8
Absicherung von Netzwerksegmenten
Hallo zusammen,
ich habe ein paar allgemeine Fragen an euch, um paar Informationen zu sammeln.
Wie segmentiert ihr eure Netzwerke?
Wie schützt ihr die einzelnen Segmente? Wenn wir von trust, untrust und DMZ ausgehen ist es eigentlich ganz leicht über eine Firewall abzudecken, aber wie macht ihr das, wenn Ihr 20-30 Segmente habt, die untereinander geschützt werden müssen.
Gruß Tekx
ich habe ein paar allgemeine Fragen an euch, um paar Informationen zu sammeln.
Wie segmentiert ihr eure Netzwerke?
Wie schützt ihr die einzelnen Segmente? Wenn wir von trust, untrust und DMZ ausgehen ist es eigentlich ganz leicht über eine Firewall abzudecken, aber wie macht ihr das, wenn Ihr 20-30 Segmente habt, die untereinander geschützt werden müssen.
Gruß Tekx
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5991131815
Url: https://administrator.de/contentid/5991131815
Ausgedruckt am: 05.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
entweder über eine Firewall (zB. zw. Verwaltung und Produktion) oder über ACLs im Switch.
Kommt auf die Komplexität der Regeln an
Jürgen
entweder über eine Firewall (zB. zw. Verwaltung und Produktion) oder über ACLs im Switch.
Kommt auf die Komplexität der Regeln an
Jürgen
Es wird nur das kommuniziert, was nötig ist. Alles andere wird abgestellt. Unbeabsichtigte Kommunikation fällt auf und geht nicht von schwacher Software aus.
Ansonsten mit Firewalls.
Ansonsten mit Firewalls.
Hi.
das hängt von dem angestrebten Securitylevel ab. Die einfachste Möglichkeit wäre eine Netzsegmentierung per VLAN und entsprechendem Routing und ACL's, sofern die Netzwerkkomponenten das zulassen (Layer 3 Switche).
Sicherer ist die Segmentierung durch Firewalls.
Eine DMZ würde ich grundsätzlich durch eine Firewall abtrennen.
Gruß
Cadel
das hängt von dem angestrebten Securitylevel ab. Die einfachste Möglichkeit wäre eine Netzsegmentierung per VLAN und entsprechendem Routing und ACL's, sofern die Netzwerkkomponenten das zulassen (Layer 3 Switche).
Sicherer ist die Segmentierung durch Firewalls.
Eine DMZ würde ich grundsätzlich durch eine Firewall abtrennen.
Gruß
Cadel
Hi,
rein technisch betrachtet wurden hier schon die wesentlichen Aspekte genannt.
Eine Segmentierung wird heutzutage häufig im Kontext von IT-Security durchgeführt und hier muss man sich eine wichtige Frage stellen, um die maximale Größe eines Segments zu bestimmen.
Ein Segment ist maximal so groß wie der Schaden der entstehen darf, um weiterhin handlungsfähig zu bleiben, solltest Du dieses Segment vollständig verlieren. (Geht nicht mit allen Segmenten :D)
Im Optimalfall machst Du die Segmente so klein, dass der maximal einstehende Schaden kaum spürbar (Aus gesamtheitlicher Sicht) ist. Dabei muss man immer im Auge behalten, dass viele Segmente auch ebenfalls viel Dokumentation, Komplexität und dementsprechendes Management erfordern.
Hier muss also ein gesundes Maß angewendet werden.
Natürlich spielen ab einer gewissen Größe auch wieder technische Aspekte eine Rolle, wie z.B. sehr große Broadcast Domains etc (bin da technisch nicht so super tief drin, da können die Kollegen bestimmt mehr zu sagen)
Inhaltlich sollten deine Segmente natürlich einen gewissen Kontext bilden.
Als Beispiel: Du hast einen Webdienst, dieser braucht für den Betrieb eine Datenbank und einen Backendserver mit ein paar Services für den Webserver -> Könnte ein Segment werden.
Was keinen Sinn macht ist z.B. Webserver, Domain Controller, SharePoint oder sowas zu vermischen, da bringen die Segmente auch nicht mehr sonderlich viel.
Die Segmente untereinander routet man im Idealfall über eine Firewall und gibt zwischen den Segmenten nur die Applikationen / Ports frei, welche für den Betrieb wirklich notwendig sind, alles andere bleibt zu.
Die Vorredner wiesen aber berechtigterweise schon auf das gewünschte Securitylevel hin, welches auch von der bestehenden Belegschaft bedient werden muss. Wenn hier kein entsprechendes Knowledge vorhanden ist, würde ich nicht empfehlen eine zu komplexe Struktur aufzubauen. Erfahrungsgemäß neigen Admins bei zu komplexen Infrastrukturen dazu, sich unschöne Brücken zu bauen, welche die teuer aufgebaute Infrastruktur wieder zu einem schweizer Käse verwandeln.
