Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.206 Sicherung von Switch-Ports - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.206 Sicherung von Switch-Ports

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In Abhängigkeit vom Schutzbedarf eines Netzes ist es oft wünschenswert, dass nur ganz bestimmte vertrauenswürdige Clients Zugang zum Netz erhalten. Zu diesem Zweck bieten viele Switches eine Reihe von Möglichkeiten, mit denen selbst dann, wenn ein Angreifer beispielsweise Zugang zu einer Netz-Anschlussdose erlangt hat, ein Zugriff auf das Netz verhindert werden kann.

MAC-Address Notification

Viele Switches bieten die Möglichkeit zu protokollieren, wenn sich die an einem Port angeschlossene MAC-Adresse ändert. Diese Option bietet zwar keine Zugriffskontrolle, kann aber zur Entdeckung von Angriffen wichtig sein. Beispielsweise kann eine Nachricht an den Administrator verschickt werden, wenn sich eine MAC-Adresse ändert.

MAC-Locking

Die verbreitetste Methode zur Absicherung von Switch-Ports ist das sogenannte MAC-Locking. Dabei wird am Switch festgelegt, dass an einem bestimmten physikalischen Port des Switches nur Clients mit ganz bestimmten MAC-Adressen (im Extremfall nur eine einzige MAC-Adresse) zugelassen sind. Erhält der Switch einen Ethernet-Frame mit einer anderen MAC-Adresse, so wird dieser nicht in das Netz weitergeleitet, sondern verworfen. Auf diese Weise kann in "statischen" Netzen ein relativ guter Schutz erreicht werden.

Allerdings ist die Pflege der entsprechenden Tabellen aufwändig und MAC-Locking bietet keinen Schutz vor einem Angreifer, der zunächst eine zugelassene MAC-Adresse ermittelt hat und beim Anschluss seines Gerätes diese Adresse verwendet (siehe auch G 5.113 MAC-Spoofing).

IEEE 802.1x

Der Standard IEEE 802.1x (EAPoL, EAP over LAN) definiert eine Möglichkeit, Geräte mit Hilfe eines Authentisierungsservers (beispielsweise RADIUS) zu authentisieren. Die Authentisierung erfolgt dabei über EAP (Extensible Authentication Protocol, RFC 2284), das eine Reihe verschiedener Authentisierungsprotokolle (EAP types) mit unterschiedlichen Stärken bietet.

Um eine Client-Authentisierung über 802.1x zu nutzen, muss meist auf den Endgeräten ein entsprechendes Client-Programm installiert werden. Die verschiedenen Client-Programme unterscheiden sich nach den unterstützten Betriebssystemen und Authentisierungsprotokollen. Das einzige Authentisierungsprotokoll, das laut Standard von allen Client-Programmen unterstützt werden muss, ist MD5-Challenge. Da dieses Protokoll keine besonders hohe Sicherheit bietet, sollten nach Möglichkeit andere EAP types verwendet werden. Die Zugriffskontrolle über 802.1x bietet einen Schutz gegen MAC-Spoofing.

Andere Verfahren

Je nach Hersteller existieren andere Verfahren, über die eine Zugriffskontrolle auf Switch-Ports realisiert werden kann. Beispielsweise gibt es die Möglichkeit, dass der Benutzer sich über ein Web-Interface anmeldet. Dabei läuft auf dem Switch ein Webserver, der die eingegebenen Authentisierungsdaten an einen Authentisierungsserver weiterleitet. Dabei muss allerdings beachtet werden, dass durch den auf dem Switch laufenden Webserver eventuell neue Gefährdungen entstehen.

Bei Geräten, die IEEE 802.1x oder andere Verfahren zur Zugriffskontrolle unterstützen ist es außerdem wichtig, den Default-Status vorzugeben, in dem sich ein Port normalerweise befindet. Dabei sind die folgenden Möglichkeiten relevant:

Authentication off / Port on

 

Der Port ist aktiviert und es findet keine Authentisierung statt.

 

Authentication on / Port off

 

Der Port ist so lange deaktiviert, bis eine erfolgreiche Authentisierung stattgefunden hat.

 

Authentication on / Port on with default policy

 

Der Port ist aktiviert, aber so lange keine erfolgreiche Authentisierung stattgefunden hat, ist nur ein eingeschränkter Zugriff erlaubt. Erst nach erfolgreicher Authentisierung wird der uneingeschränkte Zugriff freigegeben.

 

Tabelle: Default Status

In einem Netz mit einem hohen Schutzbedarf bezüglich der Vertraulichkeit ist es empfehlenswert, eine port-basierte Zugriffskontrolle einzurichten.

Wenn eine port-basierte Zugriffskontrolle eingerichtet werden soll, so muss im Rahmen der Planung des Einsatzes der Switches geklärt werden, ob sowohl der Switch selbst als auch die vorgesehenen Clients die entsprechenden Protokolle und Authentisierungsmethoden unterstützen. Außerdem sollte vorab getestet werden, ob das Zusammenspiel von Clients, Switches und Authentisierungsserver reibungslos funktioniert. In der Sicherheitsrichtlinie und den Betriebsanweisungen für die aktiven Netzkomponenten sollten die zu verwendenden Verfahren und Default-Einstellungen dokumentiert werden.

Ergänzende Kontrollfragen: