Intranet
Sicherheitsaspekte bei der Einbindung von PC in das lokale Netz des ON-Zentrum
1. Physische Sicherheit
Im ON-Zentrum werden Telefonie und Datendienste mit Hilfe einer strukturierten Verkabelung auf der Basis von Cat.6-Kabeln in die Bodentanks der Mieterräume geführt. Zusammengeführt werden sämtliche Kabel in den zentralen Technikräumen der Häuser A, B und C. In diesen zentralen Verteilereinheiten befinden sich Switches (Cisco 1900), über die die PC der Mieter an die gemeinsame Hausverkabelung angeschlossen werden können. Alle Switches sind per LWL-Link an einen zentralen Switch (Cisco 2900) angeschlossen, der mit einem Router (Cisco 2600) den zentralen Datenknoten des ON-Zentrums bildet.
Die physische Sicherheit für alle passiven LAN-Komponenten wird durch Sicherheitsschlösser an allen Türen und einen definierten Kreis von Schlüsselinhabern gewährleistet.
2. Abgrenzung des Mieter-LAN zum Intranet des ON-Zentrum
Zur Absicherung des Mieter-LAN gegenüber dem durch alle Mieter gemeinsam genutzten ON-Intranet dienen neben der Aufteilung des ON-Intranet in virtuelle LAN (VLAN) vor allem separate Netzwerkverteiler der Mieters. Hierbei wird den erhöhten Sicherheitsbedürfnissen oder -forderungen von Mietern Rechnung getragen, indem der Mieter einen eigenen Hub oder Switch im Datenverteilerschrank installiert. Durch diese Vorkehrung sind die Netzes von Mieter und ON-Zentrum physisch nicht verbunden. Wir schlagen zur Durchsetzung der Sicherheitsrichtlinien den Einsatz von Switches mit Port-Management vor, z.B. die Cisco Catalyst-, oder 3Com-Superstack-Serie. Durch die Aktivierung des Single Address Learning-Modus wird die MAC-Adresse der Netzwerkkarte des angeschlossenen Endgerätes permanent im Switch gespeichert. Erkennt der Switch eine andere MAC-Adresse als diese, wird der Port deaktiviert. Dadurch ist das unbemerkte Anschließen fremder Endgeräte an das LAN des Mieters nicht möglich. Die Konfiguration der Netzwerkverteiler ist mit Kennwort zu schützen, so dass unbemerkte Änderungen der Konfiguration durch Dritte ausgeschlossen sind.
3. Erhöhung der Sicherheit durch verschlüsselte Datenübertragung im LAN
Eine über die physische Absicherung des LAN sowie logische Absicherung der Netzwerkverteiler hinausgehende Maßnahme ist die Verschlüsselung des gesamten Netzwerkdatentransfers mit asymmetrischen und symmetrischen Verschlüsselungsverfahren. Wir schlagen hierfür den Einsatz von IPSec gemäß den IETF-Vorlagen vor. IPSec wird durch moderne Client- und Serverbetriebssysteme unterstützt, z.B. Windows 2000 Professional und Server sowie Linux. Hierdurch kann eine von der LAN-Struktur vollständig unabhängige Sicherung des Datentransfers auf der Ebene des IP-Protokolls realisiert werden.