Sicherung von Netzwerken durch Schwachstellenanalyse
Problembeschreibung
In vielen Unternehmen ohne eigenen IT-Abteilung ist das Computer-Netzwerk über die Jahre eher natürlich gewachsen nach dem Motto: Alle Geräte sollen untereinander erreichbar sein. Die mit diesem Ansatz verbundenen Gefahren wie auch Gegenmaßnahmen sind oftmals unbekannt.
Unternehmensnetzwerk
Ziele
Sensibilisierung der Teilnehmer für Bedrohungen innerhalb nicht-segmentierter Unternehmensnetzwerke
Kennenlernen einfacher Werkzeuge zur Analyse von Unternehmensnetzwerken
Übung zur Analyse eines Beispiel- Unternehmensnetzwerks
Erlernen einfacher Methoden zur Netzwerk-Segmentierung
Übung zur Segmentierung eines Beispiel- Unternehmensnetzwerkes
Überprüfung der erreichten höheren Sicherheit
Diskussion von Spezialproblemen (NAS, Netzwerküberschneidungen, Cloud)
Ablauf des Planspiels
Analyse des Unternehmensnetzwerks
Innerhalb des Planspiels befinden sich in einem nicht-segmentierten Unternehmens-Netzwerk etliche Netzwerkgeräte, u.a. die Übungs-Notebooks der Teilnehmer. Auf diesen Notebooks sind bereits das Netzwerk-Analyse-Tool „OpenVAS“ sowie „Nmap“ installiert.
Zunächst führen die Teilnehmer einen Netzwerk- und Port-Scan durch und interpretieren die Ergebnisse, d.h.
die Art des jeweiligen Netzwerk-Gerätes (Computer, Speicher, Router, …) erkennen;
unbenötigte Dienste (Ports) anhand einer Port-Liste identifizieren.
Innerhalb der Gruppe werden die Ergebnisse diskutiert, um alle auf denselben Wissens-Stand zu bringen. Die Teilnehmer können so für sich Fehlinterpretationen erkennen.
Danach erfolgt mit der Software „OpenVAS“ eine Schwachstellenanalyse ausgewählter Netzwerk-Geräte
Auch hier werden die Ergebnisse in der Gruppe diskutiert und mögliche Bedrohungs-Szenarien besprochen, welche durch Schwachstellen im Unternehmensnetzwerk entstehen.
Erlernen einfacher Methoden zur Netzwerk-Segmentierung
Die Kursleitung referiert über Grundprinzipien der Netzwerk-Segmentierung. Neben theoretischen Ausführungen wird gezeigt, wie sich durch entsprechende Komponenten (Firewall-Router) das Netzwerk in getrennte Bereiche aufspalten lässt.
Für zentrale Netzwerk-Geräte mit allgemeiner Erreichbarkeit werden Lösungsansätze vorgestellt und diskutiert.
Segmentierung des Unternehmensnetzwerks
Mit den folgenden zwei Schritten verbessert jede*r Teilnehmer* das eigene Netzwerk:
Segmentierung Ihres Beispiel-Unternehmens und Überprüfung durch die Kursleitung.
Den Firewall entsprechend programmieren, so dass ihr konkretes Unternehmensnetzwerk segmentiert ist.
Überprüfung der erreichten höheren Sicherheit
Reihum stellen die Teilnehmer ihre Lösung vor. Jede*r Teilnehmer* erläutert kurz den gewählten Segmentierungs-Ansatz unter Berücksichtigung spezieller Randbedingungen. Durch einen abschließenden Netzwerk-Scan wird die Erreichbarkeit der Netzwerk-Geräte getestet.