092: Netzwerktechnologien, Geräteintegration und Netzwerksegmentierung

Speaker0: Hallo und willkommen zurück bei Blue Screen Wissen.

Speaker0: Ich bin wie immer Alex und wir bleiben in unserem Thema Netzwerke.

Speaker0: Ich habe euch in der letzten Folge ein bisschen was über Netzwerkherkunft und

Speaker0: Ursprung erzählt. Da sind wir ein bisschen auf die Geschichte mal eingegangen.

Speaker0: Und heute wollen wir uns das Ganze mal aus einer mehr Hands-on-Mentalität angucken.

Speaker0: Wenn ihr euch jetzt quasi mal euer Netzwerk zu Hause oder auch in eurem Betrieb

Speaker0: anschaut, dann besteht so ein Netzwerk aus verschiedenen Teilnehmern,

Speaker0: also zum Beispiel einem Computer, einem Laptop,

Speaker0: vielleicht auch einem Server, möglicherweise auch mobilen Endgeräten wie zum

Speaker0: Beispiel einem Tablet oder einem Smartphone.

Speaker0: Und ja, diese ganzen Sachen können miteinander sprechen in diesem Netzwerk,

Speaker0: weil sie auf der einen Seite mal an entweder einen Switch angesteckt sind oder,

Speaker0: wenn es drahtlose Geräte sind mit einem WLAN-Accesspoint.

Speaker0: Damit die dann wirklich miteinander sprechen können, brauchen wir aber nicht

Speaker0: nur die Verbindung, sondern die Geräte brauchen natürlich auch noch IP-Adressen.

Speaker0: Diese IP-Adressen werden üblicherweise von einer zentralen Stelle aus vergeben,

Speaker0: einem sogenannten DHCP-Server.

Speaker0: Und sobald ich eine Adresse habe, kann ich möglicherweise schon mit anderen

Speaker0: Systemen in diesem Netzwerk mich austauschen.

Speaker0: Zum Beispiel, wenn ich einen Web-Server in meinem Netzwerk habe,

Speaker0: dann kann ich, wenn ich weiß, wie der heißt oder welcher IP-Adresse der hat,

Speaker0: diesen Web-Server auch jetzt schon aufrufen.

Speaker0: Wenn man so ein Netzwerk aufbaut, dann neigt man leider aber auch sehr häufig

Speaker0: dazu, dass man alle Geräte ins gleiche Netzwerk reinsteckt.

Speaker0: Und ja, das hat natürlich unter Umständen ein paar Probleme,

Speaker0: die da mit einziehen in unser Netzwerk.

Speaker0: Denn wir haben, wenn alle im gleichen Netzwerk sind, kaum oder gar keine Möglichkeit,

Speaker0: überhaupt dafür zu sorgen, dass da irgendwie eine Art von Sicherheit stattfinden kann.

Speaker0: Das heißt, wenn man sich mal ein modernes Netzwerk überlegt,

Speaker0: wo alle Geräte innerhalb eines Netzes sind.

Speaker0: Dann ist es sehr wahrscheinlich so, dass wenn wir auf einem Gerät eine Schadsoftware

Speaker0: jetzt haben, sich diese Schadsoftware natürlich auch auf andere Teilnehmer dieses

Speaker0: Netzwerkes ausbreiten kann.

Speaker0: Heißt, wir müssen uns überlegen, wie können wir jetzt hergehen und dieses Netzwerk

Speaker0: entsprechend aufteilen.

Speaker0: Das kann über mehrere Wege funktionieren.

Speaker0: Ein Weg, den wir immer wieder empfehlen, und das ist auch so ein Stückchen Grundlage

Speaker0: der IT-Technik, die man zum Beispiel im IT-Grundschutz-Handbuch nachlesen kann,

Speaker0: wäre es eben verschiedene Segmente zu bilden.

Speaker0: Das heißt, ich habe vielleicht ein Segment, da sind meine vertrauenswürdigen PCs drin.

Speaker0: Dann habe ich ein weiteres Segment, da sind meine Gäste drin.

Speaker0: Wenn ich zum Beispiel irgendwo einen Hotspot habe oder in einem Besprechungsraum,

Speaker0: wo regelmäßig Leute von außerhalb kommen, die sich dort anstecken,

Speaker0: dann sind die nur in ihrem eigenen Netzwerksegment dort.

Speaker0: Die Server sollten in einem eigenen Segment sein.

Speaker0: Die Management-Interfaces von meiner ganzen Netzwerkinfrastruktur sollte auch

Speaker0: nicht so ohne weiteres erreichbar sein von einem normalen PC aus.

