Bundesamt für Sicherheit in der Informationstechnik

B 3.302 Router und Switches

Logo Router und Switches

Beschreibung

Netze spielen eine immer wichtigere Rolle als Teile der IT-Infrastruktur, weil Anwendungen heutzutage vermehrt über lokale Netze oder Weitverkehrsnetze betrieben werden. Die Verfügbarkeit, Integrität und Vertraulichkeit der Netze muss sichergestellt sein und mindestens den Anforderungen der Anwendungen an den Schutz dieser drei Grundwerte der Informationssicherheit entsprechen.

Ein Netz besteht aus aktiver und passiver Netztechnik. Als passive Netztechnik wird in erster Linie die strukturierte Verkabelung verstanden. Hierzu gehören Patch-Felder (über Steckfelder konfigurierbare Kabelverteiler), Schutzschränke und Anschlussdosen am Arbeitsplatz. Zur aktiven Netztechnik gehören beispielsweise Hubs, Bridges, Switches und Router. In modernen Netzen ersetzen Switches heutzutage vielfach Hubs sowie Bridges. Ein Ausfall einer oder mehrerer Komponenten der aktiven Netztechnik (Router und Switches) kann zum kompletten Stillstand der gesamten IT-Infrastruktur führen. Da diese Komponenten die Basis und das Rückgrat der IT-Infrastruktur bilden, müssen Router und Switches vor unerlaubten Zugriffen und Manipulationen geschützt werden.

Die Funktionsweise von Routern ist in M 2.276 Funktionsweise eines Routers beschrieben. Die Maßnahme M 2.277 Funktionsweise eines Switches beschreibt die Funktionsweise eines Switches. Die wichtigsten funktionalen Unterschiede der in der folgenden Abbildung dargestellten aktiven Netzkomponenten werden kurz erklärt.

Kollisionsdomäne

Unter einer Kollisionsdomäne wird ein einzelnes Segment beim Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision Detection) verstanden. Alle Geräte, die im selben Segment angeschlossen sind, sind Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte, zum gleichen Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer Kollision. Beide Geräte warten dann einen bestimmten Zeitraum zufällig gewählter Länge und versuchen dann erneut, das Paket zu senden. Durch diese Wartezeit verringert sich die effektive Bandbreite, die den Geräten zur Verfügung steht.

Broadcast-Domäne

Broadcast-Informationen sind nicht an ein bestimmtes Endgerät gerichtet, sondern an alle "benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die jeweiligen Broadcast-Informationen der anderen Geräte empfangen, bilden zusammen eine Broadcast-Domäne. Geräte, die in einer Broadcast-Domäne zusammen gefasst sind, müssen sich nicht in derselben Kollisionsdomäne befinden. Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis 192.168.1.254 in einem IP-Subnetz mit einer Subnetzmaske von 255.255.255.0 eine Broadcast-Domäne.

Hub

Hubs arbeiten auf der OSI Schicht 1 (Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben Kollisionsdomäne und damit auch in derselben Broadcast-Domäne. Hubs werden heutzutage durch Access-Switches (siehe M 2.277 Funktionsweise eines Switches ) abgelöst.

Bridge

Bridges verbinden Netze auf der OSI Schicht 2 (Sicherungsschicht) und segmentieren Kollisionsdomänen. Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen Stationen sind im Normalfall Bestandteil einer Broadcast-Domäne. Bridges können auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI , etc.) auf der OSI Schicht 2 miteinander zu verbinden (transparent bridging, translational bridging). Hauptsächlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch erzielt, dass eine Bridge als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes Datenpaket weiterleitet. Eine Bridge hält eine interne MAC-Adresstabelle vor, aus der hervorgeht, in welchem angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn die Bridge beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem Teilsegment A für eine Station aus dem Teilsegment A empfängt, wird dieses Datenpaket nicht in das Teilsegment B übertragen. Dadurch wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges durch Switches ersetzt.

Layer-2-Switch

Herkömmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind alle angeschlossenen Stationen Bestandteil einer Broadcast-Domäne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header als Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete weitergeleitet werden. Trotz der vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges:

  • Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine Bridge.
  • Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits (ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich schneller als eine Bridge von einem Segment in ein anderes zu transportieren. Unterschiedliche Switching-Technologien sind in M 2.277 Funktionsweise eines Switches beschrieben.

Gelegentlich werden Switches auch als Multiport Bridges bezeichnet.

Router

Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem Router stellt eine eigene Broadcast-Domäne und damit auch eine Kollisionsdomäne dar. Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden. Router werden verwendet, um lokale Netze zu segmentieren oder um lokale Netze über Weitverkehrsnetze zu verbinden. Ein Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den nächsten Router, den sogenannten Next Hop. Weitergehende Aspekte sind in M 2.276 Funktionsweise eines Routers beschrieben.

Router müssen jedes IP-Paket vor der Weiterleitung analysieren. Dies führt zu Verzögerungen und damit im Vergleich zu "klassischen" Switches zu einem geringeren Datendurchsatz.

Layer-3-Switch und Layer-4-Switch

Layer-3- und Layer-4-Switches sind Switches, die zusätzlich eine Routing-Funktionalität bieten. Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-Header eines Paketes zur Entscheidung, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden Datenpakete des Senders an diesen Empfänger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich höhere Durchsatzrate erzielen als ein herkömmlicher Router.

Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer-3-Switch verfügt in der Regel über eine wesentlich größere Portdichte.

Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen herkömmliche LAN-to-LAN-Router ersetzen.

Abgrenzung

In diesem Baustein werden Gefährdungen und Maßnahmen beim Einsatz von Routern und Switches beschrieben. Die Abgrenzung zwischen Routern und Switches wird durch die Einführung der Bezeichnungen Layer-2-Switch, Layer-3-Switch oder Layer-4-Switch durch verschiedene Hersteller erschwert. Durch die Verschmelzung der Funktionen von Routern und Switches kann der Großteil der beschriebenen Maßnahmen sowohl auf Router als auch auf Switches angewendet werden.

Es ist eine große Auswahl von unterschiedlichen Routern und Switches von verschiedenen Herstellern am Markt verfügbar. Die Beschreibung der Maßnahmen und Gefährdungen in diesem Baustein ist so gehalten, dass sie so weit wie möglich herstellerunabhängig ist.

Neben den übergreifenden Aspekten und den infrastrukturellen Maßnahmen ist bei dem Einsatz von Routern und Switches der Baustein B 4.1 Lokale Netze zu berücksichtigen. Speziell bei der Einbindung der aktiven Netzkomponenten in ein umfassendes Netz- und Systemmanagement ist der Baustein B 4.2 Netz- und Systemmanagement von Bedeutung. Bei der Verwendung eines Routers als Paketfilter oder als Einwahlmöglichkeit sind zusätzlich die Bausteine B 3.301 Sicherheitsgateway (Firewall) und B 4.4 VPN zu berücksichtigen.

Neben eigens dafür hergestellten Geräten bieten auch verschiedene Betriebssysteme (beispielsweise diverse Unix-Derivate, Windows 2000, etc.) Routing-Funktionalität. Das bedeutet, dass ein Router aus einem entsprechenden Rechner mit zwei oder mehr Netzwerkkarten und einem Standardbetriebssystem bestehen kann. In kleineren lokalen Netzen kann dies unter Umständen eine kostengünstige Alternative sein. Neben den in diesem Baustein beschriebenen Sicherheitsmaßnahmen sind beim Betrieb eines solchen Routers die Sicherheitsmaßnahmen des eingesetzten Betriebssystems (Unix, Windows 2000, etc.) zu berücksichtigen.

Gefährdungslage

Neben den Gefährdungen, die generell für den Großteil der IT-Systeme gelten, existieren für aktive Netzkomponenten eine Reihe spezieller Gefährdungen.

Diese Gefährdungen basieren oft auf bekannten Schwachstellen in den verwendeten Protokollen, wie TCP, UDP, IP oder ICMP. Durch Schwachstellen in dynamischen Routing-Protokollen können beispielsweise Routing-Tabellen auf Routern modifiziert werden. Die oft fehlende oder unzureichende Möglichkeit zur Authentisierung auf aktiven Netzkomponenten ist als weitere Gefährdung anzufügen.

Aktive Netzkomponenten werden oft mit einer unsicheren Default-Konfiguration ausgeliefert (siehe G 4.49 Unsichere Default-Einstellungen auf Routern und Switches ), die bei der Inbetriebnahme der Geräte geprüft werden sollte. Für die sichere Trennung von Teilnetzen mit unterschiedlichem Schutzbedarf wird gelegentlich die Nutzung von virtuellen Netzen (VLANs) vorgeschlagen. Es sind jedoch einige Angriffsmethoden bekannt, die es ermöglichen, die Grenzen zwischen VLANs zu überwinden und unberechtigt auf andere VLANs zuzugreifen (siehe G 5.115 Überwindung der Grenzen zwischen VLANs ).

Nachfolgend ist die Gefährdungslage beim Einsatz von Routern und Switches als Übersicht dargestellt:

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.44 Inkompatible aktive Netzkomponenten
G 2.54 Vertraulichkeitsverlust durch Restinformationen
G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches

Menschliche Fehlhandlungen

G 3.64 Fehlerhafte Konfiguration von Routern und Switches
G 3.65 Fehlerhafte Administration von Routern und Switches

Technisches Versagen

G 4.49 Unsichere Default-Einstellungen auf Routern und Switches

Vorsätzliche Handlungen

G 5.4 Diebstahl
G 5.51 Missbrauch der Routing-Protokolle
G 5.66 Unberechtigter Anschluss von IT-Systemen an ein Netz
G 5.112 Manipulation von ARP-Tabellen
G 5.113 MAC-Spoofing
G 5.114 Missbrauch von Spanning Tree
G 5.115 Überwindung der Grenzen zwischen VLANs

Maßnahmenempfehlungen

Die diesem Baustein zugeordneten Sicherheitsmaßnahmen orientieren sich an dem Lebenszyklus der aktiven Netzkomponenten. Es werden Maßnahmen beschrieben, die in folgende Zyklen kategorisiert sind:

Nachfolgend sind die beim Einsatz von Routern und Switches zu berücksichtigenden Maßnahmen aufgelistet:

Planung und Konzeption

M 2.276 (Z) Funktionsweise eines Routers
M 2.277 (Z) Funktionsweise eines Switches
M 2.278 (Z) Typische Einsatzszenarien von Routern und Switches
M 2.279 (A) Erstellung einer Sicherheitsrichtlinie für Router und Switches

Beschaffung

M 2.280 (C) Kriterien für die Beschaffung und geeignete Auswahl von Routern und Switches

Umsetzung

M 1.43 (A) Gesicherte Aufstellung aktiver Netzkomponenten
M 3.38 (B) Administratorenschulung für Router und Switches
M 4.201 (A) Sichere lokale Grundkonfiguration von Routern und Switches
M 4.202 (A) Sichere Netz-Grundkonfiguration von Routern und Switches
M 4.203 (A) Konfigurations-Checkliste für Router und Switches
M 5.111 (C) Einrichtung von Access Control Lists auf Routern

Betrieb

M 2.281 (A) Dokumentation der Systemkonfiguration von Routern und Switches
M 2.282 (A) Regelmäßige Kontrolle von Routern und Switches
M 2.283 (B) Software-Pflege auf Routern und Switches
M 4.204 (C) Sichere Administration von Routern und Switches
M 4.205 (C) Protokollierung bei Routern und Switches
M 4.206 (C) Sicherung von Switch-Ports
M 5.112 (C) Sicherheitsaspekte von Routing-Protokollen

Aussonderung

M 2.284 (C) Sichere Außerbetriebnahme von Routern und Switches

Notfallvorsorge

M 6.91 (C) Datensicherung und Recovery bei Routern und Switches
M 6.92 (C) Notfallvorsorge bei Routern und Switches

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK