Bundesamt für Sicherheit in der Informationstechnik

M 2.277 Funktionsweise eines Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Einführung

Ursprünglich arbeiteten Switches auf der OSI-Schicht 2, mittlerweile sind Switches mit unterschiedlichen Funktionen erhältlich. Hersteller kennzeichnen Switches meist mit dem OSI-Layer, der unterstützt wird. Dadurch entstanden die Begriffe Layer-2-, Layer-3- und Layer-4-Switch, wobei es sich bei Layer-3- und Layer-4-Switches eigentlich funktional bereits um Router handelt. Die ursprünglich unterschiedlichen Funktionen von Switches und Routern werden auf einem Gerät vereint. Dadurch wird die Abgrenzung der Gerätetypen (Switch oder Router) erschwert. Die wesentlichen Unterschiede dieser Geräte sind in der Einleitung zum Baustein B 3.302 Router und Switches aufgeführt.

Die ersten Switches entstanden aus den Bridges, die wie die modernen Switches heutzutage zur Auftrennung großer LAN-Segmente in mehrere kleine Segmente (Kollisionsdomänen) dienten. Bridges arbeiten in der Regel mit der Store-and-Forward-Technologie. Dabei wird jeder empfangene Ethernet-Frame eingelesen und dann anhand der Zieladresse entschieden, ob er an ein anderes LAN-Segment weitergegeben wird. Handelt es sich um lokalen Datenverkehr, erfolgt keine Weitergabe und der Frame gelangt nur zu den Stationen im lokalen Netz. Damit wird der lokale Verkehr auf einzelne Segmente begrenzt, was bei geeigneter Auslegung die Netzlast deutlich reduzieren kann. Bei kleineren Segmenten sinkt zudem der Anteil an Kollisionen und die Performance verbessert sich. Ist ein Frame an ein anderes Segment weiterzuleiten, wird er im Zwischenspeicher der Bridge abgelegt und anschließend an den Zielport übergeben. Zusätzlich kann beim Store-And-Forward die Integrität eines empfangenen Frames mit Hilfe von CRC-Prüfsummen überprüft werden. Korrupte Frames werden verworfen, was zu einer weiteren Verringerung der Netzlast beitragen kann.

Switches verfügen neben dem Store-and-Forward-Switching auch über den Mechanismus des Cut-Through-Forward-Switching, bei dem nur die Zieladresse - die ersten sechs Bytes eines Frames - gelesen wird. Hierdurch reduziert sich die Verzögerung zwischen dem Empfänger- und Sendeport erheblich. Allerdings ist es dabei nicht möglich, korrupte Frames auszufiltern. Durch das unnötige Weiterleiten fehlerhafter Frames kann eventuell ein Engpass entstehen. Abhilfe schafft ein adaptives Verhalten des Switches, bei dem der Frame während des Weiterreichens geprüft wird. Damit werden zwar korrupte Frames nicht ausgefiltert, aber der Switch kann die Qualität der Frames überwachen. Übersteigt der Prozentsatz der korrupten Frames einen vorher festgelegten Wert, so schaltet der Switch für diesen Port auf Store-and-Forward um, um in Zukunft zu filtern.

In der folgenden Abbildung ist beispielhaft eine sogenannte Switching-Tabelle dargestellt. In dieser Tabelle wird gespeichert, an welchem Port die Station mit der entsprechenden MAC-Adresse angeschlossen ist. Der Switch lernt diese Zuordnung dynamisch. Im Gegensatz zu einem Hub sendet der Switch einen Ethernet-Frame immer nur an den Port, an dem der Zielrechner angeschlossen ist.

Dadurch wird die Bandbreite, die einem Gerät zur Verfügung steht, nicht von der Kommunikation zwischen anderen angeschlossenen Stationen beeinflusst. Ein weiterer Effekt ist, dass die Kommunikation zwischen zwei Stationen von keiner der anderen Stationen mitgelesen werden kann. Davon ausgenommen sind Broadcasts und Multicasts, die an alle angeschlossenen Stationen gesandt werden. Ebenso werden Frames, deren Ziel-MAC-Adresse noch unbekannt ist, an alle Ports weitergeleitet.

Ziel MAC Adresse Ziel Switch Port
0001.02c4.fdca Fast Ethernet0/4
0001.026d.d412 Fast Ethernet0/8
0008.a345.12f3 Fast Ethernet0/12
0060.97ac.de59 Fast Ethernet0/16
... ...

Tabelle: Switching-Tabelle

Ein Frame, der an die Station mit der MAC-Adresse 0001.02c4.fdca gerichtet ist, wird vom Switch nur an den Port 01 weitergeleitet.

Da die Switching-Tabelle zur Steuerung des Datenflusses verwendet wird, muss sie vor Manipulationen geschützt werden. Es sind einige Angriffsmethoden bekannt, die die Integrität und Verfügbarkeit dieser Tabellen bedrohen (siehe G 5.112 Manipulation von ARP-Tabellen ).

Layer-3- und Layer-4-Switches arbeiten analog auf einer entsprechend höheren OSI-Schicht.

Sind in einem lokalen Netz mit einer komplizierten Topographie mehrere Switches vorhanden, so kann es vorkommen, dass für die Verbindung zwischen zwei Geräten mehrere mögliche Wege existieren. Switching funktioniert aber nur dann, wenn zu jedem Zeitpunkt klar ist, an welchen Port ein Paket weitergeleitet werden muss. Andernfalls besteht die Gefahr, dass im Netz Schleifen (Loops) entstehen, auf denen Pakete immer im Kreis geschickt werden und niemals ihr eigentliches Ziel erreichen. Deswegen bieten Switches die Möglichkeit, automatisch untereinander eine logische Netzstruktur (einen sogenannten Spanning Tree des Netzes) "auszuhandeln", die eine reibungslose Funktion erlaubt. Zu diesem Zweck wird das sogenannte Spanning Tree Protocol (STP, IEEE 802.1d) verwendet. Überflüssige Verbindungen im Netz werden automatisch deaktiviert und nur dann wieder aktiviert, wenn die per STP ermittelte primäre Verbindung nicht verfügbar ist.

Hierzu muss jedem Switch eine Prioritätsinformation und eine eindeutige MAC-Adresse zugewiesen sein, es muss eine Multicast-Adresse für alle Switches existieren und jeder Port über eine ID eindeutig identifizierbar sein.

Um den Broadcast-Verkehr in einem "geswitchten" Netz einzuschränken, lassen sich virtuelle Netze (VLANs) bilden. Hierbei wird innerhalb eines physikalischen Netzes eine logische Netzstruktur abgebildet, in dem funktionell zusammengehörende Arbeitsstationen und Server zu einem virtuellen Netz verbunden werden. Die Gründe für den Zusammenschluss zu einem VLAN können organisatorischer oder technischer Art sein.

Unter dem Aspekt der Unternehmensorganisation ist es beispielsweise möglich, alle Mitarbeiter einer Abteilung in eine Netzgruppe zusammenzufassen, auch wenn sie auf verschiedenen Etagen verteilt sind. Unter dem Aspekt der Arbeitsorganisation können Mitarbeiter, die gemeinsam an einem Projekt arbeiten, zu einer Netzgruppe zusammengefasst werden, auch wenn sie zu verschiedenen Abteilungen gehören.

Jedes VLAN bildet eine separate Broadcast-Domäne. Ein VLAN braucht nicht auf einen einzelnen Switch beschränkt zu sein, sondern es kann sich über ein ganzes geswitchtes Netz erstrecken. Die Netzbenutzer bilden dann nicht mehr aufgrund ihres Standortes ein Netzsegment, sondern sie können innerhalb des Intranets standortunabhängig mit anderen Nutzern zu einer Gruppe zusammengefasst werden.

Es wird zwischen port- und hostbasierten VLANs unterschieden. Bei portbasierten VLANs werden einzelne Anschlüsse (Ports) an einem Switch direkt einem VLAN zugeordnet. Das bedeutet, dass der zugeordnete Anschluss unabhängig von der angeschlossenen Station fest einem bestimmtem VLAN zugeordnet ist. Bei hostbasierten VLANs wird die Zugehörigkeit eines VLANs beispielsweise über die MAC-Adresse oder IP-Adresse der angeschlossenen Station gesteuert. Bei hostbasierten VLANs hat der Anwender die Möglichkeit, sein Endgerät an jedem beliebigen Ort innerhalb des Netzes anzuschließen, ohne dass er die Zugehörigkeit zu seinem VLAN verliert.

