Switche_sichern_IT-Sicherheit

Switche sichern – IT-Sicherheit im Netzwerk

Switche sichern – IT-Sicherheit im Netzwerk. Grundlagen

Es gibt eine ganze Reihe von Maßnahmen, die weder teuer, noch kompliziert, dafür aber sehr wirkungsvoll für die Sicherheit Ihres Netzwerkes sind. In diesem Beitrag geht es um IT-Sicherheit im Netzwerk und zwar um konkrete Vorgehen, die uns helfen die Switche zu sichern und somit das Netzwerk vor Angriffen zu schützen.

Einfache und wirksame Maßnahmen

Physisch sichern

Die  wohl rudimentärste, einfachste und zugleich recht wirkungsvolle Maßnahme ist das physische sichern der Geräte. Wenn sich der Switch in einem verschlossenen Schrank im wiederum abgeschlossenem Serverraum  befindet, ist das Manipulieren vor Ort schon einmal sehr erschwert.

Praktischer Tipp von itech-systems:

In einer Infrastruktur mit mehreren Geräten, sollte man darauf achten, dass die Netzwerk-/Serverschränke gut belüftet sind. Am besten sollte der gesamte Serverraum klimatisiert sein. Ist es jedoch nicht der Fall, vermeidet man Überhitzung der Hardware indem man aktive Lüfter in den Schrank einbaut.

Passwortschutz zur Erhöhung der IT-Sicherheit

Als aller erstes sollte man das Standardpasswort ändern. Schließlich möchte man dem Angreifer keinen Gefallen tun. Das werkseitig vom Hersteller vergebene Passwort, sollte umgehend geändert werden.

Hier gelten die üblichen Kennwortrichtlinien, die man in Produktivumgebungen einsetzt.

Ports deaktivieren

Portbasierte VLANs

Werden auf einem Switch nicht alle Ports benutzt, so sollten die unbenutzten, freien Ports deaktiviert werden.

Paketbasierte VLANs

In virtualisierten Netzwerkumgebungen (VLANs) kommt es durchaus vor, dass am Switch nicht alle Ports belegt sind. Daher ist es ratsam für die unbenutzten Ports ein eigenes VLAN zu erstellen. Die ungenutzten Ports werden anschließend diesem VLAN zugewiesen. Das verhindert wiederum den Missbrauch der unbenutzten Ports und erhöht somit die IT-Sicherheit.

Praktischer Tipp – “physisches Blockieren”

Wenn es klar ist, dass bestimmte Ports für eine längere Zeit nicht in Nutzung sind, könnte man sie mit einem RJ45 Stecker blockieren.

Switch physisch sichern Port blockieren

Das Verkürzen der Rastklemme lässt den Stecker nur mit erhöhtem Aufwand entfernen und kostet dem Angreifer dadurch mehr Zeit. Auch wenn es sich um nur wenige Sekunden handelt, könnte es manchmal entscheidend sein.

IT-Sicherheit im Netzwerk RJ45 Rastnase Port blockieren Switch Sichern

MAC-Flooding verhindern

Durch das überladen des Arbeitsspeichers eines Switches, kann der Angreifer den Switch zu einem HUB herunterstufen. Ein HUB leitet die Pakete unkontrolliert weiter und ermöglicht dem Hacker müheloses abfangen der Pakete.

Seitens der Hersteller gibt es die Möglichkeit die Switche gegen solche Angriffe zu sichern. Die Aktivierung solcher Schutzfunktionen ist oft eine gute Option, um sich gegen MAC-Fooding zu schützen.

Broadcast-Storm-Control

Herstellerunabhängig gibt es die Möglichkeit die Broadcasts zu dämmen. Bei einem ARP-Angriff, bei dem Tausende ARP-Anfragen pro Sekunde an den Switch gesendet werden, wird die zulässige Anzahl der Anfragen reduziert. Dadurch minimiert sich die Wahrscheinlichkeit, dass die Netzwerkkomponenten überladen werden.

Einsatz von leistungsfähigen Geräten mit Loop-Erkennung

Leistungsfähige Switche erkennen mittlerweile Netzwerkschleifen – Loop-Erkennung – und verhindern hierdurch gedingte APR-Storms. Dies geschieht auf dem Layer 2 des OSI-Modells.

Diese Maßnahme erhöht die IT-Sicherheit im Netzwerk ohne, dass der Administrator ständig und penibel darauf achten muss, dass es keine Schleifen gibt. In größeren Netzwerke ist es nahezu unmöglich alle Geräte zu überwachen. Daher hilft es die Loop-Erkennung zu aktivieren.

ARP-Poisoning durch Port-Security verhindern

ARP-Poisoning: der Angreifer schickt unzählige ARP-Pakete und verhindert damit die Aktualisierung des ARP-Caches. (Weitere Ausführungen folgen in der Kategorie Cybersecurity. Einfach auf die Meta-Tags klicken oder die Suchfunktion der Website benutzen).

Um das “Vergiften” zu verhindern, vermindert man die Anzahl zulässiger MAC-Einträge pro Port. Wird diese Anzahl überschritten, wird der Port einfach blockiert. Hier bedarf es jedoch gewisser Abwägung, ob diese Maßnahme sinnvoll ist und die zulässige bzw. erforderliche Kommunikation im Netzwerk nicht verhindert.

Einsatz des RADIUS-Servers

Der Einsatz des RADIUS-Servers macht hier natürlich Sinn und erhöht die IT-Sicherheit im Unternehmen. Der Switch dient hierbei als Authenticator, der den Client “Supplicant” am RADIUS-Server “Authentifizierungsserver” überprüft.

Betriebssystem aktualisieren

Nach der Herstellung der Geräte durchlaufen diese oftmals einen längeren Weg zum entgültigen Einsatzort. In dieser Zeit erscheinen erfahrungsgemäß neue Firmware Versionen. Daher ist es zu empfehlen, auch neu erworbene Geräte vor dem Einsatz im Netzwerk auf Aktualisierungen zu überprüfen.

Aktualisierungen, Updates, Upgrades der Firmware helfen die Sicherheitslücken zu schließen und die IT-Sicherheit somit zu erhöhen.

Autotrunking-Modi deaktivieren

Deaktivierung der Autotrunking-Modi hilft die sogenannten VLAN Hopping Angriffe zu verhindern. Natürlich ist es immer vom Einzelfall abhängig, ob unter bestimmten Umständen und je nach Einsatz der Autotrunking-Modus doch aktiv sein müsste. Doch diese Entscheidung sollte immer bewusst und überlegt sein und nicht, weil man auf die Standardeinstellungen des Herstellers vertraut hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Newsletter

Menü