Speaker0: Und wenn man möchte, kann man dann noch Gerätenetze bauen, indem man zum Beispiel

Speaker0: sagt, okay, meine ganzen IP-fähigen Telefone kommen in ein eigenes Segment,

Speaker0: meine Drucker kommen nochmal in ein anderes Segment und wenn es irgendwie eine

Speaker0: Produktionsstätte ist,

Speaker0: dann die Maschinen natürlich auch in ein eigenes Netzwerksegment.

Speaker0: Das heißt natürlich auch, ich brauche je Segment einen eigenen IP-Nummernkreis,

Speaker0: also da darf es keinerlei Überschneidung mit bereits vorhandenen Kreisen innerhalb

Speaker0: meines Netzwerkes geben.

Speaker0: Und dann brauche ich ein Gerät, was quasi die Vermittlung von dem einen Segment

Speaker0: zum anderen Segment übernimmt.

Speaker0: Dafür nimmt man üblicherweise entweder einen Router oder aber man segmentiert

Speaker0: verschiedene große Netze so durch die Subnetzmaske, dass quasi der Übergang

Speaker0: auch so stattfinden könnte.

Speaker0: Wenn ich aber in irgendeiner Form wirklich Kontrolle ausüben möchte.

Speaker0: Dann stelle ich einen Router oder auch eine vernünftige Firewall,

Speaker0: eine Next-Gen-Firewall als zentralen Knotenpunkt auf und sage dann,

Speaker0: mein Client-Netz hat zum Beispiel die 10.0.0.whatever als IP-Adresse,

Speaker0: die nächsten Geräte, die Server zum Beispiel, die sind in 10.0.1,

Speaker0: die nächste Gruppe ist in 10.0.2 und so weiter und so fort.

Speaker0: Das macht man sinnvollerweise nicht nur im Unternehmen, sondern das macht man auch vor allem zu Hause.

Speaker0: Wenn man sich jetzt mal überlegt, man hat zu Hause in seinem eigenen Netzwerk

Speaker0: vielleicht die Fritzbox als Router, die auch die IP-Adressen vergibt,

Speaker0: dann habe ich mein Handy, mein Laptop, vielleicht auch meinen Fernseher,

Speaker0: Videospielekonsolen und so weiter.

Speaker0: Die kann ich noch weitestgehend in ein Netz zusammenpacken.

Speaker0: Wenn es dann aber zum Beispiel um so IoT-Smart-Home-Geschichten geht,

Speaker0: die ja mittlerweile wie Pilze aus dem Boden schießen,

Speaker0: da wäre ich ein bisschen vorsichtiger, denn wenn ihr nicht zu 100% sagen könnt,

Speaker0: dass die Software, die auf dem Gerät läuft, auch tatsächlich vertrauenswürdig ist,

Speaker0: dann empfiehlt es sich tatsächlich für diese ganze Smart-Home-Geschichte ein

Speaker0: eigenes Netzwerk aufzubauen und diesen Geräten nur zu erlauben,

Speaker0: dass sie zwar ins Internet sprechen dürfen,

Speaker0: wenn sie das müssen, und vielleicht noch mit meinem Management-Interface für

Speaker0: meine Smart-Home-Automatisierungen,

Speaker0: aber nichts sonst.

Speaker0: Das heißt, aus dem Smart-Home-Netz darf nichts in mein vertrauenswürdiges lokales

Speaker0: Netzwerk, sondern ich darf nur in die andere Richtung quasi zugreifen auf Dinge,

Speaker0: die halt notwendig sind.

Speaker0: Damit kann ich mich halt, sowohl im Unternehmen als auch zu Hause,

Speaker0: halt vor verschiedensten Bedrohungen schützen.

Speaker0: Also Ransomware ist so ein ganz typisches Beispiel dafür.

Speaker0: Die funktioniert genau so. Das heißt, wenn ein Shardcode eine Malware auf einem

Speaker0: PC aufschlägt, wie auch immer, dann wird sie auf jeden Fall anfangen,

Speaker0: sich innerhalb ihres Netzwerksegmentes auf andere Clients auch auszuweiten.

Speaker0: Und sowas verhindere ich natürlich damit. Ich verliere zwar vielleicht dann ein Segment,

Speaker0: dort wo eben der Schadcode eingeschlagen ist, aber es kann halt damit unterbunden

Speaker0: werden, dass halt größerer Schaden entsteht, weil ich halt meine ganzen Systeme

Speaker0: untereinander segmentiert habe.

Speaker0: Natürlich brauche ich dann zwischen den Segmenten nicht nur einen Vermittler,

Speaker0: also die Firewall oder den Router, sondern ich brauche auch Regeln darauf.

Speaker0: Und durch solche Regeln bin ich halt dann in der Lage zu sagen,

Speaker0: meine Clients dürfen zum Beispiel in Richtung Server-Netzwerk DHCP und DNS machen.

Speaker0: Die dürfen dort auch LDAP sprechen, also zur Anmeldung an Windows meinetwegen,

Speaker0: aber mehr nicht. Also kein Remote Desktop innerhalb des, auf die Server.

