Netzwerke segmentieren - warum ist das sinnvoll

Netzwerke segmentieren - warum ist das sinnvoll

Zuerst möchte ich die später diskutierten Begrifflichkeiten klar definieren. Ein Netzwerk in Zonen zu unterteilen verfolgt mehrere Ziele.

Unter einer Zone versteht man ein Netzwerksegment welches für sich alleine steht. Die bekanntesten Vertreter in Netzwerken sind die Standards: Das WAN (Wide Area Network), das LAN (Local Area Network) sowie in manchen Netzwerken die DMZ (Demilitarized Zone) und das WLAN (Wireless Local Area Network).

Darüber hinaus kann man ein Netzwerk in weitere Zonen unterteilen. Den Weg von einer in die andere Zone regelt man am besten an einer zentralen Stelle im Netzwerk durch Routen die dort konfiguriert werden. So könnte man zwei Netze nebeneinander konfigurieren das eine ist z.B. 192.168.1.0/24 und 192.168.2.0/24. Diese beiden Netzte würden sich gegenseitig nicht sehen, also Geräte die sich im jeweils anderen Netzwerksegment befinden würden sich nicht sehen. Durch einen Routing-Eintrag an einem zentralen Gerät können die beiden Netzwerk-Segmente miteinander kommunizieren und Geräte sozusagen zueinander finden.
Warum macht man so etwas? Das kann unterschiedliche Gründe haben.

Ein Aspekt ist die Sicherheit eines Netzwerkes. In einem Netzwerk gibt es eine Arbeitsumgebung. Dann gibt es Server auf die zugegriffen werden soll und ein weiteres Segment soll für die Drucker konfiguriert werden. Nun kann man regeln welche Dienste im Servernetz aus dem Arbeitsnetz erreichbar sind. Wären die Server im selben Netz wäre das nicht oder nur mit sehr viel Aufwand möglich. Damit ist die Sicherheit von Daten deutlich sicherer, denn über Logfiles kann man nun auswerten wann, wie und von welcher IP wird auf Serverdienste zugegriffen. Solche Logfiles können ausgewertet und so dann das Netzwerk optimiert werden.

Den Gedanken weiter geführt mit dem Druckernetz und einem Routing in das Druckernetz würde zum einen bewirken, dass nicht jeder Rechner alle Drucker sieht. Aber das dürfte in unserem Beispiel eher nebensächlich sein. In einer Produktionsumgebung werden Drucker von RIPs mit Daten versorgt. Diese Datenvolumen sind sehr groß. Bedeutet im Umkehrschluss, wenn das Segment abgetrennt ist wird nicht das gesamte Netzwerk durch solche Datenmengen beeinflusst, sondern nur das eine Segment in dem sich die RIPs und die Drucker befinden.

Das WLAN wiederum als differente Zone zu konfigurieren hat den Sinn die Sicherheit zu erhöhen, denn ein WLAN ist eine Art Schwachstelle in Netzwerken. Da es sich bei der Kommunikation zwischen dem WLAN-Gerät und dem WLAN-Einwahlpunkt um eine Funkverbindung handelt ist diese immer leichter zu kompromittieren, als eine fest verlegte Kupfer-Leitung. Deswegen macht es Sinn diese Zone ebenso zu separieren. Weiterhin ist so ein weiteres Gast-WLAN abzutrennen wie zu reglementieren.

Wie diese Ausführungen schon zeigen, die Gründe für eine Netzwerksegmentierung sind sehr unterschiedlich, daher sind die Lösungen ebenso vielfältig. Allen Ansätzen gemein ist die Tatsache, dass es immer um konfigurierte Routen und verschiedene Netzwerksegmente geht. Das alles ist natürlich auch noch über verschiedene Standorte ausdehnbar, aber das ist ein anderes Thema und würde den Rahmen dieser Diskussion sprengen.

Mein Fazit:
Um Netzwerke schneller, stabiler und / oder sicherer zu bekommen gibt es unterschiedliche Wege. Eine Optimierung ist aber nur zu erreichen wenn eine klare Analyse erfolgt was genau sinnvoll zu tun ist.

Cornelius Hoffmann