Bundesamt für Sicherheit in der Informationstechnik

M 2.278 Typische Einsatzszenarien von Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Der Einsatzzweck von Routern bestimmt maßgeblich die Konfiguration der Systeme. Zudem bestimmt die Verwendung auch die zusätzlichen Funktionen, die von einem Router bereit gestellt werden müssen.

Router im internen Netz

Router sind in vielen Installationen als reine LAN-to-LAN-Router im Einsatz, um Subnetze zu verbinden und die Nebeneffekte von rein "geswitchten" Netzen, beispielsweise sogenannte Broadcast-Stürme, zu verhindern. In dieser Funktion werden heute allerdings vermehrt Switches mit integrierter Routing-Funktion (Layer-3- oder Layer-4-Switches, siehe auch M 2.277 Funktionsweise eines Switches ) eingesetzt. Bei diesem Einsatzszenario hängen die Sicherheitsanforderungen an den Router stark vom Schutzbedarf der Teilnetze ab, die über den Router verbunden sind.

Router zur Anbindung an externe Netze

Wird ein Router zur Anbindung des eigenen Netzes einer Organisation an externe Netze eingesetzt, so spricht man von einem Border-Router. Oft sind Border-Router auch in ein Sicherheits-Gateway integriert und übernehmen in diesem die Funktion des externen Paketfilters (siehe unten). Bei Routern, die an fremde Netze angeschlossen sind, spielt die Sicherheit des Gerätes eine besonders wichtige Rolle, da sie Angriffen von außen direkt ausgesetzt sind.

Router als Paketfilter

Router werden oft als Bestandteil von Sicherheits-Gateways zum Anschluss an öffentliche Netze (beispielsweise das Internet) verwendet. Im folgenden Beispiel besteht das Sicherheits-Gateway aus einem internen Paketfilter, einem externen Paketfilter und einem Applikations-Gateway. Statt Applikations-Gateways werden oft auch Stateful-Inspection-Systeme als zentrale Teile von Sicherheits-Gateways eingesetzt. Die festgelegten Filterregeln werden sowohl auf dem zentralen System als auch auf den Routern (intern und extern) konfiguriert. Auf den Routern wird das Regelwerk durch die Einrichtung von Access Control Lists ( ACL s) etabliert.

Die Funktion der Paketfilterung ist bei den meisten Routern bereits im Betriebssystem integriert. Es gibt auch Router, die bereits eine integrierte Stateful-Inspection-Firewall bereitstellen.

Es ist empfehlenswert, das Management der beteiligten Systeme (speziell die Einrichtung von Filterregeln) mit Hilfe einer einheitlichen Benutzeroberfläche durchzuführen. Dies hilft Konfigurationsfehler zu vermeiden, die beispielsweise Sicherheitslöcher im Sicherheits-Gateway öffnen oder zu Störungen des Netzbetriebs führen können.

Anforderungen an einen Router für diesen Einsatzzweck sind in M 2.73 Auswahl geeigneter Grundstrukturen für Sicherheitsgateways zu finden.

Weiterhin sind bei der Konfiguration Vorgaben aus M 4.203 Konfigurations-Checkliste für Router und Switches als Mindestvoraussetzung zu berücksichtigen. Der äußere Paketfilter im aufgeführten Beispiel ist direkt an ein öffentliches Netz angeschlossen und damit einem erhöhten Risiko ausgesetzt. Deshalb muss dieser Router besonders restriktiv konfiguriert sein.

Anbindung von Außenstellen

Router können zur Anbindung von Außenstellen genutzt werden. In der nachfolgenden Abbildung dienen die dargestellten Router zur Kopplung von lokalen Netzen (LAN), die einen einheitlichen Schutzbedarf haben und unter einer einheitlichen Administrationsverantwortung stehen. In diesen Fällen werden zumeist keine oder nur schwache Filterregeln auf den Routern konfiguriert. In kleinen Netzen können statische Routen verwendet werden, während in mittleren oder großen Umgebungen Interior Gateway Protokolle als Routing-Protokolle eingesetzt werden. Die beteiligten Router sind somit Bestandteil einer abgeschlossenen Routing-Domäne. Als Verbindungstechnologien können ATM , Frame Relay, ISDN , DSL oder Standardfestverbindungen genutzt werden.

Remote Access

In kleinen und mittleren Netzen werden Router oftmals auch zur Einwahl in lokale Netze (LAN) verwendet. Einwahlmöglichkeiten sollten jedoch nicht direkt in ein LAN integriert werden, sondern es sollte zumindest ein Einwahl-Router eingesetzt werden, der entsprechende Sicherheitsfunktionalität bietet, um das LAN vor Angriffen über die Einwahlzugänge zu schützen.

Ein möglicher Weg zur Absicherung einer Einwahl mit Hilfe eines Routers ist in der folgenden Abbildung dargestellt. Der Router wird in der DMZ eines Sicherheits-Gateways betrieben. Zusätzliche Sicherheit wird durch die Authentisierung mit Hilfe eines RADIUS-Servers erreicht. Der Router fungiert in diesem Fall als RADIUS-Client. Remote-User authentisieren sich nicht direkt am Router, sondern am RADIUS-Server. Dadurch können Benutzer zentral am RADIUS-Server verwaltet werden.

