Bundesamt für Sicherheit in der Informationstechnik

G 5.187 Überwindung der logischen Netzseparierung

Erfolgt die Trennung von Netzstrukturen unterschiedlicher Mandanten nicht durch den Aufbau physisch getrennter Netze, sondern kommen hierfür virtuelle Storage Area Networks (VSANs) oder Local Area Networks (VLANs) zum Einsatz, kann dies unter Umständen zu einer Gefährdung für die Informationssicherheit der Institution führen.

Gelingt es einem Angreifer, beispielsweise durch Ausnutzen von Schwachstellen, in das Netz eines anderen Mandanten einzudringen, kann er auf diesem Weg sowohl administrativen Zugriff auf das SAN oder LAN dieses Mandanten erlangen als auch auf die übertragenen Nutzdaten. Fehlende oder unzureichende Rechte-, Rollen- sowie Zonenkonzepte erhöhen dabei das Schadenspotenzial solcher Angriffe.

Grundsätzlich ist die Überwindung der Separierung über mehrere Wege möglich (siehe hierzu auch G 5.115 Überwindung der Grenzen zwischen VLANs ):

  • Der Angreifer erlangt physischen Zugriff auf einen Switch und kann diesen manipulieren.
  • Der Angreifer nutzt eine vorhandene Fehlkonfiguration aus. Hierbei kann zum einen die Mandantenfähigkeit falsch konfiguriert worden sein, sodass der Angreifer Zugriff auf andere Mandanten erhält. Zum anderen kann die eigentliche Zuordnung eines Anwenders zu einem virtuellen SAN oder LAN falsch vorgenommen worden sein. Der Angreifer erhält daraufhin Zugriff auf Daten innerhalb eines virtuellen Netzes, für die er ursprünglich keine Berechtigung besitzt.
  • Der Angreifer nutzt eine ungepatchte Software-Schwachstelle aus.

N-Port ID Virtualization (NPIV) wird in virtuellen Storage Area Networks (VSAN) eingesetzt, bei denen der physische SAN -Server über eine unzureichende Anzahl an Fibre-Channel-Ports verfügt. NPIV erlaubt einem physischen Host Bus Adapter Port, mit mehreren World Wide Port Name (WWPN) verknüpft zu werden. Der Einsatz von NPIV in Fibre-Channel-Netzen kann dazu führen, dass ein Server sich durch Nutzung des gleichen WWPN unberechtigt Zugriff auf Daten eines anderen Servers verschaffen kann.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK