Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
Sicherheit für die Switches

Sicherheit für die Switches

24.09.2024

Switch, oder Ethernet-Netzwerkschalter, ist ein Gerät zur Verbindung von Geräten, dessen Hauptfunktion darin besteht, zwischen zwei oder mehreren Geräten in einem Netzwerk Verbindung herzustellen, wobei im Voraus ausgetauschte Datenrahmen verwendet werden, die die Quell- und Ziel-MAC-Adressen der zu verbindenden Geräte enthalten. 

Mit anderen Worten, die Switches bestehen aus physischen Netzwerkadaptern, die die im Allgemeinen auf der Sicherungsschiche (Schicht 2 des OSI-Modells) funktionieren. Switches können sehr schnell Verbindungen von einem Netzwerkadapter zu einem anderen herstellen und sind dynamisch verbindungsorientiert, indem sie zwischen verschiedenen Ports umschalten, um diese Verbindungen herzustellen. 

Solche Verbindungen werden nach Bedarf hergestellt und beeinträchtigen die nicht am Datentraffic beteiligten Ports nicht, wodurch unnötige Vorgänge zwischen nicht an der Verbindung beteiligten Ports vermieden werden. 

Im Gegensatz zu Hubs, die Datenrahmen an allen Ports mit Ausnahme des Eingangsports wiederholen, verwenden die Switches MAC-Adresstabellen, um Weiterleitungsentscheidungen zu treffen. 

MAC-Adresstabelle 

Die Switches können MAC-Adressen von allen Netzwerkgeräten, die über jeden von ihren Netzwerkadaptern erreichbar sind, identifizieren und speichern-  Dadurch können sie dynamisch eine Tabelle mit MAC-Adressen aufbauen, so dass sie den Datenrahmen an ein bestimmtes Gerät weiterleiten können, wenn sie eine Übereinstimmung zwischen der Ziel-MAC des empfangenen Datenrahmens und einem Eintrag in der Adresstabelle finden. 

Für jeden Datenrahmen, der von einem Switch empfangen wird, werden zwei Vorgänge durchgeführt: 

  • Die MAC-Quelladresse wird geprüft: Jeder eingehende Datenrahmen wird anhand der MAC-Quelladresse und der Portnummer, über die er eingegangen ist, überprüft. Wenn die MAC-Quelladresse nicht in der Tabelle vorhanden ist, wird sie zusammen mit der Nummer des Eingangsports hinzugefügt. Wenn sie existiert, wird ein Aktualisierungs-Timer für diesen Eintrag zurückgesetzt (in der Regel nur kurzzeitig gespeichert).
  • Die Ziel-MAC-Adresse wird geprüft: Es wird geprüft, ob es eine Übereinstimmung zwischen der MAC-Zieladresse des Datenrahmens und einem Eintrag in der Tabelle gibt; ist dies der Fall, wird er nur an den angegebenen Port weitergeleitet, andernfalls wird er an alle Ports weitergeleitet (Broadcast).

Zum besseren Verständnis kann die logische Reihenfolge des Aufbaus der MAC-Adresstabelle eines Switches wie folgt verstanden werden: 

  • Der Switch empfängt einen Broadcast-Datenrahmen von einem Gerät, das mit einem seiner Netzwerkadapter verbunden ist.
  • Der Switch registriert die MAC-Quelladresse und den Port, an dem der Datenrahmen empfangen wurde, in seiner Adresstabelle.
  • Da es sich bei der Zieladresse um eine Broadcast-Adresse handelt, sendet der Switch den Datenrahmen über alle Ports außer dem Port, der ihn empfangen hat.
  • Das Zielgerät antwortet mit einem Unicast-Datenrahmen (für einen Empfänger), der nur an das Gerät gerichtet ist, das angerufen hat.
  • Der Switch trägt in die Adresstabelle den Port, an dem er die Antwort erhalten hat, und die MAC-Zieladresse des Geräts ein, das auf den Empfang des Datenrahmens geantwortet hat.

