Management und Wissen / Segmentierung

Netzwerksegmentierung gegen IoT-Wildwuchs

Unternehmensnetze sehen sich heute mit einer Vielzahl bekannter und unbekannter IT-Geräte konfrontiert. Um in einem unübersichtlichen und heterogen administrierten Umfeld von BYOD und IoT für Sicherheit zu sorgen, empfiehlt sich eine Segmentierung und automatische Zuweisung in VLANs.

Von Christian Bücker, Berlin

Das Internet of Things (IoT) und Trends wie BYOD sorgen branchenübergreifend und unabhängig von Unternehmensgrößen für effizientere, flexiblere Arbeitsweisen und Services. Andererseits vergrößert die schiere Menge und Diversität an Akteuren im Netzwerk auch die Angriffsfläche und das Risiko eventueller Schwachstellen. Gerade alltägliche Geräte, wie Netzwerkdrucker und Internetradios, oder autonom arbeitende Komponenten, wie Sensoren an entfernt gelegenen Standorten, sind bedenklich.

Um dieses Wildwuchses Herr zu werden, ist der logische Weg, den Zugriff jedes Akteurs derart zu beschränken, dass er wirklich nur auf die Teile des Netzwerks zugreifen kann, die er braucht. Das Zauberwort heißt Segmentierung, also Trennung oder Isolation von Netzwerken meist über eine oder mehrere Firewalls. In besonders sensiblen Umgebungen – man denke an staatliche Einrichtungen oder kritische Infrastrukturen – kann auch eine physische Netztrennung interessant sein.

Zweischneidiges Schwert

Die Vorteile der Segmentierung liegen quasi auf der Hand: Die Abschottung unternehmenskritischer Server und Applikationen nach einem „Need-to-know“-Prinzip bewirkt ein hohes Sicherheitsniveau, da man zuallererst einmal überhaupt von ihrer Existenz wissen muss – und Mitarbeiter gelangen nur in benötigte Netzwerk-Bereiche. Anstrengungen bei Security-Audits und Anfragen vonseiten der Business-Partner und Kunden werden minimiert und zu guter Letzt sind Vereinfachungen beim Netzwerk- Management, Ereignis-Monitoring und der Reaktion auf Vorfälle möglich.

Auf der anderen Seite kann die Segmentierung auch Stolpersteine bereithalten: Wenn man sie nicht durch Virtual Local-Area-Networks (VLANs) verwirklicht, kann der Zugriff von übergreifenden Abteilungen oder externen Parteien auf mehrere interne Netzwerke und damit auf entsprechende Business-Prozesse blockiert sein. Und falls keine übergreifende Lösung im Einsatz ist, die Segmente und Zugang überwacht und verwaltet, können Scans nach Sicherheitslücken sehr aufwändig sein: Der Scanner muss dann physisch oder logisch mithilfe von Zugriffskontrollen (ACL) oder Firewall-Regeln von Segment zu Segment bewegt werden. Außerdem ist in einem solchen Szenario jedes Netzwerksegment einzeln (z. B. mit Anti-Malware, Intrusion-Prevention, Backup und Recovery) zu schützen.

Im Hinblick auf die immer komplexer werdenden Netzwerklandschaften überwiegen die Vorteile der Segmentierung dennoch die damit verbundenen Herausforderungen. Zumal der Einsatz von VLANs und einer übergreifenden Verwaltungslösung praktisch alle Stolpersteine beseitigen kann, wie im Folgenden gezeigt werden soll.

Effiziente Virtualisierung

Die logische Trennung von der zugrundeliegenden Hardware durch Virtualisierung der Netzwerke ermöglicht eine freie Einteilung und Konfiguration der verschiedenen Segmente auf OSI-Layer 2. Hierzu muss die VLAN-ID auf allen Systemen identisch sein, die über dieses VLAN kommunizieren sollen: Über sie organisiert die Netzwerkhardware (ob Server, Switch, Router oder Firewall) die Zuteilung der Datenströme. Diese sind separiert, können verschieden behandelt werden und unterschiedliche Bandbreite aufweisen – ein Backup braucht schließlich mehr Datenvolumen als der Traffic im Gäste-WLAN.

To tag or not to tag

Ein wichtiger Punkt sind zudem die Portzuweisung am Switch und das so genannte „Taggen“: Auf allen Switches müssen die VLANs den richtigen Ports zugewiesen bekommen, der dann entweder mit einem Tag versehen ist oder nicht. „Untagged VLANs“ funktionieren ausschließlich portbasiert. Bei „tagged VLANs“ kann man dagegen mehrere Segmente über einen Switch-Port nutzen, da den einzelnen Ethernet-Frames Tags angehängt werden, in dem jeweils die VLAN-ID vermerkt ist, für die das Frame bestimmt ist.

Dann kommt es darauf an, ob die verwendeten Geräte diese Tags auch verstehen: PCs, Drucker und so weiter können dies in der Regel nicht und benötigen daher einen untagged Port. IP-Telefone sind hingegen schlauer – und damit auch komplizierter: Da sie Tags verstehen, der PC dahinter, an den das Netzwerksignal gesendet wird, aber nicht, muss man mit zwei VLANs (tagged und untagged) arbeiten, um die Dienstgüte des Telefons sicherzustellen. Denn: Eine Priorisierung der Datenströme nach Auslastung und Dienstgüte ist enorm wichtig! Verzögerungen bei der Internet-Telefonie durch falsche Priorisierung können dazu führen, dass die Sprachübertragung verzögert wird oder abbricht und damit letztlich unbrauchbar ist. Daher sollte ein solcher Service höher priorisiert werden und nicht über dasselbe Segment laufen wie beispielsweise Backups oder Migrationen, die hohe Lasten erzeugen.

Routing und Security

Auch bezüglich der Sicherheit bietet eine Segmentierung durch VLANs einige Vorteile: Anwender können nicht ohne Weiteres das VLAN wechseln, da der Zugriff stets durch den Administrator eingerichtet werden muss – ohne dessen Eingriff fehlt schlicht die Route zum Ziel.

Um in andere VLANs zu gelangen, muss der Traffic auf OSI-Layer 3 geroutet werden. Je nachdem, welche Funktion ein VLAN hat und wo es eingerichtet ist, kann dabei eine Differenzierung der Routing-Instanz sinnvoll sein: Netze ohne zwingenden Internetzugriff (z. B. für Backups) sollte man auf einem L3-fähigen Core- oder Distribution-Switch routen, um die Performance nicht zu beeinträchtigen.

Netze mit Verbindung zum Internet oder externen Netzen sollten zudem über eine Firewall laufen. Effiziente Firewalls können Segmentierungsbeschränkungen aufgrund dynamischer Kriterien, wie Benutzeridentität oder Sicherheitsstatus mobiler Endpunkte, automatisch durchsetzen. Multi-Gigabit-Switching bei der Erstellung und Durchsetzung von Segmentregeln sorgt für noch größeren Schutz.

Mehr mit NAC

Ein Wehrmutstropfen der VLANs ist, dass der Administrator meist immer noch den Löwenanteil der Arbeit händisch erledigen muss: Berechtigungen erteilen, Regelwerke erstellen und anpassen, VLANs einrichten – und dabei noch das gesamte Netz im Blick behalten, damit niemand unbefugt eindringt.

Für mehr Überblick und Automatisierung empfiehlt sich hier eine Lösung zur Netzwerkzugangskontrolle (Network-Access-Control, NAC), die als übergeordnete Instanz das gesamte Netzwerk überspannt und im Blick hat, egal wie weit verzweigt oder stark fragmentiert es auch sein mag. Gleichzeitig ermöglicht ein NAC das zentrale und zeitsparende Management der verschiedenen Segmente und Akteure aus einer Lösung heraus.

Es gibt verschiedene Ansätze, NAC umzusetzen, und mittlerweile sind sie derart gereift, dass sie einfache und anwendbare Lösungen bieten. Die Nutzung des Simple Network-Management-Protocol (SNMP) kann dabei ein flexibler Ansatz sein, der mit allen Switches und Routern im Netzwerk kommuniziert – unabhängig, von welchem Hersteller diese stammen.

Hat man so den absoluten Überblick darüber erhalten, was eigentlich alles im Netzwerk hängt, ist es wichtig, diese Vogelperspektive auch in Echtzeit zu behalten. Identifizierungskriterien sollte man dabei so exakt und eindeutig wie möglich wählen können, etwa durch MAC- und IP-Adresse, Betriebssystem, Gerätename und so weiter. Im Falle eines erkannten Verstoßes gegen die Policies sollte die Lösung dies melden und den Einsatz nicht-autorisierter Geräte automatisch unterbinden.

Wichtige Features

Um mobilen Anwendern dennoch überall im Unternehmen ihre gewohnten Services anzubieten und Dienstleistern den Zugriff auf ausgewählte Ressourcen zu gewähren, sollte die NAC-Lösung ein Gästeportal umfassen. Verfügt die Lösung über Funktionen für dynamisches Management der Netzwerksegmente, können Fremdgeräte einfach und automatisiert mit zeitlich befristetem Internetzugang in speziell dafür konfigurierten VLANs zugelassen werden. So lässt sich die Netzwerksicherheit gewährleisten, ohne für Mitarbeiter und Gäste getrennte Strukturen zu benötigen.

Die NAC-Lösung sollte sowohl statische als auch dynamische VLAN-Konzepte betreiben können. Ungenutzte Ports sollten abgeschaltet oder in ein „Unassigned VLAN“ konfiguriert und erst bei Bedarf produktiv gestellt werden können. Durch die VLAN-Konfiguration über NAC lassen sich dann auch Umzüge ganzer Abteilungen, einzelner Büros oder bestimmter Systeme einfach und schnell planen.

Ein hoher Grad an Automatisierung beim Regelwerk ist natürlich ein wichtiger Aspekt, um den Administrationsaufwand zu minimieren. Nach Erfahrung des Autors handelt es sich bei etwa 90 % der VLAN-Änderungen um Situationen, die lediglich ein Standardprozedere erfordern. Ein ausuferndes Regelwerk kann überdies rasch zu Performanceeinbrüchen führen. Daher sollte die NAC-Lösung Standardsituationen ohne manuell einzurichtende Regeln behandeln: Betreten etwa Endgeräte das Netzwerk an Switches oder Interfaces mit falscher VLAN-Konfiguration, sollten sie automatisch und dynamisch in das richtige VLAN verschoben werden – Ähnliches gilt für unbekannte Systeme oder Geräte mit „Non-Compliant“-Status. So lassen sich Ausmaß und Komplexität des Regelwerks reduzieren und Administratoren entlasten.

Eine zentrale Sicherheitsinstanz sollte zudem Man-in-the- Middle-Angriffe wie ARP-Spoofing oder ARP-Poisoning erkennen und verhindern können – umfangreiche Systeminformationen (z. B. Hostname, IP, Betriebssystem, offene oder geschlossene TCP/IP-Ports) im Hintergrund abgeglichen werden, um Adressmanipulationen und weitere Angriffsversuche zu unterbinden.

Fazit

IoT und BYOD machen unser Leben oft leichter, aber für Netzwerk- Verantwortliche können sie eher Fluch als Segen sein. Eine VLANSegmentierung in Kombination mit einer übergeordneten Instanz, die den nötigen Überblick und Automationsfähigkeiten bereitstellt, können hier helfen. Eine virtuelle Segmentierung gewährt die größtmögliche Flexibilität und Performance, während gleichzeitig niemand auf mehr im Netzwerk Zugriff hat, als er soll. Eine NAC-Lösung fungiert dann als zentrale Verwaltungs- und Überwachungseinheit, die sicherstellt, dass weiterhin alles mit rechten Dingen zugeht und den Admins einen Großteil der Wartungsarbeiten abnimmt, damit diese sich auf heiklere Aufgaben konzentrieren können.

Christian Bücker ist Geschäftsführer der macmon secure GmbH.