tekx11
Goto Top

Absicherung von Netzwerksegmenten

Hallo zusammen,

ich habe ein paar allgemeine Fragen an euch, um paar Informationen zu sammeln.
Wie segmentiert ihr eure Netzwerke?
Wie schützt ihr die einzelnen Segmente? Wenn wir von trust, untrust und DMZ ausgehen ist es eigentlich ganz leicht über eine Firewall abzudecken, aber wie macht ihr das, wenn Ihr 20-30 Segmente habt, die untereinander geschützt werden müssen.

Gruß Tekx

Content-ID: 5991131815

Url: https://administrator.de/contentid/5991131815

Ausgedruckt am: 05.11.2024 um 09:11 Uhr

chiefteddy
chiefteddy 15.02.2023 um 14:17:41 Uhr
Goto Top
Hallo,

entweder über eine Firewall (zB. zw. Verwaltung und Produktion) oder über ACLs im Switch.
Kommt auf die Komplexität der Regeln an

Jürgen
2423392070
2423392070 15.02.2023 um 14:24:25 Uhr
Goto Top
Es wird nur das kommuniziert, was nötig ist. Alles andere wird abgestellt. Unbeabsichtigte Kommunikation fällt auf und geht nicht von schwacher Software aus.
Ansonsten mit Firewalls.
CadelPigott
CadelPigott 15.02.2023 um 15:31:29 Uhr
Goto Top
Hi.
das hängt von dem angestrebten Securitylevel ab. Die einfachste Möglichkeit wäre eine Netzsegmentierung per VLAN und entsprechendem Routing und ACL's, sofern die Netzwerkkomponenten das zulassen (Layer 3 Switche).
Sicherer ist die Segmentierung durch Firewalls.

Eine DMZ würde ich grundsätzlich durch eine Firewall abtrennen.
Gruß
Cadel
Cloudrakete
Cloudrakete 15.02.2023 aktualisiert um 16:47:54 Uhr
Goto Top
Hi,

rein technisch betrachtet wurden hier schon die wesentlichen Aspekte genannt.
Eine Segmentierung wird heutzutage häufig im Kontext von IT-Security durchgeführt und hier muss man sich eine wichtige Frage stellen, um die maximale Größe eines Segments zu bestimmen.

Ein Segment ist maximal so groß wie der Schaden der entstehen darf, um weiterhin handlungsfähig zu bleiben, solltest Du dieses Segment vollständig verlieren. (Geht nicht mit allen Segmenten :D)
Im Optimalfall machst Du die Segmente so klein, dass der maximal einstehende Schaden kaum spürbar (Aus gesamtheitlicher Sicht) ist. Dabei muss man immer im Auge behalten, dass viele Segmente auch ebenfalls viel Dokumentation, Komplexität und dementsprechendes Management erfordern.

Hier muss also ein gesundes Maß angewendet werden.
Natürlich spielen ab einer gewissen Größe auch wieder technische Aspekte eine Rolle, wie z.B. sehr große Broadcast Domains etc (bin da technisch nicht so super tief drin, da können die Kollegen bestimmt mehr zu sagen)

Inhaltlich sollten deine Segmente natürlich einen gewissen Kontext bilden.
Als Beispiel: Du hast einen Webdienst, dieser braucht für den Betrieb eine Datenbank und einen Backendserver mit ein paar Services für den Webserver -> Könnte ein Segment werden.

Was keinen Sinn macht ist z.B. Webserver, Domain Controller, SharePoint oder sowas zu vermischen, da bringen die Segmente auch nicht mehr sonderlich viel.

Die Segmente untereinander routet man im Idealfall über eine Firewall und gibt zwischen den Segmenten nur die Applikationen / Ports frei, welche für den Betrieb wirklich notwendig sind, alles andere bleibt zu.


Die Vorredner wiesen aber berechtigterweise schon auf das gewünschte Securitylevel hin, welches auch von der bestehenden Belegschaft bedient werden muss. Wenn hier kein entsprechendes Knowledge vorhanden ist, würde ich nicht empfehlen eine zu komplexe Struktur aufzubauen. Erfahrungsgemäß neigen Admins bei zu komplexen Infrastrukturen dazu, sich unschöne Brücken zu bauen, welche die teuer aufgebaute Infrastruktur wieder zu einem schweizer Käse verwandeln.


Abschließend sei gesagt, dass mein aufgezeigter Ansatz wie unschwer zu erkennen einen starken Applikationsfokus hat. Heißt die Segmente orientieren sich maßgeblich an den Applikationen und lassen sich weitestgehend hiervon ableiten. Es gibt natürlich auch andere Vorgehensweisen welche empfehlenswert sind, ich persönlich bin aber in der Vergangenheit mit der applikationsbasierten Segmentierung am besten gefahren.
tekx11
tekx11 15.02.2023 um 21:16:18 Uhr
Goto Top
Guten Abend,

hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.

Gruß Tekx
chiefteddy
chiefteddy 15.02.2023 um 21:33:52 Uhr
Goto Top
Hallo,
was soll den an VLANs ein Sicherheitsrisiko sein?
Netzwerktechnisch gibt es keinen Unterschied zw. LAN und VLAN. Ein LAN-Segment bzw. ein VLAN entspricht einem Subnetz. Dazwischen wird geroutet, gegebenenfalls mit Firewall.

Jürgen
Cloudrakete
Cloudrakete 15.02.2023 um 22:09:18 Uhr
Goto Top
Zitat von @tekx11:

Guten Abend,

hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.

Gruß Tekx

Willst Du etwa für jedes Segment einen eigenen Switch kaufen und zwischen jeden Switch eine Firewall hängen?
VLANs sind hier afaik der Standard, zu mindestens in on-premise Netzwerken.
NordicMike
NordicMike 15.02.2023 um 22:46:03 Uhr
Goto Top
VLANs sind nicht unsicher. Unsicher wird es, wenn ein infizierter Rechner Zugriff in mehrere VLANs hat. Solange er nur ein Untagged VLAN abbekommt, kann er daraus auch nicht ausbrechen.