Von diesem Zeitpunkt an kann der Switch die Datenrahmen direkt an das Quell- und das Zielgerät senden, ohne den Broadcast-Modus zu verwenden, da er die Einträge in der MAC-Adresstabelle und die mit beiden Geräten verbundenen Ports besitzt. 

Multilayer-Switch

In der Netzwerktechnik geht der Trend zu einer reinen Layer 3 des OSI-Modells Switch-Umgebung. Als Switches zum ersten Mal in Netzwerken eingesetzt wurden, unterstützte keiner von ihnen Routing, aber heute unterstützen es fast alle. Der Begriff Multilayer wird mit Switches in Verbindung gebracht, die sowohl auf Schicht 2 als auch auf Schicht 3 des OSI-Modells arbeiten können. 

Herkömmliche Switches funktionieren als Brücken auf Schicht 2 des OSI-Modells. Ihr Hauptzweck besteht darin, ein LAN in mehrere Bereiche aufzuteilen oder, im Falle von Ringnetzwerken, zu segmentieren. Sie basieren ihre Weiterleitungsentscheidung auf der MAC-Zieladresse, die in jedem empfangenen Datenrahmen enthalten ist. 

Switches der Schicht 2 ermöglichen mehrere gleichzeitige Datenübertragungen, ohne andere Teilnetzwerke zu beeinflussen. Sie sind jedoch nicht in der Lage, Broadcast- und Multicast-Datenrahmen sowie die Datenrahmen, deren Zieladresse noch nicht in der Routing-Tabelle enthalten ist, zu filtern. 

Switches der Schicht 3 hingegen bieten zusätzlich zu den traditionellen Funktionen ihrer Vorgänger einige Routing-Funktionen, die Bestimmung des kürzesten Weges, die Überprüfung der Integrität des Verbindungskanals, die Unterstützung traditioneller Routing-Protokolle sowie die Definition virtueller Netzwerke (VLAN) und die Verbindung zwischen ihnen, ohne dass ein externes Routing erforderlich ist. 

Da Switches der Schicht 3 die Verbindung von Segmenten aus verschiedenen Broadcast-Domänen ermöglichen, sind sie besonders für die Segmentierung sehr großer LANs zu empfehlen, bei denen die Verwendung von Schicht 2 aufgrund der übermäßigen Anzahl der durchzuführenden Broadcasts zu einem Verlust an Leistung und Effizienz führen würde. Aus diesem Grund werden die Multilayer-Switches in der Regel in den Kern- und Verteilungsschichten in den Datenübertragungsnetzwerken von Organisationen verwendet.

Netzwerkadapter eines Switches 

Ein einfaches Verfahren zum Schutz des Netzwerks vor unbefugtem Zugriff ist die Deaktivierung aller Ports an ungenutzten Switch-Netzwerkadaptern. Dieser Vorgang kann zeitaufwendig sein, verbessert aber die Sicherheit des Netzwerks und ist die Mühe wert. 

Alle Netzwerkadapter des Switches müssen gesichert werden, bevor das Gerät für den Betrieb freigegeben wird. Eine Möglichkeit, sie zu schützen, ist die Einführung eines Verfahrens namens „Port-Sicherheit“. 

Dazu wird die Anzahl gültiger MAC-Adressen an jedem Port eingeschränkt, so dass die MAC-Adressen zulässiger Geräte Zugang erhalten, während alle anderen abgelehnt werden. 

Es ist möglich, den Port so zu konfigurieren, dass er eine oder mehrere Adressen zulässt. Wenn die Anzahl der für den Port zulässigen MAC-Adressen auf eins begrenzt ist, kann nur das Gerät mit dieser spezifischen MAC-Adresse erfolgreich eine Verbindung über diesen Port herstellen. 

Wenn ein Port als sicher konfiguriert ist und die zulässigen MAC-Adressen festgelegt sind, wird bei jedem weiteren Verbindungsversuch von unbekannten MAC-Adressen eine Sicherheitsmeldung erzeugt. 