Die Möglichkeit, VLANs über mehrere Switches auszudehnen, wird als Trunking bezeichnet. Hierbei wird pro Switch ein physischer Port für die Inter-Switch-Kommunikation reserviert, die logische Verbindung zwischen den Switches wird als Trunk bezeichnet. Trunking wird durch unterschiedliche, teils proprietäre Trunking-Protokolle realisiert. Der Ethernet-Rahmen wird beim Informationsaustausch zwischen den Switches in das Trunking-Protokoll gekapselt. Dadurch ist der Ziel-Switch in der Lage, die Information dem entsprechenden VLAN zuzuordnen. Als Standards werden IEEE 802.1q und beispielsweise die proprietären Protokolle ISL (Inter Switch Link) und VTP (VLAN Trunking Protokoll) des Herstellers Cisco verwendet.

Manchmal wird auch die Bündelung (Zusammenfassung) mehrerer physikalischer Verbindungen zwischen Switches zur Erzielung entsprechend höherer Durchsatzraten als Trunking bezeichnet. Diese Funktionalität wird andererseits auch als "Channel Bonding" oder "Channeling" bezeichnet. Wenn in einem Dokument der Begriff Trunking auftaucht, so muss deswegen stets darauf geachtet werden, in welcher Bedeutung der Begriff gerade verwendet wird. Hier wird unter Trunking stets die Möglichkeit verstanden, VLANs über mehrere Switches zu verteilen.

Die folgende Abbildung zeigt eine Konfiguration mit zwei Switches, die über einen Trunk-Port verbunden sind. Der Rechner, der am linken Switch ebenfalls an einem Trunk-Port angeschlossen ist, stellt ein potentielles Sicherheitsrisiko dar, da er Zugriff auf die Daten aus allen VLANs hat, die auf dem Switch konfiguriert sind.

Erstreckt sich ein VLAN über mehrere Switches, so steigt in der Praxis der Datenverkehr zwischen diesen Komponenten um den Anteil der mit Hilfe des Trunking- Protokolls übertragenen Informationen. Die Kommunikation zwischen Teilnehmern unterschiedlicher VLANs erfolgt über OSI-Schicht 3, das heißt die Pakete werden VLAN übergreifend geroutet. Das Routing kann auf einem Switch durchgeführt werden, der Routing-Funktionen unterstützt (siehe auch den Abschnitt zu Layer-3-Switches in der Einleitung zum Baustein B 3.302 Router und Switches ), oder auf einem angeschlossenen Router erfolgen, der die VLANs auf der OSI-Schicht 3 verbindet.

Die folgenden Abbildungen zeigen Beispiele für ein (port-basiertes) VLAN, das sich über drei verschiedene Etagen eines Gebäudes erstreckt und für eine Konfiguration mit zwei verschiedenen VLANs auf einem Switch.

Entgegen den Aussagen einiger Hersteller muss berücksichtigt werden, dass VLANs nicht entwickelt wurden, um Sicherheitsanforderungen bei der Trennung von Netzen zu erfüllen. VLANs bieten eine Vielzahl von Angriffspunkten, so dass insbesondere für die Trennung von schutzbedürftigen Netzen immer zusätzliche Maßnahmen umzusetzen sind. In der folgenden Beispiel-Abbildung kann nicht von einer sicheren Trennung zwischen dem VLAN 1 und VLAN 2 ausgegangen werden, da die beiden VLANs auf dem selben Switch realisiert sind.

Auf einem Switch sollten keine VLANs mit unterschiedlichem Schutzbedarf konfiguriert sein. Soll dies aus wichtigen Gründen trotzdem geschehen, so müssen in jedem Fall zusätzliche Sicherungsmaßnahmen ergriffen werden, um ein angemessenes Sicherheitsniveau zu gewährleisten. Keinesfalls darf das Netz einer DMZ , die zwischen dem internen Netz und dem Internet steht, als VLAN auf dem selben Switch wie das interne Netz konfiguriert sein.

In der folgenden Abbildung wurde eine sichere Trennung von zwei VLANs mit unterschiedlichem Schutzbedarf realisiert, indem pro Switch lediglich ein VLAN konfiguriert wurde. Die Kopplung der Netze wird von einem Router übernommen, der als Paketfilter fungiert.

Prüffragen:

  • Werden zusätzliche Sicherheitsmaßnahmen ergriffen, wenn interne VLAN mit unterschiedlichem Schutzbedarf auf einem Switch konfiguriert sind?

  • Ist sichergestellt, dass das VLAN einer DMZ nicht auf dem selben Switch wie das interne Netz konfiguriert ist?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK