Absicherung von Netzwerksegmenten
Hallo zusammen,
ich habe ein paar allgemeine Fragen an euch, um paar Informationen zu sammeln.
Wie segmentiert ihr eure Netzwerke?
Wie schützt ihr die einzelnen Segmente? Wenn wir von trust, untrust und DMZ ausgehen ist es eigentlich ganz leicht über eine Firewall abzudecken, aber wie macht ihr das, wenn Ihr 20-30 Segmente habt, die untereinander geschützt werden müssen.
Gruß Tekx
ich habe ein paar allgemeine Fragen an euch, um paar Informationen zu sammeln.
Wie segmentiert ihr eure Netzwerke?
Wie schützt ihr die einzelnen Segmente? Wenn wir von trust, untrust und DMZ ausgehen ist es eigentlich ganz leicht über eine Firewall abzudecken, aber wie macht ihr das, wenn Ihr 20-30 Segmente habt, die untereinander geschützt werden müssen.
Gruß Tekx
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5991131815
Url: https://administrator.de/contentid/5991131815
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Es wird nur das kommuniziert, was nötig ist. Alles andere wird abgestellt. Unbeabsichtigte Kommunikation fällt auf und geht nicht von schwacher Software aus.
Ansonsten mit Firewalls.
Ansonsten mit Firewalls.
Hi.
das hängt von dem angestrebten Securitylevel ab. Die einfachste Möglichkeit wäre eine Netzsegmentierung per VLAN und entsprechendem Routing und ACL's, sofern die Netzwerkkomponenten das zulassen (Layer 3 Switche).
Sicherer ist die Segmentierung durch Firewalls.
Eine DMZ würde ich grundsätzlich durch eine Firewall abtrennen.
Gruß
Cadel
das hängt von dem angestrebten Securitylevel ab. Die einfachste Möglichkeit wäre eine Netzsegmentierung per VLAN und entsprechendem Routing und ACL's, sofern die Netzwerkkomponenten das zulassen (Layer 3 Switche).
Sicherer ist die Segmentierung durch Firewalls.
Eine DMZ würde ich grundsätzlich durch eine Firewall abtrennen.
Gruß
Cadel
Hi,
rein technisch betrachtet wurden hier schon die wesentlichen Aspekte genannt.
Eine Segmentierung wird heutzutage häufig im Kontext von IT-Security durchgeführt und hier muss man sich eine wichtige Frage stellen, um die maximale Größe eines Segments zu bestimmen.
Ein Segment ist maximal so groß wie der Schaden der entstehen darf, um weiterhin handlungsfähig zu bleiben, solltest Du dieses Segment vollständig verlieren. (Geht nicht mit allen Segmenten :D)
Im Optimalfall machst Du die Segmente so klein, dass der maximal einstehende Schaden kaum spürbar (Aus gesamtheitlicher Sicht) ist. Dabei muss man immer im Auge behalten, dass viele Segmente auch ebenfalls viel Dokumentation, Komplexität und dementsprechendes Management erfordern.
Hier muss also ein gesundes Maß angewendet werden.
Natürlich spielen ab einer gewissen Größe auch wieder technische Aspekte eine Rolle, wie z.B. sehr große Broadcast Domains etc (bin da technisch nicht so super tief drin, da können die Kollegen bestimmt mehr zu sagen)
Inhaltlich sollten deine Segmente natürlich einen gewissen Kontext bilden.
Als Beispiel: Du hast einen Webdienst, dieser braucht für den Betrieb eine Datenbank und einen Backendserver mit ein paar Services für den Webserver -> Könnte ein Segment werden.
Was keinen Sinn macht ist z.B. Webserver, Domain Controller, SharePoint oder sowas zu vermischen, da bringen die Segmente auch nicht mehr sonderlich viel.
Die Segmente untereinander routet man im Idealfall über eine Firewall und gibt zwischen den Segmenten nur die Applikationen / Ports frei, welche für den Betrieb wirklich notwendig sind, alles andere bleibt zu.
Die Vorredner wiesen aber berechtigterweise schon auf das gewünschte Securitylevel hin, welches auch von der bestehenden Belegschaft bedient werden muss. Wenn hier kein entsprechendes Knowledge vorhanden ist, würde ich nicht empfehlen eine zu komplexe Struktur aufzubauen. Erfahrungsgemäß neigen Admins bei zu komplexen Infrastrukturen dazu, sich unschöne Brücken zu bauen, welche die teuer aufgebaute Infrastruktur wieder zu einem schweizer Käse verwandeln.
Abschließend sei gesagt, dass mein aufgezeigter Ansatz wie unschwer zu erkennen einen starken Applikationsfokus hat. Heißt die Segmente orientieren sich maßgeblich an den Applikationen und lassen sich weitestgehend hiervon ableiten. Es gibt natürlich auch andere Vorgehensweisen welche empfehlenswert sind, ich persönlich bin aber in der Vergangenheit mit der applikationsbasierten Segmentierung am besten gefahren.
rein technisch betrachtet wurden hier schon die wesentlichen Aspekte genannt.
Eine Segmentierung wird heutzutage häufig im Kontext von IT-Security durchgeführt und hier muss man sich eine wichtige Frage stellen, um die maximale Größe eines Segments zu bestimmen.
Ein Segment ist maximal so groß wie der Schaden der entstehen darf, um weiterhin handlungsfähig zu bleiben, solltest Du dieses Segment vollständig verlieren. (Geht nicht mit allen Segmenten :D)
Im Optimalfall machst Du die Segmente so klein, dass der maximal einstehende Schaden kaum spürbar (Aus gesamtheitlicher Sicht) ist. Dabei muss man immer im Auge behalten, dass viele Segmente auch ebenfalls viel Dokumentation, Komplexität und dementsprechendes Management erfordern.
Hier muss also ein gesundes Maß angewendet werden.
Natürlich spielen ab einer gewissen Größe auch wieder technische Aspekte eine Rolle, wie z.B. sehr große Broadcast Domains etc (bin da technisch nicht so super tief drin, da können die Kollegen bestimmt mehr zu sagen)
Inhaltlich sollten deine Segmente natürlich einen gewissen Kontext bilden.
Als Beispiel: Du hast einen Webdienst, dieser braucht für den Betrieb eine Datenbank und einen Backendserver mit ein paar Services für den Webserver -> Könnte ein Segment werden.
Was keinen Sinn macht ist z.B. Webserver, Domain Controller, SharePoint oder sowas zu vermischen, da bringen die Segmente auch nicht mehr sonderlich viel.
Die Segmente untereinander routet man im Idealfall über eine Firewall und gibt zwischen den Segmenten nur die Applikationen / Ports frei, welche für den Betrieb wirklich notwendig sind, alles andere bleibt zu.
Die Vorredner wiesen aber berechtigterweise schon auf das gewünschte Securitylevel hin, welches auch von der bestehenden Belegschaft bedient werden muss. Wenn hier kein entsprechendes Knowledge vorhanden ist, würde ich nicht empfehlen eine zu komplexe Struktur aufzubauen. Erfahrungsgemäß neigen Admins bei zu komplexen Infrastrukturen dazu, sich unschöne Brücken zu bauen, welche die teuer aufgebaute Infrastruktur wieder zu einem schweizer Käse verwandeln.
Abschließend sei gesagt, dass mein aufgezeigter Ansatz wie unschwer zu erkennen einen starken Applikationsfokus hat. Heißt die Segmente orientieren sich maßgeblich an den Applikationen und lassen sich weitestgehend hiervon ableiten. Es gibt natürlich auch andere Vorgehensweisen welche empfehlenswert sind, ich persönlich bin aber in der Vergangenheit mit der applikationsbasierten Segmentierung am besten gefahren.
Zitat von @tekx11:
Guten Abend,
hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.
Gruß Tekx
Guten Abend,
hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.
Gruß Tekx
Willst Du etwa für jedes Segment einen eigenen Switch kaufen und zwischen jeden Switch eine Firewall hängen?
VLANs sind hier afaik der Standard, zu mindestens in on-premise Netzwerken.