Es gibt mehrere Möglichkeiten, die Port-Sicherheit zu konfigurieren. Der Typ der sicheren Adresse basiert auf: 

  • Statische sichere MAC-Adressen Dies sind MAC-Adressen, die manuell konfiguriert werden, um über einen Port zu funktionieren, und die in der Adresstabelle gespeichert und zur laufenden Konfiguration des Switches hinzugefügt werden.
  • Dynamische sichere MAC-Adressen: Dies sind dynamisch erkannte MAC-Adressen, die nur in der Adresstabelle gespeichert sind. Auf diese Weise konfigurierte MAC-Adressen werden beim Neustart des Switches gelöscht.
  • Persistente sichere MAC-Adressen: Dies sind MAC-Adressen, die dynamisch erkannt oder manuell konfiguriert werden können und dann in der Adresstabelle gespeichert und zur laufenden Konfiguration hinzugefügt werden.

Um einen Netzwerkadpter so zu konfigurieren, dass er dynamisch erfasste MAC-Adressen in persistente sichere MAC-Adressen umwandelt und zur laufenden Konfiguration hinzufügt, muss das Persistenzlernen auf dem Switch über einen Befehl aktiviert werden.

Sicherheitskonfiguration

Jeder Netzwerkadapter eines Switches kann für jeden Fall der Sicherheitsverletzung konfiguriert werden, mit der spezifischen Aktion, die beim Auftreten einer Verletzung in jedem Fall durchgeführt werden soll. Dies sind:

  • Protect (geschützt): Wenn MAC-Adressen für den Port nicht zugelassen sind, werden Pakete mit diesen MAC-Adressen unbekannter Herkunft verworfen. In diesem Fall wird keine Meldung über eine Sicherheitsverletzung herausgegeben.
  • Restrict (eingeschränkt): Wenn MAC-Adressen für den Port nicht zugelassen sind, werden Pakete mit diesen MAC-Adressen unbekannter Herkunft verworfen. In diesem Fall wird eine Meldung über eine Sicherheitsverletzung herausgegeben.
  • Shutdown (deaktiviert): In diesem Modus führt eine Verletzung der Portsicherheit dazu, dass der Netzwerkadapter deaktiviert wird. Der Netzwerkadapter wird automatisch deaktiviert, es wird kein Traffic über den Netzwerkadapter gesendet oder empfangen, und die LED des Netzwerkadapters erlischt. 

Im Falle einer Sicherheitsverletzung an einem Switch muss der Netzwerkadministrator die Ursache ermitteln, bevor er den Port wieder aktiviert. Wenn ein nicht autorisiertes Gerät an einen sicheren Port angeschlossen ist, darf der Port nicht wieder aktiviert werden, bis die Sicherheitsbedrohung beseitigt ist.

 

 

Zurück zur Liste

Bloggen

Gebräuchliche Begriffe der Cybersicherheit: Ein Leitfaden zum Erlernen der Grundlagen (Teil 1)
18.11.2024
Cybersicherheit ist ein weites und komplexes Gebiet, aber bestimmte Begriffe und Konzepte stehen im Mittelpunkt aller Aspekte. Diese „ gebräuchlichen Begriffe “ im Bereich der Cybersicherheit sind wesentliche Elemente, die Fachleute und Enthusiasten gleichermaßen verstehen sollten, um sich besser zurechtzufinden und vor digitalen Bedrohungen zu schützen.
Mehr lesen
Warum sichere mobile Kommunikation für kritische Infrastrukturen und den Verteidigungssektor von entscheidender Bedeutung ist
15.10.2024
In der heutigen hypervernetzten Welt ist eine sichere mobile Kommunikation kein Luxus, sondern eine Notwendigkeit, insbesondere für Hochrisikobranchen wie kritische Infrastrukturen und Verteidigung.
Mehr lesen
Sicherheit für die Router
24.10.2024
  Ein Router ist ein Netzwerkgerät, das für die Weiterleitung des Paket-Traffics zwischen zwei Geräten zuständig ist, die in der Regel zu unterschiedlichen Netzwerken gehören.
Mehr lesen