Speaker0: Die dürfen also nicht von jedem Client aus eine Remote Desktop Verbindung zu

Speaker0: meinem Domain Controller herstellen, sondern dafür definiert man dann einzelne

Speaker0: Verwaltungshosts oder man platziert einen sogenannten Jump Host im Server Netzwerk.

Speaker0: Auf diesen Jump Host dürfen nur die Admins und dann von da aus weiter zu den

Speaker0: jeweiligen Systemen, die halt entsprechend administriert werden sollen.

Speaker0: Klingt vielleicht jetzt erstmal ein bisschen komplex und es wird vor allem noch

Speaker0: komplexer, wenn ich dann vielleicht auch noch Containertechnologien einsetze,

Speaker0: wie Docker zum Beispiel oder auch Kubernetes.

Speaker0: Denn da geht es dann noch weiter rein in die Segmentierung. Da reden wir dann

Speaker0: wirklich von einer Mikrosegmentierung.

Speaker0: Aber es bringt halt durchaus auch entsprechende Sicherheitsvorteile.

Speaker0: Das heißt, wenn ich mich hier vernünftig positioniere, bin ich in der Lage,

Speaker0: mich vor den verschiedensten Situationen zu schützen.

Speaker0: Ich habe auch eine Möglichkeit, dass ich halt verhindern kann,

Speaker0: dass ein neugieriger Mitarbeiter oder ein Mitarbeitergerät, das schon kompromittiert

Speaker0: wurde und wo vielleicht jemand per Remote Shell quasi drauf ist,

Speaker0: da noch weiter rumschnüffeln kann,

Speaker0: weil ich halt eben die Verbindung inzwischen meinen Zonen entsprechend mit Regeln ausgestattet habe.

Speaker0: Ja, was gibt es sonst noch? Was kann ich sonst noch tun?

Speaker0: Natürlich gibt es auch die Möglichkeit, gerade im Zeitalter von Zero Trust,

Speaker0: dass man hergehen kann und sagt, man nimmt Agenten für die Segmentierung.

Speaker0: Das heißt, ich gebe jedem einzelnen Gerät einen Zero Trust Client mit.

Speaker0: Und dieser Zero Trust Client ist so konfiguriert, dass das Gerät genau nur dahin

Speaker0: bekommt auch, wo es auch hin soll.

Speaker0: Das heißt, ich segmentiere dann nicht ausschließlich auf Netzwerkebene,

Speaker0: sondern ich segmentiere auch durch logische Maßnahmen eben meine verschiedenen

Speaker0: Netzwerke und so kann man es dann an der Stelle halt entsprechend auch sehr gut steuern.

Speaker0: Wenn man jetzt allerdings sagt, okay, ich habe jetzt aber ja nicht nur physikalische

Speaker0: Geräte, wir haben gerade schon mal so den Ausflug so ein bisschen gedacht Richtung

Speaker0: Container, Docker, Kubernetes,

Speaker0: sondern ich habe ja vielleicht auch eine Virtualisierungslösung,

Speaker0: sowas wie Proxmox oder VMware im Einsatz,

Speaker0: da wird es dann natürlich noch mal ein bisschen schwieriger,

Speaker0: weil ich halt vielleicht in der Situation bin, dass ich mehrere logische Netzwerke,

Speaker0: die ich über mehrere physikalische Kabel in meine Hypervisor hineinbekomme,

Speaker0: die er auch dann irgendwie verwalten möchte.

Speaker0: Und dazu gibt es die Möglichkeit eben Netzwerksegmentierung auf Basis sogenannter

Speaker0: virtueller Netze, also VLANs zu definieren.

Speaker0: Und damit bekomme ich dann eben die Situation, dass ich hergehen kann,

Speaker0: um zu sagen, okay, ich möchte, dass auf diesem einen Netzwerkkabel das virtuelle

Speaker0: Netz mit der Nummer 10, 20 und 30 transportiert werden darf.

Speaker0: An meiner virtuellen Maschine kommt aber dann nur zum Beispiel das Netz des

Speaker0: VLAN mit der Kennung 10 und der dazu passenden Subnetzmaske und der entsprechenden IP-Range auch raus.

Speaker0: Das heißt, hier muss man so ein bisschen weiterdenken, um eben diese verschiedenen

Speaker0: Dinge miteinander auch zu verbinden, um dann eben entsprechend auch für Sicherheit zu sorgen.

Speaker0: Natürlich sichert dann das Ganze nach außen wiederum unsere Firewall ab.

Speaker0: Das hatten wir ja schon mal in der alten Folge, was tun Firewalls?

Speaker0: Denn wir wollen ja natürlich nicht, dass alles, was irgendwie in unserem Netzwerk

Speaker0: existiert, sei es jetzt in einem segmentierten Abschnitt oder eben nicht,

Speaker0: einfach ins Internet raussprechen darf.

Speaker0: Also das wäre immer der schlechteste Fall, wenn ich eine Any-Regel habe,

Speaker0: alles was lokal ist, darf auf jeden Fall überall ins Internet hin,

Speaker0: sondern auch hier bin ich dann halt entsprechend dazu auch angehalten,

Speaker0: diese Segmentierungsgedanken da auch nochmal weiterzuspielen.

Speaker0: Vielleicht kaskadiert man auch mehrere Firewalls hintereinander,

Speaker0: weil man halt vielleicht Server hat, die direkt am Internet hängen müssen.

Speaker0: Die könnte man dann in eine weitere Zone packen, nämlich die DMZ,

Speaker0: die demilitarisierte Zone.

Speaker0: Dort existieren dann nur meine Web-Server. Auf die kann man vom Internet aus

Speaker0: zugreifen, weil es in der Firewall davor so konfiguriert wurde.

Speaker0: Aus meinem Verwaltungsnetzwerk komme ich quasi auch zwar auf die Website,

Speaker0: ich komme aber auch an das Management-Interface von diesem Webserver.

Speaker0: Von außen übers Internet käme man da entsprechend halt nicht hin.

Speaker0: Damit kann man sich schon eine Menge Probleme tatsächlich sparen.

Speaker0: Es bedingt natürlich einer vernünftigen Planung und ein alter Ausbilder von

Speaker0: mir hat immer gesagt, wenn du es nicht zeichnen kannst, kannst du es auch nicht umsetzen.

Speaker0: Das heißt, wenn man plant, so etwas zu machen, eben Segmentierung oder Mikrosegmentierung

Speaker0: oder mit VLANs zu arbeiten, dann muss man sich natürlich vorher ganz gut Gedanken

Speaker0: machen, wie das Ganze dann nachher aussehen soll.

Speaker0: Man sollte sich auch seine IP-Ranges überlegen, gerade wenn man vielleicht auch

Speaker0: mehrere Standorte noch über ein VPN oder Side-to-Side-VPN miteinander verbindet,

Speaker0: muss man halt auch ein bisschen nochmal darauf achten, dass es eben die Netzwerke,

Speaker0: die ich bei mir lokal in meiner Umgebung verwende, nicht auch auf der anderen

Speaker0: Seite gibt, um eben IP-Adress-Konflikte auszuklammern.

Speaker0: Aber wenn man es mal vernünftig geplant hat, dann kann man hier schon relativ

Speaker0: straightforward diese Sachen auch tatsächlich umsetzen.

Speaker0: Wenn ihr jetzt sagt, ich habe sowas noch nie gemacht oder was soll ich mir denn

Speaker0: da für Hardware für anschaffen?

Speaker0: Ich sage mal, die meisten modernen Switche und natürlich auch Router und Firewall

Speaker0: sind in der Lage, mit VLANs umzugehen.

Speaker0: Insofern sollte man da wahrscheinlich keine allzu großen Probleme haben,

Speaker0: entsprechend passende Hardware zu bekommen.

Speaker0: Ansonsten, es ist halt wirklich eine Sache der Planung. Wenn ihr dazu Fragen

Speaker0: habt, dann lasst mir die gerne auch mal unten in den Kommentaren da.

Speaker0: Ihr kennt das, unten in den Shownotes habt ihr auch die Möglichkeit,

Speaker0: euch direkt mit mir in Verbindung zu setzen.

Speaker0: Und dann können wir da natürlich auch gerne mal drüber sprechen.

Speaker0: Ja, und das soll es tatsächlich heute für unsere Folge schon gewesen sein.

Speaker0: Das heißt, wir haben uns angeguckt, wie verkleinert man Netze,

Speaker0: wie segmentiert man Netze und wie kann man das Ganze auch schützen.

Speaker0: Zum Beispiel eben gegen Ransomware. Wir haben gesehen oder gehört vielmehr,

Speaker0: was es da sonst noch für Möglichkeiten gibt, eben mit VLANs,

Speaker0: mit Zero Trust, Clients und Agents und ich hoffe, ihr konntet wie immer was

Speaker0: Gutes für euch aus der Folge mitnehmen.

Speaker0: Wie immer auch hier nochmal die Empfehlung und auch die Bitte,

Speaker0: teilt gern diese Folge in eurem Netzwerk, empfehlt uns gerne weiter,

Speaker0: lasst einen Kommentar und auch eine Bewertung da und dann würde ich mich freuen,

Speaker0: wenn wir uns auch zur nächsten Folge von Blue Screen oder Blue Screen Wissen

Speaker0: hier auf dieser Plattform wiederhören.

Speaker0: Macht's gut, bis dahin. Euer Alex. Ciao.

Music: