Sicherheit in Unternehmensnetzen ist nicht nur eine Frage der Technik, sondern vielmehr eine Frage der Firmenphilosophie. Sie beginnt bereits bei der Planung des Netzes und ist immer wieder aufs Neue zu prüfen.

Der Ausbau der Netzwerke zum multifunktionalen Übertragungsmedium erfordert bereits bei der Planung weitreichende Entscheidungen. TCP/IP-basierende Protokolle und Dienste sind als Träger der modernen Kommunikation nicht mehr wegzudenken und stellen die Basis für jedes Unternehmensnetz dar. Gleichzeitig haben sich das Ethernet und die entsprechende Switch-Technologie in den Unternehmen durchgesetzt. Die bereits heute existierenden Sicherheitsanforderungen und das Bestreben nach Zukunfts- und Betriebssicherheit des geplanten Netzwerkes erfordern jedoch ein Redesign der bisherigen Kommunikationskonzepte. Sicherheit kann im Unternehmensnetzwerk unterschiedliche Aspekte aufweisen:

Betriebssicherheit (Verfügbarkeit) des Netzwerks,

Abhörsicherheit,

Schutz vor Hacking (Management-Härtung),

Zukunftssicherheit (Bandbreitenreserven),

Sicherheit durch Überwachung der Streckencharakteristik,

Sicherheit durch geringe Ausfallzeiten,

Sicherheit im Brandfall (geringe Brandlast der Infrastruktur),

Absicherung gegen mutwillige oder versehentliche User-Eingriffe,

Investitionsschutz und

Diebstahlschutz der installierten Office-Switch-Systeme.

Diese und viele weitere Kriterien müssen die Beteiligten bereits bei der Planung des Netzwerks mit in die Betrachtung einbeziehen. Insbesondere das Thema Verfügbarkeit sorgt bei vielen Unternehmen jedoch immer wieder für unnötige Kosten. So kann auch der kurzzeitige Ausfall eines Systems schnell den ganzen Geschäftsbetrieb für mehrere Stunden lahmlegen. Viele Unternehmen betrachten derartige Ausfälle oft als gegeben und haben sich bereits damit abgefunden.

Doch vor dem Hintergrund der steigenden Bedeutung der IT für fast alle Unternehmensprozesse ist eine derartige Rücksichtnahme auf Dauer geschäftsschädigend. Die IT ist – unabhängig von der Branchenzugehörigkeit – zu einem festen Bestandteil jedes Unternehmens geworden. Wie lange man ohne EDV auskommt, dazu gibt es verschiedene Meinungen. Je größer ein Unternehmen ist, umso wichtiger ist in der Regel die Verfügbarkeit der IT. Um die Verfügbarkeit zu steigern, wird gehört oft sogar der Aufbau eines Ersatzrechenzentrums bei der Planung dazu. Glasfaserbasierende Netzwerk-Infrastrukturen bieten sich dabei auf Grund der flexiblen Möglichkeiten des Netzwerkdesigns für Netze mit hoher Systemverfügbarkeit an.

Glasfaser wirtschaftlich wie Kupferverkabelung

In der Praxis bewährt haben sich so genannte Fiber-to-the-Office-Netze, bei denen die LWL-Kabel bis ins Büro geführt sind. Bei den FTTO-Systemen handelt es sich intelligente, managebare Gigabit-Ethernet-Switch-Systeme zum Einbau in Kabelkanäle, Bodentanks oder Kommunikationssäulen. Die Systeme verfügen rückseitig über bis zu zwei Gigabit-Ethernet-Uplink-Schnittstellen. Die bei einer Kupferverkabelung typischen, platzintensiven Zwischenverteiler (Etagenverteiler mit aktiven und passiven Komponenten) können komplett entfallen. PCs, Notebooks oder IP-Telefone lassen sich in Gigabit-Ethernet-Technik über Standard-Twisted-Pair-Schnittstellen direkt an das System anschließen und durch das System per PoE mit Strom versorgen.

Diese Verkabelung ist für die sichere Datenübertragung ideal. Sie vereint die technischen Vorteile der Lichtwellenleiter mit der Wirtschaftlichkeit einer Kupferverkabelung.

Mittels intelligenter Fiber-to-the-Office-Systemtechnik lassen sich im Gegensatz zu einer Kupferverkabelung einfach Linien-, Stern- und Ringstrukturen realisieren. Damit sind abhängig von der Anforderung unterschiedliche Netzwerkstrukturen realisierbar. Eine redundante Anbindung (Erhöhung der Verfügbarkeit) über zwei unterschiedliche Kabelwege (Streckenredundanz) der Büros oder der User schließt eine gleichzeitige Kostenoptimierung des Netzwerks dabei nicht aus. Bei der Ringstruktur können verschiedene Arbeitsplätze oder Büros zu einem Ring zusammengeschaltet sein. Dies reduziert den bei FTTO bereits geringen Verkabelungsaufwand und das Kabelvolumen nochmals und bietet gleichzeitig eine maximale Netzverfügbarkeit.

Im Falle eines Streckenausfalls schaltet das System über standardisierte Verfahren (RSTP – Rapid Spanning Tree Protocol, MRP – Media Redundancy Protocol oder MSTP – Multiple Spanning Tree Protocol) automatisch auf den redundanten Leitungsweg um. Ein Umstecken des angeschlossenen Endgeräts auf einen anderen Anschluss ist dabei nicht erforderlich. Vergleichbare Redundanzkonzepte sind mit einer herkömmlichen Kupferverkabelung (Twisted Pair) technisch und wirtschaftlich nicht realisierbar.

Frühwarnsystem

In der Regel unterliegt bei der Verbindung aktiver Systeme über Glasfaser nur das so genannte Link-Signal der Glasfaserstrecke durch den Netzwerk-Switch einer Überwachung (Licht an oder aus). Ist das Link-Signal nicht mehr da, so generiert das System – sofern noch möglich – eine Meldung an den Netzwerkverantwortlichen. In diesem Fall ist die Strecke jedoch bereits komplett ausgefallen.

Moderne Switch-Systeme überwachen permanent die Streckencharakteristik der angeschlossenen Glasfasern. Dies bedeutet, dass nach der Inbetriebnahme der optischen Strecke automatisch der Dämpfungswert oder der optische Empfangspegel gemessen und abgespeichert wird. Tritt nun eine Veränderung dieser Werte auf – weil zum Beispiel ein Kabel einen Knick aufweist, dann sendet das System eine Warnmeldung an den Systemadministrator. Solch eine Veränderung der Streckencharakteristik kann dann auftreten, wenn zum Zweck der Industriespionage die Glasfaserstrecke über einen Biegekoppler angezapft oder ein Kabel nachgezogen und gequetscht wurde.

Im Zeitalter der WLAN-fähigen mobilen Endgeräte wie Tablets oder Smartphones will der Mitarbeiter diese privaten Geräte oft auch am Arbeitsplatz nutzen und greift hier entgegen Firmenrichtlinien aktiv in das Netzwerk ein: indem der Mitarbeiter entweder einen privaten WLAN Access Point an das Netzwerk anschließt oder eine Port-Vervielfachung mithilfe eines Low Cost Switches realisiert. Dieses Vorgehen öffnet potenziellen Angreifern Tür und Tor zum Netzwerk und kann nicht im Sinne der Unternehmen sein. Zu verhindern ist ein solches Problem beispielsweise dadurch, dass nur eine bestimmte Anzahl an MAC-Adressen auf dem jeweiligen User-Port oder nur Endgeräte bestimmter Hersteller an Hand der Vendor-Adresse (Herstellerkennung) zugelassen sind. Eine zusätzliche Authentisierung schafft weitere Sicherheit.

Zentrale, redundante Authentication-Server

Zum Aufbau sicherer Netze müssen auch die Fiber-to-the-Office-Systeme alle relevanten Sicherheitsmechanismen wie IEEE802.1x und auf MAC-Adressen basierende Zugangskontrolle unterstützen. In Verbindung mit einem zentralen Authentication-Server, beispielsweise RADIUS, lässt sich die Sicherheit in Unternehmensnetzen erheblich verbessern. Höchstmögliche Sicherheit entsteht durch Zugangskontrolle direkt am Teilnehmer-Port des Office-Switches. Dort fragt das System die Identität des Clients unmittelbar am Anschlusspunkt ab und nicht erst am gebündelten Port des zentralen Switches.

Ein Missbrauch des Netzwerkanschlusses wie das Mithören von Traffic ist damit grundsätzlich ausgeschlossen. Im Fall einer fehlerhaften Authentifizierung lassen sich entsprechende SNMP-Traps senden, die diese Security-Verstöße sofort an das zentrale Netzwerk-Management melden. Die MAC-Adresse des unberechtigten Clients überträgt und dokumentiert das System mit. Bei den FTTO-Switch-Systemen lässt sich RADIUS unter anderem für folgende Authentifizierungsaufgaben einsetzen:

MAC-basierende Zugangskontrolle,

IEEE802.1x (Benutzername und Kennwort),

CLI-Administration (Telnet/SSH) und

Management-Authentifizierung.

Damit auch der Glasfaseranschluss zum FTTO-Switch abgesichert und vor Manipulation geschützt ist, ist es wichtig, dass sich die installierten FTTO-Switch-Systeme auch beim zentralen RADIUS-Server mit Benutzername und Passwort authentifizieren müssen. Dies verhindert, dass ein potenzieller Angreifer das Switch-System ausbaut, sich mit einem anderen Gerät auf den Glasfaseranschluss aufsteckt und in das Netz eindringt.

Härtung schutzbedürftiger Systeme unabdingbar

Nahezu täglich neu erscheinende Berichte über aufgetretene gravierende Sicherheitsvorfälle zeigen, dass sich die allgemeine Bedrohungslage so entwickelt hat, dass neben der Verwendung der üblichen Sicherheitsmaßnahmen wie Firewalls oder Virenscanner auch eine angemessene Härtung schutzbedürftiger Systeme unumgänglich ist.

Es ist daher eine logische Konsequenz, dass Dokumente zur Formulierung von Sicherheitsanforderungen, wie etwa das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ des Bundesverbands der Energie und Wasserwirtschaft (BDEW) eine angemessene Grundsicherung und Systemhärtung gemäß anerkannter Empfehlungen fordern.

Bei Verwendung verwaltbarer Switch-Systeme ist darauf zu achten, dass die Härtung mithilfe eines System-Audits von einem unabhängigen Software- und Beratungshaus getestet und bestätigt ist. Unter Zuhilfenahme kommerzieller Security-Scanner, Open-Source Security-Scanner und eigener, ständig aktualisierte Testroutinen untersuchen die Spezialisten die Sicherheit der Systeme und der von diesen genutzten Kommunikationsdienste über die jeweils vorhandenen IP-fähigen Schnittstellen. Die Sicherheit der Management-Kommunikation gehört ebenfalls zur Basisprüfung.

Dabei testen die Experten zum Beispiel, ob sich durch Manipulationen auf Netzwerkebene gefälschte Pakete an den Switch senden lassen oder ob Eindinglinge die Authentisierung umgehen können. Um die Sicherheit weiter zu erhöhen, sollten nicht benötigte Dienste und Schnittstellen wie etwa Web- oder Telnet-Interfaces abgeschaltet sein.

Fazit

So unterschiedlich die Netze und die entsprechenden Anwendungen auch sein mögen, eins ist allen Netzen gemeinsam: stetiges Wachstum. Durch Multimedia-Applikationen und eine steigenden Anzahl von Nutzern werden sich die Anforderungen an Netzwerke deutlich erhöhen. Glasfasernetze bieten bereits heute eine solide Grundlage mit einer hohen Planungssicherheit. Jedoch ist bei einem Einsatz neuer Techniken zu prüfen, wie diese am besten einzusetzen ist. Dabei ist die Hilfe kompetenter Partner gefragt, die alle Faktoren gegeneinander abwägen und dem Anwender maßgeschneiderte Lösungen bieten.

Zum Aufbau sicherer Netze müssen auch die Fiber-to-the-Office-Systeme alle relevanten Sicherheitsmechanismen wie IEEE802.1x und auf MAC-Adressen basierende Zugangskontrolle unterstützen.

Bei einer fehlerhaften Authentifizierung lassen sich SNMP-Traps senden, die diese Security-Violation sofort an das zentrale Netzwerk-Management melden. Die MAC-Adresse des unberechtigten Clients überträgt und dokumentiert das System mit.

LANline.