# Network Segmentation: Sicherheitszonen & Zero-Trust Architektur
TL;DR / Management Summary Ein “flaches” Netzwerk, in dem jeder mit jedem sprechen kann, ist das Paradies für Ransomware. Netzwerk-Segmentierung bricht diese homogene Struktur auf. Wir nutzen VLANs (Artikel 729) und Mikrosegmentierung (Artikel 710), um Workloads zu isolieren. Ein Senior Admin folgt dem Zero-Trust Prinzip: Jede Kommunikation zwischen zwei Segmenten wird explizit verboten, es sei denn, sie ist zwingend erforderlich und durch die Firewall (OPNsense) geprüft.
# 1. Das Zonenmodell (Enklaven-Design)
Grenzen ziehen.
Teilen Sie Ihre Infrastruktur in funktionale Zonen ein:
- Management Zone: Switche, Hypervisor-Hosts, iDRAC. (Maximaler Schutz).
- Tier 0 (Identity): Domain Controller, PKI. (Das Herz des Unternehmens).
- Tier 1 (Apps): ERP, Mail, Fileserver.
- Tier 2 (Workstations): Mitarbeiter-PCs.
- Untrusted (IoT/Gäste): Alles, was kein Zertifikat besitzt.
# 2. Mikrosegmentierung in Proxmox
Isolation innerhalb des Hosts.
Normalerweise können VMs im gleichen VLAN ungefiltert miteinander sprechen.
- Aktion: Aktivieren Sie die Proxmox Firewall (Artikel 710).
- Vorteil: Selbst wenn zwei Webserver im gleichen VLAN liegen, verhindert die Firewall, dass Server A den Server B scannt.
- Regel: Blockieren Sie den gesamten “Ost-West-Traffic” und erlauben Sie nur spezifische Ports.
# 3. Deep Dive: Private VLANs & PVLAN
Isolierte Ports im gleichen Subnetz.
In manchen Szenarien (z.B. Gäste-WLAN) sollen Endgeräte niemals miteinander sprechen dürfen.
- Technik: Isolated Ports. Der Switch erlaubt nur den Traffic zum Uplink (Gateway), nicht aber zu anderen Ports im gleichen VLAN.
- Nutzen: Verhindert, dass ein infizierter Laptop im Gäste-WLAN alle anderen Laptops scannt.
# 4. Day-2 Operations: DMZ & Air Gaps
Physische vs. Logische Trennung.
# Die DMZ (Demilitarized Zone)
Platzieren Sie Webserver, die aus dem Internet erreichbar sind, in einer DMZ.
- Gesetz: Ein DMZ-Server darf niemals selbstständig eine Verbindung ins interne Netz (VLAN 20) aufbauen. Er darf nur auf Anfragen antworten.
# Der ‘Logische’ Air Gap
Nutzen Sie SDN (VXLAN) (Artikel 682), um Netze über Standorte hinweg zu isolieren, ohne physische Kabel ziehen zu müssen.
# 5. Troubleshooting & “War Stories”
Wenn die Mauer zu hoch ist.
# Top 3 Fehlerbilder
-
Symptom: Monitoring-System meldet tausende Alarme nach Segmentierung.
- Ursache: Der Monitoring-Server darf das neue Management-VLAN nicht erreichen.
- Lösung: Whitelist für den Monitoring-Host am Gateway erstellen.
-
Symptom: DNS-Auflösung scheitert in einer neuen Zone.
- Ursache: Port 53 (UDP) zum Domain Controller wurde vergessen.
-
Symptom: “VLAN Leakage” durch fehlerhafte Switch-Trunks.
# “War Story”: Der “Zufalls-Hacker” im Drucker-VLAN
Ein Unternehmen segmentierte sein Netz vorbildlich. Drucker waren in VLAN 50. Das Ereignis: Ein Gast steckte sein Notebook in die Netzwerkdose des Druckers. Das Ergebnis: Da der Port fest auf VLAN 50 eingestellt war, landete der Gast im Drucker-Netz. Die Katastrophe: Da der Drucker-Server im internen Netz volle Zugriffsrechte “von VLAN 50” hatte (für die Status-Abfrage), konnte der Gast über den Drucker-Server das interne Netz infiltrieren. Lehre: Segmentierung ist wertlos, wenn die Firewall-Regeln am Gateway zu weit gefasst sind (Any-Regeln vermeiden!). Nutzen Sie 802.1X (Artikel 498) zur dynamischen Zuweisung, statt fester Port-VLANs.
# 6. Monitoring & Reporting
Segment-Integrität.
# Flow-Analyse
Überwachen Sie mit ntopng (Artikel 586), ob Traffic-Flüsse zwischen Segmenten auftreten, die nicht in Ihrem Design vorgesehen sind.
- KPI:
Inter-Zone Traffic Volume.
# 7. Fazit & Empfehlung
Segmentierung ist kein Projekt, sondern ein Dauerzustand.
- Empfehlung: Bauen Sie Ihr Netzwerk nach dem Hub-and-Spoke Modell (alle Speichen treffen sich an der OPNsense).
- Wichtig: Dokumentieren Sie die Zonen-Matrix (Wer darf mit wem?). Diese Matrix ist das wichtigste Dokument für jeden Sicherheits-Prüfer.
# Anhang: Cheatsheet (Zonen-Regeln)
| Quelle | Ziel | Aktion | Grund |
|---|---|---|---|
| Guest | LAN | DROP | Standard Isolation |
| DMZ | LAN | DROP | Infektionsschutz |
| Admin | Management | PASS | Verwaltung |
| Server | Internet | PROXY | Schutz vor C2-Servern |