lan securitY – eine notwendigkeit im zeitAlter der digitAlisierung

Die Sicherung des Netzwerks ist eine grundlegende Aufgabe für alle Unternehmen. Analysten bestätigen zudem, dass eine Mehrheit der Unternehmen Sicherheit als geschäftskritisch einstuft. Im Zeitalter der Digitalisierung, einer zunehmenden Mobilität der Arbeitskräfte und globaler Informationsfl üsse über eine Vielzahl unterschied-licher Endgeräte hinweg gewinnt diese Aufgabe an Bedeutung. Anders gesagt: Erfolgreiche Digitalisierung im Geschäftskundenmarkt ist unmöglich ohne einen hohen Grad an Sicherheit. Beim Blick auf den aktuellen Stand der LAN-Security stellt sich unweigerlich die Frage nach der Bedeutung der einzelnen Security-Kompo-nenten: Welche sind unentbehrlich? Welche sind empfehlenswert?

Dieses Whitepaper enthält eine Blaupause und einen Überblick über den Status Quo der LAN-Sicherheit. Es gibt Einblick in Interdependenzen von Komponenten und zeigt ein komplexes Universum von Tools, Werk-zeugen und Prozessen. Diese Komponenten und Intermediäre erzeugen verschiedene Sicherheitsschichten für Netzwerk sicherheit, Authentifi zierung, Zugriffsverwaltung und Endpunktsicherheit. Zugleich beobachten wir in diesem komplexen Netzwerk-Landschaften aktuelle Entwicklungen, die Mitarbeitern und Kunden neue Optionen an die Hand geben, die zu einer neuen, modernen Arbeitswelt führen.

die täglichen herausforderungen der netzsicherheitKontinuierlich wächst das Bewusstsein für Datenschutz. Mit dieser Entwicklung steigen auch die täglichen Anforderungen, denen sich Firmen in puncto Netzsicherheit stellen müssen. In einer herkömmlichen Multi-Layer-Sicherheitsarchitektur fallen folgenden Aufgaben an:

ManageMent der netzzugängeNetzadministratoren müssen permanent Nutzerdatenbanken managen und einen Überblick darüber behalten, welche Nutzer welche Zugangsrechte zum Netz haben. Sie müssen nachverfolgen, welche Nutzungsrechte nicht mehr gültig sind, da die Nutzer die Firma verlassen haben. Sie müssen unterschiedlichen Nutzer-Typen und Firmengästen neue Nutzungsrechte zuweisen und gleichzeitig garantieren, dass für ausgewählte Nutzergruppen die Nutzungsrechte ein-geschränkt sind, um Datenmissbrauch zu verhindern.

Netzadministratoren müssen zudem Zugangsberechtigungen oder preshared Keys regelmäßig warten und aktualisieren, damit diese nicht von nicht-autorisierten Nutzern und Endgeräten nutzbar werden. Letztendlich müssen Netzadministra-toren bei zunehmender Komplexität und Vielfalt einen Überblick über die gesamten Zugangsberechtigungen behalten – insbesondere weil Mitarbeiter unterschiedliche Endgeräten und Anwendungen nutzen, um ihre Aufgaben innerhalb der Organisation zu erfüllen. Mit der Konsequenz, dass Administratoren unterschiedlichste Plattformen bzw. Datenbanken managen und pflegen müssen.

mAnAgement der netz-zugänge

LAN Security EinE notwEndigkEit im ZEitaltEr dEr digitalisiErung

2

ManageMent der netzkoMponenten Neben dem Management des Netzzuganges müssen Administratoren Inventarlisten führen und pflegen. Sie erhalten damit einen aktuellen Überblick, wo sich Netzkomponenten genau befinden (in welchem Gebäude, in welchem Raum), welche kabelgebundenen oder kabellosen Clients Zugang haben, welche Geräte sich dem End-of-Lifecycle (EoL) nähern, welche repariert werden müssen, welche Geräte bereits ein Firmware-Upgrade hatten, welche WLAN-Access-points gerade außer Betrieb sind, welche Sektoren gerade Signalprobleme aufgrund von Interferenzen (RF) haben und welche Bereiche des Unternehmens über keine Netzabdeckung verfügen, usw.

ManageMent von netztransforMationenZum Management der Netzkomponenten gehört darüber hinaus, den Transformations-Prozess zu begleiten: Wenn Unternehmen ihre Technologie schrittweise aktualisieren oder sich im Prozess der phasenweise Migration befinden. In diesen Fällen müssen Software Updates und Security Patches gemanagt werden, um zu garantieren, dass keine Sicherheitslücken während des Netz-Updates oder der Netztransformation entstehen.

ManageMent der adMinistrationskostenDie vielfältigen administrativen Aufgaben des täglichen Sicherheitsmanagements sind kosten- und personalintensiv. Um das Firmennetz mit den aktuellsten und bewährtesten Sicherheitsmethoden auf den neuesten Stand zu bringen, brauchen CTOs entsprechend hohe Budgets. Diverse Studien haben gezeigt, dass Sicherheitsprobleme einen direkten Einfluss auf den reibungslosen Betriebsablauf haben. Vor diesem Hintergrund wird das Sicherheitsmanagement eine geschäftskritische Komponente in der heutigen Unternehmens-IT.

Die jüngsten Datenschutzgesetze wie die EU-Datenschutz-Grundverordnung (DSGVO, GDPR General Data Protection Regulation) können Unternehmens-Aufwände im Falle von Sicherheitslücken erheblich in die Höhe treiben. Um diesem Problem zu begegnen, investieren Unternehmen unterschiedlichster Größe entweder in zusätzliches eigenes Personal, greifen zu einem Outsourcing ihres Netzmanagements oder kombinieren beides.

Auf den ersten Blick mag das Selbstmanagement der Netzsicherheit kostengünstiger erscheinen. Aber die Herausfor-derung liegt darin, Mitarbeiter mit einem Best-Practice-Know-how auszustatten und neueste Industriezertifizierungen (ISO, ITIL, usw.) zu erfüllen. Andererseits muss das Unternehmen neben der wirtschaftlichen Prosperität insbesondere die Mitarbeiterbindung im Blick haben.

Aber Netze bzw. Netzstrukturen verändern sich. Mit dem Wandel der Arbeitswelt halten Digitalisierungsprojekte Einzug, die eine höhere geschäftliche Agilität erzeugen (intern und extern zu Partnern und Kunden). Dies bedeutet eine neue Herausforderung für das Firmennetz. Netzadministratoren und -manager müssen Schritt halten mit diesen Veränderungen, während sie gleichzei-tig ein hohes Sicherheitsniveau garantieren müssen. Im folgenden Kapitel werden wir diese Herausforderungen näher beleuchten.

Multiple identitäten, verschiedenartige anwendungen und Mobile arbeitnehMer Machen das netz verletzbarerIn den letzten Jahren sind die ICT-Umgebungen von Geschäftskunden immer komplexer, vielschichtiger und verletzbarer geworden. Und dies unabhängig von der Firmengröße – egal ob kleine Geschäftskunden oder internationale Großunter-nehmen. Sie alle müssen Angriffe auf ihr Firmennetz abwehren. Folgende neue Aspekte mit Einfluss auf die Sicherheit sind zu berücksichtigen:

netzManageMent Multipler identitätenNetzadministratoren müssen nicht länger nur den Netzzugang kabelgebundener und kabelloser Clients managen. Heutzutage müssen sie Nutzer, unterschiedliche Endgeräte und IoT-Geräte (z.B. smarte Kameras, Beleuchtung und Temperaturkontrollen, PoS-Terminals, smarte Büromöbel usw.) managen. Es müssen Nutzergruppen der internen/ Corporate-Nutzer und der Gastzugänge definiert werden. Dies verhindert den unerlaubten Zugriff auf das Firmennetz und geschützte Ressourcen. Zur Vermeidung von Sicherheitsverstößen und Datenschutzverletzungen müssen die Zugangs-berechtigungen dieser Identitäten ihrer spezifischen Funktion und Rolle innerhalb der Firma gemäß angepasst werden.

uMgang Mit bYod, cope, cobo und cYodBisher mussten Geschäftskunden nur Desktops, Laptops und andere kabelgebundene Netzperipheriegeräte managen, die an das Firmennetz angeschlossen waren. Heute bringen Mitarbeiter ihre eigenen Endgeräte wie z.B. Laptops, Tablets und Mobiltelefone mit ins Unternehmen. Der Zugang zu Firmendaten und -anwendungen erfolgt jetzt bei einem Nutzer gleichzeitig über verschiedene Geräte und unterschiedliche Betriebssysteme.

AusgAben für dAs sicherheits-mAnAgement steigen

sicherung von „dingen“

geräte- inventArisie- rung

neue nutzungs-szenArien Absichern

LAN Security EinE notwEndigkEit im ZEitaltEr dEr digitalisiErung

3

Abgesehen von einer BYOD-Umgebung (bring your own device), spielen diverse neue Endgeräte-Szenarien eine Rolle: COPE (company owned, personally enabled), COBO (company owned, business use only) und CYOD (choose your own device) kennzeichnen verschiedene Modelle. All diese Geräte brauchen Zugänge zum Access Layer des Netzes. Wenn hier kein Management stattfindet, wird das komplette Firmennetz angreifbar.

telearbeit und Mobile MitarbeiterEin anderer Aspekt der aktuellen Arbeitswelt, wo Sicherheit auch eine wichtige Rolle spielt, ist die wachsende Zahl von Telearbeitern und mobilen Mitarbeitern. Der Zugang zum Firmennetz wird für diese Mitarbeiter üblicherweise mit Hilfe von gesicherten VPN-Tunneln realisiert, wobei einfach bedienbare Software-Clients oder virtualisierte Desktops eingesetzt werden. Große Firmen, die komplexere Anwendungen nutzen oder unternehmenskritische Daten übertragen, müssen hier verstärkte Sicherheitslösungen implementieren. attacken auf das lanDas derzeit gängige „flache“ Netzdesign mit großen Domains macht die Netze angreifbarer für Ransomware und Lateral-Movement-Attacken. Sicherheitsexperten weisen daraufhin, dass eine Segmentierung der Netze in kleinere Domains und die Zuordnung von Policies für jedes dieser Segmente es Firmenkunden erlaubt, ihre Firmennetze effizienter vor diesen Schadcodes zu schützen (Erhöhung der Sicherheit durch Trennung).

optiMierung der endgeräte-policiesDadurch dass viele Anwendungen im Firmennetz laufen und von vielen Anwendern genutzt werden, müssen schließlich auch die Sicherheitsregeln bis auf den Application Layer konfiguriert werden, um die Netzressourcen zu optimieren. Dabei müssen auch Zugangsberechtigungen zu diesen Anwendungen mit Hilfe von Gruppen (Rollen)- und Geräte-Policies definiert werden, damit nur die jeweils verantwortlichen Mitarbeiter Zugang zu den entsprechenden Anwendungen und Inhalten bekommen.

das heutige lan/wlan-securitY-ManageMent ist geräte-orientiert und MehrschichtigBei einer herkömmlichen LAN/WLAN-Installation, egal ob Controller-basiert oder Cloud-managed, werden Sicherheits-funktionen durch mehrere Sicherheits-Layer erbracht, i.d.R. durch unterschiedliche Lösungen, Appliances/Software und Server (siehe Abb 1).

Zum Schutz eines Firmennetzes benötigen Firmen i.d.R. eine Security-Appliance wie z.B. eine Firewall mit Threat Protection (IPS/IDS, Anti-Virus/Anti-Malware), Content/URL-Filter und Regeln für Layer-3- und Layer-7-Zugang mit QoS (Traffic Shaping/Bandbreitenmanagement und Verkehrspriorisierung), Zeitplanung und Routing (VLAN Tagging). Diese Devices befinden sich zwischen dem Access Layer (d.h. dem LAN) und den WAN-Routern sowie -Filtern. Sie sichern und managen den Ein- und Ausgangsverkehr der WAN- und der LAN-Umgebung.

Zusätzlich braucht das Netzwerk einen Netzzugangsmanagement-Layer. Er realisiert Authentifizierung, Client-IP-Adressierung, Bereitstellung, Policy-Durchsetzung und Fehlerbehebung. Dies wird erreicht durch eine Kombination einzelner oder aller der folgenden Lösungen:1) RADIUS (Remote Authentication Dial-In User Service) oder NPS (Microsoft Network Policy Server)

Authentifizierungsserver2) Network Services Server mit DNS, DHCP und/oder IP-Adressenmanagement3) Directory Services wie z.B. Microsoft Active Directory, LDAP, OpenDirectory4) Network Access Control wie z.B. Cisco Identity Services Engine, Aruba, ClearPass und ForeScout CounterACT.

Firmen haben i.d.R. zumindest einen RADIUS Server, um die Nutzerauthentifizierung und -zuordnung zum LAN zu vereinfachen. Falls ein verfeinertes und Gruppen-basiertes Management gewünscht wird, werden Directory Services installiert, typischerweise ein Active Directory.

Erweiterten Schutz bietet Network Access Control (NAC). NAC überprüft, ob Endnutzer-Clients, die Zugang haben wollen, über Endgeräte-Sicherheit Vorgaben wie z.B. Anti-Virus verfügen. Falls diese fehlen, werden die betroffenen Clients kurzzeitig gesperrt und es wird eine gängige Anti-Virus-Software installiert, bevor die Clients wieder einen Netz-zugang erhalten. Eine andere Möglichkeit ist, sie hinter einen „walled garden“ zu positionieren, wobei dann der Zugang auf ein Minimum beschränkt ist (z.B. die Firmenwebseite). Network Access Control verhält sich ähnlich wie ein RADIUS Server und erlaubt auch das Management der Zugangsbereitstellung, Gruppen-Policy-Anwendung, Zugangskontrolle für den Application-Layer (inkl. Single sign on), Audit und Reporting, sowie Integration anderer Sicherheitslösungen wie z.B. für das Firmen Mobility-Management (AirWatch, MobileIron, usw.) oder Endgeräte-Sicherheits-Lösungen.

netzsegmen-tierung wird nötig

spezifische security- devices spielen eine wichtige rolle

netzzugAngs-kontrolle identifiziert clients

LAN Security EinE notwEndigkEit im ZEitaltEr dEr digitalisiErung

4

Die proprietären Herstellerlösungen bieten nur eingeschränkte Security-Funktionalitäten auf dem Access Layer. Authenti-fizierungsoptionen bieten zumindest MAC-basierte Authentifizierung, WEP und WPA/WPA2 Personal (mit preshared Keys). WPA2 Enterprise ist i.d.R. durch Nutzung von 802.1x-Authentifizierung möglich, aber das Netz muss dafür mindestens über einen RADIUS-Authentifizierungsserver verfügen. Bei herkömmlichen LAN/WLAN-Netzstrukturen oder einfachen Cloud-managed Lösungen ist das Zugangsmanagement über die gleiche LAN/WLAN-Netzmanagementplattform nicht möglich. Die proprietären Herstellerlösungen bieten außerdem nur sehr eingeschränkte Firewall-Regeln, z.B. VLAN Tagging, SSID-basierte Bandbreitenbeschränkung und Scheduling (zeitlimitierter Zugang), sowie einige Nutzer-definierte Content-Filter-optionen. In diesem muss der Kunde die zu blockierenden URLs festlegen. Um erweiterte Funktionalitäten wie z.B. Rogue Client Erkennung (Wireless IPS oder WIPS), individualisierter Gastzugang oder Audit-Reporting zu bekommen, muss ein Overlay einer IT-Service Managementplattform eingeführt werden. Cisco Prime und Aruba AirWave z.B. erfordern aber zusätzliche Lizenzen und müssen mit Hilfe von Active Directory oder einer NAC-Lösung integriert werden. Ein weiterer wichtiger Aspekt ist, dass jegliches erweiterte WLAN-Management nur mit Hilfe eines Controllers möglich ist, der entweder vor Ort installiert ist oder der einen Zugang per Fernzugriff über ein Site-zu-Site VPN erlaubt.

Für eine umfassendere Sicherheit werden darüber hinaus folgende Lösungen eingesetzt:

1) Endgeräte-Sicherheitslösungen wie z.B. Anti-Virus auf Desktops und Laptops,2) Mobility-Managementlösungen für Firmen, um mobile Geräte und BYOD-Umgebungen zu managen, sowie3) Identitäts- und Zugangsmanagementlösungen, um die Identitäten, die Zugriff auf die verschiedenen in der Firma

genutzten Anwendungen haben, zu verwalten und um Gruppen-Policies zu implementieren.

LAN-Sicherheit ist nicht nur ein technisches Thema. LAN und insbesondere LAN-Sicherheit sind entscheidende Voraus- setzungen, um heutzutage neue Umsätze aus neuen Geschäftsmodellen zu realisieren. Geschäftsverantwortliche müssen sicherstellen, dass ihre Infrastrukturen alle regulatorischen Anforderungen erfüllen und dass Unternehmens- sowie Benutzerdaten geschützt sind. Unzureichende LAN-Sicherheit wird neue Einsatzszenarien und Geschäftsideen unmöglich machen. Darüber hinaus kosten Sicherheitsvorfälle Unternehmen Geld – ganz abgesehen vom Imageverlust. Zudem ist ein modernes LAN ist ein Schlüsselfaktor für eine bessere User Experience im Unternehmen. Im Zeitalter der Digitalisierung wird LAN-Sicherheit zu einer geschäftskritischen Komponente für jedes Unternehmen.

Abb.1. Sicherheitsschichten in einem klassischen oder in einem Cloud-managed LAN/WLAN

einge-schränkte security Am Access-lAyer

zusätzliche sicherheit für endge-räte, unter-nehmens-mobilität und Anwendun-gen

INTERNET

WAN-Router

Network Switch

Security device

On-premise

WLAN access point

Office 365, Sharepoint, Dropbox, Skype for Business, Webex, Zoom, Azure, Sales-

force, ERP, email, calender, ect.

NETWORK SECURITY

LAYER

NETWORK ACCESS

MANAGEMENT LAYER

IDENTITY AND ACCESS MANAGEMENT

AUTHENTICATION LAYER

WLAN ADVANCED NETWORK

MANAGEMENT (CONTROLLER-

BASED)

ENDPOINT SECURITY

LAYER

ENTERPRISE MOBILITY

MANAGEMENT

Network access control (NAC) client

Directory service

RADIUS Server

DNS, DHCP, IPAMServer

Guests Corporate Guests Devices Machines

Orchestrierungsplattform obligater Dienst

Optionale Dienste

Weitere Management-Layer obligater Dienst

Optionale Dienste

LAN Security EinE notwEndigkEit im ZEitaltEr dEr digitalisiErung

5

zusaMMenfassung und ausblick

LAN-Sicherheit ist der zentrale Pfeiler der Informationssicherheit. Dies gilt umso mehr im Zeitalter der Digitalisierung und uneingeschränkter Netzzugänge. Sicherheitsmechanismen im LAN gewähren die Unversehrtheit des gesamten Firmennetzes. Unternehmen sind daher angehalten, die LAN-Sicherheit als einen wesentlichen Bestandteil ihrer Gesamt-ICT-Sicherheits- strategie zu betrachten und zukunftssicher weiterzuentwickeln.

Die Implementierung und der Betrieb von Sicherheitssystemen kann jedoch eine mühsame Aufgabe sein, da die derzeitigen Lösungen i.d.R. Appliance-orientiert sind (auch als virtualisierte Lösungen). Hinzu kommt, dass herkömmliche LAN-Sicher-heit i.d.R. mit Hilfe unterschiedlicher Infrastrukturen/Lösungen realisiert wird, die sich außerhalb der Netzmanagementplatt-form in einer herkömmlichen Vorort/Controller-basierten oder einfachen Cloud-managed LAN/WLAN-Architektur befinden. Solche eigenständigen Lösungen machen ein lückenloses Management und einheitliches Regelwerk (Policies) über alle Layer hinweg komplex. Jeder Layer wird über eigenständige Orchestrierungsplattformen gemanagt, was einen großen Auf-wand an IT-Administration und Ressourcen bedeutet. Selbst wenn man eine Cloud-managed Lösung eingesetzt, so bringt dies erst nur geringe Vorteile mit Blick auf ein übergreifendes WLAN-Netzmanagement (z.B. ist der Zugriff auf Layer 7 weiter nicht möglich). Erweiterte Funktionsvielfalt kann dann durch die Integration eines NAC-Layer erreicht werden, statt weitere Drittanbieter-Appliances einzusetzen.

Alles in allem haben Unternehmen drei Optionen, um auf die ständig wachsenden Herausforderungen rund um ihre LAN-Sicherheit zu reagieren.

1. Aufbau eigener RessourcenEntwicklung der existierenden Mitarbeiter, Einstellung weiterer Experten (falls verfügbar) und Hinzufügen weitererHardware- und Softwareschichten zum Netzwerk – mit entsprechend steigendem Integrationsbedarf.

2. Outsourcing oder OuttaskingOutsourcing oder Outtasking von Sicherheitsfunktionen an externe Partner, die (vollständige) Verantwortung für dasLAN übernehmen. Sie berichten regelmäßige an das Unternehmen. Diese Partner kümmern sich im Idealfall auch um die Weiterentwicklung der Sicherheit.

3. SD-LAN EinführungEinführung von SD-LAN als neuer Managementarchitektur für LANs.

SD-LAN vereinfacht die LAN-Struktur dadurch, dass einige der wesentlichen Funktionalitäten, auch die Security betreffend, integriert sind. Dazu gehören z.B. Firewall-Features, Layer 3 bis Layer 7 QoS, Authen-tifizierung und Zugangsmanagement. Eine ganzheitliche Orchestrierung und ein einheitliches Dashboard-Reporting erlauben ein einfacheres Management und, als Folge, eine höhere Transparenz. In Realität wird häufig ein Mix diverser Komponenten eingesetzt werden: beispielsweise eine Co-managed-Lösung, in der externe Anbieter Teile des LAN-Managements übernehmen plus Verbesserungen bei der internen LAN-Infrastruktur und beim eigenen IT-Personal. Egal welcher Weg unternehmensseitig eingeschlagen wird, die Sicherheit rund um das Firmennetz (LAN und WAN) ist im digitalen Zeitalter viel zu wichtig. Technologische Weiterentwicklungen, aber auch neue Bedrohungsszenarien dürfen nicht außer Acht gelassen werden. Die Geschäftsabläufe und die Produktivität innerhalb des Unternehmens müssen auch in Zukunft zuverlässig abgesichert werden.

Ein spezifisches White Paper von T-Systems gibt weitere Einblicke in das neue Feld von SD-LAN.

lAn-sicher-heit ist essenziell im rAhmen der digitAli-sierung

optionen für die zukunft:1. weiterbil-

dung undpersonAl- AufbAu

2. outsour- cing vonsecurity-AufgAben

3. sd-lAneinführung

LAN Security EinE notwEndigkEit im ZEitaltEr dEr digitalisiErung

6

KONTAKT

T-Systems International GmbH Wilfried MeerWilfried.Meer@t-systems.com

HERAUSGEBER

T-Systems International GmbH Hahnstraße 43d60528 Frankfurt am Main

http://www.t-systems.com

t-sYsteMs als anbieter von lan securitY

Mit Managed LAN Services übernimmt T-Systems alle Aufgaben rund um die aktiven Komponenten. Dies beinhaltet Planung und bedarfsgerechte Bereitstellung von Ports und Software, Hardware-Wartung und Rollout. T-Systems verfügt über umfangreiches Netzwerk- und Sicherheits-Know-how und managt Netzwerke auf Basis standardisierter Prozesse und Methoden. T-Systems verfügt über langjährige Expertise im Bereich LAN-Sicherheitsmanagement und bietet Sicherheits-dienste für Hunderte von Unternehmen. Mit SD-LAN wird T-Systems ihr Portfolio für ihre Kunden erweitern.