sh99 - stock.adobe.com

BSI-konformes Netzwerk: Architektur und Management

Dieser zweite Teil der Serie zum BSI IT-Grundschutz zeigt, wie Unternehmen Netzwerkarchitektur und Netzmanagement sicher gestalten können – von der Segmentierung bis zum Monitoring.

In diesem Teil der Artikelserie zum BSI IT-Grundschutz für Netzwerke geht es nun an die inhaltlichen Gefährdungen und Anforderungen zu einzelnen Themenbereichen/Objekten. Konkret befasst sich dieser zweite Teil mit der zugrunde liegenden Netzarchitektur (Baustein NET.1.1) und dem Netzmanagement (Baustein NET.1.2).

Die Netzwerkarchitektur wird zunehmend durch eine höhere Quantität und diversifiziertere Endgeräte und Dienste definiert, die am und über das Netz betrieben werden. Zudem gibt es aufgrund der zunehmenden digitalen Arbeitsweise in den jeweiligen Organisationen auch gesteigerte Sicherheits- und Verfügbarkeitsanforderungen. Der Baustein NET.1.1 befasst sich mit der Architektur von verkabelten LAN- und WAN-Netzen inklusive der Anbindung von Externen und dem Zugriff auf und aus dem Internet, geht aber nicht auf Funk- oder Speichernetzwerke (SAN) ein. Er zeigt auf, wie bestimmte Bereiche zu segmentieren und an welchen Stellen welche Art von Firewalls nötig sind. Ziel ist es, Sicherheit als integralen Bestandteil der Sicherheitsarchitektur zu verankern.

Der Baustein NET.1.2 wirft einen Blick auf die Konfiguration von Netzwerkkomponenten und eine zentrale Monitoringlösung inklusive der Handhabung von relevanten Ereignissen und Protokollierungen.

Gefährdungen

Trivial gesagt drohen bei unzureichender Netzwerkarchitektur zunächst unnötige Ausfälle, unzureichende Performance oder ungenügend abgesicherte Netzzugänge. Die beste Planung hilft jedoch nichts, wenn der Aufbau des Netzwerks unsachgemäß erfolgt. Auch dies gilt also in diesem Themenbereich als Gefährdung.

Beim Netzwerkmanagement drohen hingehen unberechtigte Zugriffe auf zentrale Netzmanagement- oder Netzwerkkomponenten oder unautorisierte Eingriffe in die Kommunikation des Managements. Unzureichende Zeitsynchronisationen hört sich zunächst unkritisch an, birgt aber das Risiko, dass bei der Analyse performance-, verfügbarkeits- oder sicherheitskritische Daten nicht korreliert werden können, weshalb auch dies als Gefährdung genannt ist.

Basisanforderungen

Der Bereich der Basisanforderungen deckt, wie bereits im Artikelteil Teil 1 benannt, die Themen, die auch ohne jegliche Risikoanalyse „ohne Wenn und Aber“ umgesetzt werden müssen. Im Bereich der Netzwerkarchitektur beginnt dies mit etwas Paperwork in Form einer Sicherheitsrichtlinie.

Sicherheitsrichtlinie und Netzplan

Jedes Netzwerk benötigt eine verbindliche Sicherheitsrichtlinie, die als Rahmenwerk dient. In der Praxis bedeutet es, dass klare Regeln für die Nutzung, den Zugriff und die Absicherung des Netzes definiert werden müssen. Eine der wichtigsten Maßnahmen ist die Aufteilung des Netzes in logisch oder physisch getrennte Zonen, um Angriffsflächen zu reduzieren und die Ausbreitung von Sicherheitsvorfällen zu begrenzen. Typische Zonen sind das vertrauenswürdige interne Netz für kritische Geschäftsprozesse, die demilitarisierte Zone (DMZ) für öffentlich zugängliche Dienste wie Web- oder E-Mail-Server sowie das  nicht vertrauenswürdige externe Netz, etwa das Internet.

Wenn mehrere Mandanten, wie verschiedene Abteilungen, Kunden oder Partner, auf dieselbe Infrastruktur zugreifen, ist zu definieren, wie eine logische oder physische Trennung zu erfolgen hat, um Datenlecks und unerlaubte Zugriffe zu verhindern. Eine logische Trennung kann durch VLANs, VXLANs oder virtuelle Routing-Instanzen (VRF) erfolgen, während eine physische Trennung separate Hardwarekomponenten für jeden Mandanten erfordert. In vielen Netzen gibt es zudem unnötige erlaubte Kommunikationsbeziehungen, die Angreifern als Einfallstor dienen können. Daher müssen alle erlaubten Kommunikationsbeziehungen definiert und mit dem zugrunde liegenden Nutzungsszenarien dokumentiert werden. Die Richtlinie muss zudem definieren, wie administrative Netze, die für Management, Monitoring oder Backups genutzt werden, netztechnisch zu trennen sind. Zudem definiert sie auch die freigegebenen und einzusetzenden Verschlüsselungsvarianten in WAN- und LAN-Umgebungen und regelt erlaubte Kommunikationen mit Dritten.

Eine vollständige und aktuelle Dokumentation ist die Grundlage für Sicherheit, Wartung und Fehlerbehebung. In der Praxis bedeutet das, dass eine grafische Darstellung aller Zonen, Subnetze, Firewalls, Router und Switches erstellt wird, die als Netzplan dient. Als Basis kann bereits die Darstellung des Netzplans aus der Strukturanalyse dienen. Zusätzlich sollte dieser Plan jedoch auch die IP-Adressbereiche für jedes Subnetz sowie die Kommunikationsflüsse zwischen den Zonen enthalten.

Netzwerkplan mit Zonen, Segmentierungen und IP-Subnetzen.
Abbildung 1: Netzwerkplan mit Zonen, Segmentierungen und IP-Subnetzen.

Anforderungsspezifikation

Die Anforderungsspezifikation ist das Pflichtenheft für das Netz. Dazu gehören funktionale Anforderungen wie Bandbreite, Latenz und Verfügbarkeit, Sicherheitsanforderungen wie Verschlüsselung, Zugriffskontrollen und Protokollierung sowie Compliance-Anforderungen wie gesetzliche Vorgaben oder branchenspezifische Standards. Aus ihr muss sich die gesamte Architektur ableiten lassen.

Netztrennung in Zonen und Segmentierung

Die Aufteilung des Netzes in Zonen ist eine der wichtigsten Sicherheitsmaßnahmen. In der Praxis sieht es so aus, dass das Netz in mindestens drei Zonen unterteilt wird. Dies sind:

  1. ein vertrauenswürdiges internes Netz für interne Systeme,
  2. die DMZ für öffentlich zugängliche Dienste und
  3. das nicht vertrauenswürdige externe Netz, wie etwa das Internet.

Stateful Firewalls sind an allen Zonenübergängen Pflicht und müssen Allowlisting nutzen, um nur explizit erlaubten Verkehr durchzulassen. Von Extern nach Intern ist eine zweistufige Firewall-Struktur mit einem äußeren Paketfilter und einem inneren Paketfilter mit Stateful Inspection erforderlich. Für die DMZ-Trennung ist ebenfalls Stateful Inspection für den Verkehr zwischen DMZ und Intern/Extern notwendig. Falls durch Sicherheitsrichtlinien oder Anforderungen gefordert, kann das P-A-P-Prinzip (Paketfilter - Application Gateway - Paketfilter) erforderlich sein, wie etwa in hochsensiblen Umgebungen wie Banken oder Behörden.

Zudem müssen Clients und Server in getrennten Netzen betrieben werden, wobei nicht verwaltete Endgeräte, wie beispielsweise Gäste oder EC-Geräte in separaten Zonen zu segmentieren sind. Endgeräte mit ähnlichen Sicherheitsanforderungen werden zudem in eigenen Segmenten zusammengefasst.

Schützenswerte Daten sollten nur über sichere Protokolle gemäß dem jeweils gültigen Stand der Technik übertragen werden (VPN), insofern kein dediziertes gesichertes Managementnetz zum Einsatz kommt.

