Bundesamt für Sicherheit in der Informationstechnik

G 3.28 Ungeeignete Konfiguration der aktiven Netzkomponenten

Durch eine ungeeignete Konfiguration aktiver Netzkomponenten kann es zu einem Verlust der Verfügbarkeit von Teilnetzen oder sogar des gesamten Netzes kommen. Des Weiteren können Konfigurationsfehler zu einem Verlust der Vertraulichkeit und Integrität der übertragenen Informationen führen. Dabei können insbesondere die folgenden Fehlkonfigurationen unterschieden werden:

  • Aktive Netzkomponenten, die zur Bildung von VLAN s (Virtual LAN s) eingesetzt werden, segmentieren das Netz logisch. Im Fall einer Fehlkonfiguration kann unter Umständen die Kommunikation innerhalb eines VLAN s, zwischen einzelnen oder zwischen allen VLAN s zum Erliegen kommen.
    Beispiel: Ein Fileserver und ein Drucker befinden sich in demselben VLAN . Arbeitsplatzsysteme befinden sich in einem anderen VLAN . Damit die Arbeitsplatzsysteme mit dem Fileserver bzw. dem Drucker kommunizieren können, ist ein Schicht-3-Gerät (Router oder Multilayer Switch) erforderlich. Ist ein solches Gerät nicht vorhanden oder falsch konfiguriert, können die Arbeitsplatzsysteme weder auf Datei- noch auf Druckerdienste zugreifen.
  • Ein Netz kann durch den Einsatz von Routern mittels Teilnetzbildung strukturiert werden. Für eine Kommunikation zwischen den Teilnetzen ist eine entsprechende Konfiguration der Router erforderlich, die hierzu die Leitwege zwischen den verschiedenen Teilnetzen in Routing-Tabellen vorhalten müssen. Routing-Tabellen können statisch oder dynamisch verwaltet werden. In beiden Fällen ist eine Kommunikation zwischen unterschiedlichen Teilnetzen nicht möglich, wenn die Routing-Tabellen keinen Leitweg zwischen den betreffenden Teilnetzen enthalten. Zu einer Fehlkonfiguration kann es dementsprechend durch eine fehlerhafte Definition statischer Routing-Tabellen oder durch eine fehlerhafte Konfiguration der Routing-Protokolle (wie z. B. RIP oder OSPF ) kommen, die zum automatischen Abgleich dynamischer Routing-Tabellen verwendet werden.
    Beispiel: Eine Router-zu-Router-Verbindung ist durch einen statischen Eintrag der entsprechenden IP -Adressen konfiguriert. Bei einer Änderung der IP -Adresse einer der Router oder durch das Zwischenschalten eines weiteren Routers ist diese Kommunikationsstrecke nicht mehr verfügbar.
  • Aktive Netzkomponenten können, wenn sie entsprechend konfiguriert sind, bestimmte Protokolle sperren oder eine Kommunikation zwischen IT -Systemen mit bestimmten Netzadressen verhindern. Eine Fehlkonfiguration der betreffenden Filter kann entsprechend zu einer unerwünschten Unterbindung der Kommunikation führen.
    Ebenso können fehlkonfigurierte Filter dazu führen, dass Verbindungen aufgebaut werden, die Unbefugten die Möglichkeit bieten, Angriffe gegen IT -Systeme im geschützten Netz durchzuführen. Je nach Art des Angriffs kann daraus ein Verlust der Verfügbarkeit einzelner Netzkomponenten oder sogar des ganzen Netzes resultieren. Weiterhin können Datenpakete umgeleitet, verändert oder mitgelesen werden, wenn die Verbindundungswege manipuliert werden.
    Beispiel:Durch eine ungeeignete Konfiguration von aktiven Netzkomponenten (insbesondere von VLAN s oder Filterregeln) können Broadcast-Domänen unnötig groß werden oder es können unnötige Kommunikationsverbindungen entstehen. Dadurch kann es Unbefugten möglich sein, vertrauliche Daten zu lesen.

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK