23.04.2012 NAC - Network Access Control, Fachartikel

Daneben sollen Möglichkeiten beschrieben werden, wie Switches zur Traffic-Steuerung (Traffic control) genutzt werden und wie man mit Hilfe von Private VLANs bzw. VLAN ACLs eine Separierung / Filterung von Datenströmen, ähnlich einer DMZ-Struktur, realisieren kann. Damit können Switches ihrer universellen Rolle innerhalb einer Sicherheitsstrategie für Daten-/ Kommunikationsnetze gerecht werden, sind diese Techniken doch eine sinnvolle Ergänzung zu Technologien wie 802.1x, AAA, DMZ-Segmentierung oder komplexem Firewalling.

VLAN hopping attacks; Ergänzung zu früheren Ausführungen: „Tagging the native VLAN“

Der erste Teil des Artikels beschrieb, wie ein Angreifer mit Hilfe des sogenannten „VLAN double taggings“ ein für ihn eigentlich nicht erreichbares VLAN trotzdem erreichen kann: Ein Ethernetframe wird mit zwei 802.1q-Tags versehen (bspw. mit Hilfe der Toolbox „Yersinia“), wobei der „äußere“ Tag die VLAN-ID des native VLAN beinhaltet. Switches werden aus so gekennzeichneten Frames den Tag mit der ID des native VLAN entfernen und daraufhin den Frame in das VLAN weiterleiten, welches durch den inneren Tag repräsentiert wird. Dieses Verhalten ist typisch für Cisco-Strukturen und liegt darin begründet, dass Datenverkehr innerhalb des native VLAN nicht getagged wird, womit die Frames auch für Nicht-802.1q-fähige Switches auswertbar bleiben.

Um der Gefahr, die mit double tagging verbunden ist, entgegen zu wirken, bieten sich verschiedene Vorgehensweisen an. Einige, wie bspw. die Empfehlungen, Produktivsysteme generell nicht im native VLAN zu betreiben oder ungenutzte Switchports generell in ein nicht genutztes VLAN zu mappen, werden ergänzt, indem auch der Datenverkehr des native VLAN getagged wird.

Mit Hilfe des folgenden Befehls werden Frames des native VLAN getagged [1]. Die CLI-Syntax für das Cisco-IOS lautet wie folgt:

Switch(config)#vlan dot1q tag native

Es handelt sich um einen globalen Befehl, der das tagging im native VLAN erzwingt.

Darüber hinaus ist es möglich, dieses Verhalten schnittstellen-spezifisch zu erzwingen (hier auf Interface Gi1/3):

Switch(config)#interface GigabitEthernet1/3
Switch(config-if)#switchport trunk native vlan tag

Darüber hinaus ist es sinnvoll, die über den Trunk geführten VLANs zu benennen:

Switch(config-if)#switchport trunk allowed vlan 5-20

Mit Hilfe des Befehls …

Switch(config-if)#switchport mode trunk allowed vlan remove 15

… würde man aus dem o.a. Bereich von VLAN 5 bis 20 das VLAN 15 explizit entfernen und damit den Transport von Frames aus dem VLAN 15 über den Trunk verbieten. Wird diese Konfiguration konsistent über die gesamte geswitchte Umgebung vorgenommen, greift der unerlaubte Zugriff auf ein VLAN per double tagging nicht mehr, da Switches nun auch getaggte Frames aus dem native VLAN akzeptieren und damit der „äußere“ Tag nicht mehr entfernt wird.

STP (RSTP)-Attacken

Mit Hilfe des Spanning Tree Protocols (STP) verhindert man logische Schleifen (logische Redundanz) in physisch redundanten geswitchten Netzen. Die erste Implementierung dieses Protokolls (802.1d) stammt von Radia Perlman und wird seit etwa 1998 in Produktivumgebungen eingesetzt. Dieses „legacy“ STP arbeitet nach dem folgenden Algorithmus:

• Innerhalb einer Broadcast-Domain kommt es zur Wahl einer sog. Root-Bridge (Switch mit der kleinsten Bridge-ID). Kennzeichnendes Merkmal der Root-Bridge: Alle Ports befinden sich im Forwarding-Zustand.

• Bestimmung sog. Root-Ports auf allen anderen Switches. Diese Ports zeigen auf dem kürzesten kostengünstigsten) Weg zur Root-Bridge. Über sie werden Datenframes weiter geleitet.

• Pro Segment wird auf jedem Switch ein Designated Port bestimmt; über diesen werden ebenfalls Datenframes geleitet.

• Alle anderen Ports werden in den Blocking-Zustand versetzt. Sie werden erst aktiv (designated), wenn es aufgrund von Linkausfällen zu einer Neuberechnung des Baumes kommt. Diese Ports werden auch als Alternate Ports bezeichnet.

Der Prozess basiert auf Bridge Protocol Data Units (BPDUs), welche alle für STP notwendigen Informationen transportieren. BPDUs (Hellos) werden zwischen den Switches im 2-Sekunden-Rhythmus (Standard) ausgetauscht. Das Ausbleiben von Hellos ist Signal für eine Topologieänderung bzw. einen Linkausfall und löst eine Neuberechnung aus.

STP hat in seiner ursprünglichen Form zwei gravierende Nachteile:

• Die Neuberechnung des gesamten Baumes nach einem Linkausfall bzw. einer Topologieänderung kann einige Minuten dauern (Ports durchlaufen die Status: Blocking, Listening, Learning und Forwarding). In dieser Zeit leitet ein Switch KEINE Nutzdaten weiter.

• Die Kalkulation erfolgt ohne Berücksichtigung der VLANStruktur, d.h. die Rollen werden einmalig für ein bestimmtes VLAN (i .d.R. VLAN1) vergeben. Somit sind geblockte Ports dauerhaft (bis zu einer Neuberechnung) für alle VLAN geblockt (kein Load-Balancing möglich).

STP wurde im Laufe der Zeit optimiert, wobei insbesondere das RSTP (Rapid STP; 802.1w) mit seiner auf unter eine Sekunde gesunkenen Konvergenzzeit und das PVST (per VLAN STP) resp. seine Erweiterung RPVST (rapid PVST) zu nennen sind. Die beiden letztgenannten sind Ciscoproprietär. Die STP-Berechnung wird für jedes VLAN separat und (RPVST) beschleunigt durchgeführt, was wiederum Load-Balancing ermöglicht. [5]

Ebenso wie im Bereich IT-Outsourcing sind vertragliche Regelungen im Bereich Cloud-Computing unabdingbar. Sie sollten insbesondere auf die Bereiche Datenschutz, Datensicherung und IT-Security eingehen.

Artikel versenden

Artikel drucken

All-About-Security Artikel bookmarken