Wie Sie mit der richtigen VLAN-Konfiguration das Sicherheitsniveau erhöhen
Mit der richtigen Konfiguration ihres virtuellen Local Area Networks (VLAN) können Unternehmen die Sicherheit ihres Netzwerks deutlich erhöhen.
In den letzten Jahren haben Kryptographie, Firewalls für Web-Anwendungen und Systeme für Intrusion Detection zunehmende Verbreitung gefunden – Unternehmen waren mehr als eifrig dabei, derartige Technologien anzuschaffen und einzusetzen. Dadurch sind ganze Branchen neu entstanden. Einem Typ von Geräten aber wird in Sicherheitskreisen immer noch erstaunlich wenig Aufmerksamkeit geschenkt: Layer-2-Switches. Meist werden sie schlicht als primitive Geräte angesehen, die Pakete annehmen und wieder ausspucken. Dabei wird oft vergessen, dass auch sie einen nützlichen Beitrag zur IT-Sicherheit leisten können.
Einerseits erscheint es für Sicherheitsprofis ratsam, im Bezug auf die neuesten technischen Fortschritte immer auf dem Laufenden zu bleiben. Ebenso kann man ihnen aber raten, sich noch einmal mit den Grundlagen der Netzwerksicherheit zu beschäftigen.
Einerseits erscheint es für Sicherheitsprofis ratsam, im Bezug auf die neuesten technischen Fortschritte immer auf dem Laufenden zu bleiben. Ebenso kann man ihnen aber raten, sich noch einmal mit den Grundlagen der Netzwerksicherheit zu beschäftigen. Oder konkreter: Sicherheitsprofis sollten erwägen, ihr Wissen über Konzepte wie virtuelle Local Area Networks (VLANs) zu erweitern. Denn es ist durchaus vorstellbar, dass in bestimmten Situationen ein gut konfiguriertes VLAN das einzige Hindernis zwischen den Kronjuwelen einer Organisation und einem Eindringling bildet, der es auf sie abgesehen hat.
In diesem Artikel beschreiben wir, wie sich die Sicherheitsvorteile eines richtig konfigurierten VLANs nutzen lassen. Wir beschäftigen uns außerdem mit einem der häufigsten Risiken für solche VLANs, nämlich VLAN-Hopping.
Die Sicherheitsvorteile von VLANs
VLANs gibt es schon fast so lange wie Ethernet-Switches. In einer typischen VLAN-Konfiguration ist jeder Knoten eines Netzwerks physisch mit einem Ethernet-Switch verbunden. Der Netzwerk-Administrator konfiguriert den Switch dann so, dass bestimmte Ports für bestimmte Gruppen segmentiert sind. Jede dieser Gruppierungen wird als VLAN bezeichnet. Alle Mitglieder desselben VLAN können miteinander kommunizieren, ohne andere Netzwerkgeräte passieren zu müssen, außer in speziellen Fällen, in denen sich ein VLAN über zwei oder mehr geografische Standorte erstreckt. Die Überlegungen hinter dieser Layer-2-Segmentierung sind unterschiedlich. Hinsichtlich Sicherheit bietet sie dem Administrator eine Möglichkeit, sein Netzwerk gegen die gefürchteten Angriffe von Insidern abzuschotten.
In einem Netzwerk ohne die richtigen VLANs ist es zum Beispiel möglich, dass ein böswilliger Nutzer auf einem der Knoten einen Paket-Sniffer laufen lässt. So könnte er sämtlichen Netzwerk-Verkehr mitschneiden, der über den Switch läuft, mit dem er physisch verbunden ist. Mit einem sicher konfigurierten VLAN wird dies unendlich schwieriger. Um das zu realisieren, gibt es unterschiedliche Methoden, beliebt sind aber VLANs nach Abteilungen. Die Segmentierung jedes VLAN ergibt sich dabei also aus der jeweiligen Abteilung einer Organisation.
