Suchen

Netzwerk-Virtualisierung Teil 4 VLANs in der Praxis – keine automatische Sicherheit

| Autor / Redakteur: Thomas Jungbluth / Dipl.-Ing. (FH) Andreas Donner

Auch wenn in einem virtuellen LAN einander gefährdende Bereiche voneinander getrennt werden können, garantieren VLANs allein noch keine hundertprozentige Sicherheit. Administratoren müssen darauf achten, dass nicht an unerwarteter Stelle Lücken auftreten.

( Archiv: Vogel Business Media )

Viele Sicherungsmaßnahmen sind einfach, werden aber vermutlich gerade deshalb häufig nicht beachtet. Dass Switches und Router mit Passwort so abzuschotten sind, dass Unbefugte nicht die Konfiguration ändern können, versteht sich von selbst. Aber darüber hinaus sollte es auch nicht möglich sein, dass zusätzliche Switches mit ihrer Konfiguration die bereits vorhandene überspielen.

Das „Standard-Segment“ VLAN1 sollte entweder gar nicht benutzt werden, oder aber nur als „öffentlicher Bereich“ ohne Kontaktmöglichkeit zu sicherheitsrelevanten Segmenten eingesetzt werden. VLAN-fähige Router bieten meist eine große Anzahl an Ports, die in kleineren Unternehmen häufig nicht alle benutzt werden. Um Einbruchsversuche von vorneherein zu vereiteln, sollte man diese deaktivieren und ihnen ein unbenutztes VLAN-Segment zuordnen. Hängt an einem aktiven Port ein Endgerät, ist dieser so zu konfigurieren, dass kein Trunking nach 802-1Q möglich ist.

Nicht jeder darf sofort rein

Um in Unternehmen bestimmte Bereiche und Abteilungen – beispielsweise die Personal- oder Forschungsabteilung – von Bedrohungen abzuschotten, ist es sinnvoll, sie in einem VLAN getrennt von gefährdeten Bereichen – etwa einem mit dem Internet verbundenen VLAN-Segment anzuordnen. Dann müssen Administratoren nur noch darauf achten, dass jeder Rechner nur dort Zugang erhält, wo er hingehört.

Am sichersten sind statische VLANs, bei denen die Zuweisung zu einem Segment per Port festgelegt wird. Hier weiß der Administrator mit Sicherheit, wer welchem Segment zugeordnet ist. Für eine Veränderung müsste der Betrüger physikalisch im Rechenzentrum den Port umstöpseln; eine entsprechende Zugangssicherung ist hier also auf jeden Fall notwendig.

Bei einer Zuordnung per Tabelle über die Identifikation mittels MAC-Adresse – also im dynamischen VLAN – könnte der Eindringling sich auch über eine gefälschte Kennung Zugang zum gefährdeten VLAN-Segment verschaffen. Hier müssen Administratoren durch entsprechende zusätzliche Identifizierungsmaßnahmen dafür sorgen, dass nur autorisierte Personen im VLAN agieren.

Der Switch ordnet einen neu angeschlossenen Computer dabei zunächst einem ungefährlichen Segment zu. Erst wenn der Anwender sich angemeldet hat, wird der Port auf das zugehörige VLAN umgeschaltet. Für externe Teilnehmer ist es zudem sinnvoll, ein Virtual Private Network (VPN) zu nutzen. Soll in einem Segment der Datenverkehr besonders stark kontrolliert werden, kann es außerdem notwendig sein, den Switch so einzustellen, dass alle Pakete innerhalb eines Segments über den Router mit Firewall laufen.

Befindet sich an einem Port kein Anwender, sondern ein Endgerät, gibt es nach IEEE 802.1X die Möglichkeit, dass diese sich durch „Maschinen-Passwörter“ oder Public-Key-Zertifikate identifizieren. Durch eine Erweiterung können diesen Geräten auch automatisch die passenden VLAN-Segmente zugeordnet werden, egal an welchem Port sie angeschlossen sind.

MAC-Adress-Koma

Einige Hacker verwenden Werkzeuge, die Pakete mit vielen tausend unterschiedlichen MAC-Adressen generieren. Der Adressenspeicher vieler Switches ist jedoch begrenzt. Die Folge: Die Tabelle „läuft über“ und der Switch kann sich nicht mehr merken, welche MAC-Adresse zu welchem Port gehört. Viele Geräte schalten dann zurück in die Betriebsart „Hub“ und leiten einfach alle Pakete an alle Ports weiter. Der Angreifer kann nun auch Daten abfangen, die eigentlich nicht für ihn zugänglich sein sollten. Deswegen sollten Administratoren diese „Fallback“-Automatik im Switch auf jeden Fall deaktivieren.

VLAN-Hopping

Hacker benutzen häufig das so genannte „VLAN-Hopping“, um das Netzwerk zu infiltrieren. Dabei gibt es zwei verschiedene Möglichkeiten für einen Angriff: Switch Spoofing oder Double Tagging.

Beim „Switch Spoofing“ gaukelt ein Angreifer dem System vor, ein Switch zu sein. Voraussetzung hierfür ist jedoch ein aktiviertes Autotrunking im Netzwerk-Switch. Ist die Funktion Autotrunking aktiviert, kann sich ein potenzieller Angreifer für einen Switch ausgeben, indem er entweder einen Interswitch-Link (ISL) emuliert, wie er zwischen zwei Switches üblich ist, oder indem er das Dynamische-Trunk-Protokoll-Signal (DTP) nach 802.1Q setzt. Ist dieses Protokoll erfolgreich initiiert, aktiviert der Switch für den Angreifer das Trunking, wodurch dieser Zugang zu den VLANs erhält.

Beim „Double Tagging“ sendet der Angreifer Frames mit zwei 802.1Q-Headern. Der Switch akzeptiert den ersten Frame, weil er glaubt, dass er Daten empfangen soll. Der Ziel-Switch gibt die Informationen dann aufgrund des zweiten Headers weiter. So können Schadprogramme unbehelligt an ihr Ziel gelangen.

Um VLAN-Hopping zu vermeiden, sollte die „Auto-Trunking“-Funktion des Switches deaktiviert werden. Zudem sollten alle Ports bewusst einem bestimmten VLAN-Segment zugeordnet sein, wenn sie nicht abgeschaltet wurden, damit sie nicht über das „Default“-VLAN1-Segment geleitet werden.

Artikelfiles und Artikellinks

(ID:2006015)