Eine technische Einführung mit Details zur Funktionsweise können über das InfoDokument
VLAN (im Technik-Archiv) eingesehen werden.
Neben der Trennung von physikalischer Struktur und logischer Zuordnung ist es durch den Einsatz von VLANs auch möglich
die Kommunikation zwischen den Rechnern auf die zu beschränken, die zum selben virtuellen Netzwerk gehören. Ein
Sicherheitsaspekt der die Verwendung von VLANs noch attraktiver macht. Da Switches auf Netzwerk 2 und 3 des
OSI-Modells arbeiten, können erfolgreiche Angriffe auf sie kritische Folgen haben, da Sicherheitsmassnahmen auf
den höheren Schichten wirkungslos bleiben.
Es geht bei diesen Angriffen in der Regel darum, die logischen Netzwerkgrenzen zu überwinden. Dabei können sich
Möglichkeiten ergeben, den gesonderten Netzwerkverkehr abzuhören oder sogar sich in die jeweiligen VLANs zuzuschalten.
Zum Schutz gegen eine Kompromitierung der Netzwerksicherheit sollte ermittelt werden, ob die Switches gegen die
folgenden Angriffe immun sind und ggf. die Konfiguration an den Switches ändern.
MAC-Flooding
Ein relativ einfach umzusetzender Angriff besteht darin, den Switch mit einer Vielzahl an unterschiedlichen MAC-Adressen
zu fluten. Erreicht die interne Speichertabelle für die MAC-Adressen ihr Maximum, kann u.U. bei einigen Switches ein
Fallback-Mechanismus aktiviert werden, der ein Runterschalten auf die Betriebsmodus zum Hub zur Folge hat. Pakete werden
dann an alle Ports weiter geleitet und können abgehört werden.
Tag-Spoofing
Eine andere Angriffsmethode besteht in dem Versuch Pakete einzuschleusen, in der Hoffnung bestimmte Reaktionen auslösen
zu können. Dazu versieht der Angreifer Pakete selber mit Tags und versucht dem Opferswitch, der diese Pakete erhält
vorzugaukeln, er wäre selber ein Switch. Gelingt dem Angreifer eine Einbindung in die Switch-Struktur, kann er dann an
alle VLANs getagge Pakete versenden.
Doppelt getaggte Pakete
Mit dem Ziel schädigende Kommandos an Rechner in anderen VLANs schicken zu wollen, werden Pakete mit zweifach getaggten
Frames versehen, die aber jeweils unterschiedliche VLAN ID-Nummern (VIDs) in sich tragen. Je nach Verarbeitungsweise der
Switches können durch Fehlinterpretation Pakete von einem VLAN in ein anderes gelangen.
STP-Angriffe
Bei Angriffen über das Spanning Tree Protokoll (nach IEEE 802.1D) gibt der Angreifer vor, dass bestimmte
Verbindungen ausgefallen sind und bewirkt damit eine Umkonfiguration der Switches, die eine neue "alles übergreifende
Baumtopologie" errechnen. Sind dem Angreifer genügend Details über das Netzwerk bekannt, kann er sich zum Root-Switch
erheben und bekommt die Möglichkeit alle Pakete abzuhören.
|