Durch die Verwendung eines One-Time-Passwort-Verfahrens (OTP) in Kombination mit einem Hardware-Token oder einer Smart-Card, wird eine starke Authentisierung erreicht. RADIUS-Server unterstützen in der Regel die Erweiterung von OTP-basierenden Verfahren durch die Installation von Plug-Ins oder durch die Kommunikation mit einem OTP-Server. Eine weitere Möglichkeit zur Erreichung einer starken Authentisierung ist die Einbindung der Remote-Access-Lösung in eine bestehende Public Key Infrastructure (PKI). Der RADIUS-Server muss in diesem Fall für den Zugriff auf einen Verzeichnisdienst konfiguriert sein. Dadurch lässt sich in Kombination mit einer Smart-Card eine zertifikatsbasierende starke Verschlüsselung erreichen. Weiterführende Maßnahmen sind im Baustein B 4.4 VPN und B 4.5 LAN-Anbindung eines IT-Systems über ISDN beschrieben.

VPN

Eine weitere Möglichkeit Standorte sicher miteinander zu verbinden, ist die Nutzung von virtuellen privaten Netzen (VPN). Ein VPN ist ein gesicherter Tunnel, der über bestehende Netzinfrastrukturen geführt wird. Somit ermöglicht der Einsatz von VPNs eine sichere Übertragung von vertraulichen Informationen über unsichere Netze (z.B. das Internet). Der Datenverkehr zwischen zwei Endpunkten innerhalb eines VPN wird verschlüsselt. VPN-fähige Router sollten eine starke Verschlüsselung (z.B. 3 DES , AES ) unterstützen. Viele am Markt verfügbare Router unterstützen die VPN-Funktionalität.

IPSec ist ein Standard, der über eine Reihen von RFCs und Internet-Drafts der IEEE definiert wird. Auf der Basis von IPSec lassen sich VPNs zwischen Geräten unterschiedlicher Hersteller konfigurieren. IPSec stellt die Datenvertraulichkeit, Datenintegrität und die Authentisierung zwischen den Endpunkten des VPN sicher. IPSec basiert auf der Netzschicht des OSI-Referenzmodells. Es nutzt das Internet Key Exchange (IKE) zur Ausführung der Protokoll-Algorithmusvereinbarung entsprechend der lokalen Konfiguration und zur Erzeugung der Verschlüsselungs- und Authentisierungsschlüssel. Eine weitere VPN-Technologie, die auf einem Standard beruht, ist das sogenannte "SSL-VPN", bei dem der Datenverkehr über eine mit SSL/TLS gesicherte Verbindung geleitet wird.

Neben VPNs auf der Basis von IPSec und SSL existieren verschiedene andere, sowohl proprietäre, als auch Open Source Technologien. Dabei muss beachtet werden, dass diese meist untereinander nicht kompatibel und teilweise nur für bestimmte Plattformen verfügbar sind.

Falls die beteiligten Komponenten die Einbindung in eine bestehende PKI ermöglichen, kann dadurch die Verwaltung von VPNs (speziell das Schlüsselmanagement) wesentlich erleichtert und die Skalierbarkeit verbessert werden.

Es wird zwischen einem Site-to-Site-VPN und einem Client-to-Site-VPN unterschieden. Ein Site-to-Site-VPN dient zur Verbindung von Netzen. Dabei wird das VPN auf beiden Seiten durch entsprechend konfigurierte, VPN-fähige Router begrenzt. Diese Art von VPNs ist eine Alternative zur Verbindung von lokalen Netzen über Weitverkehrsstrecken.

Bei einem Client-to-Site-VPN wird ein VPN zwischen einem Client und einem VPN-fähigen Router aufgebaut. Dazu muss auf dem Client meist eine herstellerspezifische VPN-Client-Software installiert werden. Ein Client-to-Site-VPN ist als eine weitere Alternative des Remote-Zugangs zu lokalen Netzen anzusehen.

In der folgenden Abbildung ist beispielhaft eine VPN-Architektur dargestellt.

Switches

Der Einsatzzweck eines Switches zur Bildung von VLANs ist in der Maßnahme M 2.277 Funktionsweise eines Switches beschrieben. Die folgende Abbildung zeigt ein typisches geswitchtes Netz.

In der Abbildung sind zwei Arten von Switches zu unterscheiden. Die Access-Switches, die sich durch eine hohe Anzahl von Anschlüssen (Ports) auszeichnen, stellen den unmittelbaren Anschluss der Endgeräte sicher. Die Access-Switches sind wiederum an zentrale Backbone-Switches angeschlossen.

Die Backbone-Switches bilden das so genannte Switched-Backbone. Ein Switched-Backbone bündelt die Bandbreite der angeschlossenen Switches, um eine hohe Durchsatzrate zwischen den Endgeräten sicherzustellen. Ein Switched-Backbone zeichnet sich also durch eine hohe Durchsatzrate aus. Der Durchsatz eines Switched-Backbones hängt von einigen Faktoren ab, die bei der Anschaffung von Geräten zu berücksichtigen sind. Die wichtigsten Faktoren sind der maximale Adresscache zur Vorhaltung der dynamisch erlernten MAC-Adressen, der Durchsatz der Backplane eines Backbone-Switches sowie die Leitungsgeschwindigkeit des Switched-Backbone.

Die beteiligten Switches müssen in einer Architektur ähnlich der Abbildung dynamisch erlernte Switching-Tabellen austauschen, um die Verbindung zwischen Endgeräten, die an unterschiedlichen Switches angeschlossen sind, effizient herstellen zu können. Dies geschieht mit zumeist herstellerabhängigen (proprietären) Protokollen (z. B. Cisco Discovery Protocol CDP ).

In großen geswitchten Netzen werden Switches typischerweise kaskadiert. Dies wird in der Praxis mit Hilfe des sogenannten Uplink-Ports erreicht.

Prüffragen:

  • Ist der Einsatzzweck der vorhandenen Router und Switches dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK