Mein Netzwerk das unbekannte Wesen

von Daniel Miedler | Jun 15, 2020

Das Netzwerk – Oftmals einfach und noch öfter einfach falsch!

Heutige Netzwerk Infrastrukturen werden immer mehr als gegeben hingenommen, die Einrichtung ist oftmals sehr einfach und erfordert durch die immer besser werdende Automatisierung wenig Interaktion. Diese Einfachheit lässt aber auch oft vergessen, dass ein Netzwerk nur aufgrund seiner Funktionalität noch nicht optimal eingerichtet ist.

Gerade in wachsenden Strukturen ist eine Segmentierung, so sie nicht schon im ursprünglichen Design vorgesehen und initial implementiert wurde, für viele Unternehmen nachträglich nur schwer umzusetzen. Beginnend bei der Frage, welche Segmente bzw. nach welchen Gesichtspunkten diese erstellt werden sollten, über die zunehmende Komplexität bis zur Funktionalität, reichen die Herausforderungen, welchen unsere Kunden begegnen müssen.


Mein Netzwerk das unbekannte Wesen!

Gerade aufgrund der unzureichenden Segmentierung und des fehlenden Einblicks in das Netzwerk wissen viele Unternehmen nicht, wer gerade in ihrer Infrastruktur verbunden ist und auf welche Ressourcen die TeilnehmerInnen zugreifen können und tatsächlich zugreifen. Oftmals haben MitarbeiterInnen Zugriff auf Bereiche, welche nicht für sie vorgesehen sind, sehr oft bieten freie Patchdosen in Gängen oder Meetingräumen die verführerische Möglichkeit, ein Endgerät anzustecken und das Netzwerk zu erforschen.

Netzwerkinfrastruktur ist schwer zu überblicken

Ebenfalls geschieht es sehr häufig, dass aufgrund von Portknappheit ein Switch oder Access Point von den MitarbeiterInnen selbst angesteckt wird und damit zur Zugangsmöglichkeit für viele dahinter liegende Endgeräte wird. All dies ist hauptsächlich dadurch möglich, dass Funktionalität vor Sicherheit gestellt wird und diese Lücken beim initialen Design nicht bedacht oder außen vorgelassen wurden.


Beginnen wir beim Fundament und nicht beim Dach…!

Der Schlüssel zur richtigen Neuausrichtung des Netzwerks ist die Kenntnis des Ist-Zustands. Welche Assets befinden sich in meinem Netzwerk, welche Netze gibt es, wer kommuniziert mit wem? Obwohl all diese Fragen trivial klingen, finden wir sehr häufig einen Unterschied zwischen Annahme und Realität, der solange unbekannt war, als man sich nur um die Funktionalität gekümmert hat.
Nach einer initialen Erhebung der Parameter kommt es zur Planung. Hier ist es besonders wichtig, die Kommunikationsbeziehungen zwischen den Segmenten zu kennen und auch die unterschiedlichen Ansprüche zu beachten.

Eine klassische Aufteilung trennt aber zumindest in die Zonen der kritischen Assets, der Server (welche auch oftmals zu den kritischen Assets zählen), der Clients, sowie Nutzgeräten wie Drucker und Zeit-Terminals und natürlich VOIP Telefonie. Die passende Segmentierung kann natürlich auch noch feiner ausfallen, bis hin zu einer Microsegmentierung, sollte aber nicht wesentlich gröber sein. Das richtige Maß können unsere Expertinnen und Experten mit Ihnen erheben.

Als letzte Frage stellt sich die Art der Segmentierung. Auch eine Ansammlung an VLANs, welche über einen Router verbunden werden, stellen bereits eine Segmentierung dar. Aus unserer Erfahrung würden wir aber immer eine Sicherheitslösung vorschlagen, etwa eine interne Segmentierungsfirewall, um ein umfassendes Management und eine ebensolche Log Analyse zur Verfügung zu haben.


Sicherheit ohne Kompromisse

Wer nun denkt, dass dies nach einem Kompromiss klingt, welcher das Pendel von Einfachheit in Richtung Sicherheit ausschlagen lässt, der irrt. Denn Sicherheit muss in diesem Fall nicht komplex sein.

Netzwerksicherheit

Durch den Einsatz der gleichen Netzwerkkomponenten, aber der Ergänzung einer NAC (Network Access Control) Lösung können wir den AnwenderInnen dieselbe Experience bieten, welche ihnen das flache Netzwerk auch geboten hat. Aufgrund einer Erkennung, welche ausgelöst wird, sobald das Gerät verbunden ist, erkennen wir die Klasse des Geräts und auch den Anwender und können somit die Zugänge automatisch konfigurieren und das bei gesteigerter Sicherheit. Dies kann nun sogar noch ausgeweitet werden, indem das System und zum Beispiel die Antiviren-Lösung des Endgeräts geprüft und eine automatische Aktion vollzogen wird, sollte hierbei etwas nicht in Ordnung sein.

Durch den Einsatz einer Segmentierungs-Firewall erhalten wir auch einen größeren Einblick in unsere Datentransfers und somit auch eine einfache Lösung, um unerwünschten oder wenig wichtigen Traffic einzuschränken bzw. zu verbieten. Das beste dabei: diese Umsetzungen können schrittweise erfolgen, ohne Ihre IT oder Ihre Abläufe zu sehr zu belasten.


Was sind die nächsten Schritte?

Den ersten Schritt müssen Sie selbst machen, indem Sie erkennen, nicht alle Fragen nach Einblick im Netzwerk zu kennen. Von hier an unterstützen wir Sie gerne, indem wir Ihnen mit unseren Assessments bei der Erhebung des Ist-Zustands helfen, also dabei, Fragen nach

  • Assets im Netzwerk,
  • Netzwerksegmenten,
  • Kommunikation, Protokollen und Applikationen

zu beantworten und mit Ihnen einen Fahrplan zu erstellen, wie wir zu einem Soll-Zustand kommen. Wir setzen dabei auf die Lösungen unseres Partners macmon im Bereich der Network Access Control. Durch die Zusammenarbeit mit macmon konnten wir in unseren Projekten eine stark reduzierte Dauer der Inbetriebnahme sowie eine sinnvolle, stufenweise Umsetzung der Projekte erreichen.

Wir unterstützen Sie gerne von der Konzeptionierung, über die Implementierung bis hin zu Wartung und Betrieb der Lösung.

Inhalt: Daniel Miedler

Lead Expert Security & Network bei ACP