Wir beschäftigen uns intensiv mit IT-Architektur und damit, wie eine saubere Architektur ohne großen Aufwand die Sicherheit erheblich erhöhen kann.
Heute möchte ich auf zwei bekannte, aber selten genutzte Technologien aus dem Netzwerkbereich eingehen: VLANs und Port-Sicherheit.
VLAN (Virtual Local Area Network) und Port-Sicherheit sind zwei entscheidende Netzwerksegmentierungskomponenten, die die Netzwerksicherheit und -effizienz verbessern. VLANs trennen ein physisches Netzwerk logisch in verschiedene Broadcast-Domains auf und sorgen so für eine bessere Netzwerkorganisation und Ressourcennutzung. Andererseits schränkt die Port-Sicherheit den unbefugten Zugriff auf ein Netzwerk ein, indem sie die Anzahl der auf einem Switch-Port zulässigen MAC-Adressen begrenzt.
VLANs bieten einem Netzwerk mehrere Vorteile. Durch die Trennung verschiedener Abteilungen, Anwendungen oder Benutzergruppen in separate Broadcast-Domains verbessern VLANs die Netzwerkleistung und verringern das Risiko von Broadcast-Stürmen. Darüber hinaus bieten VLANs ein höheres Maß an Sicherheit, da sie die Sichtbarkeit sensibler Daten einschränken und das Risiko eines unbefugten Zugriffs verringern.
Außerdem können VLANs von internen Firewalls selektiv auf Port- und IP-Basis gemeinsam geroutet werden. Dies geschieht durch die Konfiguration von Firewall-Regeln, die den Datenverkehr zwischen verschiedenen VLANs basierend auf bestimmten Kriterien wie IP-Adresse oder Portnummer zulassen oder blockieren. Außerdem kann eine Organisation mithilfe einer internen Firewall den Datenverkehr zwischen VLANs steuern und sicherstellen, dass nur autorisierter Datenverkehr durchgelassen wird. Beispielsweise kann ein Unternehmen den gesamten Datenverkehr zwischen den VLANs für die Finanz- und Personalabteilung zulassen, aber den gesamten Datenverkehr zwischen dem VLAN für die Forschungs- und Entwicklungsabteilung und dem Rest des Netzwerks blockieren.
Die Portsicherheit ist ein wertvolles Instrument zur Verbesserung der Netzwerksicherheit. Durch die Begrenzung der Anzahl der auf einem Switch-Port zulässigen MAC-Adressen kann die Portsicherheit den Zugriff nicht autorisierter Geräte auf das Netzwerk verhindern und so das Risiko von Netzwerkangriffen und der Verbreitung von Malware oder anderer schädlicher Software verringern.
Zusammenfassend lässt sich sagen, dass der Einsatz von VLANs und Portsicherheit die Netzwerksicherheit und -effizienz erheblich verbessern kann. Durch die logische Trennung eines Netzwerks in verschiedene Broadcast-Domains und die Einschränkung des nicht autorisierten Zugriffs können diese Technologien Organisationen dabei helfen, ihre Netzwerke vor potenziellen Bedrohungen zu schützen. Durch die Verwendung interner Firewalls zur selektiven Weiterleitung von VLANs auf Port- und IP-Basis wird die Netzwerksicherheit weiter erhöht, da der Datenverkehr zwischen VLANs kontrolliert werden kann.
Bei der Gestaltung von VLANs ist es meiner Meinung nach besonders wichtig, dass die Gruppierung nicht unbedingt auf technischen Fragen basiert, sondern dass man überlegt, welche Systeme aus betrieblicher Sicht zusammengehören und wo der Einbau von „Firewalls“ sinnvoll ist. Die Frage ist, wo kann ich die Schotten dicht machen und trotzdem in nicht betroffenen Geschäftsbereichen eine gewisse Produktivität aufrechterhalten? Wenn ich einfach das „Servernetzwerk“ vom „Client-Netzwerk“ trenne, habe ich alle Geschäftsprozesse weitgehend unterbrochen. Wenn ich beispielsweise im Verdachtsfall die Komponenten der Lagerverwaltung (z. B. Datenbank, Applikationsserver und Controller) vom Netzwerk isoliere, habe ich die Einschränkung zumindest vorerst auf den Logistikbereich beschränkt.