Sicherheitsfunktionen von Core Switches
Gralshüter
Zunehmend sind kritische Geschäftsprozesse direkt oder indirekt auf die globale Vernetzung angewiesen. Proportional dazu wächst auch die Bedrohung durch Viren, Würmer oder Hacker. Im gleichen Maß wird die Sicherheit des Netzwerks zu einem kritischen Produktivitätsfaktor. Netzwerksicherheit muss daher alle Ebenen der Infrastruktur durchziehen und auch in der Switching-Architektur verankert sein.
In den 80er-Jahren des vorigen Jahrhunderts waren neue Boot-Viren noch im Wochenrhythmus
erschienen. Die Schäden hielten sich in Grenzen, betroffen waren nur isolierte Einzelrechner. Mit
dem Aufkommen von Internet und E-Mail Mitte der neunziger Jahre stieg die Zahl der Angriffe um ein
Vielfaches an: Beinahe täglich machten Meldungen über neue Makroviren und Hackererfolge
Schlagzeilen. Noch einmal zehn Jahre später, und das Problem hat epidemische Ausmaße angenommen: Im
Minutentakt bedrohen heute Trojaner, Würmer und Konsorten vom Internet aus Unternehmens- und
Regierungsnetze. Spam – nur ein beschönigender Ausdruck für Sabotage – legt zeitweilig ganze
Unternehmensnetzwerke lahm. Betrug und Wirtschaftsspionage via Web sind rasant boomende
Branchen.
Es besteht wenig Hoffnung für die Zukunft: Vielfalt, Zahl und Aggressivität von Attacken werden
weiter rapide ansteigen. Künftig sind nicht mehr nur regional begrenzte Netze bedroht, sondern die
globale Kommunikationsinfrastruktur. Nicht nur externe Angriffe gefährden die Netze: Studien
belegen, dass die Bedrohung zunehmend innerhalb des Netzwerks zu finden ist. Vereinzelte Maßnahmen
wie Firewalls an den Netzwerkgrenzen helfen also nicht mehr weiter. Erforderlich ist vielmehr ein
durchgängiges Security-Konzept, das sich in allen Netzwerkkomponenten wiederfindet. Es muss bis in
den Backbone hinein reichen und auch in Core Switches implementiert sein.
Core Switches sind ein beliebtes Angriffsziel: zum Beispiel per Remote-Zugriff, um
Konfigurationen zu ändern, Kontrollinformationen wie Routing-Updates zu manipulieren oder
Forwarding-Tables zum Überlauf zu bringen. Forwarding Tables – auch Weiterleitungs- oder
Filterdatenbanken genannt – ermöglichen es Switches und Bridges, zu "lernen", welche MAC-Adressen
über welchen Port zu bearbeiten sind.
Deich gegen MAC-Adressflut
Der Speicherplatz solcher Tabellen ist begrenzt. Deshalb haben Filtereinträge einen Timeout, der
Switch kann sie also wieder "vergessen". Diese Speicherplatzbeschränkung machen sich Hacker
zunutze: Sie bringen die Forwarding-Tabelle mit einer Unzahl von MAC-Adressen zum Überlauf, um
einen Performance-Abfall im Netz zu bewirken. Gegen diese Überflutung errichtet die so genannte "
Port Security" einen soliden Deich: Das Verfahren limitiert die Anzahl der MAC-Adressen, die der
Switch je Port erlernen kann. Treffen mehr unbekannte MAC-Adressen ein, blockiert es den
zugehörigen Traffic und stoppt so den Angriff.
Zugriffskontrolle am Port
Die MAC- oder IP-Adresse sowie der aktuelle Standort eines Nutzers garantieren noch keine
eindeutige Identifikation, zum Beispiel weil Anwender sich an unterschiedlichen Zugangsgeräten
anmelden. Die Identitätsprüfung und die Vergabe von Zugriffsrechten für dezidierte
Netzwerkressourcen regelt das Protokoll IEEE 802.1x: Es hindert nicht-autorisierte Geräte und
Benutzer daran, über öffentlich zugängliche Ports auf ein lokales Netzwerk zuzugreifen. Die
Authentifizierung muss demnach erfolgen, bevor der erste Netzservice bereitgestellt wird. Solange
dieser Prozess läuft, überträgt der Switch nur solche Daten, die für die Legitimitätsprüfung
notwendig sind.
