur Erstellung eines Netzmanagementkonzeptes durchgeführt werden (siehe M 2.143 Entwicklung eines Netzmanagementkonzeptes, M 2.144 Geeignete Auswahl eines Netzmanagement-Protokolls und M 2.145 Anforderungen an ein Netzmanagement-Tool) und ein Realisierungsplan nach M 2.142 Entwicklung eines Netz-Realisierungsplanes ausgearbeitet werden.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000