Bundesamt für Sicherheit in der Informationstechnik

M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Remote-Zugriff

Für die Administration aktiver Netzkomponenten über das Netz wird oft noch Telnet als Standardmöglichkeit angeboten. Oft gibt es auch eine Administrationsmöglichkeit über SNMP oder den Zugriff über eine HTTP-Schnittstelle. Alle diese Protokolle haben den Nachteil, dass sowohl Benutzername und Passwort als auch die Nutzdaten im Klartext über das Netz übertragen werden (siehe auch G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen ).

Daher ist für die Administration entweder ein eigenes Administrationsnetz (Out-of-Band-Management) einzurichten, oder es dürfen nur Protokolle benutzt werden (beispielsweise ssh2), die eine gesicherte Authentisierung und verschlüsselte Übertragung unterstützen.

Soll SNMP außerhalb eines eigenen Administrationsnetzes eingesetzt werden, so darf nur SNMPv3 benutzt werden.

Authentisierungsserver

In großen Netzen sollten Router und Switches möglichst für die Nutzung von Authentisierungsservern unter Verwendung von Einmal-Passwörtern konfiguriert werden. Beispiele hierfür sind RADIUS oder TACACS+. Weitergehende Aspekte sind in M 4.204 Sichere Administration von Routern und Switches beschrieben.

Management-Interface und Administrationsnetz

Einige Geräte bieten die Möglichkeit, ein eigenes logisches Interface zur Administration (Management-Interface) zu konfigurieren. Bei Switches sollte dieses Interface einem eigenen VLANN zugeordnet werden, das ausschließlich für administrative Zwecke verwendet wird (Out-of-Band Management) und dem ausschließlich Management-Interfaces angehören. Bei Routern sollten ACL s so konfiguriert werden, dass der Zugriff auf das Management-Interface von der Management-Station aus mit definierten Protokollen erlaubt ist. Alle nicht benötigten Dienste sind für das Management-Interface zu deaktivieren.

Weitere Schritte zur Einrichtung eines Administrationsnetzes (Out-of-Band-Management) sind in M 4.204 Sichere Administration von Routern und Switches beschrieben.

Deaktivierung unnötiger Netzdienste

Hersteller aktiver Netzkomponenten legen oft in erster Linie Wert auf eine möglichst einfache Inbetriebnahme und Konfiguration der Komponenten. Daher sind in der Default-Konfiguration meist eine Vielzahl von Diensten aktiviert. Es sollten nur Dienste aktiviert sein, die für den Betrieb notwendig sind. Nicht benötigte Dienste auf den Routern und Switches müssen deaktiviert werden, weil sie ein erhöhtes Risiko darstellen.

Die Einstellungen zu den in der nachfolgenden Tabelle genannten Diensten gelten oft für das gesamte System und nicht explizit für einzelne Schnittstellen /Ports der Geräte. Generell dürfen diese Dienste nicht aus unsicheren Netzen erreichbar sein. Dies ist durch entsprechende Access-Control-Lists sicherzustellen.

In der folgenden Tabelle ist eine Anzahl von Diensten aufgeführt, die oft auf aktiven Netzkomponenten vorhanden sind. Für jeden Dienst ist eine Empfehlung angegeben, wie mit dem Dienst normalerweise verfahren werden sollte.

Dienst Beschreibung
FINGER Der Finger-Dienst zeigt die augenblicklich auf einem Gerät angemeldeten Benutzer an. Er hat keinen praktischen Nutzen und sollte deaktiviert werden.
BOOTP Einige Router und Switches unterstützen BOOTP (Bootstrap-Protocol), sowohl als Server als auch als Client. Damit ist es anderen Komponenten möglich, von diesen Geräten zu booten. BOOTP besitzt keine Funktionen zur Authentisierung oder Verschlüsselung und sollte deaktiviert werden.
HTTP Eine große Anzahl von Routern und Switches können mit Hilfe von HTTP administriert werden.
Dieser Dienst sollte in öffentlichen Netzen auf jeden Fall deaktiviert und allenfalls in einem isolierten Administrationsnetz verwendet werden.
SNMP SNMP ist ein Administrations- und Netzmanagement-Protokoll. Bis einschließlich der Version SNMPv2 sind die Sicherheitsfunktionen nicht ausreichend. Die Variante SNMPv3 besitzt stärkere Authentisierungs- und Verschlüsselungsoptionen.
Dieser Dienst sollte möglichst nur in einem isolierten Administrationsnetz genutzt werden. SNMPv1 und SNMPv2 dürfen keinesfalls außerhalb isolierter Administrationsnetze verwendet werden.
TELNET Telnet wird oft als Standard-Administrationsschnittstelle für Router und Switches verwendet.
Dieser Dienst sollte durch SSH (siehe unten) ersetzt werden. In öffentlichen Netzen darf Telnet nicht zur Administration aktiver Netzkomponenten verwendet werden.
NTP Das Network Time Protocol NTP dient zur Synchronisation der Systemzeit. Einige Router oder Switches können als Zeitserver für andere Geräte fungieren. NTP besitzt keine Sicherungsfunktionen und sollte daher nicht in öffentlichen Netzen verwendet werden. Es sollte ein interner NTP-Server installiert sein, der über ein Administrationsnetz angesprochen wird.
DNS Einige Router oder Switches unterstützen die Funktion eines DNS-Clients zur Namensauflösung, beispielsweise im Zusammenhang mit der Protokollierung. Eine Namensauflösung ist bei aktiven Netzkomponenten normalerweise nicht notwendig und bietet keinen echten Nutzen. Daher sollte DNS deaktiviert werden.
CDP CDP ist ein proprietäres Layer 2 Protokoll zwischen Cisco Routern und Switches. Es sollte zumindest auf Endgeräte-Ports deaktiviert werden.
TFTP Einige Router und Switches unterstützen das Booten von einem TFTP-Server. TFTP bietet keine Sicherheitsmechanismen.
Diese Funktion sollte nur genutzt werden, wenn ein interner TFTP-Server in einem isolierten Administrationsnetz installiert ist.
SSH1 SSH1 ist eine alte Variante des Secure Shell Protokolls, die Sicherheitslücken aufweist. Sie sollte daher nicht verwendet werden. Falls ein Gerät nur SSH1 anbietet, so sollte der Zugriff nur über ein isoliertes Administrationsnetz erfolgen.
SSH2 SSH2 ein sicherer Ersatz für Telnet über öffentliche Netze zur Administration von Routern und Switches eingesetzt werden kann. Trotzdem ist es empfehlenswert, auch den SSH-Zugang durch entsprechende ACLs zusätzlich abzusichern.

Tabelle: Dienste von aktiven Netzkomponenten

Auf Schnittstellen von Switches, aber in erster Linie auf Interfaces von Routern in öffentlichen Netzen sollten außerdem die folgenden Einstellungen zusätzlich berücksichtigt werden.

Dabei kann jedoch keine allgemeine Vorgehensweise vorgegeben werden, sondern es werden nur Empfehlungen für verschiedene Aspekte gegeben. Wenn in bestimmten Fällen von diesen Empfehlungen abgewichen wird, so sollte aber stets klar sein, wieso.

