Finden Sie Viren auf dem Smartphone
Bsi Netzwerksicherheit
Bsi-NetzwerksicherheitM 5 Kommunikationsmaßnahmen - BSI - M 5 Kommunikationsmaßnahmen - BSI - M 5 - M5-Kataloge
Physikalische Segmentation ist der Prozess der Segmentation mit Netzwerkkomponenten auf den Schichten 1, 2 oder 3 des OSI-Referenzmodells. Mittels entsprechender physikalischer Segmentierungen können die notwendigen Sicherungsmaßnahmen in den Subnetzen entsprechend dem jeweils bestehenden Schutzbedürfnis hinsichtlich Erreichbarkeit, Unversehrtheit und Diskretion gewählt werden, wenn die entsprechenden Netzwerkkomponenten (siehe M5. 13 Angemessene Verwendung von Bausteinen zur Netzkopplung) sachgerecht verwendet werden.
Deshalb muss bei der Konzeption oder grundsätzlichen Änderung eines Ortsnetzes eine entsprechende physikalische Aufteilung berücksichtigt werden. Die Leistungsfähigkeit eines Netzwerks wird auch unter dem Aspekt der Erreichbarkeit berücksichtigt. Dies kann durch das Segmentieren des Netzwerks auf den jeweiligen Ebenen des OSI-Modells 1, 2 oder 3 gesteigert werden.
Mit einer Abtrennung auf Ebene 1, der kleinsten Steigerung der Anlagenverfügbarkeit in den einzelnen Abschnitten, aber dem höchsten Datendurchsatz zwischen den Abschnitten und mit einer Abtrennung auf Ebene 3, kann die grösste Steigerung der Anlagenverfügbarkeit und der niedrigste Datendurchsatz zwischen den Abschnitten erreicht werden. Bei den bisherigen LAN-Implementierungen wurden Layer-1-Netzwerke mit Repeater untergliedert.
Damit konnte die Netzverfügbarkeit gesteigert werden, da die elektrischen Störungen in einem Segment das andere nicht beeinträchtigen konnten. Layer 2-Switches werden zur Segmentierung von Netzwerken auf Layer 2 verwendet. Dies steigert die Netzwerkverfügbarkeit oder -leistung, da Layer-2-Switches für jedes an einen Switch-Port angeschlossene IT-System eine eigene Kollisionsdomain einrichten.
Wenn ein Netzwerk jedoch ausschliesslich aus Layer 2 Switchen aufgebaut ist, werden Broadcast-Pakete an alle angeschlossenen IT-Systeme (Switche, Workstations, Server usw.) gesendet. Mit zunehmendem Broadcast-Verkehr, zum Beispiel wenn neue IT-Systeme in das Netzwerk aufgenommen werden, steigt das Risiko von Staus in den jeweiligen Netzwerksegmenten. Damit dies nicht passiert, empfiehlt es sich, große Broadcast-Domänen in kleine Broadcast-Domänen aufzuteilen und diese dann über Layer-3-Switche oder Router zusammenzuschalten.
Bei Verwendung von Routern zur Segmentation kann der Netzwerkverkehr auf Layer 3 nahezu komplett gesteuert werden. Es werden keine Sendungen zwischen den einzelnen Abschnitten (Teilnetzen) weitergereicht, die durch einen eigenen Routers voneinander abgetrennt sind. Basierend auf den Resultaten einer Verkehrsstromanalyse (siehe dazu M1. 139 Tatsächliche Erfassung der Ist-Situation) sollte eine physikalische Zerlegung durchgeführt werden, um den Datendurchsatz bzw. die Leistung im geforderten Umfang zu steigern.
Beispiel: Ein Netzwerk setzt sich ausschliesslich aus Layer-2-Switches (Flat Network) zusammen. Zur Erhöhung der Netzwerkverfügbarkeit und -leistung werden kleine Broadcast-Domänen erstellt, indem einige Layer-2-Switches durch Layer-3-Switches oder Routers ausgetauscht werden. Zur Gewährleistung der Datenvertraulichkeit in einem Netzwerk gemäß seinen Schutzanforderungen sind alle Massnahmen zur Verhinderung eines ungewollten Datenaustausches zwischen zwei Bereichen angemessen.
Im Vergleich zu einem Hub oder Repeater erhöhen Routers und Switche die Diskretion, da sie den gesamten Netzwerkverkehr auf Layer 2 oder 3 steuern oder auf Port-Ebene miteinander verknüpfen oder unterbrechen können. Die umfangreichsten Steuerungsmöglichkeiten der hier vorgestellten Bausteine bietet der Einsatz von Router und Layer 3-Switchen. Anhand von Kreuzschienen oder Layer 3 Switchen kann nicht nur der Zugriff und das Routing auf andere Netzwerke ermittelt werden, sondern auch, welcher Netzwerkteilnehmer mit welchen Anlagen in anderen Bereichen und auf welcher Grundlage kommuniziert.
Das Ausschließen von bestimmten Layer-3-Protokollen auf dem Routern hindert die entsprechenden Protokolldaten daran, andere Abschnitte zu erreichen. Beispiel: Durch die Aufteilung eines Netzwerks über einen Kreuzschiene und die entsprechenden Einstellungen der Regeln ist eine Verbindung zwischen den einzelnen Abschnitten nicht möglich. Dabei wird die Unversehrtheit der Messdaten bis Layer 3 in der Regel durch das verwendete Netzwerkzugriffsprotokoll gewährleistet, während weitere Massnahmen erforderlich sind, um die Netzwerkintegrität sicherzustellen, d.h. sicherzustellen, dass die aktuelle Netzwerksituation der projektierten und projektierten physikalischen und logischen Aufteilung entspricht.
Änderungen an Netzwerkkomponenten (Umlagerungen, Einbau von neuen, nicht autorisierten Netzwerkkomponenten, etc.) werden vermieden oder mindestens detektiert (hardwarebezogene Sicherheit), Änderungen in der Parametrierung von Netzwerkkomponenten (z.B. Routing-Protokolle, Port-Switching-Matrix oder VLAN-Zuordnung) werden unterbunden oder mindestens detektiert (softwarebezogene Sicherheit). Zu diesem Zweck ist es notwendig, den Zugriff auf die Netzwerkkomponenten mit einer ausreichenden Festigkeit zu verweigern (z.B. durch infrastrukturelle Maßnahmen in Bezug auf den Verteilungsraum, Verkabelungen usw.).
und Netzwerkmanagement so, dass ein unbefugter Zugriff auf die Netzwerkkomponenten über das Netzwerk unterdrückt wird. Ein erhöhter Schutz der Datensicherheit auf Layer 3 (z.B. Anwendungsdaten) kann nicht allein durch den Gebrauch von Netzwerkkomponenten erzwungen werden.
Netzwerkkomponenten können dazu genutzt werden, um zu vermeiden, dass Pakete überwacht und verändert werden. Das sind z.B. Switche und Routers, die ein Netzwerk in einzelne Abschnitte oder Subnetze aufteilen können, zwischen denen der Verkehr gesteuert, eingeschränkt oder parametriert werden soll. Darüber hinaus muss durch entsprechende Auslegung und Wahl der Netzwerkkomponenten sichergestellt werden, dass weder durch deren Überlast noch durch deren Störung ein Verlust oder eine Verfälschung der Pakete möglich ist.
Testfragen: Wurde das Netzwerk physikalisch untergliedert?
Bytes Malware Scanner
Sicherheits-Virenschutz
Ausfall des Telekom Speedports
Unerwünschte E-Mails blockieren
Keim- und Virusinfektionen
Einrichten der Sophos Firewall
Kostenloses Kaspersky Android
Sicherheitshinweis für Microsoft
Mit Botnet Geld verdienen
Überprüfen Sie die Microsoft-Software
Schlüsselgenerator für Avast Internet Security
Download von Avast 2017
Eset Virenscanner
Malware-Begriffe
Schadsoftware-Infektion
MS-Virenschutz
Telecom Router Fernsehen
Junk-Mail blockieren
Eine bakterielle Infektion Erkältung
Die Sophos Home Firewall Hardware
Caspersky Internet Security 3 Stck.
Sicherheitsgrundlagen 64 Bit
Anti-Botnet-Beratungsstelle
Microsoft Windows 8 Setup Tool Microsoft
Aktuelle Aktualisierung 2017
Kostenloser Avast Download Offline
Kaufen Sie Eset Nod32
Die beste Internet-Sicherheitssoftware
Schadsoftware-Seiten
Virenprogramm Kostenlose Testversion
Unruhe bei der Telekom heute
Junk-Mail kann nicht gelöscht werden
Anti-Virus
Hüfte von Sophos
Das Kaspersky Angebot
Das Microsoft Security Center
Bot-Schutz
Das Microsoft Scan-Programm
Awast Shop
Kassierer 2015
Iod32-Test
Preiswerte Antivirus-Software
Schadsoftware-Typen
Testsieger im Virenschutz 2017
Verbindung zum Internet Telekom-Störung
Die Bedeutung von Spams
Eine bakterielle Infektion ist infektiös
Sophos deaktivieren
Aktualisierung der Kaspersky Internet Security
Sicherheitshinweise für Microsoft 64 Bit