Netzwerkinfrastruktursicherheit beschreibt einen Prozess zum Schutz zugrunde liegender Networking-Infrastrukturen, der üblicherweise in Enterprise-IT-Umgebungen zum Einsatz kommt. Dabei werden Präventivmaßnahmen implementiert, um zu verhindern, dass Unbefugte auf Ressourcen und Daten zugreifen, diese verändern, löschen oder stehlen. Zu diesen Sicherheitsvorkehrungen zählen u.a. Zugriffskontrollen, Anwendungssicherheit, Firewalls, Virtual Private Networks (VPNs), Verhaltensanalysen, Intrusion Prevention-Systeme und drahtlose Sicherheit.

Netzwerkinfrastruktursicherheit erfordert einen ganzheitlichen Ansatz für fortlaufende Prozesse und Praktiken, um sicherzustellen, dass zugrunde liegende Infrastrukturen geschützt bleiben. Die Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt, bei der Auswahl der zu implementierenden Methoden mehrere Ansätze zu berücksichtigen.

• Segmentieren und Trennen von Netzwerken und Funktionen – Dem allgemeinen Infrastrukturlayout sollte dabei besondere Aufmerksamkeit geschenkt werden. Eine ordnungsgemäße Segmentierung und Trennung ist ein wirksamer Sicherheitsmechanismus, der verhindert, dass sich potenzielle Exploits auf andere Bereiche interner Netzwerke ausweiten. Durch den Einsatz von Hardware (z.B. Router) werden Netzwerke voneinander getrennt und der an sie gesendete Datenverkehr wird entsprechend gefiltert. Diese Mikrosegmente können den Datenverkehr weiter einschränken oder – im Fall eines Angriffs – sogar abgeschaltet werden. Im Hinblick auf das Design ähnelt die virtuelle Trennung der physischen Netzwerktrennung mit Routern, jedoch ohne die erforderliche Hardware.
• Einschränken unnötiger lateraler Kommunikation – Die Peer-to-Peer-Kommunikation innerhalb von Netzwerken muss unbedingt berücksichtigt werden. Durch ungefilterte Kommunikationen zwischen Peers können Eindringlinge ungehindert von einem Computer zum anderen gelangen. Somit haben Angreifer die Möglichkeit, Persistenz in Zielnetzwerken herzustellen, indem sie Hintertüren einbetten oder Anwendungen installieren.
• Härten von Netzwerkgeräten – Das Härten von Netzwerkgeräten ist eine wesentliche Maßnahme, um die Netzwerkinfrastruktursicherheit zu erhöhen. Es empfiehlt sich, Branchenstandards und Best Practices in Bezug auf Netzwerkverschlüsselung, verfügbare Services, sicheren Zugriff, sichere Kennwörter, Routerschutz, die Beschränkung physischer Zugänge, Konfigurations-Backups und die regelmäßige Überprüfung von Sicherheitseinstellungen einzuhalten.
• Sicherer Zugriff auf Infrastrukturgeräte – Administratorberechtigungen werden gewährt, damit bestimmte vertrauenswürdige Anwender auf Ressourcen zugreifen können. Die Authentizität von Anwendern wird durch Mehrfach-Authentifizierung (MFA) sowie das Management von privilegierten Zugriffen und administrativen Anmeldeinformationen sichergestellt.
• Out-of-Band(OoB)-Netzwerkmanagement – Mithilfe von OoB-Management werden dedizierte Kommunikationspfade implementiert, um Netzwerkgeräte remote zu verwalten. Dies führt zu einer verbesserten Netzwerksicherheit, da Anwender- und Managementdatenverkehr voneinander getrennt werden.
• Überprüfen von Hardware- und Softwareintegrität – Graumarktprodukte bedrohen IT-Infrastrukturen, da sie einen Angriffsvektor bieten, über den Unbefugte in Netzwerke gelangen. Unzulässige Produkte können bösartige Software beinhalten, die nur darauf wartet, in unvorbereitete Netzwerke eingeschleust zu werden. Unternehmen sollten regelmäßig Integritätsprüfungen für ihre Geräte und Software durchführen.

Die größte Bedrohung für die Netzwerkinfrastruktursicherheit geht von Hackern und bösartigen Anwendungen aus, die Routing-Infrastrukturen angreifen und versuchen, Kontrolle über sie zu erlangen. Zu den Komponenten von Netzwerkinfrastrukturen gehören alle Geräte, die für Netzwerkkommunikationen benötigt werden, darunter Router, Firewalls, Switches, Server, Lastausgleich, Intrusion Detection-Systeme (IDS), Domain Name System (DNS) und Storage-Systeme. Jedes dieser Systeme stellt einen Einstiegspunkt für Hacker dar, die bösartige Software in Zielnetzwerken platzieren möchten.

• Gateway-Risiko: Hacker, die Zugang zu einem Gateway-Router erhalten, können ein- und ausgehenden Netzwerkdatenverkehr überwachen, verändern und unterbinden.
• Infiltrationsrisiko: Wenn Hacker mehr Kontrolle über interne Routing- und Switching-Geräte erhalten, können sie den Datenverkehr zwischen wichtigen Hosts innerhalb von Netzwerken überwachen, verändern und unterbinden und die vertrauenswürdigen Beziehungen zwischen internen Hosts ausnutzen, um sich lateral auf andere Hosts auszubreiten.

Obwohl Hacker Netzwerke auf unzählige Arten mit schädlichen Angriffen gefährden können, sollten Schutz und Verteidigung von Routing-Infrastrukturen im Vordergrund stehen, um eine tiefgreifende Systeminfiltration zu vermeiden.

Wenn Netzwerkinfrastruktursicherheit gut umgesetzt wird, bietet sie zahlreiche wichtige Vorteile für Unternehmensnetzwerke.

• Kosteneinsparungen durch verbesserte gemeinsame Ressourcennutzung: Dank Schutzmaßnahmen können Netzwerkressourcen von mehreren Anwendern auf sichere Weise genutzt werden, was letztendlich zu niedrigeren Betriebskosten führt.
• Gemeinsam genutzte Site-Lizenzen: Wenn Sicherheit gewährleistet ist, können Sie Site-Lizenzen nutzen, die kostengünstiger sind als die Lizenzierung einzelner Geräte.
• Höhere Produktivität durch gemeinsame Nutzung von Dateien: Anwender können Dateien sicher in internen Netzwerken austauschen.
• Sichere interne Kommunikation: Interne E-Mail- und Chatsysteme werden vor unbefugten Zugriffen geschützt.
• Untergliederung und sichere Dateien: Anders als bei Geräten, die mehrere Anwender gemeinsam nutzen, sind Anwenderdateien und -daten bei diesem Ansatz voreinander geschützt.
• Datensicherheit: Daten-Backups auf lokalen Servern sind ebenso einfach wie sicher und schützen wichtiges geistiges Eigentum.

Es gibt eine Vielzahl von Ansätzen für die Netzwerkinfrastruktursicherheit, wobei es sich empfiehlt, mehrere davon zu verfolgen, um die Netzwerkverteidigung möglichst variabel zu gestalten.

• Zugriffskontrolle: Dadurch wird verhindert, dass unbefugte Anwender und Geräte auf Netzwerke zugreifen.
• Anwendungssicherheit: Dabei handelt es sich um Sicherheitsmaßnahmen für Hardware und Software, mit denen potenzielle Schwachstellen geschlossen werden.
• Firewalls: Diese Gatekeeping-Geräte können bestimmten ein- oder ausgehenden Netzwerkdatenverkehr zulassen oder unterbinden.
• Virtual Private Networks (VPNs): VPNs verschlüsseln Verbindungen zwischen Endpunkten und erstellen einen sicheren Kommunikationstunnel über das Internet.
• Verhaltensanalysen: Diese Tools erkennen automatisch Netzwerkaktivitäten, die von üblichen Vorgängen abweichen.
• Drahtlose Sicherheit: Drahtlose Netzwerke sind weniger sicher als kabelgebundene Netzwerke und aufgrund der Verbreitung neuer mobiler Geräte und Anwendungen gibt es immer mehr Vektoren für die Infiltration von Netzwerken.