Hintergrund

So funktioniert Netzwerksegmentierung

Uhr
von Matthias Cramer, Senior Network & Security Engineer und CTO bei iWay

Eine Unterteilung von Unternehmensnetzen in getrennte Bereiche kann schon bei kleineren Netzen sinnvoll sein, weil damit die Fehlersuche vereinfacht und die Sicherheit im Netz erhöht wird. Bei der Umsetzung gilt es gewisse Regeln zu beachten.

Bei der Segmentierung von Unternehmensnetzen ist es empfehlenswert, sich als Erstes Gedanken zu machen, welche Segmente im eigenen Netz sinnvoll sind. Eine Unterteilung kann zum Beispiel nach Abteilungen, Stockwerken oder sonstigen organisatorischen Einheiten (Lager, Verkaufsabteilung und andere) erfolgen. Darüber hinaus sollten möglichst Server von Clients getrennt werden. Auch Server, die von aussen zugängliche Dienste anbieten (wie E-Mail- oder Web-Server), sollten einem separaten Segment, einer sogenannten demilitarisierten Zone (DMZ), zugeteilt werden.

 

Gemeinsam im Unternehmen genutzte Ressourcen wie Drucker oder Netzwerk-Scanner werden idealerweise ebenfalls in einer getrennten Zone gehalten, auf welche alle Benutzer und Benutzerinnen und gegebenenfalls gewisse Server Zugriff haben. Die Verbindung zwischen den einzelnen Segmenten kann entweder mittels Layer-3-Switch (also einem Switch, welcher auch routen kann), mittels Firewall oder einer Kombination aus beiden hergestellt werden. Es empfiehlt sich, mindestens Server und DMZ von den Clients via Firewall zu trennen. Die Client-Subnetze können mittels Routing auf einem Layer-3-Switch verbunden werden, vorausgesetzt, dass hier kein erhöhter Sicherheitsanspruch besteht.

 

Beispielsegmentierung in einem kleinen Handelsunternehmen. (Source: iWay)

 

Ist ein Ausfall oder ein längerer Unterbruch durch ein Softwareupdate der Firewall nicht vertretbar, kann auch ein Firewall-Cluster zum Einsatz kommen. Dies hat in der Regel doppelte Kosten zur Folge. Dafür steht im Gegenzug immer ein Ersatzgerät zur Verfügung. Die Performance der Firewall sollte genügend hoch sein, da der gesamte Verkehr der Clients zu den Servern durch die Firewall geführt wird. Ein Modell mit 10-Gbps-Interfaces (Gigabit pro Sekunde) bietet sich hier schnell einmal an.

 

Drahtlose Netze miteinbeziehen

Die einzelnen Segmente werden ab dem Etagen- oder Distribution-Switch in die virtuellen lokalen Netze (Virtual Local Area Network, VLAN) transportiert und so auf dem Layer-3-Switch oder der Firewall zusammengeführt. Wichtig: die Segmentierung muss auch auf dem WLAN miteinbezogen werden. Hier kann mittels WPA2-Enterprise und einem Radius-Server jedem Nutzer und jeder Nutzerin das entsprechende Netz zugeteilt werden, wenn sie sich am WLAN anmelden. Hierfür müssen natürlich Accesspoints eingesetzt werden, die dies unterstützen.

 

Falls man mobile oder wechselnde Arbeitsplätze zur Verfügung stellt, kann man dieses Konzept auch auf der kabelgebundenen Anbindung der Clients mittels 802.1X auf dieselbe Weise lösen. Die eingesetzte Firewall kann dieselbe sein, die auch für den Internetzugang verwendet wird.

 

Zentrale Steuerung der IP-Vergabe

Um nicht in jedem Segment einen dedizierten DHCP-Server betreiben zu müssen, kann im Server-Segment ein zentraler DHCP-Server eingerichtet werden. Dieser kann mittels DHCP-Relay (auch DHCP Helper genannt) auf der Firewall oder dem Layer-3-Switch in den einzelnen VLANs "bekannt" gemacht werden. Hierdurch lässt sich die IP-Vergabe zentral steuern. Jedes Segment erhält damit seinen eigenen Adressbereich. Es empfiehlt sich, jeweils ein /24-Subnetz pro Segment aus einem für die private Adressierung vorgesehenen Bereich zu nutzen (RFC1918: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8). Diese Bereiche können auch gemischt werden, etwa 10er-IPs für die Clients und 172er für die Server.

Webcode
DPF8_217093

Kommentare

« Mehr