Kern der 802.1x-Authentifizierung ist das Extensible Authentication Protocol (EAP), das die
Kommunikation zwischen Antragsteller und Authenticator regelt. EAP unterstützt diverse
Authentifizierungsmethoden, darunter Radius (Remote Access Dial-in User Service), Kerberos und
Public Key Encryption. Das Protokoll fordert den Anwender auf, sich mit Nutzerkennung und Passwort
zu authentifizieren. Nutzerdaten plus Verbindungsinformationen gehen anschließend zum Switch, der
seinerseits eine Anfrage an den Authentication-Server stellt, meist an einen Radius-Server. Anhand
von Profilen fällt die Entscheidung über die Zugriffsgewährung auf die gewünschten Ressourcen.
Der Vorteil von EAP liegt darin, dass Nutzerprofile mit Zugriffsrechten an beliebiger, meist
zentral administrierbarer Stelle des Gesamtsystems verwaltbar sind. So muss der Radius-Server die
Authentifizierung nicht selbst erledigen, sondern kann sie an Novell Edirectory oder Microsoft ADS
leiten. Den Erfolg der Authentifizierung sendet Radius via EAP an den Switch. Dieser meldet dem
Endgerät sein OK und schaltet die Port-Ampel auf Grün.
Ein Sprungbrett für Hacker, um die Kontrolle über fremde Netzwerke zu gewinnen, ist häufig deren
DHCP-Server (Dynamic Host Configuration Protocol). DHCP dient der dynamischen Vergabe von
IP-Adressen und Konfigurationsparametern, sodass sich neue Geräte ohne aufwändiges Setup einbinden
lassen. Dank DHCP muss der Administrator bei Änderungen der Topologie die betroffenen Workstations
auch nicht von Hand umkonfigurieren. Stattdessen genügt es, die entsprechende Parameterdatei
einmalig am DHCP-Server einzuspielen. Das so genannte Spoofing fängt DHCP-Requests der Nutzer ab.
Nur zum Schein antwortet ihnen der DHCP-Server: Der Hacker gibt eine falsche Adresse oder unsinnige
Gateway-Informationen zurück.
Snooping kontra Spoofing
Abhilfe schafft auf Switch-Ebene das DHCP-Snooping: Mit ihm lässt sich die Verarbeitung von
DHCP-Informationen an ausgewählte Ports – so genannte Trusted Ports (vertrauenswürdige Ports) –
delegieren. Nur diese Ports können DHCP-Requests senden oder bestätigen. Als Trusted Ports
empfehlen sich solche mit direkter Verbindung zum DHCP-Server oder Uplinks zum internen Netzwerk.
Das erschwert es Spoofern, mit ihren gefälschten DHCP-Acknowledgements bis zum beantragenden
Endgerät durchzudringen. Zudem ermöglicht das DHCP-Snooping DHCP-Binding-Tables im Switch: Sie
können neben MAC- und IP-Adressen von Clients zum Beispiel auch IDs von Virtual LANs (VLANs) oder
Port IDs enthalten. In Kombination mit der DHCP-Option 82 kann ein Switch zudem eigene
Informationen – zum Beispiel die physische Port-Adresse, über die der Request eingeht – an
DHCP-Pakete anfügen. Das macht Snooping zu einem mächtigen Werkzeug, um maskierte unerwünschte
Geräte (Rogue Devices) aus dem Netzwerk auszusperren.
Dynamic ARP Inspection
Spoofing kennt noch eine weitere Spielart: Hacker dringen durch eine Sicherheitslücke im Address
Resolution Protocol (ARP) ein. Mittels ARP erfährt ein Endgerät die MAC-Adresse der Gegenstelle,
mit der es kommunizieren möchte. Dazu schickt der Sender einen ARP-Request mit der IP-Adresse des
Empfängers aus. Der Empfänger antwortet auf diesen Request und liefert dem Sender seine
MAC-Adresse. Diese Informationen wandern in die ARP-Table. Nun können die Netzwerkgeräte eine
Kommunikation etablieren. Bei einem so genannten Man-in-the-Middle-Angriff schaltet sich ein
weiteres Endgerät in diesen Austausch ein und manipuliert durch gefälschte ARP-Responses die
ARP-Tables von Sender und Empfänger. Jeder weitere Datenaustausch läuft dann über dieses
zwischengeschaltete Gerät. So lässt sich der Verkehr zwischen Sender und Empfänger ausspionieren,
um beispielsweise Passwörter, E-Mails oder Banktransaktionen abzufangen.
