Startseite   Titel   Zurück   Suche 
OPTIONEN
 Zur Startseite
 Zur Titelseite
 Eine Seite zurück
 Zum Archiv-Index
HILFE
 Suche
SCHLIESSEN


VLAN
Übersicht
Einführung Mehr... Links RFCs Books
SICHERHEIT
  • Sicherheitsrisiko VLAN
  • Credits
  • Sicherheitsrisiko VLAN
    Eine technische Einführung mit Details zur Funktionsweise können über das InfoDokument VLAN (im Technik-Archiv) eingesehen werden.

    Neben der Trennung von physikalischer Struktur und logischer Zuordnung ist es durch den Einsatz von VLANs auch möglich die Kommunikation zwischen den Rechnern auf die zu beschränken, die zum selben virtuellen Netzwerk gehören. Ein Sicherheitsaspekt der die Verwendung von VLANs noch attraktiver macht. Da Switches auf Netzwerk 2 und 3 des OSI-Modells arbeiten, können erfolgreiche Angriffe auf sie kritische Folgen haben, da Sicherheitsmassnahmen auf den höheren Schichten wirkungslos bleiben.

    Es geht bei diesen Angriffen in der Regel darum, die logischen Netzwerkgrenzen zu überwinden. Dabei können sich Möglichkeiten ergeben, den gesonderten Netzwerkverkehr abzuhören oder sogar sich in die jeweiligen VLANs zuzuschalten. Zum Schutz gegen eine Kompromitierung der Netzwerksicherheit sollte ermittelt werden, ob die Switches gegen die folgenden Angriffe immun sind und ggf. die Konfiguration an den Switches ändern.

  • MAC-Flooding
    Ein relativ einfach umzusetzender Angriff besteht darin, den Switch mit einer Vielzahl an unterschiedlichen MAC-Adressen zu fluten. Erreicht die interne Speichertabelle für die MAC-Adressen ihr Maximum, kann u.U. bei einigen Switches ein Fallback-Mechanismus aktiviert werden, der ein Runterschalten auf die Betriebsmodus zum Hub zur Folge hat. Pakete werden dann an alle Ports weiter geleitet und können abgehört werden.

  • Tag-Spoofing
    Eine andere Angriffsmethode besteht in dem Versuch Pakete einzuschleusen, in der Hoffnung bestimmte Reaktionen auslösen zu können. Dazu versieht der Angreifer Pakete selber mit Tags und versucht dem Opferswitch, der diese Pakete erhält vorzugaukeln, er wäre selber ein Switch. Gelingt dem Angreifer eine Einbindung in die Switch-Struktur, kann er dann an alle VLANs getagge Pakete versenden.

  • Doppelt getaggte Pakete
    Mit dem Ziel schädigende Kommandos an Rechner in anderen VLANs schicken zu wollen, werden Pakete mit zweifach getaggten Frames versehen, die aber jeweils unterschiedliche VLAN ID-Nummern (VIDs) in sich tragen. Je nach Verarbeitungsweise der Switches können durch Fehlinterpretation Pakete von einem VLAN in ein anderes gelangen.

  • STP-Angriffe
    Bei Angriffen über das Spanning Tree Protokoll (nach IEEE 802.1D) gibt der Angreifer vor, dass bestimmte Verbindungen ausgefallen sind und bewirkt damit eine Umkonfiguration der Switches, die eine neue "alles übergreifende Baumtopologie" errechnen. Sind dem Angreifer genügend Details über das Netzwerk bekannt, kann er sich zum Root-Switch erheben und bekommt die Möglichkeit alle Pakete abzuhören.


  • Bericht von :
    [ CONVEX ]
    Überarbeitet von :
    -


    CHECK THIS SITE