Obwohl die Segmentierung aufgrund der zusätzlichen Anschlusspunkte die Komplexität des Netzwerks zu erhöhen scheint, verbessert und vereinfacht eine gute Implementierung die Sicherheit.
Die Netzwerksegmentierung unterteilt das Netzwerk in unterschiedliche Sicherheitszonen, die die Ausbreitung von Malware und anderen Schädlingen innerhalb eines Netzwerks einschränken. In diesem Sicherheitsmodell filtern Firewalls den Datenverkehr zwischen den Sicherheitszonen und verhindern so unbefugte Zugriffe. Dadurch wird es für Ransomware und Datendiebstahl schwieriger, auf sensible Daten zuzugreifen. Im Gegensatz dazu basierte das alte (klassische) Netzwerkmodell auf Perimeter-Firewalls, die es einem Angreifer leicht machten, weitere Systeme zu kompromittieren, sobald dieser Zugriff auf das interne Netzwerk hat.
Die größte Herausforderung bei dem „neuen“ Sicherheitsmodell besteht darin, Sicherheitszonen zu definieren und die entsprechenden Firewall-Regeln festzulegen. Nehmen wir an, ein Unternehmen verwendet eine typische Kundenanwendung, die auf Web-, Anwendungs- und Datenbankebenen basiert. Um die Datenbank zu schützen, könnte das Netzwerksicherheitskonzept ein Netzwerksegment für jede Ebene erstellen und nur den Datenverkehr zwischen den Ebenen zulassen, der für den Betrieb des Dienstes erforderlich ist. In diesem Beispiel kann die Webebene nur mit der Anwendungsebene kommunizieren. Die Anwendungsebene kann nur über bestimmte Protokolle mit der Webebene und der Datenbankebene kommunizieren. Die Schwierigkeit besteht darin, ohne großen Zeitaufwand und ohne viele Fehler zu machen, zu bestimmen, welche Kommunikation zwischen den einzelnen Ebenen zulässig ist.
Nachdem man die Sicherheitszonen identifiziert hat, empfiehlt es sich, einen sogenannten Whitelist-Regelsatz (auch als Allow-List bezeichnet) zu nutzen, um die von den Anwendungen benötigten Netzwerkkommunikationen zuzulassen. Die Standardaktion des Regelsatzes besteht darin, den gesamten anderen Datenverkehr zu blockieren. Das Ergebnis ist eine Standard-Blockierungsbedingung mit expliziten Regeln, die die von den Anwendungen benötigten Netzwerkflüsse zulassen.
Im weiteren Schritt muss man sich über alle Anwendungen nachdenken, die im Unternehmen nutzt werden, und über die Regelwerke, die für eine ordnungsgemäße Segmentierung des Netzwerks erforderlich sind. Die Identifizierung der Datenflüsse für die wichtigsten Anwendungen ist in der Regel recht einfach. Man sollte jedoch nicht solche wichtigen Kommunikationsfunktionen wie Sprache, Video (einschließlich Verbindungsaufbau, Konferenzen und Direktanrufe), Chat-Anwendungen und SMS übersehen. Auch sollte man nicht über die Vielzahl der Backoffice-Anwendungen (Finanzen, Kundenmanagement, Lagerverwaltung, Fertigung und Facility Management, usw.) überrascht sein. Es gilt die hierfür genutzten Protokolle zu identifizieren, die für Netzwerkdienste wie DNS, NTP und Netzwerkmanagement eingesetzt werden. Will man strukturiert vorgehen, kann dies auch in einem mittleren Betrieb mehrere Monate dauern, bis der Prozess der Netzwerksegmentierung abgeschlossen ist.
Die Erstellung von Regeln für die Netzwerksegmentierung lässt sich am besten mit Hilfe von Werkzeugen ermitteln, die die Datenströme im Netzwerk erfassen können. Man kann so ein Projekt zwar mit Wireshark oder Netflow Capture beginnen, doch sind diese Mechanismen für sich genommen zu niedrigschwellig, um für ein großes Unternehmen nützlich zu sein. Im Professionellen Bereich lassen sich die Datenströme mit kommerziellen Werkzeugen erfassen und in Regeln für die Netzwerksegmentierung umzuwandeln. Illumo (illumio.com) oder Tetration (https://www.cisco.com/site/us/en/products/security/secure-workload/index.html) von Cisco sind gute Beispiele dafür. Einige dieser Tools funktionieren liefern jedoch nur optimale Ergebnisse, wenn man Agenten auf den Endpunkten installieren kann. Andere Werkzeuge arbeiten mit Netflow-Daten oder Paketaufzeichnungen an strategischen Punkten im Netzwerk.
Vielen erscheinen solche speziellen Werkzeuge als teuer, jedoch gilt es zu bedenken, dass man mit diesem Tools die Netzwerksegmentierung schneller und mit weniger Personal als mit alternativen Methoden realisieren kann. Hierfür analysiert man die Kosten des jeweiligen Produkts im Vergleich zu den entstehenden Personalkosten für die geplante Implementierung.
Bei der Prüfung der geplanten Produkte ist darauf zu achten, ob diese echte Datenströme von Anwendungen identifizieren können. Produkte sind nicht unfehlbar und in der Regel nur so gut wie die Fähigkeiten des Nutzers sind. Beispielsweise kann eine unbeaufsichtigte Analyse des Netzwerkverkehrs für eine Anwendung auch Datenströme einer bestehenden Malware-Infektion enthalten. Um dies zu verhindern, sollte man alle vom Tool erkannten Verbindungen überprüfen und die Datenströme untersuchen, die verdächtig erscheinen.
Ein weiterer potenzieller Problembereich sind selten auftretende Netzwerkflüsse. Dies liegt daran, dass IT-Systeme häufig Funktionen enthalten, die regelmäßig (wöchentlich, monatlich, vierteljährlich usw.) Aktionen ausführen oder Berichte erstellen.
Regelsätze auf Anwendungsbasis pflegen
Es ist wichtig, die für jede Anwendung erstellten Regeln zu dokumentieren. Dieses Wissen erleichtert die Automatisierung der Pflege der Regelsätze. Auch muss man problemlos in der Lage sein, Firewall-Regelsätze für eine bestimmte Anwendung zu löschen, wenn diese aus der Netzumgebung entfernt wird. Andernfalls wächst die Liste der Firewall-Regeln weiter, da niemand eine Regel entfernen möchte, aus Angst, dass dadurch eine Anwendung beschädigt wird. Mehrere Anwendungen können jedoch dieselbe Regel verwenden. Daher sollte eine Regel bzw. ein Regelsatz erst dann gelöscht werden, wenn alle Anwendungen, die diesen verwenden, entfernt wurden. Es hat sich in der Praxis jedoch erwiesen, dass es besser ist, vollständige Regelsätze je Zone anhand der Anforderungen der Anwendungen neu zu erstellen.
Natürlich kann man auch den Anbieter oder den internen Entwickler der betreffenden Anwendung um eine Liste der über das Netzwerk übermittelten Datenströme bitten. Meine Erfahrung zeigt jedoch, dass man selten mit praxistauglichen Antworten rechnen kann. Für die Praxis fehlt so etwas wie ein Standard für die Dokumentation von Datenflüssen von Anwendungen. Die Automatisierungstools im Netzwerk könnten diese Informationen nutzen, um das Netzwerk für die Segmentierung bereitzustellen, ohne einen komplizierten Erkennungsprozess im Netzwerk durchlaufen zu müssen. Dieser Lösungsansatz würde auch die seltene und wenig genutzte Verkehrsflüsse erfassen. Vielleicht wird eines Tages ein Anbieter einen solchen Standardisierungsprozess beginnen, indem dieser eine Bibliothek mit bekannten Anwendungseigenschaften erstellt, mit denen die Flussdaten eines Netzwerks verglichen werden können, um die Regelsätze zu organisieren.
Übergang zur Zulassungsliste
Der Übergang von einem Sperrlistenmodell zu einem Zulassungslistenmodell kann eine Herausforderung darstellen. Die Verwendung kleiner Sicherheitszonen reduziert jedoch die Anzahl der zu verwaltenden Regeln. Dennoch kann es sinnvoll sein, die neue Zulassungsliste an eine bestehende Sperrliste anzuhängen, falls vorhanden, oder den Regelsatz mit einer temporären Regel zu beenden, die ANY-ANY-Verbindungen zulässt. Wenn man eine Sicherheitszone implementiert, muss man die Verwendung des Regelsatzes überwachen und alle Flows identifizieren, die nicht von der Zulassungsliste verarbeitet werden. Sobald der gesamte erforderliche Datenverkehr identifiziert und verarbeitet wurde, kann die alte Sperrliste und die ANY-ANY-Regeln sicher entfernt werden.
Ich habe diesen Ansatz im Netzwerk eines Kunden umgesetzt, indem einmal pro Woche eine Stunde für das Testen der Regelsätze vorgesehen wurde. Bei jeder Testsession wurden weniger zu behandelnde Datenströme identifiziert. Die vollständige Implementierung wurde in etwa fünf Stunden über mehrere Wochen hinweg erreicht.
Netzwerksegmentierung – Alles zusammenführen
Die Umstellung auf eine Sicherheitsarchitektur auf Basis einer Netzwerksegmentierung erfordert eine gute Planung, geeignete Tools und eine sorgfältige Implementierung. Glücklicherweise vereinfacht die Aufteilung des Netzwerks in kleine Sicherheitszonen diese Aufgabe. Jede Zone sollte einen einzigen, leicht zu verwaltenden Service mit leicht identifizierbaren Datenströmen bereitstellen. Am besten beginnt man diese Aufgabe mit den anfälligsten Anwendungen, gefolgt von den wichtigsten – oft sind dies dieselben.
Man sollte jedoch nicht überrascht sein, dass man bisher unbekannte Anwendungen und Datenströme im eigenen Netzwerk identifiziert. Auch kann man dabei stillgelegte Server finden, die eventuell von einer nicht mehr verwendeten Anwendung genutzt wird.
Fazit
Die Segmentierung erleichtert die Verwaltung von Regelwerken erheblich, da jede Zone einen einzelnen Dienst schützt. Zwar scheint die Segmentierung aufgrund der zusätzlichen Filterpunkte die Netzwerkkomplexität zu erhöhen, doch eine gute Implementierung verbessert und vereinfacht die Sicherheit.
Mathias Hein, Consultant