Switches gehen mit DAI (Dynamic ARP Inspection) dagegen vor. Ähnlich wie beim DHCP-Snooping
unterscheidet DAI zwischen Trusted und Untrusted Ports: Trifft ein ARP-Paket über einen Untrusted
Port ein, prüft DAI anhand einer Datenbank, die auf DHCP-Snooping-Informationen aufgebaut ist, die
korrekte Zuordnung von MAC- und IP-Adressen: Hans Muster hat die IP-Adresse "172.20.24.45", die
MAC-Adresse "00aa.0062.c609" und ist über den Untrusted Ethernet Port 3/47 angebunden.
DHCP-Snooping zeichnet diese Informationen auf. Sendet Hans Muster nun einen ARP-Request über den
Port Nummer 3/47, vergleicht der Switch die MAC-Adresse mit der IP-Adressbindung im Paket und in
der Tabelle. Stimmt diese Information nicht überein, unterdrückt er das Paket, und der
Spoofing-Versuch ist gescheitert. Zudem kann ein Switch mittels IP Source Guard kontrollieren, dass
an einem Port nur ein Endgerät mit einer vom DCHP-Server zugeteilten IP-Adresse kommuniziert. Per
automatisch eingerichteter Port Access Control Lists (PACLs) lässt er ein- und ausgehenden Verkehr
nur von dieser IP-Adresse zu. Die zur Einrichtung der PACL notwendigen Informationen sammelt der
Switch per DHCP-Snooping. Dies unterbidet ein Ausspähen von IP-Adressen und deren Verwendung an
anderen Ports.
Gefahr droht auch durch gefälschte Kontrollinformationen, zum Beispiel falsche Bridge Protocol
Data Units (BPDU). Im Prinzip akzeptiert jeder Switch-Port jede in sich stimmige BPDU. Hacker
können dadurch den Netzverkehr lahm legen, zum Beispiel indem sie Switches veranlassen, die
Topologie immer wieder neu zu berechnen. Ebenso lässt sich der Datenverkehr an eine Fake Root
umleiten, also abhören. Dagegen schützt das so genannte Root Guard: Diese Funktion erlaubt es
festzulegen, welche Ports niemals Root Ports sein können.
Dass Switch-CPUs auch während einer Attacke handlungsfähig bleiben, setzt einen weiteren Schutz
voraus: Die Anzahl der pro Zeiteinheit zur Verarbeitung übergebenen Pakete muss begrenzbar sein.
Dieses so genannte Control Plane Rate Limiting verhindert zum Beispiel, dass gefälschte
Steuerinformationen, denen höchstwahrscheinlich kein realer Datenverkehr gegenübersteht, die
Rechenkapazität der CPU blockieren.
Der Administrator sollte für alle Non-Trunking-Ports das Trunking tatsächlich deaktivieren.
VLAN-Trunking leitet Informationen zum Beispiel auf einem Gigabit-Ethernet-Ring von Switch zu
Switch bis zum Aggregationspunkt. Dort filtern Access Control Lists (ACL) die Daten. Zudem ist es
hilfreich, ungenutzte Ports auf ein VLAN ohne Layer-3-Verbindung einzustellen oder bestenfalls ganz
zu deaktivieren.
Private VLANs
Als einziges Mittel zur Verkehrstrennung reichen VLANs meist ohnehin nicht aus. Hier verbessern
private VLANs die Situation, indem sie die Kommunikation innerhalb von VLANs differenziert
gestalten. Dabei können isolierte VLAN-Ports nur mit Ports im Promiscuous-Mode kommunizieren,
Community-Ports dagegen nur mit anderen Mitgliedern derselben Community sowie mit Ports im
Promiscuous-Mode. Das verhindert die Ausbreitung eines Angriffs auf Ressourcen im VLAN.
Lesen Sie mehr zum Thema
