Sicherheit in switched Netzwerken

In dieser abschließenden Lerneinheit eignest du dir wichtige Kompetenzen zur Absicherung von Switch-Netzwerken gegen typische Angriffe und Bedrohungen an. Du lernst die häufigsten Angriffsvektoren wie MAC-Flooding oder VLAN-Hopping kennen und erfährst, wie du durch gezielte Konfiguration und Monitoring die Sicherheit deiner Netzwerkinfrastruktur erhöhst. Diese praxisrelevanten Sicherheitsmaßnahmen helfen dir dabei, professionelle Netzwerke vor unbefugten Zugriffen und Manipulationen zu schützen.

Einführung

Jedes Gerät, das sich mit deinem Netzwerk verbindet, bringt nicht nur Daten, sondern auch potenzielle Risiken mit. Schon kleine Lücken in der Switch-Konfiguration reichen aus, damit Angreifer Zugriff auf vertrauliche Informationen bekommen oder VLAN-Grenzen aushebeln.

Die Realität:
Viele erfolgreiche Angriffe auf Unternehmensnetzwerke passieren direkt auf Layer 2 – dort, wo sie am wenigsten vermutet werden.

Lernziele

Nach dieser Lerneinheit kannst du:

  • Typische Angriffe auf Switched Netzwerke analysieren und erkennen
  • Maßnahmen zur Port-Sicherheit mit MAC-Filterung und Sticky-MACs konfigurieren
  • Die Funktionsweise von DHCP-Snooping und Dynamic ARP Inspection (DAI) erklären und anwenden
  • IEEE 802.1X-Authentifizierung zur Port-basierten Zugriffskontrolle beschreiben und einsetzen

Überleitung

Deshalb ist es entscheidend, die wichtigsten Bedrohungen und Angriffsvektoren in Switched Netzwerken zu kennen. Im nächsten Abschnitt erfährst du, wie Angreifer gezielt Schwachstellen wie MAC-Tabellen und VLANs ausnutzen – und welche Schutzmechanismen du als Administrator unbedingt einsetzen solltest.

Bedrohungen und Angriffsvektoren in Switched Netzwerken

Switched Netzwerke, insbesondere solche auf Basis von Ethernet, sind verschiedenen Sicherheitsbedrohungen und Angriffsvektoren ausgesetzt. Zu den häufigsten Angriffen zählen MAC-Flooding sowie verschiedene Varianten von VLAN-Hopping. Beide nutzen Schwachstellen in der Netzwerkkonfiguration oder -implementierung aus, um unbefugten Zugriff zu erlangen oder Netzwerkdienste zu stören.

MAC-Flooding

Bei einem MAC-Flooding-Angriff überfluten Angreifer den Switch mit Frames, die unterschiedliche (häufig gefälschte) MAC-Adressen als Absender haben. Ziel ist es, die MAC-Adresstabelle des Switches (CAM-Tabelle) zu füllen, bis keine neuen Einträge mehr aufgenommen werden können.

Wird die Tabelle überfüllt, wechselt der Switch in den Fail-Open-Mode: Er kann die Frames nicht mehr gezielt weiterleiten und sendet sie stattdessen an alle Ports. Das Verhalten ähnelt dem eines Hubs. Dadurch können Angreifer vertrauliche Daten abfangen, die zwischen anderen Geräten übertragen werden.

Schutzmöglichkeiten

  • MAC-Adressen-Limit pro Port: Begrenze die Anzahl der MAC-Adressen, die pro Port erlernt werden können.
  • Port-Security: Aktiviere Port-Security auf dem Switch, um unbekannte MAC-Adressen zu begrenzen oder zu blockieren.
  • Überwachung und Alarmierung: Setze Monitoring-Tools ein, um ungewöhnliche Veränderungen in der Netzwerkaktivität zu erkennen.

Double Tagging

Beim Double Tagging versieht der Angreifer ein Ethernet-Frame mit zwei VLAN-Tags: Das erste Tag entspricht dem VLAN des Angreifers, das zweite dem Ziel-VLAN. Viele Switches entfernen beim Empfang nur das äußere Tag, lassen das innere unberührt und leiten das Frame ins Ziel-VLAN weiter.

Switch Spoofing

Beim Switch Spoofing versucht der Angreifer, seinen eigenen Port als Trunk-Port zu konfigurieren, beispielsweise indem er sich an DTP (Dynamic Trunking Protocol, Cisco-proprietär) beteiligt oder die Trunk-Aushandlung ausnutzt. So erhält der Angreifer Zugriff auf mehrere VLANs, ohne Mitglied dieser VLANs zu sein.

Schutzmöglichkeiten

  • Zugriffskontrolle auf Access-Ports:

    • Deaktiviere alle ungenutzten Ports (administrative Down-Konfiguration).
    • Weise jedem Port explizit ein VLAN zu (z. B. switchport access vlan X), statt Default-VLAN 1.
  • Trunk-Ports manuell konfigurieren:

    • Vermeide dynamische Trunk-Aushandlung, insbesondere DTP (Cisco). Setze den Modus explizit auf switchport mode access oder switchport nonegotiate für Trunk-Ports.
  • Voice VLANs separat absichern: Setze restriktive Konfigurationen für Voice VLANs, um Missbrauch durch VoIP-Geräte zu verhindern.

Port-Sicherheit durch MAC-Filterung

Port-Sicherheit ist eine zentrale Schutzmaßnahme, um unbefugten Zugriff auf das Netzwerk zu verhindern. MAC-Filterung und Sticky-MACs dienen dazu, die physischen Adressen von Netzwerkgeräten gezielt zu kontrollieren.

MAC-Filterung

Jedes Gerät in einem Ethernet-Netzwerk besitzt eine eindeutige MAC-Adresse. Über die MAC-Filterung kann der Administrator steuern, welche MAC-Adressen an welchem Port zugelassen werden.

Beispielkonfiguration:

switch(config)# interface fa0/1
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security mac-address 0011.2233.4455

In diesem Beispiel ist Port-Security auf Port fa0/1 aktiv. Maximal zwei MAC-Adressen sind erlaubt; die Adresse 0011.2233.4455 ist explizit zugelassen.

Port-Sicherheit durch Sticky-MACs

Mit Sticky-MACs werden MAC-Adressen, die an einem Port „gelernt“ werden, dynamisch gespeichert („sticky“ gemacht). Die ersten erlaubten Geräte werden automatisch registriert und blockieren weitere unbekannte Geräte. Wichtig: Auf vielen Switches bleiben Sticky-MAC-Adressen nach einem Neustart nur erhalten, wenn die Konfiguration per copy running-config startup-config gespeichert wurde.

Beispielkonfiguration:

switch(config)# interface fa0/1
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security mac-address sticky

Hier lernt der Switch die ersten beiden Geräte an Port fa0/1 automatisch; weitere Geräte werden abgelehnt, bis eine Sticky-MAC-Adresse entfernt wird.

⏳ Lädt Dataview-Inhalt...

Überleitung

Switched Netzwerke sollten gegen falsche DHCP-Server, ARP-Poisoning und unerlaubte Port-Zugriffe geschützt werden. Die drei zentralen Mechanismen dafür sind DHCP-Snooping, Dynamic ARP Inspection (DAI) und IEEE 802.1X. Sie arbeiten zusammen, indem sie unautorisierte Protokoll-Nachrichten blockieren, ARP-Anfragen validieren und den Zugang auf Port-Level authentifizieren.

DHCP-Snooping

DHCP-Snooping differenziert zwischen trusted und untrusted Ports, um nur autorisierte DHCP-Server-Angebote zuzulassen. Untrusted-Ports (Standard) dürfen ausschließlich DHCP-Requests passieren, während Offers und Acknowledges nur über trusted Ports zugelassen werden. Ein Switch pflegt dabei eine DHCP-Binding-Datenbank mit MAC-IP-Port-Zuordnungen. Diese Datenbank dient nicht nur der Protokollkontrolle, sondern ist auch Grundlage für DAI und IP Source Guard.

Konfiguration (Beispiel Cisco IOS):

ip dhcp snooping
ip dhcp snooping vlan 10
interface GigabitEthernet1/0/1
  ip dhcp snooping trust

Dynamic ARP Inspection (DAI)

DAI nutzt die zuvor aufgebaute DHCP-Binding-Datenbank, um ARP-Pakete auf untrusted Ports zu validieren. Stimmt ein ARP-Mapping nicht mit der Datenbank überein, wird das Paket verworfen, wodurch ARP-Spoofing verhindert wird.

Aktivierung (Beispiel Junos OS):

set ethernet-switching-options secure-access arp-inspection vlan 10

IEEE 802.1X Port-Based Authentifizierung

802.1X stellt sicher, dass nur authentifizierte Clients Zugriff auf den Switch-Port erhalten. Der Port bleibt in einem unauthorized Zustand, bis der RADIUS-Server den Supplicant freigibt.

Wesentliche Komponenten:

  • Supplicant: das Endgerät (z. B. Laptop)
  • Authenticator: der Switch
  • Authentication Server: meist RADIUS

Konfiguration (Beispiel Cisco IOS):

dot1x system-auth-control
interface GigabitEthernet1/0/2
  switchport mode access
  dot1x port-control auto
  radius-server host 10.0.0.5 key geheim
⏳ Lädt Dataview-Inhalt...

Zusammenfassung und Ausblick

Zusammenfassung:

In dieser Lerneinheit hast du zentrale Angriffsszenarien und die wichtigsten Sicherheitsmechanismen in Ethernet-basierten Switched Netzwerken kennengelernt.

  • MAC-Flooding ist ein Angriff, bei dem die MAC-Adresstabelle (CAM-Tabelle) eines Switches mit gefälschten MAC-Adressen überflutet wird. Ziel ist es, den Switch dazu zu bringen, Frames an alle Ports weiterzuleiten, was das Abhören von Datenverkehr ermöglicht. Schutz bieten Port-Security, Begrenzung der MAC-Adressen pro Port und Monitoring.
  • Port-Security und MAC-Filterung erlauben es, nur bekannten Geräten Zugang zu einem Port zu gewähren. Sticky-MACs sorgen dafür, dass dynamisch erlernte MAC-Adressen gespeichert und weitere Geräte blockiert werden.
  • DHCP-Snooping schützt vor unerlaubten DHCP-Servern, indem es den erlaubten Traffic kontrolliert und eine Bindungstabelle zur weiteren Absicherung erstellt.
  • Dynamic ARP Inspection (DAI) nutzt diese Tabelle, um ARP-Pakete zu validieren und so ARP-Spoofing zu verhindern.
  • IEEE 802.1X ermöglicht eine Authentifizierung direkt am Port, sodass nur autorisierte Geräte ins Netzwerk gelangen.

Alle diese Maßnahmen zusammen sorgen für ein deutlich höheres Schutzniveau auf Layer 2 und machen Switched Netzwerke widerstandsfähiger gegen Angriffe von innen und außen.

Ausblick:

Um die Netzwerksicherheit und -zuverlässigkeit weiter zu erhöhen, sind gezieltes Management und laufendes Monitoring essenziell. In der nächsten Lerneinheit lernst du, wie Switches über Command Line Interface (CLI) und Web-Interfaces verwaltet werden, wie du Konfigurationen sicherst, Netzwerkstatus überwachst und frühzeitig auf Auffälligkeiten reagieren kannst. Damit legst du den Grundstein für einen stabilen, transparenten und kontrollierbaren Netzwerkbetrieb.