Switche sichern – IT-Sicherheit im Netzwerk. Grundlagen
Es gibt eine ganze Reihe von Maßnahmen, die weder teuer, noch kompliziert, dafür aber sehr wirkungsvoll für die Sicherheit Ihres Netzwerkes sind. In diesem Beitrag geht es um das Thema “Switche sichern IT-Sicherheit” im Netzwerk und zwar um konkrete Vorgehen, die uns helfen die Switche zu sichern und somit das Netzwerk vor Angriffen zu schützen.
Einfache und wirksame Maßnahmen
Physisch sichern
Die wohl rudimentärste, einfachste und zugleich recht wirkungsvolle Maßnahme ist das physische sichern der Geräte. Wenn sich der Switch in einem verschlossenen Schrank im wiederum abgeschlossenem Serverraum befindet, ist das Manipulieren vor Ort schon einmal sehr erschwert.
Praktischer Tipp von itech-systems:
In einer Infrastruktur mit mehreren Geräten, sollte man darauf achten, dass die Netzwerk-/Serverschränke gut belüftet sind. Am besten sollte der gesamte Serverraum klimatisiert sein. Ist es jedoch nicht der Fall, vermeidet man Überhitzung der Hardware indem man aktive Lüfter in den Schrank einbaut.
Passwortschutz zur Erhöhung der IT-Sicherheit
Als aller erstes sollte man das Standardpasswort ändern. Schließlich möchte man dem Angreifer keinen Gefallen tun. Das werkseitig vom Hersteller vergebene Passwort, sollte umgehend geändert werden.
Hier gelten die üblichen Kennwortrichtlinien, die man in Produktivumgebungen einsetzt.
Ports deaktivieren
Portbasierte VLANs
Werden auf einem Switch nicht alle Ports benutzt, so sollten die unbenutzten, freien Ports deaktiviert werden.
Paketbasierte VLANs
In virtualisierten Netzwerkumgebungen (VLANs) kommt es durchaus vor, dass am Switch nicht alle Ports belegt sind. Daher ist es ratsam für die unbenutzten Ports ein eigenes VLAN zu erstellen. Die ungenutzten Ports werden anschließend diesem VLAN zugewiesen. Das verhindert wiederum den Missbrauch der unbenutzten Ports und erhöht somit die IT-Sicherheit.
Praktischer Tipp – “physisches Blockieren”
Wenn es klar ist, dass bestimmte Ports für eine längere Zeit nicht in Nutzung sind, könnte man sie mit einem RJ45 Stecker blockieren.
Das Verkürzen der Rastklemme lässt den Stecker nur mit erhöhtem Aufwand entfernen und kostet dem Angreifer dadurch mehr Zeit. Auch wenn es sich um nur wenige Sekunden handelt, könnte es manchmal entscheidend sein.
MAC-Flooding verhindern
Durch das überladen des Arbeitsspeichers eines Switches, kann der Angreifer den Switch zu einem HUB herunterstufen. Ein HUB leitet die Pakete unkontrolliert weiter und ermöglicht dem Hacker müheloses abfangen der Pakete.
Seitens der Hersteller gibt es die Möglichkeit die Switche gegen solche Angriffe zu sichern. Die Aktivierung solcher Schutzfunktionen ist oft eine gute Option, um sich gegen MAC-Fooding zu schützen.
Broadcast-Storm-Control
Herstellerunabhängig gibt es die Möglichkeit die Broadcasts zu dämmen. Bei einem ARP-Angriff, bei dem Tausende ARP-Anfragen pro Sekunde an den Switch gesendet werden, wird die zulässige Anzahl der Anfragen reduziert. Dadurch minimiert sich die Wahrscheinlichkeit, dass die Netzwerkkomponenten überladen werden.
Einsatz von leistungsfähigen Geräten mit Loop-Erkennung
Leistungsfähige Switche erkennen mittlerweile Netzwerkschleifen – Loop-Erkennung – und verhindern hierdurch gedingte APR-Storms. Dies geschieht auf dem Layer 2 des OSI-Modells.
Diese Maßnahme erhöht die IT-Sicherheit im Netzwerk ohne, dass der Administrator ständig und penibel darauf achten muss, dass es keine Schleifen gibt. In größeren Netzwerke ist es nahezu unmöglich alle Geräte zu überwachen. Daher hilft es die Loop-Erkennung zu aktivieren.
ARP-Poisoning durch Port-Security verhindern
ARP-Poisoning: der Angreifer schickt unzählige ARP-Pakete und verhindert damit die Aktualisierung des ARP-Caches. (Weitere Ausführungen folgen in der Kategorie Cybersecurity. Einfach auf die Meta-Tags klicken oder die Suchfunktion der Website benutzen).
Um das “Vergiften” zu verhindern, vermindert man die Anzahl zulässiger MAC-Einträge pro Port. Wird diese Anzahl überschritten, wird der Port einfach blockiert. Hier bedarf es jedoch gewisser Abwägung, ob diese Maßnahme sinnvoll ist und die zulässige bzw. erforderliche Kommunikation im Netzwerk nicht verhindert.
Einsatz des RADIUS-Servers
Der Einsatz des RADIUS-Servers macht hier natürlich Sinn und erhöht die IT-Sicherheit im Unternehmen. Der Switch dient hierbei als Authenticator, der den Client “Supplicant” am RADIUS-Server “Authentifizierungsserver” überprüft.
Betriebssystem aktualisieren
Nach der Herstellung der Geräte durchlaufen diese oftmals einen längeren Weg zum entgültigen Einsatzort. In dieser Zeit erscheinen erfahrungsgemäß neue Firmware Versionen. Daher ist es zu empfehlen, auch neu erworbene Geräte vor dem Einsatz im Netzwerk auf Aktualisierungen zu überprüfen.
Aktualisierungen, Updates, Upgrades der Firmware helfen die Sicherheitslücken zu schließen und die IT-Sicherheit somit zu erhöhen.
Autotrunking-Modi deaktivieren
Deaktivierung der Autotrunking-Modi hilft die sogenannten VLAN Hopping Angriffe zu verhindern. Natürlich ist es immer vom Einzelfall abhängig, ob unter bestimmten Umständen und je nach Einsatz der Autotrunking-Modus doch aktiv sein müsste. Doch diese Entscheidung sollte immer bewusst und überlegt sein und nicht, weil man auf die Standardeinstellungen des Herstellers vertraut hat.
Switche sichern IT-Sicherheit: Die Gefährdungslage
Die Sicherheit von IT-Systemen ist heutzutage essenziell für Unternehmen und Organisationen. Eine wesentliche Rolle spielen dabei Router und Switches, die das Herzstück eines jeden Netzwerks bilden. Das Bundesamt für Sicherheit in der Informationstechnik (Das BSI) hat in seinem Baustein NET 3.1 eine Reihe von Bedrohungen und Schwachstellen für Router und Switches identifiziert, die wir uns genauer ansehen sollten, um die IT-Sicherheit zu gewährleisten. Im Folgenden wird die Gefährdungslage für Router und Switche angelehnt an den BSI-Baustein NET 3.1 geschildert.
DDoS-Angriffe und ihre Auswirkungen
Distributed Denial of Service (DDoS) Angriffe können Router und Switches lahmlegen, indem sie diese mit einer Flut von Anfragen überlasten. Das Ergebnis sind unter Umständen nicht mehr verfügbare Dienste oder sogar ein kompletter Netzwerkausfall. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, sind geeignete Schutzmechanismen erforderlich, die solche Angriffe erkennen und abwehren können.
Manipulation von Routern und Switches
Wenn Angreifer unberechtigten Zugriff auf Router oder Switches erhalten, können sie diese manipulieren und Netzverkehr abfangen oder verändern. Eine sichere Konfiguration und der Einsatz von Authentifizierungs- und Zugriffskontrollmechanismen sind daher unerlässlich.
Fehlerhafte Konfiguration und Planung
Ein weiteres Risiko besteht in der fehlerhaften Konfiguration oder Planung vom Einsatz der Router und Switche. Um die IT-Sicherheit zu gewährleisten, sollten die Geräte nicht mit unsicheren Werkseinstellungen betrieben werden. Eine sorgfältige Planung und Anpassung der Konfiguration ist erforderlich, um Switche zu sichern und die IT-Sicherheit zu gewährleisten.
Inkompatible Netzkomponenten und Angriffe auf das Netzwerk
Die Verwendung inkompatibler Netzkomponenten kann zu Ausfällen führen. Zudem sind Angriffe wie MAC-Flooding, Spanning-Tree-Angriffe und GARP-Attacken spezifische Bedrohungen, die die Funktion von Routern und Switches beeinträchtigen können. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, ist es wichtig, diese Angriffsmethoden zu verstehen und geeignete Gegenmaßnahnahmen zu ergreifen.
MAC-Flooding
MAC-Flooding ist ein Angriff, bei dem Angreifer viele Anfragen mit wechselnden Quell-MAC-Adressen an einen Switch senden. Das Ziel ist es, die Speicherkapazität des Switches für MAC-Adressen zu überlasten, sodass er Anfragen an alle IT-Systeme im Netz sendet. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, sollte man Sicherheitsfunktionen wie MAC-Adressfilterung oder Port-Sicherheit implementieren.
Spanning-Tree-Angriffe
Spanning-Tree-Angriffe zielen darauf ab, die Switches im Netzwerk dazu zu bringen, einen bösartigen Switch als Root Bridge anzusehen. Dies ermöglicht Angreifern, den Netzverkehr umzuleiten und Informationen abzufangen. Spanning-Tree-Schutzmechanismen wie BPDU-Guard oder Root-Guard schaffen hierbei Abhilfe.
GARP-Attacken
Bei Gratuitous-ARP (GARP)-Attacken senden Angreifer unaufgeforderte ARP-Antworten an Opfer oder alle IT-Systeme im selben Subnetz. Die gefälschten ARP-Antworten führen dazu, dass der Netzverkehr zum Angreifer statt zum eigentlichen Ziel geleitet wird. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, sollte man Mechanismen wie Dynamic ARP Inspection (DAI) einsetzen, um solche Angriffe zu erkennen und zu verhindern.
Fazit: Switche sichern für eine bessere IT-Sicherheit
Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, ist es wichtig, die verschiedenen Bedrohungen und Schwachstellen zu verstehen und geeignete Schutzmaßnahmen zu ergreifen. Eine Kombination aus sicherer Konfiguration, Zugriffskontrolle, Netzwerkplanung und dem Einsatz spezifischer Sicherheitsfunktionen kann dazu beitragen, Router und Switches vor Angriffen zu schützen und die IT-Sicherheit insgesamt zu verbessern. Der BSI Baustein NET 3.1 bietet dabei eine wertvolle Ressource.
Neben den BSI-Standards bietet die ISO/IEC 27001 eine Norm für die Planung, Umsetzung, Überwachung und Optimierung der Informationssicherheit. Neuste Änderungen in der ISO 27001:2022 sind hier im Blog erörtert.