Dienst
Beschreibung, Einstellung
IP source routing Diese Funktion erlaubt es einem IP-Paket, die Route zum Ziel vorzugeben. Diese Funktion wird für eine Vielzahl von Angriffen verwendet. Deshalb sollte diese Funktion deaktiviert werden.
IP directed broadcast Dieser Dienst kann für DOS -Attacken ausgenutzt werden. Deshalb sollte diese Funktion deaktiviert werden.
ICMP redirects Diese ICMP-Funktion kann verwendet werden, um Informationen über Netze herauszufinden. Deshalb muss diese Funktion zumindest an externen Interfaces von Routern deaktiviert werden.
ICMP unreachable notifications Diese ICMP-Funktion kann verwendet werden, um Informationen über Netze herauszufinden. Deshalb muss diese Funktion zumindest an externen Interfaces von Routern deaktiviert werden.
ICMP mask reply
Diese ICMP-Funktion kann verwendet werden, um Informationen über Netze herauszufinden. Deshalb muss diese Funktion zumindest an externen Interfaces von Routern deaktiviert werden.

Tabelle: Einstellung der Dienste

Anti-Spoofing

Border-Router stellen den Übergang von internen Netzen zu externen Netzen dar. Auf Border-Routern sollten Sicherheitsmaßnahmen ergriffen werden, die IP-Spoofing (siehe auch G 5.48 IP-Spoofing ) verhindern. Dies kann beispielsweise durch die Einrichtung entsprechender ACLs erreicht werden. Eine mögliche Variante ist folgender Ansatz:

  • An den externen Schnittstellen werden solche Pakete blockiert, deren Absender-IP-Adresse im internen Netz liegt
  • An den internen Schnittstellen werden solche Pakete blockiert, deren Absender-IP-Adresse nicht im internen Netz liegt.

Zumindest bei Paketen, die auf Grund der zweiten Regel blockiert werden, ist eine entsprechende Protokollierung und gegebenenfalls eine Alarmierung der zuständigen Administratoren empfehlenswert. Die Tatsache, dass eine Station innerhalb des eigenen Netzes offensichtlich gefälschte Pakete verschickt, ist nämlich ein klares Indiz dafür, dass entweder eine falsche Konfiguration oder gar ein Sicherheitsproblem vorliegt.

Loopback-Interface

Einige Router-Modelle (beispielsweise von Cisco) bieten die Möglichkeit, ein Loopback-Interface einzurichten. Die dem Loopback-Interface zugewiesene IP-Adresse kann vom Router als Quelladresse für Protokolle wie Syslog, NTP oder wichtiger Dienste zur Administration benutzt werden. Dadurch kann einebessere Absicherung des Routers erreicht werden, weil die Quell-Adresse im IP-Paket immer die IP-Adresse des Loopback-Interfaces ist.

Routing-Protokolle

Es sollten nur Routing-Protokolle verwendet werden, die eine verschlüsselte Authentisierung unterstützen. In demilitarisierten Zonen dürfen keine dynamischen Routing-Protokolle eingesetzt werden, stattdessen müssen statische Routen eingetragen werden.

Die Verwendung von Routing-Protokollen sollte zusätzlich durch die Einrichtung von ACLs abgesichert sein. Mehr Informationen finden sich in M 5.112 Sicherheitsaspekte von Routing-Protokollen .

Access Control Lists

Die Verwendung von Access Control Lists (ACLs) zur Einschränkung des Zugriffes auf Routern und zur netzübergreifenden Paketfilterung ist in M 5.112 Sicherheitsaspekte von Routing-Protokollen beschrieben.

Spanning Tree

Das Spanning Tree Protocol (STP, IEEE 802.1d) wird von Switches und Bridges verwendet, um Schleifenbildungen innerhalb des Netzes auf der OSI-Schicht 2 zu vermeiden. Es werden BPDUs (Bridge Protocol Data Units) ausgesendet, um die Root-Bridge (basierend auf MAC-Adresse und Priorität) zum Systemstart und bei Topographie-Änderungen zu bestimmen. Dieses Protokoll bietet keine Authentisierung. Deshalb sollte STP zumindest auf allen Endgeräte-Ports deaktiviert werden. In der Konfiguration muss eine eindeutige Root-Bridge festgelegt werden.

VLANs und Trunking

Trunking ermöglicht es, VLANs über mehrere Switches auszudehnen. Die Steuerung von Trunking wird durch den Standard IEEE 802.1q oder durch unterschiedliche proprietäre Trunking-Protokolle realisiert. Dabei wird pro Switch ein physischer Port (Trunk-Port) für die Inter-Switch-Kommunikation reserviert. Diese logische Verbindung zwischen den Switches wird als Trunk bezeichnet.

Trunk-Ports können auf alle VLANs zugreifen. Das heißt, dass der Zugang zu einem Trunk-Port den Zugriff auf alle VLANs dieses Trunks ermöglicht. Manche Geräte bieten allerdings auch die Möglichkeit, den Zugriff eines Trunk-Ports auf bestimmte VLANs zu beschränken ("VLAN Pruning"). Sofern ein Switch eine solche Möglichkeit bietet, ist es empfehlenswert, dies zu nutzen. Auf Endgeräte-Ports sollte Trunking möglichst deaktiviert werden.

Das Default-VLAN darf nicht für ein produktives VLAN verwendet werden.

Wird das proprietäre Protokoll VTP (VLAN Trunking Protocol) des Herstellers Cisco verwendet, so sollte unbedingt die von VTP unterstützte Authentisierung verwendet werden.

Freie Ports

Für nicht benutzte Ports sollte ein eigenes VLAN ("Unassigned-VLAN") eingerichtet werden. Nach Möglichkeit sollten nicht genutzte Ports allerdings ganz deaktiviert werden, da die VLAN-Port-Zuweisung nur wenig zusätzliche Sicherheit bietet.

Ist es gewünscht, bestimmte Ports für den freien Anschluss verschiedener Geräte vorzusehen, so ist es empfehlenswert, für diese Ports eine Sicherung zu implementieren, die erst nach einer Anmeldung den Zugang zum Netz gewährt.

Ein solcher Zugangsschutz kann beispielsweise über den Standard IEEE 802.1x implementiert werden. Der Standard 802.1x wird inzwischen von vielen Switches und den meisten Rechner-Betriebssystemen unterstützt. Darüber hinaus existiert eine Reihe weiterer, teils proprietärer Lösungen, bei denen die Endgeräte auf der Basis ihrer MAC-Adresse oder über andere Mechanismen gegenüber der aktiven Netzkomponente authentisiert werden können, bevor der Zugang zum Netz freigeschaltet wird.

Prüffragen:

  • Erfolgt die Administration der Router und Switches ausschließlich über vertrauenswürdige Pfade?

  • Sofern SNMP außerhalb des Administrationsnetzes eingesetzt wird: Wird SNMPv3 bei den Routern und Switches eingesetzt?

  • Sind die auf den Routern und Switches zur Verfügung gestellten Dienste auf die benötigten begrenzt?

  • Ist sichergestellt, dass nur Routing-Protokolle verwendet werden, die eine verschlüsselte Authentisierung unterstützen?

  • Wird in demilitarisierten Zonen auf den Einsatz von dynamischen Routing-Protokollen verzichtet und werden stattdessen statische Routen genutzt?

  • Werden die Routing-Protokolle durch die Einrichtung von ACLs zusätzlich abgesichert?

  • Ist das Spanning Tree Protocol auf den Endgeräte-Ports der Switches deaktiviert?

  • Ist in der Konfiguration der Switches bei Nutzung des Spanning Tree Protocol eine eindeutige Root-Bridge festgelegt?

  • Wird, sofern möglich, das VLAN Pruning eingesetzt, um den Zugriff eines Trunk-Ports auf bestimmte VLANs zu beschränken?

  • Ist das VLAN Trunking auf den Endgeräte-Ports deaktiviert?

  • Ist sichergestellt, dass das Default- VLAN nicht für ein produktives VLAN verwendet wird?

  • Sofern das VLAN Trunking Protocol (VTP) verwendet wird: Wird die von VTP unterstützte Authentisierung verwendet?

Stand: 13. EL Stand 2013