Die Trennung von Netzwerken ist eine wichtige Übung, die nicht nur erheblich zur Verbesserung der Sicherheit Ihrer Infrastruktur beiträgt, sondern Sie auch dazu zwingt, eine Bestandsaufnahme sowie eine Klassifikation der wichtigen Werte Ihres Informationssystems zu machen. Die Trennung von Netzwerken besteht darin, Ihre Rechner in Untergruppen aufzuteilen, und nach genau definierten Regeln zu trennen.

Eine gut durchgeführte Trennung erlaubt nicht nur potentielle Bedrohungen in wohl definierten Bereichen einzugrenzen, sondern vor allem auch zusätzliche Sicherheitsmaßnahmen einzurichten.

Heutzutage ist ein vom Internet völlig abgetrenntes Informationssystem eines Unternehmens undenkbar. Der rote Bereich stellt jenen Teil dar, auf den man keinen Einfluss nehmen kann; von da kommt ein Großteil der Bedrohungen. Dieser Bereich ist durch eine Firewall vom internen Netzwerk zu trennen oder zumindest durch einen NAT-Router (was in den meisten der Luxemburger Haushalte der Fall ist). Eine Firewall ist ein Rechner, der zum Filtern der Kommunikationen zwischen den Bereichen dient, wobei die Filterregeln durch den Firewall-Verantwortlichen definiert werden, der zumindest jene Kommunikationen, welchen ihren Ursprung im Internet haben, unterbindet.

Die einzigen Dienste, welche direkt ans Internet angeschlossen sind, müssen identifiziert und im orangefarbenen Bereich isoliert werden.

Im orangefarbenen Bereich befinden sich also jene Server des Unternehmens, die direkt ans Internet angeschlossen sind. Der Zugang zu diesem Bereich muss sorgfältig mit Hilfe einer Firewall gefiltert werden um sicherzustellen, dass auch wirklich nur jene Dienste, die für die Außenwelt bestimmt sind, erreichbar sind; Wartungsdienste müssen vor einem Zugriff aus dem Internet geschützt werden. Keine in diesem Bereich initiierte Kommunikation darf in einen anderen Bereich des Unternehmens durchkommen.

Die Sicherheit kann durch die Verwendung von Switches, welche die Isolation von Ports ermöglichen, verbessert werden; somit sind alle Server voneinander isoliert, was eine Begrenzung des Angriffs im Fall einer Kompromittierung zur Folge hat.

Der grüne Bereich stellt das innere Netzwerk des Unternehmens dar. Dieser Bereich hat die meisten Zugriffsmöglichkeiten, hauptsächlich in Richtung Internet, aber auch in Richtung des orangefarbenen Bereichs, und zwar zu Wartungszwecken. Im grünen Bereich ist es oft nützlich und erwünscht, dass die Maschinen untereinander kommunizieren können, eine Isolierung der einzelnen Rechner ist also normalerweise nicht erwünscht.

Oft ist die Installation von Web-Filter- und Antiviren-Proxies vorteilhaft, um die aus dem Internet kommenden Bedrohungen zu mindern.

Der grüne Bereich kann selbst nochmals in Unterbereiche geteilt werden. Die Mitglieder des EDV-Teams sind alleinig berechtigt, Wartungen an den im orangefarbenen Bereich installierten Server durchzuführen. Also sollten sie auch die einzigen sein, die Zugriff auf Wartungsdienste dieser Server haben.

Achtung!  Lassen Sie sich nicht von den Farben täuschen, viele Angriffe können vom grünen Bereich aus erfolgen (unzufriedene Mitarbeiter, externe Bedrohungen die sich Zugang zum Unternehmen verschafft haben, infizierte Rechner,...); aus diesem Grund sollten die Rechner in diesem Bereich auch nicht über alle Rechte verfügen.

Dateiserver, Intranet-Server und andere Dienste, die nur für hausinterne Mitarbeiter des grünen Bereichs bestimmt sind, bedürfen einer speziellen Aufmerksamkeit. Ziel ist es, sie gegen die aus dem grünen Bereich stammenden Bedrohungen zu schützen, während alle benötigten und rechtmäßige Zugriffe gewährt werden. Eine Fall-zu-Fall-Untersuchung muss gemacht werden; dieser Bereich kann jedoch einem orangefarbenen Bereich zugeordnet werden, der seine Dienste dem grünen und nicht etwa dem roten Bereich zur Verfügung stellt.

Eine Installation der Server im grünen Bereich ist zwar bequem, sollte aber aus Gründen der sich hier potentiell befindlichen Bedrohungen vermieden werden.

Der blaue Bereich dient dazu, Besuchern oder Privatgeräten der Mitarbeiter (iPads oder Smartphones) beschränkte Zugriffe zu gewähren (oft nur ins Internet). Es ist ein typischer WiFi-Bereich. Der Zugriff zum Internet aus diesem Bereich darf nur unter Berücksichtigung einiger Vorsichtsmaßnahmen gewährt werden.

Eine gute Trennung von Netzen kann nur mit den entsprechenden Werkzeugen gewährleistet werden. Firewalls, Switches und gegebenenfalls WiFi-Antennen bilden das Herz der Netztrennung, mit dem gute Resultate erzielt werden können, sogar zu geringen Kosten, falls freie Produkte verwendet werden. Die Trennung von Netzwerken ist für jeden erschwinglich und von großem Nutzen, sogar für jedes kleine Unternehmen.

Wie bereits oben erwähnt, darf man den grünen Bereich nicht als einen sicheren Bereich ansehen, da von hier aus viele Bedrohungen kommen. Einen Ausgleich zwischen den zur Verfügung gestellten Diensten und der Sicherheit zu finden, kann oftmals nicht leicht sein, lediglich eine Risikoanalyse kann hier Aufklärung schaffen.

Eine gute Trennung von Netzen stellt jedoch keinen absoluten Schutz dar und darf auch nicht so angesehen werden, sondern lediglich als eine der notwendigen Maßnahmen, zu denen man auch noch Web-Filter, Antivierprogramme, Intrusion-detection-Systeme und viele andere zählen kann.

Kleines Netzwerk

Fall eines sehr kleinen Unternehmens. Die Trennung der Netze beläuft sich auf die Verwendung eines NAT-Routers, um das Internet von internen Netzwerk zu trennen.

Mittelgroßes Netzwerk

Fall eines mittelgroßen Unternehmens mit Fileserver  und Mail. Eine einzige Firewall gewährleistet die Trennung der Netze.

Großes Netzwerk

Fall eines größeren Unternehmens mit einen Netzwerk für Externe und einem Subnetz in der DMZ (orangefarbener Bereich, in dem die Server nicht untereinander kommunizieren können).