Umgesetzt wird dies, indem man die MAC-Adressen jedes Knotens einer Abteilung erfasst und sie in der MAC-Tabelle des Switches einträgt. Wenn das geschehen ist, konfiguriert der Netzwerk-Administrator den Switch oder die Switches so, dass bestimmte MAC-Adressen einem bestimmten VLAN angehören. Wenn der erwähnte böswillige Nutzer dann auf seinem Endgerät wieder eine Paket-Erfassung startet, bekommt er höchstens die Ethernet-Frames desjenigen Netzwerk-Verkehrs zu fassen, der sein VLAN durchläuft. Denn der Switch mit der VLAN-Konfiguration untersucht jeden eingehenden Ethernet-Frame, und eine Weiterleitung erfolgt nur auf Grundlage der Daten im Feld für IEEE 802.1Q.
Die Gefahren von VLAN-Hopping
VLANs bieten also einige Sicherheitsvorteile, sind aber selbst nicht ohne Risiken. Ein Punkt, den Sicherheitsprofis im Auge behalten sollten, ist das sogenannte VLAN-Hopping. Wie der Name schon sagt, geht es dabei um Endnutzer, die unerlaubterweise mit einem VLAN kommunizieren, zu dem sie nicht gehören. Dieser Hack lässt sich am leichtesten dann durchführen, wenn ein VLAN mehr als einen Switch umfasst. In Organisationen mit Gruppen-basierten VLANs ist das häufig der Fall, weil eine oder mehrere Gruppen für eine Anbindung über einen einzigen Switch zu groß werden. In diesem Fall lässt sich ein Konzept namens VLAN-Trunking nutzen. Dabei werden ein oder mehrere Ports eines Ethernet-Switches so konfiguriert, dass sie nur VLAN-Datenverkehr von einem anderen physischen Switch entgegennehmen und weiterleiten.
Eine häufige Form des VLAN-Hopping wird als „Double Tagging“ (doppelte Auszeichnung) bezeichnet. Bei diesem Angriff fügt ein Nutzer mit bösen Absichten einen zweiten 802.1Q-Header in einen Ethernet-Frame ein, so dass dieser in ein nicht autorisiertes VLAN weitergegeben werden kann. Dies ist möglich, weil der erste Switch den Frame untersucht, den ersten der beiden Header daraus entfernt und den Rest des Frames dann weiterleitet. Der zweite 802.1Q-Header ist dann aber immer noch im Frame, was zu einem logischen Fehler führt, der ein Netzwerk massiv stören kann. Um sich gegen solche Angriffe zu wehren, müssen Administratoren gut auf ihre Netzwerk-Logs achten. Zusätzlich kann ein Warnmechanismus auf Layer 3 erforderlich sein.
Zurück zu den Grundlagen der Netzwerk-Sicherheit
Eine erneute Beschäftigung mit den Grundlagen ist immer gut, egal in welchem Fachgebiet. Bei Netzwerksicherheit ist es offensichtlich wichtig, sich über die neuesten Technologien und Trends zu informieren. Doch auch fundiertes Wissen über grundlegende Konzepte wie VLANs kann Sicherheitsprofis und die von ihnen betreuten Netzwerke wehrhafter machen.
Über den Autor: Brad Casey verfügt über einen Abschluss als Master in Information Assurance von der University of Texas in San Antonio und umfangreiche Erfahrung in den Bereichen Penetrationstests, Public-Key-Infrastrukturen, VoIP und Netzwerk-Paketanalysen. Kenntnisse hat er zudem über System-Administration, Active Directory und Windows Server 2008. Unter anderem hat er fünf Jahre lang Sicherheitstests bei der U.S. Air Force vorgenommen. Selbst in seiner Freizeit beschäftigt er sich gern mit Wireshark-Captures und unterschiedlichen Linux-Distributionen in virtuellen Maschinen.
