Switch/Sicherheit: Unterschied zwischen den Versionen
(→TMP) |
|||
| Zeile 66: | Zeile 66: | ||
# [[Switch:Verkehrsüberwachung]] | # [[Switch:Verkehrsüberwachung]] | ||
# [[Netzwerkangriffe]] | # [[Netzwerkangriffe]] | ||
# [[tp-link-T2600G]] | # [[TP-Link:T2600G:SECURITY|tp-link-T2600G]] | ||
== Links == | == Links == | ||
Version vom 4. Dezember 2022, 23:13 Uhr
topic kurze Beschreibung
Beschreibung
- Beim klassischen Ethernet mit Thin- oder Thickwire genau so wie bei Netzen, die Hubs verwenden, war das Abhören des gesamten Netzwerkverkehrs noch vergleichsweise einfach.
- Switches galten zunächst als wesentlich sicherer.
- Es gibt jedoch Methoden, um auch in geswitchten Netzen den Datenverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert:
MAC-Flooding
- Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt.
- Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist.
- In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Frames an alle Ports weiterleitet.
- Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert.
- Als weitere Sicherheitsmaßnahme kann bei den meisten „Managed Switches“ für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden.
- Protokolldateneinheiten (hier: Frames) mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken (Port Security).
MAC-Spoofing
- Hier sendet der Angreifer Frames mit einer fremden MAC-Adresse als Absender.
- Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet dann allen Datenverkehr zu dieser MAC an den Switchport des Angreifers.
- Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports.
ARP-Spoofing
- Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird.
- Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen.
- Diese wird mittels ARP erfragt (ARP-Request Broadcast).
- Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP-Adresse, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber dieser Adresse, so wird das Opfer seine Frames an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann.
- Hierbei handelt es sich nicht um einen Fehler des Switches.
- Ein Layer-2-Switch kennt gar keine höheren Protokolle als Ethernet und kann seine Entscheidung zur Weiterleitung nur anhand der MAC-Adressen treffen.
- Ein Layer-3-Switch muss sich, wenn er autokonfigurierend sein soll, auf die von ihm mitgelesenen ARP-Nachrichten verlassen und lernt daher auch die gefälschte Adresse, allerdings kann man einen „Managed Layer-3-Switch“ so konfigurieren, dass die Zuordnung von Switchport zu IP-Adresse fest und nicht mehr von ARP beeinflussbar ist.
Sicherheit
Beim klassischen Ethernet mit Thin- oder Thickwire genau so wie bei Netzen, die Hubs verwenden, war das Abhören des gesamten Netzwerkverkehrs noch vergleichsweise einfach.
- Switches galten zunächst als wesentlich sicherer.
- Es gibt jedoch Methoden, um auch in geswitchten Netzen den Datenverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert:
- MAC-Flooding – Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt.
- Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist.
- In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Frames an alle Ports weiterleitet.
- Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert.
- Als weitere Sicherheitsmaßnahme kann bei den meisten „Managed Switches“ für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden.
- Protokolldateneinheiten (hier: Frames) mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken (Port Security).
- MAC-Spoofing – Hier sendet der Angreifer Frames mit einer fremden MAC-Adresse als Absender.
- Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet dann allen Datenverkehr zu dieser MAC an den Switchport des Angreifers.
- Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports.
- ARP-Spoofing – Hierbei macht sich der Angreifer eine Schwäche im Design des ARP zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird.
- Ein Rechner, der ein Frame via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen.
- Diese wird mittels ARP erfragt (ARP-Request Broadcast).
- Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP-Adresse, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber dieser Adresse, so wird das Opfer seine Frames an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann.
- Hierbei handelt es sich nicht um einen Fehler des Switches.
- Ein Layer-2-Switch kennt gar keine höheren Protokolle als Ethernet und kann seine Entscheidung zur Weiterleitung nur anhand der MAC-Adressen treffen.
- Ein Layer-3-Switch muss sich, wenn er autokonfigurierend sein soll, auf die von ihm mitgelesenen ARP-Nachrichten verlassen und lernt daher auch die gefälschte Adresse, allerdings kann man einen „Managed Layer-3-Switch“ so konfigurieren, dass die Zuordnung von Switchport zu IP-Adresse fest und nicht mehr von ARP beeinflussbar ist.
Installation
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
Einzelnachweise
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5