Internetübergänge

Bei Übergang von und zum Internet muss jeglicher Datenverkehr über eine Firewall geleitet werden, wobei nur explizit erlaubter Verkehr (Allowlisting) zugelassen wird. Für ausgehenden Verkehr ist ein Sicherheits-Proxy zu verwenden, der den Datenverkehr filtert und protokolliert. Typische erlaubte Protokolle sind HTTPS, DNS, NTP und E-Mail, wobei diese inzwischen zusätzlich in Next-Generation Firewalls (NGFW) mit protokoll- und applikationsspezifischen Filtern versehen werden. Nicht vertrauenswürdige Netze wie Partnernetze sind wie das Internet zu behandeln.

Alle Dienste und Anwendungen, die aus dem Internet erreichbar sein müssen, sind in der DMZ zu platzieren. Bei komplexen Anforderungen können mehrere DMZs eingerichtet werden, etwa eine für VPN, eine für Webserver, eine für E-Mail-Server und eine für UC-/VoIP-Applikationen. Bei Zugriffen von extern auf interne Ressourcen muss ein kryptografisch abgesicherter und auf autorisierte Endgeräte und Benutzer eingeschränkter Zugriff (VPN) erfolgen, der zusätzlich nach dem Tunnel noch einen internen Paketfilter durchdringen muss. VPN-Gateways sind in einer DMZ zu platzieren.

Ausgehender Datenverkehr in Richtung Internet ist immer über einen Sicherheitsproxy zu leiten, der den Verkehr filtert und protokolliert. Typische Funktionen eines Proxys sind das Blockieren von Malware, unerwünschten Websites oder Verbindungen zu Command-and-Control Servern.

Netzplanung

Eine gute Netzplanung ist die Grundlage für ein sicheres und effizientes Netz. Die Topologie des Gesamtnetzes und der Netzbereiche, also Zonen und Segmente, muss klar definiert sein. Auch die Dimensionierung und Redundanz von Netz- und Sicherheitskomponenten, Übertragungsstrecken und Externanbindungen sind zu planen. Die genutzten Protokolle und deren Konfiguration, insbesondere IPv4/IPv6-Subnetze von Endgerätegruppen, müssen dokumentiert werden.

Planung des Netzmanagements

Für das Management der Netze muss in der Planung eine Trennung von produktiven Netzen berücksichtigt werden und es braucht eine klare Definition der Regeln für den Zugriff auf Managementserver und Netzwerkkomponenten, also wer, wann und von wo und wie auf die Systeme zugreifen darf. Eingesetzte Protokolle wie IPv4, IPv6, SNMP oder Syslog sind zu dokumentieren und Ereignismeldungen inklusive deren Weiterleitung, wie beispielsweise an ein SIEM sind festzulegen. Für Syslog gibt es diverse Open Source Tools, etwa Graylog. Im SIEM-Umfeld hat sich in der vergangenen Zeit das Open Source SIEM-Tool Wazuh recht weit verbreitet. So lassen sich bei Sicherheitsvorfällen Ereignisse korrelieren.

Die Anforderungsspezifikation für das Netzmanagement muss detaillierte technische und organisatorische Maßnahmen enthalten, die für den sicheren Betrieb notwendig sind. Die Daten des jeweiligen Managementsystems sind zudem regelmäßig zu sichern.

Protokollierung und Zeit

Unerlaubte Zugriffe oder Zugriffsversuche wie gescheiterte Logins, Leistungs- oder Verfügbarkeitsschwankungen wie Bandbreitenengpässe oder Ausfälle, Fehler in automatischen Prozessen wie fehlgeschlagene Konfigurationsverteilungen müssen überwacht werden. Eine Festlegung, ob dies zentral oder dezentral von Clientsicht erforderlich ist, macht das BSI nicht, obwohl eine Clientsicht immer hilfreich ist, um ein realistisches Bild aus Anwendersicht zu erhalten. Wie erwähnt, müssen Managementsystem und Netzwerkkomponenten über synchronisierte Zeiten verfügen, um Ereignisse korrekt korrelieren zu können.

Beschränkung von Zugriffen

Für das Netzmanagement ist Inband-Management, also die Verwaltung aus dem produktiv genutzten Netzwerk, nur über sichere Protokolle wie SSH, HTTPS oder IPsec mit entsprechenden kryptografischen Eigenschaften und Authentisierungen gemäß Stand der Technik zulässig. Ist dies nicht möglich, sind separate, physische Managementnetze für Out-of-Band-Management zu nutzen. Beim Einsatz von SNMP darf nur Version 3 mit Authentifizierung und Verschlüsselung zur Anwendung kommen.

