Seite 7: Sicherheit

Sicherheits-Checkliste

Damit der Switch nicht die schwächste Stelle des Netzes bildet, sind auch mit VLANs einige Sicherheitseinstellungen nötig: Alle unbelegten Ports auf dem Switch sollte man abschalten und ihnen ein unbenutztes VLAN zuweisen. Aktive Ports, an denen ein Endgerät hängt, sind so zu konfigurieren, dass sie kein Trunking bei 802.1Q akzeptieren. Die Standardeinstellung beispielsweise bei Ciscos VTP ist auf Bequemlichkeit optimiert: Der Switch versucht automatisch zu erkennen, ob die Gegenseite ein solches Protokoll versteht, und aktiviert das passende Trunking-Protokoll selbstständig. Ein Angreifer, der einen Rechner dazu bringen kann, eine solche 802.1Q-Negotiation zu starten, bekommt so Zugriff auf alle VLANs.

Der Zugriff auf Konfigurationsschnittstellen muss mit einem Passwort gesichert werden. Andernfalls besteht die Gefahr, dass durch automatische Konfigurationsmechanismen wie GVRP oder VTP ein neu ins Netz gebrachter Switch sich als führender Konfigurationsverteiler aufspielt. Dann wird nicht die bestehende Konfiguration auf den neuen Switch kopiert, sondern die leere Konfiguration des neuen Switches auf alle produktiven Switches verteilt. Bei dieser Gelegenheit sollte man auf dem Neugerät auch das Cisco-spezifische Autodiscovery-Protokoll (CDP) deaktivieren – so bekommt ein Angreifer nicht gleich die Versionsnummern aller Geräte frei Haus.

In manchen Netzwerken – etwa der DMZ eines Firewall-Setups – kann es sinnvoll sein, ein VLAN als Private VLAN zu deklarieren. In einem solchen können die Endgeräte im selben VLAN nicht direkt miteinander reden, sondern müssen über den Router kommunizieren. Auf diese Weise ist auch innerhalb einer Broadcast-Domain eine vollständige Kommunikationskontrolle durch die Firewall möglich.

In einem Layer-2-Netzwerk aus Switches existiert ein Verteilbaum (Spanning Tree), der festlegt, auf welchen Wegen die Switches erreichbar sind. Das System, das die Wurzel dieses Verteilbaums ist, kann die Topologie des Restnetzes verändern. Indem man BPDU-Guard und Root-Guard aktiviert, schließt man dieses Einfallstor.

Schließlich ist durch den Einsatz von 802.1X möglich, Endgeräte durch Maschinen-Passwörter oder Public-Key-Zertifikate zu identifizieren. Switch-Ports werden nur dann aktiv, wenn an ihnen autorisierte Geräte hängen. Erweiterungen von 802.1X bieten außerdem die Möglichkeit, einem so angesteuerten Port automatisch das für diese Maschine zutreffende VLAN zuzuweisen. In einem solchen Netz kann man einen beliebigen Rechner an jedem Port anschließen, und der Rechner befindet sich immer im passenden VLAN und ihm wird eine passende IP-Adresse zugewiesen. (Kristian Köhntopp)

VLAN Security

Angriffe gegen Switches mit VLANs kompromittieren die Sicherheit im Netzwerk auf Schicht zwei (OSI-Modell) und können daher Sicherheitsmaßnahmen auf allen

höheren Schichten aushebeln. Daher ist es schon bei der Planung von VLANs wichtig, Angriffe an dieser Stelle zu berücksichtigen und Gegenmaßnahmen vorzusehen.

Einer der einfachsten Angriffe gegen Switches – egal ob sie VLANs einsetzen oder nicht – lässt sich mit Werkzeugen wie macof oder dsniff umsetzen. Diese Werkzeuge generieren Pakete mit tausenden unterschiedlichen MAC-Adressen und bringen so die MAC-Tabelle des Switch zum Überlaufen. Der Switch kann sich in seinem begrenzten Speicher nicht mehr merken, welche MAC-Adresse hinter welchem Port angeschlossen ist und schaltet auf die nächstschlechtere Betriebsart herunter: Er wird zum Hub und kopiert alle Pakete zu allen Ports weiter – der Angreifer kann nun auch Pakete mitschneiden, die nicht für ihn bestimmt sind. Diese Fallback-Automatik muss man unbedingt deaktivieren.

Ungesicherte Trunking-Ports bieten ein weiteres Einfallstor: Der Angreifer gibt sich als Switch aus und tagged die Pakete selbst. Der echte Switch versucht nun, dieses neue Gerät zu integrieren und stellt ihm freundlicherweise alle VLANs mit IEEE 802.1Q Tags zur Verfügung.

Eine kompliziertere Variante dieses Angriffes sendet zweimal mit IEEE 802.1Q verpackte Pakete an einen Switch, der nur die äußere Verpackungsebene entfernt. Da der innere Frame nicht dieselbe VLAN-ID wie die äußere Verpackung enthalten muss, können Pakete dabei illegal von einem VLAN in das nächste überwechseln. Zum Glück erlaubt diese Art des Angriffes keinen Rückweg zum Angreifer.

Switches koordinieren sich untereinander über das Spanning Tree Protocol (STP), um das Netzwerk auch dann schleifenfrei zu halten, wenn die physische Verkabelung redundante Verbindungen enthält. Durch Angriffe auf STP-Ebene kann das Zusammenbrechen von bestehenden Verbindungen genauso signalisiert werden wie das Vorhandensein nicht vorhandener Links – der Angreifer kann sich so zur Root-Bridge im Switch-Baum machen und bekommt wahlweise alle Pakete im Netz zu sehen oder kann von seinem Platz aus das Netzwerk abhängen.

Gegen alle diese Angriffe existieren in neueren Switches Mechanismen, die das Netzwerk auch auf Schicht 2 sicher halten können. Leider sind diese Mechanismen per Default meistens abgeschaltet, weil ihr Einsatz die Kenntnis der gewünschten Netzwerktopologie und eine manuelle Abstimmung der Komponenten erfordert. Des Weiteren gehören Switches grundsätzlich in verschlossene Räume, denn solange jedermann nach Belieben den Switch und seine Verkabelung manipulieren kann, ist keine Sicherheit herstellbar. (Kristian Köhntopp)