Abschließend sei gesagt, dass mein aufgezeigter Ansatz wie unschwer zu erkennen einen starken Applikationsfokus hat. Heißt die Segmente orientieren sich maßgeblich an den Applikationen und lassen sich weitestgehend hiervon ableiten. Es gibt natürlich auch andere Vorgehensweisen welche empfehlenswert sind, ich persönlich bin aber in der Vergangenheit mit der applikationsbasierten Segmentierung am besten gefahren.
rein technisch betrachtet wurden hier schon die wesentlichen Aspekte genannt.
Eine Segmentierung wird heutzutage häufig im Kontext von IT-Security durchgeführt und hier muss man sich eine wichtige Frage stellen, um die maximale Größe eines Segments zu bestimmen.
Ein Segment ist maximal so groß wie der Schaden der entstehen darf, um weiterhin handlungsfähig zu bleiben, solltest Du dieses Segment vollständig verlieren. (Geht nicht mit allen Segmenten :D)
Im Optimalfall machst Du die Segmente so klein, dass der maximal einstehende Schaden kaum spürbar (Aus gesamtheitlicher Sicht) ist. Dabei muss man immer im Auge behalten, dass viele Segmente auch ebenfalls viel Dokumentation, Komplexität und dementsprechendes Management erfordern.
Hier muss also ein gesundes Maß angewendet werden.
Natürlich spielen ab einer gewissen Größe auch wieder technische Aspekte eine Rolle, wie z.B. sehr große Broadcast Domains etc (bin da technisch nicht so super tief drin, da können die Kollegen bestimmt mehr zu sagen)
Inhaltlich sollten deine Segmente natürlich einen gewissen Kontext bilden.
Als Beispiel: Du hast einen Webdienst, dieser braucht für den Betrieb eine Datenbank und einen Backendserver mit ein paar Services für den Webserver -> Könnte ein Segment werden.
Was keinen Sinn macht ist z.B. Webserver, Domain Controller, SharePoint oder sowas zu vermischen, da bringen die Segmente auch nicht mehr sonderlich viel.
Die Segmente untereinander routet man im Idealfall über eine Firewall und gibt zwischen den Segmenten nur die Applikationen / Ports frei, welche für den Betrieb wirklich notwendig sind, alles andere bleibt zu.
Die Vorredner wiesen aber berechtigterweise schon auf das gewünschte Securitylevel hin, welches auch von der bestehenden Belegschaft bedient werden muss. Wenn hier kein entsprechendes Knowledge vorhanden ist, würde ich nicht empfehlen eine zu komplexe Struktur aufzubauen. Erfahrungsgemäß neigen Admins bei zu komplexen Infrastrukturen dazu, sich unschöne Brücken zu bauen, welche die teuer aufgebaute Infrastruktur wieder zu einem schweizer Käse verwandeln.
Abschließend sei gesagt, dass mein aufgezeigter Ansatz wie unschwer zu erkennen einen starken Applikationsfokus hat. Heißt die Segmente orientieren sich maßgeblich an den Applikationen und lassen sich weitestgehend hiervon ableiten. Es gibt natürlich auch andere Vorgehensweisen welche empfehlenswert sind, ich persönlich bin aber in der Vergangenheit mit der applikationsbasierten Segmentierung am besten gefahren.
Guten Abend,
hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.
Gruß Tekx
hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.
Gruß Tekx
Hallo,
was soll den an VLANs ein Sicherheitsrisiko sein?
Netzwerktechnisch gibt es keinen Unterschied zw. LAN und VLAN. Ein LAN-Segment bzw. ein VLAN entspricht einem Subnetz. Dazwischen wird geroutet, gegebenenfalls mit Firewall.
Jürgen
was soll den an VLANs ein Sicherheitsrisiko sein?
Netzwerktechnisch gibt es keinen Unterschied zw. LAN und VLAN. Ein LAN-Segment bzw. ein VLAN entspricht einem Subnetz. Dazwischen wird geroutet, gegebenenfalls mit Firewall.
Jürgen
Zitat von @tekx11:
Guten Abend,
hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.
Gruß Tekx
Guten Abend,
hat man denn noch eine andere Möglichkeit außer das über VLANs abzubilden? Ich kann mir vorstellen, dass die einen oder anderen das als Sicherheitsrisiko sehen könnten.
Gruß Tekx
Willst Du etwa für jedes Segment einen eigenen Switch kaufen und zwischen jeden Switch eine Firewall hängen?
VLANs sind hier afaik der Standard, zu mindestens in on-premise Netzwerken.
VLANs sind nicht unsicher. Unsicher wird es, wenn ein infizierter Rechner Zugriff in mehrere VLANs hat. Solange er nur ein Untagged VLAN abbekommt, kann er daraus auch nicht ausbrechen.
