M 4.206 Sicherung von Switch-Ports
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
In Abhängigkeit vom Schutzbedarf eines Netzes ist es oft wünschenswert, dass nur ganz bestimmte vertrauenswürdige Clients Zugang zum Netz erhalten. Zu diesem Zweck bieten viele Switches eine Reihe von Möglichkeiten, mit denen selbst dann, wenn ein Angreifer beispielsweise Zugang zu einer Netz-Anschlussdose erlangt hat, ein Zugriff auf das Netz verhindert werden kann.
MAC-Address Notification
Viele Switches bieten die Möglichkeit zu protokollieren, wenn sich die an einem Port angeschlossene MAC-Adresse ändert. Diese Option bietet zwar keine Zugriffskontrolle, kann aber zur Entdeckung von Angriffen wichtig sein. Beispielsweise kann eine Nachricht an den Administrator verschickt werden, wenn sich eine MAC-Adresse ändert.
MAC-Locking
Die verbreitetste Methode zur Absicherung von Switch-Ports ist das sogenannte MAC-Locking. Dabei wird am Switch festgelegt, dass an einem bestimmten physikalischen Port des Switches nur Clients mit ganz bestimmten MAC-Adressen (im Extremfall nur eine einzige MAC-Adresse) zugelassen sind. Erhält der Switch einen Ethernet-Frame mit einer anderen MAC-Adresse, so wird dieser nicht in das Netz weitergeleitet, sondern verworfen. Auf diese Weise kann in "statischen" Netzen ein relativ guter Schutz erreicht werden.
Allerdings ist die Pflege der entsprechenden Tabellen aufwändig und MAC-Locking bietet keinen Schutz vor einem Angreifer, der zunächst eine zugelassene MAC-Adresse ermittelt hat und beim Anschluss seines Gerätes diese Adresse verwendet (siehe auch G 5.113 MAC-Spoofing).
IEEE 802.1x
Der Standard IEEE 802.1x ( EAPol , EAP over LAN) definiert eine Möglichkeit, Geräte mit Hilfe eines Authentisierungsservers (beispielsweise RADIUS) zu authentisieren. Die Authentisierung erfolgt dabei über EAP (Extensible Authentication Protocol, RFC 2284), das eine Reihe verschiedener Authentisierungsprotokolle (EAP types) mit unterschiedlichen Stärken bietet.
Um eine Client-Authentisierung über 802.1x zu nutzen, muss meist auf den Endgeräten ein entsprechendes Client-Programm installiert werden. Die verschiedenen Client-Programme unterscheiden sich nach den unterstützten Betriebssystemen und Authentisierungsprotokollen. Das einzige Authentisierungsprotokoll, das laut Standard von allen Client-Programmen unterstützt werden muss, ist MD5-Challenge. Da dieses Protokoll keine besonders hohe Sicherheit bietet, sollten nach Möglichkeit andere EAP types verwendet werden. Die Zugriffskontrolle über 802.1x bietet einen Schutz gegen MAC-Spoofing.
Andere Verfahren
Je nach Hersteller existieren andere Verfahren, über die eine Zugriffskontrolle auf Switch-Ports realisiert werden kann. Beispielsweise gibt es die Möglichkeit, dass der Benutzer sich über ein Web-Interface anmeldet. Dabei läuft auf dem Switch ein Webserver, der die eingegebenen Authentisierungsdaten an einen Authentisierungsserver weiterleitet. Dabei muss allerdings beachtet werden, dass durch den auf dem Switch laufenden Webserver eventuell neue Gefährdungen entstehen.
Bei Geräten, die IEEE 802.1x oder andere Verfahren zur Zugriffskontrolle unterstützen ist es außerdem wichtig, den Default-Status vorzugeben, in dem sich ein Port normalerweise befindet. Dabei sind die folgenden Möglichkeiten relevant:
Default Status | |
---|---|
Authentication off / Port on | Der Port ist aktiviert und es findet keine Authentisierung statt. |
Authentication on / Port off | Der Port ist so lange deaktiviert, bis eine erfolgreiche Authentisierung stattgefunden hat. |
Authentication on / Port on with default policy | Der Port ist aktiviert, aber so lange keine erfolgreiche Authentisierung stattgefunden hat, ist nur ein eingeschränkter Zugriff erlaubt. Erst nach erfolgreicher Authentisierung wird der uneingeschränkte Zugriff freigegeben. |
Tabelle: Default Status
In einem Netz mit einem hohen Schutzbedarf bezüglich der Vertraulichkeit ist es empfehlenswert, eine port-basierte Zugriffskontrolle einzurichten.
Wenn eine port-basierte Zugriffskontrolle eingerichtet werden soll, so muss im Rahmen der Planung des Einsatzes der Switches geklärt werden, ob sowohl der Switch selbst als auch die vorgesehenen Clients die entsprechenden Protokolle und Authentisierungsmethoden unterstützen. Außerdem sollte vorab getestet werden, ob das Zusammenspiel von Clients, Switches und Authentisierungsserver reibungslos funktioniert. In der Sicherheitsrichtlinie und den Betriebsanweisungen für die aktiven Netzkomponenten sollten die zu verwendenden Verfahren und Default-Einstellungen dokumentiert werden.
Ergänzende Kontrollfragen:
- Wird eine port-basierte Zugriffskontrolle eingesetzt?
- Falls 802.1x eingesetzt wird: Welches Authentisierungsprotokoll wird verwendet?
- Wie ist der Default-Status der Switch-Ports?
- Sind die relevanten Informationen in der Sicherheitsrichtlinie und den Betriebsanweisungen dokumentiert?