Netzwerksicherheit

Netzwerksicherheit als Schicht

Ein sicheres Netzwerk ist wie eine Zwiebel – es gibt mehrere Schutzschichten. Kein einzelnes Werkzeug schützt vollständig. Firewall, IDS/IPS, DMZ und VPN sind Bausteine die zusammen ein tiefgestaffeltes Sicherheitskonzept bilden – das Prinzip der Defense in Depth.

IDS und IPS

Ein IDS (Intrusion Detection System) überwacht den Netzwerkverkehr auf verdächtige Muster und meldet Anomalien – greift aber nicht aktiv ein. Es ist wie ein Alarm der losgeht wenn jemand einbricht.

Ein IPS (Intrusion Prevention System) geht einen Schritt weiter: Es erkennt Angriffe und blockiert sie aktiv – in Echtzeit. Es ist wie ein Türsteher der verdächtige Personen direkt stoppt.

Eigenschaft

IDS

IPS

Funktion

Erkennt und meldet

Erkennt und blockiert

Positionierung

Passiv (Kopie des Traffics)

Inline (im Datenpfad)

Reaktion

Alert, Log

Block, Drop, Reset

Risiko

False Positives nur als Fehlalarm

False Positives blockieren legitimen Traffic

Erkennungsmethoden:

  • Signaturbasiert: Vergleicht Traffic mit bekannten Angriffssignaturen – effektiv gegen bekannte Angriffe, blind für neue

  • Anomaliebasiert: Erkennt Abweichungen vom Normalverhalten – erkennt auch neue Angriffe, aber mehr False Positives

DMZ – Demilitarisierte Zone

Eine DMZ ist ein separates Netzwerksegment zwischen dem internen Netzwerk und dem Internet. Server die von außen erreichbar sein müssen (Webserver, Mailserver, DNS) werden in der DMZ platziert – nicht im internen Netzwerk.

Netzwerkarchitektur mit DMZ:

Internet
    │
[Firewall 1 – äußere Firewall]
    │
   DMZ
   ├── Webserver
   ├── Mailserver
   └── DNS-Server
    │
[Firewall 2 – innere Firewall]
    │
Internes Netzwerk
   ├── Datenbank
   ├── Fileserver
   └── Arbeitsplätze

Schutzwirkung: Wird ein Server in der DMZ kompromittiert, hat der Angreifer noch keinen Zugriff auf das interne Netzwerk – die innere Firewall schützt es.

VPN – Virtual Private Network

Ein VPN erstellt einen verschlüsselten Tunnel durch ein unsicheres Netzwerk (meist das Internet). Daten werden am Ausgang verschlüsselt und am Eingang entschlüsselt – für Dritte sieht der Tunnel wie verschlüsselter Datenmüll aus.

Einsatzszenarien:

  • Remote Access VPN: Mitarbeiter im Homeoffice verbinden sich verschlüsselt mit dem Firmennetzwerk

  • Site-to-Site VPN: Zwei Unternehmensstandorte werden dauerhaft über einen VPN-Tunnel verbunden

  • Client VPN: Einzelne Geräte schützen ihre Internetverbindung (z.B. in öffentlichen WLANs)

VPN-Protokolle:

  • IPsec: Standard für Site-to-Site-VPN – auf IP-Ebene, sehr performant

  • OpenVPN: Open-Source, sehr sicher, flexibel

  • WireGuard: Modern, sehr schnell, einfach zu konfigurieren

  • SSL/TLS-VPN: Läuft über HTTPS (Port 443) – oft durch Firewalls ungeblockt

SIEM – Security Information and Event Management

Ein SIEM sammelt Log-Daten aus allen Quellen (Firewall, IDS, Server, Switches) und korreliert sie zentral. Es erkennt Muster die erst im Zusammenhang verdächtig sind – z.B. fehlgeschlagene Login-Versuche gefolgt von erfolgreichem Login von einer neuen IP.

Zero Trust

Zero Trust ist ein modernes Sicherheitsmodell das auf dem Grundsatz basiert: „Never trust, always verify." Kein Benutzer und kein System wird automatisch als vertrauenswürdig eingestuft – auch nicht wenn er sich bereits im internen Netzwerk befindet. Jeder Zugriff wird einzeln geprüft und autorisiert.

Zusammenfassung

  • IDS erkennt und meldet Angriffe – IPS erkennt und blockiert aktiv

  • IDS ist passiv (Kopie), IPS ist inline (im Datenpfad)

  • DMZ isoliert extern erreichbare Server vom internen Netzwerk

  • VPN erstellt verschlüsselte Tunnel durch unsichere Netze

  • Remote Access VPN für Homeoffice, Site-to-Site VPN für Standortverbindungen

  • SIEM korreliert Logs aus allen Quellen für übergreifende Bedrohungserkennung

  • Zero Trust: Vertraue niemandem automatisch – prüfe jeden Zugriff

  • Defense in Depth: Mehrere Schutzschichten statt einer einzelnen Maßnahme