Warum segmentieren?

Ein Netzwerk sollte sich wie eine Folie über die Firma legen lassen.

Das Netzwerk soll die Firma darstellen, wie in der Firma kommuniziert wird.

Nicht der Netzwerkhersteller bestimmt, wie Sie Ihr Netzwerk aufbauen sollten, sondern die benötigten Funktionen sollten das Netzwerk widerspiegeln.

Sowohl in der Hardware, als auch im VLAN Bereich.

Früher wurden die Netze gerne nach physikalischen Gegebenheiten der Gebäude getrennt, also Gebäude- und Etagentrennung. Hauptgrund war die Stabilität, bzw. deren Fehlereingrenzung.

Die Unterschiede zwischen der Hardware-Trennung und der virtuellen Trennung sind:

Hardware-Trennung kann nicht überbrückt (gehackt) werden, wenn alles richtig administriert wurde und keine physikalische Erreichbarkeit besteht.

Die virtuellen Trennungen können durchaus gehackt werden. VLANs wurden entwickelt für ein einfaches „traffic management“ mit guter Flexibilität, sie haben nicht die Erhöhung der IT Sicherheit als primäres Ziel.

Die Gefahren, unter anderem durch „MAC Spoofing“, „MAC flooding attacks“ oder „trunking ports“, werden durch virtuelle LANs nicht geschützt.

Argumente zur Segmentierung 

(die Liste hat keine Prioritäten und keinen Anspruch auf Vollständigkeit)

Zunächst einmal müssen Sie entscheiden, ob Sie eine dynamische oder statische Zuweisung der VLANs brauchen oder wollen.
Bei der statischen werden die Switch Ports fest einem VLAN zugewiesen.
Das sollte der Standard sein.
Nur wenn Sie eine hohe Flexibilität brauchen, können Sie die Zuweisung über die MAC Adressen oder über Zertifikate durchführen.
Eine Mischung wird das Ziel sein. So können Sie im WLAN dynamisch zuweisen, ohne dass ein Zugriff auf höher priorisierte Bereiche möglich ist.

VLAN1: Das Standard VLAN entweder gar nicht benutzen oder als „Gast-Netzwerk“

Performance-Gründe:
Beispiel: DB-Server – Backup-Server
Hochpriorisierte Verbindungen können so schneller durch große Netzwerke durchgeroutet werden. Ich würde zwar IPv6 lieber nutzen, aber davor haben die meisten noch Angst.

Fehlerdomänen:

VLANs arbeiten auf dem „data link layer“ und können keine physikalischen Probleme lösen. Aber eine Virenausbreitung kann/könnte je nach Kommunikationsart der Viren unterbunden werden.
Das alleine ist schon ein wesentlicher Grund für die geschickte VLAN-Gestaltung. Die meisten Viren nutzen weiterhin MS Kommunikationskanäle. Nein, nicht alle. Ich weiß!

Broadcastdomänen:
Nicht jeder muss jeden sehen können.
Das Eingrenzen von Broad- und Multicast Domänen ist als Sicherheitsmerkmal zu betrachten. Ein schöner „Nebeneffekt“ ist der Schutz der Bandbreite.

Benutzerdomänen:
Die Rechner der Buchhaltung müssen und sollen nicht mit den Rechnern aus der Produktion kommunizieren.
Letztendlich sollen die Clients nur mit Ihren Servers „reden“ und niemals mit anderen Clients. Gerade die Rechner, die in der Produktion eingesetzt werden, sollten besonders geschützt werden. Diese haben oft einen alten Patchlevel und sind dadurch gefährdeter.

Applikationsdomänen:
Beispiel SAP Server: Trennung der Applikations- und Datenbanken-Server.
Der DB-Client braucht in der Regel nur eine Verbindung mit dem Applikations-Server. So können Sie einen Zugriff auf die Datenbank-Server verhindern.

Client-Server Domänen:
Erstellen Sie eine MS Server Domäne. Jeder Client bekommt diese als manuelle “default route”. Erst nach dem Anmelden des Rechners kann sich ein User anmelden. In dem User Login-Script werden die entsprechenden Server als “add-route” hinzugefügt. Der Server selbst hat eine Liste der bekannten Clients in seiner routing table. Ohne die re-route des Servers kann der beste Hacker den Server nicht erreichen.

Hackerdomänen:
Da die Angreifer in der Regel Maschinen-hopping betreiben, können und sollten Sie da durchaus Grenzen setzen. Diese sind nicht unüberwindbar, aber das Verhältnis aus Kosten zu Nutzen und Aufwand ist sehr charmant.

Sicherheitszonen:
Unterschiedliche DMZs, intern-intern, extern-intern, intern-extern

Selbsterklärende VLANs: Beispiele
VLAN_WLAN_Trennungen
VLAN_VPN_Trennungen_vlt_sogar_mini_Segmentierung
VLAN_mobile_or_byod
VLAN_dau_und_sdau
VLAN_DMZ_Mailbetrieb
VLAN_Proxy_Landschaften
VLAN_Web_Server
VLAN_ich_habe_gerade_einen_Rechner_vom_Virus_befreit_und_bin_mir_nicht_sicher
VLAN_mini_Betrieb_nach_einem_Virenbefall_zur_schnellen_Wiederaufnahme_der_wichtigsten_Applikation
VLAN_Gäste
VLAN_neues_Windows_Testnetz
VLAN_hilfe_ich_darf_hier_nicht_patchen
VLAN_ich_habe_Angst_eines_vergessen_zu_haben

Minimale bzw. maximale Segmentierung

Oder einfacher: Wie gut kann ich meine VLANs verwalten?

Wir gehen davon aus, das Sie 802.1x haben oder aber implementieren wollen (wollten?).
802.1x und VLAN gehören zusammen, keine Frage.

Sehr passend, sicherer und gut verwaltbar ist die entsprechende Port-Security.
Die Handhabung ist auch hier herstellerabhängig.
In dieser Zusammenstellung: 802.1x – VLAN
mit Monitoring und Errorhandling haben Sie wunderbare Möglichkeiten, Ihr Netzwerk zu definieren, zu kontrollieren und zu überwachen.

Ein flaches, offenes Netzwerk ist einfach nur gedankenlos.

Interessant ist, dass Sie genügend Herstelleranweisungen erhalten (haben), in denen Sie genau dazu aufgefordert wurden. Aber diese Unterlagen sollten sehr alt sein. Die Beispiele kommen von Microsoft und Cisco.

Die “Mini-Segmentierung” können Sie in einzelnen Bereichen durchaus planen, Mail-Server to Firewall oder Ähnliches, aber es muss verwaltbar sein und bleiben. Vergessen Sie nicht: eine automatische Dokumentation ist obligatorisch. Alles andere macht keinen Sinn.

Wie groß darf ein Segment sein oder werden?

Das ist sehr einfach, ja wirklich: Das IP-Design ist die Antwort.
Übersichtlich und lesbar ist eine Netmask Klass “C”, x.y.z.host.
Damit ist die maximale Größe definiert.
Frage: Wer weiß, wie viele es genau sind? :-).

Zum IP-Design: Andere netmask oder supernetting bieten die Möglichkeiten Rechner und Netzteile zu „maskieren“ und einen Zugriff zu unterbinden.

Wie klein kann ein Segment sein?

Auch einfach: minimal zwei Rechner. Das kann durchaus Sinn ergeben: Zwei Server mit der zweiten Netzwerkkarte und IPv6 können so schneller durch das Netz geroutet werden. Verschlüsselt und sehr schnell, sehr charmant.

Das Gleiche betrifft bestimmte Applikationen aus der Produktion, der Forschung, dem Labor und/oder auch externe Verbindungen, wie VPN, RDP (in IPv6 und VPN) oder Anbindungen von Cloud-Servern und weitere individuelle connections.

Wichtig: Verwaltbarkeit bedeutet Übersichtlichkeit.

Und eine Bitte: Vergessen Sie nicht das VLAN_Admin, ansonsten müssen Sie wieder die Turnschuhe anziehen.

Kommentar des Autors

Wer ich bin und was ich so mache, wissen Sie bereits.
Googeln Sie einfach „PKA, Peter Kaemper“.

Das ist mein erster Blog. Nicht, weil es mein innigster Wunsch war, ins Blogger-Leben einzusteigen, sondern weil die Nachfrage relativ groß war.

Ob das so bleibt, werden Sie sehen, nachdem Sie den ersten Blog gelesen und kommentiert haben.
Ich freue mich über Ihre Kommentare, habe jedoch eine Bitte: behalten Sie ein wenig Etikette.

Sie wollen mehr? Dann können Sie sich auch unten im Mailverteiler eintragen.
Are you sure?
Are you really sure?
😉

Lg Peter Kämper