Netzwerksegmentierung – Vom Flat-Network bis TrustSec

Bachelor-Studiengang IT Security

Ing. Stefan Baumgartner, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

13. Mai 2017, mittags. Die Familie sitzt beim Mittagessen, das Telefon läutet. Der Rechenzentrumsdienstleister berichtet von einer neuen Bedrohung, der WannaCry-Attacke. Ein Ransomware Trojaner – wieder einer, aber mit Biss. Denn der Übertragungsvektor ist neu – erstmals wird im großen Stil eine nur Monate zuvor veröffentlichte Sicherheitslücke als Methode zur Infektion verwendet. Die Gedanken kreisen um die Verwundbarkeit des eigenen Rechenzentrums. Was passiert, wenn dieses befallen wird, wie lange wäre ein potentieller Ausfall, wie hoch die Kosten? Sind alle Systeme auf dem aktuellen Stand? Wie ist es um die Systeme bestellt, die aus verschiedenen Gründen nicht aktualisiert werden können? Sind diese isoliert oder können diese uneingeschränkt kommunizieren? Kann ein potentieller Ausbruch gestoppt oder zumindest verlangsamt werden, und wenn ja, wie?

24. September 2017, vormittags. Das Telefon läutet – es ist ein Mitarbeiter aus der Entwicklungsabteilung. Es ist „etwas passiert“. Ein Testdurchlauf hat nach einer durchgeführten Systemkopie nicht das Testsystem mit Daten befüllt, sondern ein Produktivsystem. Und wieder kreisen die Gedanken: Wie viele Datensätze wurden manipuliert? Ist der Schaden manuell korrigierbar? Muss das in Mitleidenschaft gezogene System aus der Sicherung wiederhergestellt werden? Wie lange muss das System außer Betrieb genommen werden? Wie kann so ein Fehler zukünftig verhindert werden?

Das Management entscheidet: Diesen Problemen und Bedrohungen muss Einhalt geboten werden, das Netzwerk selbst muss sicherer werden.

Ziel

Das Ziel dieser Arbeit ist es, die Bedrohungen zu analysieren, die sich aus historisch gewachsenen Netzwerkstrukturen ergeben sowie Möglichkeiten darzustellen und zu betrachten, welche Lösungen die Hersteller im Portfolio haben. Die einzelnen Strategien sollen miteinander verglichen werden und die spezifischen Vor- und Nachteile herausgearbeitet werden.

Ergebnis

Im Zuge der Arbeit wurden die organisatorischen und technischen Problemstellungen, die sich aus dem Betrieb eines nicht segmentierten oder flachen Netzwerks ergeben, erhoben und dargestellt. Es wurde ermittelt, mit welchen Problemen bei einer fundamentalen Änderung des Netzwerkdesigns zu rechnen ist und verschiedene Strategien zur Segmentierung betrachtet. Den bekannten Segmentierungsstrategien wurde in einem praxisnahen Laboraufbau die Cisco-TrustSec-Lösung gegenübergestellt und erarbeitet, wie damit IT-Sicherheitsanforderungen abgebildet werden können.