Switch mit 50 Ethernet-Ports

Überblick

Ein Switch ist ein Gerät in einem Computernetzwerk, das andere Geräte miteinander verbindet.
Mehrere Datenkabel werden an einen Switch angeschlossen, um die Kommunikation zwischen verschiedenen Netzwerkgeräten zu ermöglichen.
Switches verwalten den Datenfluss über ein Netzwerk, indem sie ein empfangenes Netzwerkpaket nur an das eine oder die mehreren Geräte senden, für die das Paket bestimmt ist.
Jedes mit einem Switch verbundene Netzwerkgerät kann anhand seiner Netzwerkadresse identifiziert werden, sodass der Switch den Verkehrsfluss lenken und so die Sicherheit und Effizienz des Netzwerks maximieren kann.

Rolle in einem Netzwerk

Switches werden am häufigsten als Netzwerkverbindungspunkt für Hosts am Rand eines Netzwerks verwendet.
Im hierarchischen Internetworking-Modell und ähnlichen Netzwerkarchitekturen werden Switches auch tiefer im Netzwerk verwendet, um Verbindungen zwischen den Switches am Rand herzustellen.

Moderne kommerzielle Switches verwenden hauptsächlich Ethernet-Schnittstellen.
Die Kernfunktion eines Ethernet-Switches besteht darin, eine Multiport-Layer-2-Überbrückung bereitzustellen.
Layer-1-Funktionalität ist in allen Switches zur Unterstützung der höheren Schichten erforderlich. Viele Switches führen auch Operationen auf anderen Ebenen aus.
Ein Gerät, das mehr als nur überbrücken kann, wird als Multilayer-Switch bezeichnet.
Ein Schicht-2-Netzwerkgerät ist ein Multiport-Gerät, das Hardwareadressen und MAC-Adressen verwendet, um Daten auf der Datenverbindungsschicht (Schicht 2) zu verarbeiten und weiterzuleiten.

haben keine Konfigurationsoberfläche oder Optionen.
Sie sind Plug and Play. Sie sind in der Regel die kostengünstigsten Switches und werden daher häufig in kleinen Büro- / Home-Office-Umgebungen verwendet.
Nicht verwaltete Switches können auf dem Desktop oder im Rack montiert werden.

Zu den gängigen Verwaltungsmethoden gehören:
Eine Befehlszeilenschnittstelle (Command Line Interface, CLI), auf die über die serielle Konsole Telnet zugegriffen wird.
Secure Shell, ein eingebetteter.
SNMP-Agent (Simple Network Management Protocol), der die Verwaltung über eine Remote-Konsole ermöglicht.
Management Station.
Eine Weboberfläche für die Verwaltung über einen Webbrowser.

Beispiele für Konfigurationsänderungen, die von einem verwalteten Switch aus vorgenommen werden können, sind:
Aktivieren von Funktionen wie Spanning Tree Protocol oder Portspiegelung, Festlegen der Portbandbreite, Erstellen oder Ändern von virtuellen LANs (VLANs) usw.
Zwei Unterklassen von verwalteten Switches sind intelligente und von Unternehmen verwaltete Switches.

Sind verwaltete Switches mit einem begrenzten Satz von Verwaltungsfunktionen.
Ebenso sind "webverwaltete" Switches Switches, die in eine Marktnische zwischen nicht verwaltet und verwaltet fallen.
Zu einem Preis, der viel niedriger ist als bei einem vollständig verwalteten Switch, bieten sie eine Webschnittstelle (und normalerweise keinen CLI-Zugriff) und ermöglichen die Konfiguration der Grundeinstellungen wie VLANs, Portbandbreite und Duplex.

Verfügen Sie über alle Verwaltungsfunktionen, einschließlich CLI, SNMP-Agent und Weboberfläche.
Sie verfügen möglicherweise über zusätzliche Funktionen zum Bearbeiten von Konfigurationen, z. B. die Möglichkeit, Konfigurationen anzuzeigen, zu ändern, zu sichern und wiederherzustellen.
Im Vergleich zu Smart Switches verfügen Enterprise Switches über mehr Funktionen, die angepasst oder optimiert werden können und im Allgemeinen teurer sind als Smart Switches.
Unternehmens-Switches befinden sich normalerweise in Netzwerken mit einer größeren Anzahl von Switches und Verbindungen, in denen die zentrale Verwaltung eine erhebliche Einsparung an Verwaltungszeit und -aufwand bedeutet.
Ein stapelbarer Switch ist eine Art von einem von Unternehmen verwalteten Switch.

Beim klassischen Ethernet mit Thin- oder Thickwire genau so wie bei Netzen, die Hubs verwenden, war das Abhören des gesamten Netzwerkverkehrs noch vergleichsweise einfach.
Switches galten zunächst als wesentlich sicherer.
Es gibt jedoch Methoden, um auch in geswitchten Netzen den Datenverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert:

Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt.
Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist.
In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Frames an alle Ports weiterleitet.
Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert.
Als weitere Sicherheitsmaßnahme kann bei den meisten „Managed Switches“ für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden.
Protokolldateneinheiten (hier: Frames) mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken (Port Security).

Hier sendet der Angreifer Frames mit einer fremden MAC-Adresse als Absender.
Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet dann allen Datenverkehr zu dieser MAC an den Switchport des Angreifers.
Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports.

Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird.
Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen.
Diese wird mittels ARP erfragt (ARP-Request Broadcast).
Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP-Adresse, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber dieser Adresse, so wird das Opfer seine Frames an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann.
Hierbei handelt es sich nicht um einen Fehler des Switches.
Ein Layer-2-Switch kennt gar keine höheren Protokolle als Ethernet und kann seine Entscheidung zur Weiterleitung nur anhand der MAC-Adressen treffen.
Ein Layer-3-Switch muss sich, wenn er autokonfigurierend sein soll, auf die von ihm mitgelesenen ARP-Nachrichten verlassen und lernt daher auch die gefälschte Adresse, allerdings kann man einen „Managed Layer-3-Switch“ so konfigurieren, dass die Zuordnung von Switchport zu IP-Adresse fest und nicht mehr von ARP beeinflussbar ist.