Broadcast/Sicherheit
Sicherheit
- Wegen Sicherheitsproblemen mit DoS-Angriffen wurde das voreingestellte Verhalten von Routern in RFC 2644 für directed broadcasts geändert
- Router sollten directed broadcasts nicht weiterleiten
- IPv6 unterstützt keine Broadcasts mehr, es werden stattdessen Multicasts verwendet
Broadcast-Sturm
Broadcast-Sturm - starker Anstieg des Broadcast/Multicast-Verkehrs in einem Rechnernetz
- Broadcast-Stürme können schnell zum Ausfall eines Netzwerks führen
- Große Netzwerksegmente
- Viel Teilnehmer
- Große Broadcast-Domänen
- kann sich
- durch verschiedene Ursachen
- bei einem Broadcast-Sturm
- die Antwortzeit des Netzwerks
- durch einen Schneeballeffekt
- dramatisch erhöhen
Abgrenzung
- Routing-Schleifen
- Router, die auf Layer 3 des OSI-Modells arbeiten, leiten jedoch keine Layer-2-Broadcasts weiter, wie es Switches tun
- Unzutreffende Annahme
Router leiten keine Layer-3-Broadcasts weiter
- Es gibt Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten
- Fehleinschätzung
Nur können Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen
- Auch Switches mit VLANs oder Layer-3-Funktionalitäten
- Broadcast werden nicht mit Broadcasts beantwortet
- Allerdings kann ein Broadcast dazu genutzt werden, herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann
- In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat
Ursachen
- In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der Datenverkehr kam
- Dadurch wird eine Schleife erzeugt, ein Switching Loop, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter
- Denial-of-Service-Angriff
Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch Denial-of-Service-Angriffe (wie den Smurf-Angriff oder den Fraggle-Angriff) oder durch eine fehlerhafte Netzwerkkarte ausgelöst werden
Maßnahmen
Option | Beschreibung |
---|---|
Schleifen zwischen Switches verwalten | |
In Metropol-Netzwerken | Ethernet Automatic Protection Switching (EAPS) |
Filterung von Broadcasts durch Layer-3-Geräte | Router |
Physikalische Segmentierung | einer Broadcast-Domäne durch Router oder Layer-3-Switches |
Logische Segmentierung | einer Broadcast-Domäne durch VLANs |
Router und Firewalls | können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren |
Sicherheit
- In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines Koaxialkabels realisiert war, abgewickelt
- An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen
- Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen
- Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind
- Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
- Bei TCP/IP beispielsweise verwendet das ARP einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen
- Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann
- Eine mögliche Abhilfe ist der Einsatz von Kryptografie (Kryptografie) auf höheren Protokollebenen
- Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen
- Der Einsatz von (Repeater) Hubs zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden
- In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst Bridges, heute Switches eingesetzt
- Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist
- Werden ausschließlich Switches verwendet, so kann netzweit im Full-Duplex-Modus kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt
- Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet
- Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben
- Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet
- Dieser Zustand kann auch böswillig durch MAC-Flooding herbeigeführt werden
- Pakete können auch böswillig durch MAC-Spoofing umgeleitet werden
- Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme
- Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden (LAN-Analyse)
- Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse