M 5.62 Geeignete logische Segmentierung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Mit Hilfe geeigneter aktiver Netzkomponenten ist es möglich, trotz einer festen physikalischen Segmentierung des Netzes, dieses darüber hinaus logisch zu segmentieren. Die Möglichkeit hierzu bieten Switches, die auf der Schicht 2 und 3 des OSI-Modells arbeiten. Aufgrund der Eigenschaften solch eines Switches, die Protokolle der Schicht 2 bzw. 3 zu verstehen, können durch Kontrolle des Datenflusses zwischen den Anschlüssen am Switch sogenannte virtuelle LANs (VLANs) gebildet werden. Hierdurch können Gruppen im Netz zusammengefaßt werden, die in der physikalischen Segmentierung so nicht abgebildet sind. Vor allem ergibt sich hierdurch die Möglichkeit, Gruppen ohne Eingriff in die physikalische Vernetzung dynamisch und zeitnah neu zu bilden bzw. umzugruppieren. Analog zur physikalischen Segmentierung auf der Schicht 2 bzw. 3 sind die Kriterien bezüglich Vertraulichkeit, Verfügbarkeit und Integrität auch hier anzuwenden. Kriterien für eine geeignete Segmentierung können ebenfalls analog wie für die physikalischen Segmente angewendet werden.

In der folgenden Abbildung ist die Möglichkeit der VLAN-Bildung mit Hilfe mehrer Schicht-3-Switches dargestellt. Die physikalische Anbindung der Endgeräte an die Switches erfolgt hierbei wie durch die Verbindungslinien angedeutet. Die logische Segmentierung erfolgt durch die Gruppierung mit Hilfe der Switches nach VLANs.

Abbildung 1: VLAN-Bildung mit Hilfe mehrerer Switches

Würde man die in Abbildung 1 gezeigte VLAN-Struktur durch eine herkömmliche physikalische Segmentierung erreichen wollen, würde das wie in Abbildung 2 dargestellt aussehen. Die einzelnen LANs können hier beispielsweise durch Shared Ethernet-Segmente abgebildet werden, die Verbindung der einzelnen LANs erfolgt durch eine Bridge.

Abbildung 2: Physikalische Segmentierung analog zu Abbildung 1

Auf der Basis von VLAN-fähigen Netzkomponenten können ohne physikalische Umstrukturierung virtuelle LANs gebildet werden, die je nach eingesetzter Technologie analog zu LANs, mit Segmentierungen auf Schicht 2 oder 3 sind. Hiermit können in einem Netz analog zur Segmentierung von LANs Bereiche gebildet werden, in denen z. B. hohe Anforderungen an die Vertraulichkeit der Daten gelten (siehe M 5.61 Geeignete physikalische Segmentierung). Je nach eingesetztem Produkt bieten diese bei der VLAN-Bildung unterschiedliche Funktionalitäten. Einige Produkte stellen die Möglichkeit zur Verfügung, VLANs auf Schicht 2 oder 3 zu bilden, die u. U. nur durch den Einsatz von Routern gekoppelt werden können (sog. sichere VLANs, da diese nur durch den Einsatz von Routern verbunden werden können). In diesem Fall muß mit Hilfe der Filterregeln des Routers ein kontrollierter Übergang zwischen den VLANs hergestellt werden. Andere Hersteller implementieren in Schicht-3-Switches bereits Routing-Funktionalität, die VLANs ohne zusätzliche Router verbinden. Der Einsatz entsprechender Technologien und Produkte muß insbesondere gegen die Anforderungen an die Vertraulichkeit und Integrität der Daten geprüft werden.

Abbildung 3: Bildung von sicheren VLANs mit Schicht-3-Switches

Im dargestellten Fall (Abbildung 3) wurden mit Hilfe von Schicht-3-Switches sichere VLANs auf der Schicht 3 des OSI-Modells eingerichtet. Die dargestellten Switches sind in diesem Fall ohne Routing-Funktionalität. VLAN 1, VLAN 2 und VLAN 3 verhalten sich dabei so, als ob sie durch einen Router segmentiert wären, ohne daß ein Routing zwischen ihnen stattfindet. VLAN 3 hat also keinerlei Verbindung mit den anderen VLANs, lediglich VLAN 1 und VLAN 2 können über einen Router miteinander kommunzieren. Die Kommunikation kann durch die Konfiguration des Routers entsprechend kontrolliert und gesteuert werden. Mit anderen Produkten, die Routing-Funktionalität in den Schicht-3-Switches implementieren, kann der dargestellte Router entfallen und das Routing mit Hilfe der Switches kontrolliert werden.

Eine allgemeine Empfehlung bezüglich einer logischen Segmentierung kann nicht gegeben werden. Für eine Neuinstallation eines Netzes ist aber zu prüfen, ob durch den Einsatz von VLANs die Anforderungen an die Verfügbarkeit, Vertraulichkeit und Integrität nicht einfacher erreicht werden können als durch eine aufwendigere physikalische Segmentierung.

Als Vorteil einer logischen Segmentierung ist die einfache, zentrale Neu- und Umkonfigurierbarkeit der Segmente zu sehen. Insbesondere bei Produkten, die sichere VLANs unterstützen, können so schnell und einfach Arbeitsgruppen im Netz gebildet werden, die höhere Anforderungen an die Vertraulichkeit ihrer Daten stellen. Auf der anderen Seite muß in diesem Fall auch ein besonderes Augenmerk auf den sicheren Remote-Zugang zu den aktiven Netzkomponenten gelegt werden, da die Segmentierung hier nur auf der Konfiguration von Software beruht. Es muß also bei einer logischen Segmentierung zwischen den Anforderungen an die Sicherheit des Netzes (auch vor unberechtigter Umkonfiguration) und der Möglichkeit einer flexiblen Umgestaltung des Netzes abgewogen werden.

Ergänzende Kontrollfragen:

• Sind die eingesetzten Netzkomponenten VLAN-fähig?
• Wurde das Netz geeignet logisch segmentiert?
• Sind die eingesetzten Netzkomponenten bezüglich der VLAN-Funktionalität interoperabel?
• Ist der Remote-Zugang der aktiven Netzkomponenten vor unberechtigter Administration geschützt?
• Wurden die Anforderungen bzgl. Verfügbarkeit, Vertraulichkeit und Integrität ermittelt und berücksichtigt?

  ---

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000