Standard-Anforderungen

In den Standardanforderungen muss zunächst die Netzarchitektur spezifiziert werden, einschließlich Angaben zur Zonierung, Virtualisierung (Overlay und Hypervisor), Redundanz, Firewalling und IDS/IPS sowie zu Layer-2- und Layer-3-Kommunikation und -Architekturen für Administration und Monitoring.

Segmentierung

Für die Internetanbindung ist bezüglich der Standardanforderungen eine P-A-P-Struktur erforderlich, das heißt ein externer Paketfilter, ein Applikationsfilter wie ein Proxy oder ein Application-Layer-Gateway (ALG) sowie ein interner Paketfilter. Gleichartige Endgeräte müssen zwingend als Gruppe einzelnen Segmenten zugewiesen werden. Infrastrukturdienste wie DNS, NTP, DHCP oder ein Verzeichnisdienst sollten in separaten Subnetzen mit einer Trennung über eine Stateful Firewall betrieben werden. Gleiches gilt für den Managementbereich, der nur über eine Stateful Firewall als Out-of-Band-Management abgesichert betrieben werden soll. Zu diesem Managementsegment zählen AAA-Server, Monitoringsysteme, Syslog- und SIEM-Server sowie Managementschnittstellen der zu verwaltenden Systeme (beispielsweise Switches, Router, Firewalls und Server).

P-A-P-Struktur mit dreistufiger Sicherheitsarchitektur.
Abbildung 2: P-A-P-Struktur mit dreistufiger Sicherheitsarchitektur, also doppeltem Stateful Firewalling und einer Applikationsfilterung.

Das gesamte Segmentierungskonzept muss festgelegt werden. Dabei sind neben den unterschiedlichen Segmenten für Standard-Clients wie Notebooks, Drucker und Telefone insbesondere auch Sonderthemen wie Test- und Entwicklungssysteme sowie die Einbindung von Hypervisoren, Load-Balancern und Datensicherungssystemen zu berücksichtigen.

Komponenten mit unterschiedlichem Schutzbedarf müssen in verschiedenen Zonen betrieben werden. Ist dies nicht möglich, müssen sich die Sicherheitsmaßnahmen nach dem höchsten Schutzbedarf richten.

Werden VLANs eingesetzt, darf es zu keiner Kopplung der internen Zonen mit der Sicherheitszone in weniger vertrauenswürdigen Bereichen kommen. Es sind also Maßnahmen gegen VLAN-Hopping erforderlich. Darunter versteht man den unautorisierten Missbrauch von VLANs durch doppelt getaggte Ethernet-Frames.

Wer schreibt, der bleibt: Paperwork

Zur Architektur gehören auch eine Fein- und Umsetzungsplanung sowie eine Spezifikation der darauf folgenden Betriebsprozesse für den Netzwerkbetrieb. Dabei sind die Auswirkungen der Segmentierung auf die Endanwender zu berücksichtigen. Zudem muss die Netzarchitektur in die Notfallplanung integriert werden.

Im Bereich des Netzmanagements muss zunächst eine Sicherheitsrichtlinie definiert und das Netzmanagement inklusive der benötigten Sicherheitsmaßnahmen konzeptioniert und dokumentiert werden. Dabei sind unter anderem Methoden, Techniken und Werkzeuge sowie durchzuführende Monitorings, zugehörige Protokollierungen und Alarmierungsketten zu beschreiben. Zu berücksichtigen sind auch Automatisierungslösungen für die verteilte Administration, wie beispielsweise Ansible für die Switch-Konfiguration.

Zugriffe zur Administration

Zugriffe auf Managementsysteme sollten nur aus administrativen Netzen von dedizierten Managementclients erfolgen oder, falls nicht anders möglich, über einen Jump-Host erfolgen. Bei der Administration von externen (beispielsweise Cloud-Services) und internen Systemen sind unterschiedliche Managementclients zu verwenden. Alle Systeme sind gemäß dem Least-Privilege Prinzips zu härten und deren Konfigurationen zentral zu verwalten. Falls VLANs im Managementnetz zum Einsatz kommen, so sind Systeme des äußeren Paketfilters, sowie daran angebundene Systeme in einem separaten Segment zu verwalten.

Tiefere Prüfungen und Einbindungen in Notfallketten und -pläne

Neben der reinen Verfügbarkeitsüberwachung müssen standardmäßig auch Performance-Metriken herangezogen werden. Bei wichtigen Ereignissen müssen zudem zentrale Managementsysteme mit Informationen versorgt und automatisierte Benachrichtigungen an die zuständigen Personen initiiert werden. Aufgrund ihrer Relevanz ist auch das Management in die Notfallplanung einzubeziehen, um kurze Wiederherstellungszeiten zu erreichen.

Erhöhter Schutzbedarf

Bei erhöhtem Schutzbedarf neigt man in der Netzarchitektur schnell zu einer Hardwareschlacht. Zentrale Komponenten müssen hochverfügbar ausgelegt und konfiguriert sein. Gleiches gilt für WAN- und Internet-Anbindungen, die je nach Verfügbarkeitsanforderung auf unterschiedlichen Techniken, Kabeltrassen und Knoten von verschiedenen Providern basieren sollten. Mögliche Single Points of Failure und Gefährdungen in den Umgebungsbedingungen sind zu berücksichtigen. Zudem müssen unterschiedliche Netzsegmente und Managementnetze physikalisch getrennt ausgeführt werden, wodurch wesentlich mehr Switches benötigt werden. Hinzu kommt, dass bei sehr hohem Schutzbedarf überhaupt keine VLANs mehr erlaubt sind.

DDoS-Attacken nehmen seit einigen Jahren kontinuierlich zu. Folglich sind bei erhöhtem Schutzbedarf auch gegen diese Form der Verfügbarkeitsreduktion Gegenmaßnahmen zu ergreifen. Ein Beispiel hierfür ist der Einkauf von entsprechenden Provider-Services gegen volumetrische Attacken.

Segmentierung, Verschlüsselung & DLP

Server oder auch Endgeräte mit sehr ähnlichen Anforderungsprofil und gleichem Schutzbedarf sollten in kleine separate Netzsegmente einsortiert werden. Dies gilt insbesondere in DMZ-Umgebungen.

Selbst in internen Netzen, im Extranet oder in den DMZs sollten bereits auf Netzwerkebene Verschlüsselungsverfahren, wie IPsec-VPN oder MACsec zum Einsatz kommen. Gegen ein unkontrolliertes Abfließen von Daten braucht es zudem eine netzbasierte DLP.

Erhöhte Anforderungen auch beim Netzwerkmanagement

Auch beim Netzmanagement setzt der erhöhte Schutzbedarf eine hochverfügbare Realisierung der Managementlösung voraus. Es sollen zudem nur sichere Protokolle mit all ihren Sicherheitsfunktionen zum Einsatz kommen. Die physische Trennung der Managementsegmente ist bereits Teil der Netzarchitektur.

Die Protokollierung sollte in eine SIEM-Umgebung erfolgen, um eine gesetzeskonforme und revisionssichere Archivierung zu ermöglichen. Standortübergreifend sollten nun auch gemeinsame Referenzzeiten zur Korrelation von Ereignissen gelten. In der Praxis wird meist UTC auf allen Komponenten genutzt. Darüber hinaus sollten Notbetriebsformen für die Verwaltung von Komponenten definiert werden, um die Wiederanlaufzeiten im Fall eines Disaster Recovery zu verringern.

Die Artikelserie BSI-konformes Netzwerk

Diese Artikelserie soll einen praxisnahen Einblick in das Vorgehen bei der Implementierung von IT-Grundschutz geben und konkrete Hilfestellungen sowie Szenarien zu den Objekten darstellen. Der erste Teil der Serie BSI-konformes Netzwerk: Grundlagen zum IT-Grundschutz behandelt daher die IT-Grundschutzsystematiken wie die Strukturanalyse, die Schutzbedarfsfeststellung und die Anforderungskategorisierung inklusive Hinweisen zur Einordnung verschiedener Maßnahmen. In den weiteren Artikeln behandeln wir jeweils konkrete Themenbereiche wie Netzwerkarchitektur, WLAN oder Switches.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb