metamorworks - stock.adobe.com
Wie unterscheiden sich LAN und WAN bei der Absicherung?
Ein WAN kann nicht mit denselben Maßnahmen wie ein LAN vor Bedrohungen durch Insider oder unerlaubten Zugriffen geschützt werden. Gerade am Rand gelten besondere Bedingungen.
Ein Local Area Network (LAN) ist dafür ausgelegt, die Mitglieder einer Organisation innerhalb eines eindeutig abgegrenzten Gebiets miteinander zu verbinden. Die Größe eines LANs kann von einer Handvoll Mitarbeitern bis zu hunderten Angestellten in einem großen Unternehmen reichen. Ein Wide Area Network (WAN) verbindet dagegen mehrere LANs in einer größeren Region. Ein typisches Beispiel für ein WAN ist etwa die Verbindung mehrerer Niederlassungen eines Unternehmens in verschiedenen Städten oder Ländern.
LANs und WANs unterscheiden sich nicht nur in den Geschwindigkeiten, Datentransferraten und verwendeten Technologien, sondern auch in den Bedrohungen, denen sie ausgesetzt sind. Selbst die Strategien, um sie zu schützen, differieren zum Teil erheblich. Warum das so ist, erfahren Sie hier.
Sicherheit in lokalen Netzen
Ein lokales Netz wird in der Regel für eine einzelne Organisation, Firma oder eine Abteilung innerhalb dieser Firma genutzt und ist nicht direkt mit anderen LANs verbunden. Weil ein LAN nur an einem begrenzten Standort genutzt wird und die dafür benötigten Ressourcen nur innerhalb genutzt werden, ist es normalerweise weit sicherer als eine WAN-Struktur.
Das bedeutet aber nicht, dass es für LANs keine Bedrohungen gibt. So können zum Beispiel eigene Mitarbeiter vertrauliche Daten stehlen oder Malware absichtlich und auch unabsichtlich einschleppen, weil sie etwa auf eine gut gemachte Phishing-Mail hereingefallen sind oder weil sie ein kompromittiertes Gerät mit dem LAN verbunden haben.
Unternehmen können jedoch physische Maßnahmen ergreifen, um die Sicherheit ihres gesamten LANs und alle damit verbundenen Systeme zu erhöhen. Jede Person mit physischem Zugriff auf das Netzwerk muss sich dann an bestimmte Sicherheitsrichtlinien und vorgeschriebene Prozeduren halten. Hilfreich ist zudem ein solides Identitätsmanagement, um sicherzustellen, dass die Nutzer nur genau auf die Daten und Systeme Zugriff haben, die sie für ihre Tätigkeiten auch wirklich benötigen.
Ein LAN verbindet sich üblicherweise nur über einen einzigen zentralen Router mit dem Internet. Abgesehen von den nicht von der Hand zu weisenden Gefahren einer Verbindung mit dem Internet, verfügen moderne Router über zahlreiche Mechanismen, um diese Verbindungen abzusichern. Unternehmen sollten aber jederzeit genau Bescheid über alle offenen Ports wissen, um etwa SMB-Angriffe (Windows Server Message Block) oder via RDP (Remote Desktop Protocol) zu verhindern. Empfehlenswert ist es darüber hinaus, die Zugangsdaten für den Admin-Zugriff auf den Router regelmäßig zu ändern.
Außerdem muss regelmäßig überprüft werden, ob etwa in den im Unternehmen eingesetzten Routern versteckte Backdoors gefunden wurden. Falls das der Fall ist, müssen sie geschlossen oder das betreffende Gerät ausgetauscht werden.
Heutzutage entscheiden sich viele Unternehmen auch für die Nutzung von drahtlosen Netzen und verbinden einen Teil ihrer Geräte per WLAN (Wireless LAN) mit dem lokalen Netzwerk. Auch dieses Vorgehen ist nicht frei von Risiken. Beispielsweise können Angreifer eine Evil-Twin-Attacke durchführen, bei der sie einen eigenen drahtlosen Access Point (AP) einrichten, der sich als ein legitimes Gerät im WLAN des Unternehmens ausgibt.
Das Ziel dieser Maßnahme ist, dass sich mobile Geräte innerhalb der Organisation mit dem gefälschten AP verbinden und darüber kommunizieren. Eine Nutzung bewährter Verschlüsselungstechniken und virtueller privater Netzwerke (VPN) kann die Bedrohung durch einen Evil-Twin-Angriff ein großes Stück weit reduzieren.
Eine weitere Möglichkeit zum Schutz lokaler Strukturen ist die Einrichtung von virtuellen LANs (VLAN). Mit ihnen lassen sich physisch nicht direkt zusammenhängende Nutzer oder Systeme zu gemeinsamen virtuellen Strukturen verbinden.
Außerdem können sie genutzt werden, um bestimmte, besonders schützenswerte Ressourcen, Daten oder Systeme vom restlichen LAN abzugrenzen. Aber auch VLANs sind nicht frei von Risiken. So wurden bereits sogenannte Hopping Attacks beobachtet, die auftreten können, wenn die für die VLANs genutzten Switches nicht sorgsam konfiguriert wurden.
Sicherheit in Weitverkehrsnetzen (WAN)
Die generelle Struktur von WAN-Netzen, also die Verknüpfung mehrerer LANs an verschiedenen Orten miteinander, erfordert entweder eine Verbindung über das öffentliche Internet oder über eine dedizierte Leitung, die zum Beispiel durch einen TK-Anbieter bereitgestellt wird. Das führt jedoch dazu, dass der Kunde die physischen Schutzmaßnahmen nicht kennt, die der Provider ergriffen hat – wenn es überhaupt welche gibt.
Eine Verbindung über das öffentliche Internet verändert zudem die gesamte Sicherheitslage für das Unternehmen, indem sie für zusätzliche Gefahren sorgt, die zu denen dazukommen, die es bereits in einer rein auf das lokale Netzwerk beschränkten Umgebung gibt. Weil ein WAN entweder direkt mit dem Internet verbunden ist oder das weltweite Netzwerk zum Transfer von Daten nutzt, muss sichergestellt werden, dass die genutzte Verschlüsselung sauber aufgesetzt wurde und dass die genutzten Router und Firewalls sicher konfiguriert sind.
VPNs sind eine häufig genutzte Option, um sichere Verbindungen zwischen mehreren Standorten eines Unternehmens in einem WAN aufzubauen oder um entfernten Anwendern eine sichere Anbindung an das WAN zu ermöglichen. Die Verschlüsselung der Daten durch ein VPN darf aber nicht die einzige Verteidigungslinie eines Unternehmens gegen Cyberangreifer sein.
Ein Software-defined WAN (SD-WAN) zentralisiert die Maßnahmen zum Schutz des Netzwerks und sorgt darüber hinaus für ein flexibles, in Echtzeit managebares Application Traffic Management. Das ist zudem möglich, ohne dass dabei das bereits vorhandene WAN umstrukturiert werden müsste. Mit SD-WANs lässt sich auch ein Zugriff auf Anwendungen in der Cloud ermöglichen. In der Regel treten dabei auch keine Engpässe wie in traditionellen Weitverkehrsnetzen auf.
Beim Einsatz eines SD-WANs verlagert sich jedoch die Sicherheit von den zentralen Firewalls an den Rand des Netzwerks, an den sogenannten Edge. Das erfordert Anpassungen an den Prozess zum Provisioning des SD-WANs und möglicherweise auch einen Wechsel zu einem Software-defined Perimeter oder zu einer Zero-Trust-Umgebung.
Beim Abwägen der Sicherheit von LANs gegenüber WANs gilt das Gleiche wie bei jedem Computersystem oder Netzwerk: Identifizieren Sie zuerst die Bedrohungen, die für Ihre spezifischen Systeme oder Ihr Netzwerk relevant sind, und priorisieren Sie alle Bereiche, die besonders geschützt werden müssen. Gehen Sie erst dann daran, die besten Wege zu finden, um den erforderlichen Schutz in der Praxis umzusetzen.