M 5.61 Geeignete physikalische Segmentierung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Unter einer physikalischen Segmentierung wird der Vorgang der Segmentbildung mit Hilfe von aktiven und passiven Netzkomponenten auf Schicht 1, 2 oder 3 verstanden. Eine geeignete physikalische Segmentierung kann zur Erhöhung der Verfügbarkeit, der Integrität und der Vertraulichkeit verwendet werden. Dies läßt sich durch den Einsatz unterschiedlicher Netzkomponenten (siehe M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung) erreichen.

Verfügbarkeit

Unter dem Gesichtspunkt der Verfügbarkeit wird auch die Performance bzw. die verfügbare Bandbreite eines Netzes betrachtet. Diese kann erhöht werden, wenn das Netz auf den Schichten 1, 2 oder 3 des OSI-Modells getrennt wird. Bei einer Auftrennung auf der Schicht 1 kann die geringste Erhöhung der Verfügbarkeit in den Einzelsegmenten, aber der höchste Durchsatz zwischen den Segmenten und bei einer Trennung auf Schicht 3 die größte Erhöhung der Verfügbarkeit und der geringste Durchsatz zwischen den Segmenten erzielt werden.

Durch eine Segmentierung auf Schicht 1 mit Hilfe eines Repeaters wird die Verfügbarkeit des Netzes dadurch erhöht, daß elektrische Fehler des einen Segmentes das andere nicht beeinflussen können.

Beispiel: Bei einem Netz aus zwei Thin-Ethernet-Segmenten, die durch einen Repeater miteinander verbunden sind, beeinflußt die fehlende Terminierung in einem Segment nicht die Funktion des anderen.

Abbildung 1: Elektrische Trennung von Segmenten durch einen Repeater zur Erhöhung der Verfügbarkeit

Für Bridges und Switches gilt zunächst einmal das gleiche wie für Repeater, da diese die Schicht 1 mit abdecken. Zusätzlich zu dieser Funktion werden fehlerhafte Datenpakete der Schicht 2 und Kollisionen in einem Segment isoliert. Weiterhin werden die Segmente entlastet, da Datenpakete zielgerichtet zwischen den Segmenten weitergeleitet werden können. Dabei ist darauf zu achten, daß die eingesetzte Bridge bzw. der Switch eine ausreichend hohe Kapazität (Filterrate und Transferrate) besitzt, um den Datenverkehr zwischen den Segmenten ohne große Verzögerungen zu verarbeiten.

Üblicherweise arbeiten Bridges/Switches auf der Schicht 2 des OSI-Modells. Diese werten für den Aufbau der Verbindungsmatrix die MAC-Adressen der beteiligten Systeme in den jeweiligen Segmenten aus. Von einigen Herstellern gibt es auch Switches, die auf Schicht 3 arbeiten, also beispielsweise die IP-Adresse zum Aufbau der Verbindungsmatrix verwenden. Dieser Aufbau geschieht in beiden Fällen automatisch, kann bei einigen Modellen jedoch auch manuell beeinflußt werden. Einige Hersteller bieten zusätzlich auch die Möglichkeit, die Verbindungsmatrix manuell (über ein zentrales Tool) auf Portebene, also auf der Ebene der tatsächlichen Kabelführung, vorzunehmen (Port- oder Configuration-Switching).

Router, die auf der Schicht 3 arbeiten, fassen die Eigenschaften von Repeatern und Bridges hinsichtlich der Verfügbarkeit zusammen und erweitern diese um die Fähigkeit, Protokolle der Schicht 3 auszuwerten. Hiermit erfolgt eine Lasttrennung auf einer höheren Ebene, wodurch der Netzverkehr fast vollständig kontrolliert werden kann. Insbesondere werden keine Broadcasts zwischen Segmenten (Teilnetzen) weitergeleitet, die durch einen Router getrennt sind. Ein Broadcaststurm auf dem einen Segment kann also das andere nicht beeinflussen.

Ausgehend von den Ergebnissen einer durchgeführten Verkehrsflußanalyse (siehe M 2.139 Ist-Aufnahme der aktuellen Netzsituation), sollte ggf. eine physikalische Segmentierung vorgenommen werden, um die Bandbreite bzw. Performance im erforderlichen Maße zu erhöhen.

Beispiel: Innerhalb eines Netzes sind zentrale Server für Datei- und Druckdienste sowie für die Anwendungen vorhanden bzw. geplant. Für eine hohe Performance und Verfügbarkeit kann es sinnvoll sein, diese dediziert an einen Switch anzuschließen und von diesem Switch die einzelnen Arbeitsplatzstationen anzubinden (shared oder switched). Wenn möglich, sollte die Verbindung zwischen den Servern und dem Switch zumindest eine Fast-Ethernet Verbindung sein.

Generell läßt sich festhalten, daß für eine höhere Performance ein geswitchtes Netz einem Shared-Netz vorzuziehen ist, da sich in einem Shared-Netz alle daran angeschlossenen Teilnehmer die verfügbare Bandbreite teilen müssen. In einem Switched-Netz dagegen steht jedem Teilnehmer zumindest bis zur nächsten aktiven Netzkomponente die volle Bandbreite zur Verfügung. Zu beachten sind hierbei allerdings die Notwendigkeit einer strukturierten Verkabelung (Sternform) und die relativ hohen Kosten für ein vollständig geswitchtes Netz.

Als Alternativen bieten sich Lösungen an, die im Backbone-Bereich oder im Bereich hoher Netzlast (z. B. Arbeitsgruppen) über einen Switch einzelne Netzsegmente koppeln, die wiederum als Shared-Media-LAN ausgelegt sind (vgl. Abbildung 2). Zusätzlich besteht immer die Möglichkeit, einzelne Arbeitsplatzsysteme mit hohen Anforderungen an die Performance direkt an einen Switch anzuschließen. Während ein Shared-Netz bzw. Shared Segment sowohl in Bus- als auch in Sternform aufgebaut sein kann, ist es aus Gründen der Verfügbarkeit und des Investitionsschutzes sinnvoll, dieses ebenfalls in strukturierter Verkabelung (Sternform) auszuführen (vgl. M 5.2 Auswahl einer geeigneten Netztopographie).

Abbildung 2: Beispiel für ein Netz, welches aus Switched und Shared Segmenten besteht. Die Anbindung der Server erfolgt über Fast-Ethernet.

Vertraulichkeit

Zur Erhöhung der Vertraulichkeit sind alle Maßnahmen geeignet, die einen Austausch von Daten zwischen zwei Segmenten verhindern. Aus diesem Grund ist ein reiner Repeater dafür ungeeignet. Einige Hersteller bieten Multiport-Repeater an, die so konfiguriert werden können, daß nur bestimmte Netzteilnehmer über solch einen Repeater im Netz arbeiten können. Hierdurch kann bis zu einem gewissen Grad ausgeschlossen werden, daß sich unberechtigte Nutzer auf das Netz aufschalten können. Bridges/Switches und Router erhöhen die Vertraulichkeit dadurch, daß sie den Datenverkehr auf Schicht 2 bzw. 3 verhindern und kontrollieren können bzw. dediziert auf Port-Ebene Segmente verbinden oder trennen können. Auch für Bridges/Switches einiger Hersteller gilt, daß hier der Zugang von Netzteilnehmern beschränkt werden kann. Router bieten die umfassendsten Kontrollmöglichkeiten der hier behandelten Komponenten. Mit Hilfe von Routern kann nicht nur der Zugang und die Wegewahl in andere Netze bestimmt werden, sondern zusätzlich auch, welcher Netzteilnehmer mit Systemen im anderen Segment auf welcher Basis kommunizieren darf. Durch den Ausschluß bestimmter Protokolle der Ebene 3 am Router kann verhindert werden, daß Daten dieses Protokolls in das andere Segment gelangen. Dies geschieht durch die Definition geeigneter Filterregeln in den Routern, die auf Protokollebene gebildet werden können. So können beispielsweise bei der Verwendung des TCP/IP-Protokollstapels einzelne TCP- und UDP-Ports für den Übergang in das andere Segment selektiv gesperrt oder freigegeben werden. Komponenten, die auf höheren Schichten arbeiten, wie z. B. Application-Level-Firewalls, werden an dieser Stelle nicht behandelt (siehe M 2.75 Geeignete Auswahl eines Application-Gateway).

Beispiel: Durch die Trennung eines Netzes mit Hilfe eines Routers und eine entsprechende Konfiguration der Filterregeln kann erreicht werden, daß kein FTP- und TFTP-Datentransfer (Port 20 und 21 bzw. 69) zwischen den Segmenten möglich ist und somit auch nicht vom jeweils anderen abgehört werden kann. Ebenso werden keine Broadcast-Daten zwischen den Teilnetzen übertragen. Außerdem müssen die Filter standardmäßig derart konfiguriert sein, daß zunächst die Kommunikation maximal eingeschränkt und erst nach Bedarf und dienstebezogen freigegeben wird. Hierbei sollte ggf. eine IP-bezogene Filterung berücksichtigt werden.

Abbildung 3: Beispiel für die Trennung von Teilnetzen auf Schicht 3 durch einen Router

Daten- und Netzintegrität

Die Integrität der Daten bis zur Schicht 3 wird in der Regel durch das eingesetzte Netzzugangsprotokoll sichergestellt, während die Sicherstellung der Netzintegrität, also dem Übereinstimmen der aktuellen Netzsituation mit der geplanten und vorgesehenen physikalischen und logischen Segmentierung, zusätzliche Maßnahmen erfordert. Diese Maßnahmen müssen sicherstellen, daß keine unautorisierten oder fehlgeleiteten Kommunikationsverbindungen aufgebaut oder unautorisierten Systemzugriffe durchgeführt werden, die im integren Netzzustand unterbunden sind.

Die Netzintegrität wird daher im wesentlichen dadurch sichergestellt, daß

• Veränderungen unmittelbar an Netzkomponenten (Umrangierungen, Installation neuer, nicht autorisierter Komponenten etc.) verhindert oder zumindest erkannt werden (Hardware-bezogene Sicherheit),
• Veränderungen an der Konfiguration der Netzkomponenten (z. B. an Routingprotokollen, an der Port-Switching-Matrix oder an der VLAN-Zuweisung) verhindert oder zumindest erkannt werden (Software-bezogene Sicherheit).

Dazu ist es erforderlich, den Zugang zu den Netzkomponenten mit ausreichender Stärke zu verwehren (z. B. durch Infrastruktrurmaßnahmen bzgl. Verteilerraum, Verkabelung etc.) und das Netzmanagement so zu konzipieren, daß unberechtigte Zugriffe über das Netz auf die Netzkomponenten verhindert werden.

Eine Erhöhung des Schutzes bezüglich der Integrität der Daten auf Schicht 3 (z. B. der Anwendungsdaten) kann nicht alleine durch den Einsatz von Netzkomponenten erreicht, aber ein gezielter Angriff auf die Datenintegrität kann erschwert werden. Hierzu können Netzkomponenten verwendet werden, die das Mithören und Verändern von Datenpaketen verhindern. Dies sind z. B. Bridges/Switches und Router, die ein Netz in Segmente bzw.Teilnetze aufspalten können, zwischen denen der Datenverkehr kontrolliert, beschränkt oder konfiguriert werden soll. Insbesondere bei den sich automatisch konfigurierenden Netzkomponenten wie Bridges und Switches, spielt die Abbildung der logischen Zusammengehörigkeit auf die physikalische Konfiguration eine große Rolle. Nur so kann erreicht werden, daß die Datenpakete einer logischen Gruppe auch tatsächlich im selben physikalischen Segment verbleiben. Bei Bridges/Switches, die eine Konfiguration der möglichen Verbindungen auf Portbasis erlauben (Port-Switching) können auch manuell die Verbindungsmöglichkeiten auf der Schicht 1 kontrolliert werden.

Beispiel: Systeme, die den Anschluß von Terminals an ein Netz erlauben (Terminalserver) und die Systeme, auf die vom Terminalserver aus zugegriffen werden soll, müssen in einem Segment durch eine Bridge vom Rest des Netzes abgetrennt werden. Nur so kann vermieden werden, daß der Austausch des Paßwortes zwischen Terminalserver und dem angesprochenen System von einem anderen Segment aus abgehört und ggf. verändert werden kann.

Abbildung 4: Trennung von Segmenten durch eine Bridge zur Erhöhung der Integrität und Vertraulichkeit

Zusätzlich ist durch die geeignete Dimensionierung und Auswahl von Netzkomponenten dafür Sorge zu tragen, daß weder durch deren Überlastung noch durch deren Fehlfunktion Datenpakete verloren gehen können bzw. verfälscht werden.

Ergänzende Kontrollfragen:

• Wurde beim Entwurf des lokalen Netzes an eine physikalische Segmentierung gedacht?
• Wurden die Anforderungen bezüglich Verfügbarkeit (insbesondere auch Performance), Vertraulichkeit und Integrität ermittelt und berücksichtigt?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000