Bundesamt für Sicherheit in der Informationstechnik

M 4.206 Sicherung von Switch-Ports

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In Abhängigkeit vom Schutzbedarf eines Netzes ist es oft wünschenswert, dass nur ganz bestimmte vertrauenswürdige Clients Zugang zum Netz erhalten. Zu diesem Zweck bieten viele Switches eine Reihe von Möglichkeiten, mit denen selbst dann, wenn ein Angreifer beispielsweise Zugang zu einer Netz-Anschlussdose erlangt hat, ein Zugriff auf das Netz verhindert werden kann.

MAC-Address Notification

Viele Switches bieten die Möglichkeit zu protokollieren, wenn sich die an einem Port angeschlossene MAC -Adresse ändert. Diese Option bietet zwar keine Zugriffskontrolle, kann aber zur Entdeckung von Angriffen wichtig sein. Beispielsweise kann eine Nachricht an den Administrator verschickt werden, wenn sich eine MAC-Adresse ändert.

MAC-Locking

Die verbreitetste Methode zur Absicherung von Switch-Ports ist das sogenannte MAC-Locking. Dabei wird am Switch festgelegt, dass an einem bestimmten physischen Port des Switches nur Clients mit ganz bestimmten MAC-Adressen (im Extremfall nur eine einzige MAC-Adresse) zugelassen sind. Erhält der Switch einen Ethernet-Frame mit einer anderen MAC-Adresse, so wird dieser nicht in das Netz weitergeleitet, sondern verworfen. Auf diese Weise kann in "statischen" Netzen ein relativ guter Schutz erreicht werden.

Allerdings ist die Pflege der entsprechenden Tabellen aufwändig. Daher ist es nicht sinnvoll, MAC-Locking bei größeren Installionen einzusetzen. Außerdem bietet MAC-Locking keinen Schutz vor einem Angreifer, der zunächst eine zugelassene MAC-Adresse ermittelt hat und beim Anschluss seines Gerätes diese Adresse verwendet (siehe auch G 5.113 MAC-Spoofing ).

IEEE 802.1X

Im Standard IEEE 802.1X wird eine Methode beschrieben, die eingesetzt werden kann, um eine ortsbasierte Netzzugangskontrolle für LAN und WLAN zu realisieren. Bevor einem IT-System Zugang zu einem nach dem IEEE 802.1X konfigurierten Netz gewährt wird, muss sich das neue Gerät (im Standard "Supplicant", auf deutsch Bittsteller, genannt) an einem Authentikator anmelden.

Der Authentikator ist für gewöhnlich ein Netzkoppelelement, also z. B. ein Switch, Router oder WLAN Access Point. Der Authentikator überprüft die übermittelten Authentisierungsdaten mit Hilfe eines Authentisierungsservers (häufig ein RADIUS-Server) und gibt je nach Ausgang dieser Überprüfung den Zugriff auf das Netz frei oder verwehrt ihn. Ohne eine erfolgreiche Authentisierung ist keine IP-basierte Kommunikation möglich.

Damit eine Port-basierte Authentisierung erfolgen kann, wird innerhalb des IEEE-Standards 802.1X das Extensible Authentication Protocol (EAP, RFC 3748) verwendet. Hierbei handelt es sich nicht um ein eigenes Authentisierungsverfahren, sondern um einen Rahmen, in den die eigentlichen Authentisierungsverfahren (EAP-Typen) eingebettet werden. Der Standard 802.1X sagt nichts darüber aus, welche tatsächliche EAP-Methode genutzt werden sollte. EAP unterstützt eine Reihe von Authentisierungsmethoden, so dass abhängig vom Schutzbedarf der Informationen Passwörter, Zertifikate oder Zwei-Faktor-Authentisierungen genutzt werden können.

Mittlerweile sind schätzungsweise 40 EAP-Methoden bekannt. Hierzu gehören beispielweise EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-FAST, EAP-MSCHAPv2, EAP-LEAP, EAP-MD5. Weitere EAP-Methoden sind im Standard IEEE 802.1X und in der Technischen Richtlinie Sicheres WLAN des BSI beschrieben.

Generell ist es in größeren Installationen sinnvoll, zur Benutzerauthentisierung EAP gemäß IEEE 802.1X zu verwenden. Aufgrund der bekannten Sicherheitsprobleme wie Anfälligkeit gegenüber Man-in-the-Middle- bzw. Wörterbruchangriffen sollten EAP-MD5 und EAP-LEAP nicht mehr verwendet werden. Weiterhin ist es empfehlenswert in einem Netz mit einem hohen Schutzbedarf bezüglich der Vertraulichkeit eine starke port-basierte Zugriffskontrolle z. B. mittels EAP-TLS einzurichten.

Andere Verfahren

Je nach Hersteller existieren andere Verfahren, über die eine Zugriffskontrolle auf Switch-Ports realisiert werden kann. Beispielsweise gibt es die Möglichkeit, dass der Benutzer sich über ein Web-Interface anmeldet. Dabei läuft auf dem Switch ein Webserver, der die eingegebenen Authentisierungsdaten an einen Authentisierungsserver weiterleitet. Dabei muss allerdings beachtet werden, dass durch den auf dem Switch laufenden Webserver eventuell neue Gefährdungen entstehen.

Bei Geräten, die IEEE 802.1X oder andere Verfahren zur Zugriffskontrolle unterstützen ist es außerdem wichtig, den Default-Status vorzugeben, in dem sich ein Port normalerweise befindet.

Wenn eine port-basierte Zugriffskontrolle eingerichtet werden soll, so muss im Rahmen der Planung des Einsatzes der Switches geklärt werden, ob sowohl der Switch selbst als auch die vorgesehenen Clients die entsprechenden Protokolle und Authentisierungsmethoden unterstützen. Außerdem sollte vorab getestet werden, ob das Zusammenspiel von Clients, Switches und Authentisierungsserver reibungslos funktioniert. In der Sicherheitsrichtlinie und den Betriebsanweisungen für die aktiven Netzkomponenten sollten die zu verwendenden Verfahren und Default-Einstellungen dokumentiert werden.

Prüffragen:

  • Erfolgt je nach Schutzbedarf eine port-basierte Zugriffskontrolle auf den Switches?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK