Mikrosegmentierung im Mittelstand: Sicherheitsarchitektur mit Ubiquiti UniFi

Die historische Praxis, Endgeräte, Server und Peripherie in einem einzigen, unsegmentierten lokalen Netzwerk (LAN) zu betreiben, entspricht nicht mehr aktuellen Sicherheitsstandards. Bei einer Kompromittierung eines einzelnen Endgeräts ermöglicht eine flache Topologie die ungehinderte laterale Ausbreitung (Lateral Movement) von Schadsoftware innerhalb der gesamten Infrastruktur.

Die Lösung liegt in der Mikrosegmentierung der Netzwerkarchitektur. Durch den Einsatz von Virtual Local Area Networks ( VLANs) wird das physische Netzwerk in mehrere isolierte logische Netzwerke unterteilt.

Implementierungsstufen mit Ubiquiti UniFi:

1. Strukturelle Trennung:
   Klassifizierung der Netzwerkkomponenten in dedizierte Segmente:
   
   - Corporate LAN (Verwaltete Arbeitsstationen)
   - Server & Management LAN (Infrastruktur-Hardware, Controller)
   - VoIP LAN (Telefone, TK-Anlagen)
   - IoT LAN (Drucker, Smart-Displays, Sensoren)
   - Guest WLAN (Vollständig isolierter Internetzugang)
   

2. Firewall-Regelwerk (Routing):
   Standardmäßig wird das Routing zwischen den VLANs auf dem UniFi Gateway unterbunden (Drop All). Der Datenverkehr wird nur durch explizite "Allow"-Regeln gestattet. Beispielsweise darf das Corporate LAN auf spezifische Ports des Server LANs zugreifen, das IoT LAN hat jedoch keine Berechtigung, Verbindungen in das Corporate LAN zu initiieren.

3. Portbasierte Authentifizierung (802.1X):
   Physische Switch-Ports werden nicht statisch einem VLAN zugewiesen, sondern dynamisch basierend auf der MAC-Adresse oder dem Zertifikat des verbundenen Endgeräts via RADIUS-Server provisioniert.

Diese Architektur reduziert die Angriffsfläche signifikant. IoT-Geräte, die in der Regel selten Sicherheitsupdates erhalten, können im Falle einer Kompromittierung keinen Zugriff auf sensible Unternehmensdaten erlangen.