Broadcast/Sicherheit

Aus Foxwiki
Version vom 5. Februar 2024, 14:05 Uhr von Dirkwagner (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Sicherheit

Wegen Sicherheitsproblemen mit DoS-Angriffen wurde das voreingestellte Verhalten von Routern in RFC 2644 für directed broadcasts geändert
  • Router sollten directed broadcasts nicht weiterleiten
IPv6 unterstützt keine Broadcasts mehr, es werden stattdessen Multicasts verwendet

Broadcast-Sturm

Entstehung eines Broadcast-Sturms

Broadcast-Sturm - starker Anstieg des Broadcast/Multicast-Verkehrs in einem Rechnernetz

Broadcast-Stürme können schnell zum Ausfall eines Netzwerks führen
Große Netzwerksegmente
Abgrenzung
Routing-Schleifen
Unzutreffende Annahme

Router leiten keine Layer-3-Broadcasts weiter

  • Es gibt Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten
Fehleinschätzung

Nur können Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen

  • Auch Switches mit VLANs oder Layer-3-Funktionalitäten
Broadcast werden nicht mit Broadcasts beantwortet
  • Allerdings kann ein Broadcast dazu genutzt werden, herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann
  • In redundanten Topologien kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat
Ursachen
Redundante Verkabelung mit zwei oder mehr Uplinks zwischen Switches
  • In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet, mit Ausnahme des Ports, von dem der Datenverkehr kam
  • Dadurch wird eine Schleife erzeugt, ein Switching Loop, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter
Denial-of-Service-Angriff

Darüber hinaus kann ein Broadcast-Sturm z. B. auch durch Denial-of-Service-Angriffe (wie den Smurf-Angriff oder den Fraggle-Angriff) oder durch eine fehlerhafte Netzwerkkarte ausgelöst werden

Maßnahmen

Option Beschreibung
Schleifen zwischen Switches verwalten
In Metropol-Netzwerken Ethernet Automatic Protection Switching (EAPS)
Filterung von Broadcasts durch Layer-3-Geräte Router
Physikalische Segmentierung einer Broadcast-Domäne durch Router oder Layer-3-Switches
Logische Segmentierung einer Broadcast-Domäne durch VLANs
Router und Firewalls können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren

Sicherheit

In den ersten Ethernetimplementierungen wurde die gesamte Kommunikation über einen gemeinsamen Bus, der in Form eines Koaxialkabels realisiert war, abgewickelt
  • An diesen wurden alle Arbeitsstationen abhängig vom Kabeltyp entweder per T-Stück oder „Invasivstecker“ (auch Vampirklemme, Vampirabzweige oder Vampire Tap genannt) angeschlossen
  • Jede Information, die von einem Computer gesendet wurde, wurde auch von allen empfangen
  • Die über Ethernet verbundenen Geräte müssen ständig Informationen ausfiltern, die nicht für sie bestimmt sind
Diese Tatsache kann genutzt werden, um Broadcast- (Rundruf-Nachrichten) an alle angeschlossenen Systeme zu senden
  • Bei TCP/IP beispielsweise verwendet das ARP einen derartigen Mechanismus für die Auflösung der Schicht-2-Adressen
  • Diese Tatsache ist auch ein Sicherheitsproblem von Ethernet, da ein Teilnehmer mit bösen Absichten den gesamten Datenverkehr auf der Leitung mitprotokollieren kann
  • Eine mögliche Abhilfe ist der Einsatz von Kryptografie (Kryptografie) auf höheren Protokollebenen
  • Die Vertraulichkeit der Verkehrsbeziehungen (wer tauscht mit wem in welchem Umfang wann Daten aus?) ist aber so nicht zu schützen
Der Einsatz von (Repeater) Hubs zur Bildung von Multi-Segment-Ethernet-Netzen ändert hier nichts, weil alle Datenpakete in alle Segmente repliziert werden
In moderneren Ethernetnetzen wurden zur Aufteilung der Kollisions-Domänen zunächst Bridges, heute Switches eingesetzt
  • Durch diese wird ein Ethernet in Segmente zerlegt, in denen jeweils nur eine Untermenge an Endgeräten zu finden ist
  • Werden ausschließlich Switches verwendet, so kann netzweit im Full-Duplex-Modus kommuniziert werden, das ermöglicht das gleichzeitige Senden und Empfangen für jedes Endgerät. Über Switches werden Datenpakete in der Regel direkt vom Sender zum Empfänger befördert – unbeteiligten Teilnehmern wird das Paket nicht zugestellt
  • Broadcast- (deutsch: Rundruf-) und Multicast-Nachrichten hingegen werden an alle angeschlossenen Systeme gesendet
Das erschwert das Ausspionieren und Mithören, der Sicherheitsmangel wird durch die Einrichtung einer „geswitchten“ Umgebung allerdings nur verringert und nicht behoben
  • Zusätzlich zu den Broadcast-Meldungen werden auch die jeweils ersten Pakete nach einer Sendepause – dann, wenn der Switch die Ziel-MAC-Adresse (noch) nicht kennt – an alle angeschlossenen Systeme gesendet
  • Dieser Zustand kann auch böswillig durch MAC-Flooding herbeigeführt werden
  • Pakete können auch böswillig durch MAC-Spoofing umgeleitet werden
Die Sicherheit des Betriebs im Sinne der störungsfreien Verfügbarkeit von Daten und Diensten beruht auf dem Wohlverhalten aller angeschlossenen Systeme
  • Beabsichtigter oder versehentlicher Missbrauch muss in einer Ethernetumgebung durch Analyse des Datenverkehrs aufgedeckt werden (LAN-Analyse)
  • Switches stellen vielfach statistische Angaben und Meldungen bereit, die Störungen frühzeitig erkennbar werden lassen bzw. Anlass geben zu einer detaillierteren Analyse