Konzept zur Absicherung des Firmennetzwerkes durch Aufsplittung
Ein Mitarbeiter hat nicht aufgepasst, der Router bzw. die Firewall hatte nicht das letzte Update und um die Server hat sich schon lange keiner mehr gekümmert. Das ist heute in vielen Firmen Alltag. Es läuft doch alles!
Südwestfahlen-IT, Ticketmaster, Teamviewer, DZ Bank, CDU – um nur einige zu nennen. All diese Firmen bzw. Gruppen sind in der letzten Zeit Opfer eines schweren Angriffes aus dem Internet geworden mit zum Teil erheblichen wirtschaftlichen Folgen. Täglich werden große und kleine Firmen angegriffen. Alleine auf unseren Servern vermeldet die Firewalls einige hundert Angriffe und Portscans am Tag. Die meisten sind erst einmal harmlos. Es handelt sich meist um Passworterraten. Das sind Programme, die versuchen Ihre Email und sonstige Zugangsdaten zu erraten. Darum sind einfache Passwörter sehr unsicher.
Hat es ein Hacker aber erst einmal geschafft in Ihr Netzwerk einzudringen, dann ist es meist ganz einfach weiteren Schaden im Netz zu verursachen. Und hier greift die Absicherung durch Aufsplittung des Netzwerkes. Meist versucht der Hacker im Netzwerk weitere PCs und natürlich die Server anzugreifen aber desto weniger PCs in dem Netzwerk sind, desto weniger PCs sind angreifbar. Konkret sucht der Hacker oder das entsprechende Script nach PCs innerhalb der Netzwerkmaske. Sind Server und weitere PCs in einem anderen Netz, also in der eigenen Maske nicht erreichbar, so minimiert sich das Problem.
Ein Beispiel:
Ihre Firma benutzt das Netzwerk 192.168.1.0 mit der Maske 24. Sie erreichen in diesem Netzwerk also maximal 254 Computer, die potentiell bedroht sind. Teilt man aber jetzt das Netz in 4 Teile, so ist die Erreichbarkeit anderer Computer im Netzwerk natürlich kleiner. Sagen wir, jede Etage oder jede Abteilung bekommt ein Teilnetzwerk. In diesem Beispiel haben wir drei Büroetagen und einen Serverraum.
Die PCs der ersten Etage bekommen das Netzwerk 192.168.1.0/26, die zweite Etage 192.168.1.64/26 und die dritte Etage 192.168.1.128/26. Der Serverraum bekommt das Netzwerk 192.168.1.192/26. In den meisten Firmenstrukturen müssen die Netze der Büroetagen untereinander nicht agieren aber sie müssen natürlich die Server erreichen. Da die Server auch in einem anderen Netzwerk, sind benötigt man einen Router, der alle 4 Netzwerke und das Gateway ins Internet verbindet. Hier hat man dann auch direkt eine Möglichkeit eine Firewall mit zu installieren. Die Firewall schützt nicht nur vor dem Internet sondern schützt auch die Netzwerke untereinander. Auf dieser Firewall sind nur die genötigten Ports in der entsprechende Richtung offen und der ganze übrige Traffic wird gesperrt. Somit sind zum Beispiel Angriffe auf einen Fileserver erschwert. Es ist auch fast nicht möglich einen Ransomware Angriff auf dem Server zu starten. Es könnten zwar Dateien auf dem Fileserver von einem Arbeitsplatz verschlüsselt werden aber der Server selber ist nicht korrumpiert. Man kann also einfach die Datensicherung zurück spielen.
Das Beispiel zeigt, dass man mit einfachen Mitteln einen großen Beitrag zur Netzwerksicherheit erreichen kann. Als Router / Firewall Lösung bietet sich hier OPNSense an. Wer es jedoch selber machen möchte, kann auch auf SuSELinux, mit Iptables zurückgreifen. Hier muss man jedoch immer auf die Updates achten und entsprechende Änderungen vornehmen. Von einem Windowsrechner als Router wird jedoch dringend abgeraten.
Unser Router NANOrouter FR-004-1 gibt es auch in einer Version für NetCologne. Er berücksichtigt VLAN 10 für Internet und VLAN 20 für die Telefonie. Das VLAN 20 kann für die Telefonie in das LAN geroutet werden oder auf einem extra LAN laufen. Als Option gibt es ein G.FAST oder VDSL2 Modem. G.FAST benötigt man bei NetCologne für die Produkte NetSpeed 250, NetSpeed 500 und NetSpeed 1000. Hier bietet NetCologne zur Zeit nur die Fritzbox 7583 an, da diese als einzige Fritzbox G.FAST zur Verfügung stellt. 
