Netzwerkdesign und Netzwerksicherheit am Beispiel eines mittelst ndischen Unternehmens a

BACHELORARBEIT 2
durchgefuhrt am Bachelorstudiengang Informationstechnik & SystemManagement Fachhochschule Salzburg GmbH

vorgelegt von: Matthias Kirisits

Studiengangsleiter: BetreuerIn:

FH-Prof. DI Dr. Gerhard Jochtl Dipl. Phys. Judith Schwarzer

Salzburg, Mai 2011

Matthias Kirisits Tannenweg 7 5722 Niedernsill Hiermit versichere ich, dass ich die von mir vorgelegte Arbeit selbstst ndig verfasst a habe, dass ich die verwendeten Quellen, Internet-Quellen und Hilfsmittel vollst ndig a angegeben habe und dass ich die Stellen der Arbeit einschlielich Tabellen, Karten und Abbildungen , die anderen Werken oder dem Internet im Wortlaut oder dem Sinn nach entnommen sind, auf jeden Fall unter Angabe der Quelle als Entlehnung kenntlich gemacht habe. Niedernsill, den 15. Mai 2011

Matthias Kirisits

Kurzzusammenfassung
Die Anforderungen an die Infrastruktur eines Unternehmensnetzwerkes sind in den letzten Jahren enorm gestiegen. Fallen Ger te aus, ist dies bei nicht vorhandenen Sicherheitsmaa nahmen immer mit hohen Kosten verbunden. Ein wesentlicher Bestandteil einer Netzwerk infrastruktur sind Switches und Router. Diese bilden das Ruckgrat jedes Netzwerkes und mussen daher besonders gut abgesichert werden. Diese Arbeit beschreibt wie ein leistungsf higes Netzwerk entworfen und durch redundana te Ger te vor Ausf llen geschutzt werden kann. Des weiteren wird gezeigt, wie durch die a a VLAN-Technologie, 802.1X Authentizierung und CISCO propriet re Protokolle das Netza werk vor Angriffen geschutzt werden kann. Abschlieend wird durch einen simulierten Angriff gezeigt, wie schnell ein Netzwerk so stark uberlastet werden kann, dass s mtliche a Kommunikation unmoglich wird, wenn dieses falsch entworfen wurde und entsprechende Sicherheitsmanahmen nicht implementiert wurden.

Abstract
The requirements companys infrastructures are assumed to meet have increased within the last years. In case of device failures, missing safety precautions result in high costs. An essential part of the companies network infrastructure are switches and routers. They form the backbone of every network and therefore have to be specially secured. In the following thesis the design of high-performance networks is described. It explains how such networks are protected against breakdowns by redundant devices. Furthermore it elucidates how networks can be secured by VLAN-Technology, 802.1X authentication, and CISCO proprietary protocols. Conclusively a simulated attack on the network is performed which demonstrates how easily a network can be overloaded and no further communication is possible, in case of insufcient security implementations.

Inhaltsverzeichnis
Abbildungsverzeichnis Tabellenverzeichnis Abkurzungsverzeichnis 1 Einleitung 1.1 Motivation und Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Kapitelubersicht und Abgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . Grundlagen zu Netzwerksicherheit und Netzwerkdesign 2.1 Routing und Switching . . . . . . . . . . . . . . . . . . . . 2.2 Cisco Netzwerk-Design-Modell . . . . . . . . . . . . . . . 2.3 Virtual Local Area Network (VLAN) . . . . . . . . . . . . 2.3.1 Statische Zuweisung . . . . . . . . . . . . . . . . . 2.3.2 Dynamische Zuweisung . . . . . . . . . . . . . . . 2.3.3 VLAN Trunk . . . . . . . . . . . . . . . . . . . . . 2.3.4 VLAN Routing . . . . . . . . . . . . . . . . . . . . 2.3.5 VLAN Trunk Protocol . . . . . . . . . . . . . . . . 2.4 IEEE 802.1X Port basierende Authentizierung . . . . . . 2.4.1 Rollen . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Authentizierungsprozess . . . . . . . . . . . . . . 2.4.3 EAP-Authentizierungsmethoden . . . . . . . . . 2.5 CISCO Sicherheits Funktionen . . . . . . . . . . . . . . . 2.5.1 Bridge Protocol Data Unit - Guard . . . . . . . . . 2.5.2 Dynamic Host Conguration Protocol - Snooping 2.5.3 Dynamic ARP Inspection . . . . . . . . . . . . . . 2.5.4 Storm Control . . . . . . . . . . . . . . . . . . . . . 2.5.5 Port Security . . . . . . . . . . . . . . . . . . . . . 2.6 Hochverfugbarkeit von Gateways . . . . . . . . . . . . . . 2.6.1 Hot Standby Router Protocol . . . . . . . . . . . . 2.6.2 Virtual Router Redundancy Protocol . . . . . . . Planung und Entwurf eines Campus-Netzwerkes 3.1 Ausgangssituation . . . . . . . . . . . . . . . . 3.2 Netzwerkplanung . . . . . . . . . . . . . . . . . 3.2.1 Erstellung eines Kriterienkatalog . . . . 3.2.2 Risikoanalyse . . . . . . . . . . . . . . . i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii iv iv 1 1 2 4 4 5 6 8 9 10 11 11 12 13 14 15 16 17 17 18 18 19 19 19 20 21 21 22 23 26

3.3

3.2.3 Beschreibung der Ist-Situation und Quantizierung des Risikos . 3.2.4 Planung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Simulierter Broadcast Storm Angriff . . . . . . . . . . . . . . . . . . . . . 3.3.1 Labor-Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Auswirkung von Broadcasts . . . . . . . . . . . . . . . . . . . . . 3.3.3 Erkenntnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . .

. . . . . .

27 28 31 31 32 35 36 38

Zusammenfassung und Ausblick

Literatur

ii

Abbildungsverzeichnis
2.1 2.2 2.3 2.4 2.5 2.6 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 Hierarchischen Netzwerkdesign, Quelle: [1] . Taged Ethernet Frame (IEEE 802.1Q), nach [2] VLAN Trunk . . . . . . . . . . . . . . . . . . . . VTP TAG . . . . . . . . . . . . . . . . . . . . . . RADIUS Paket, nach [3] . . . . . . . . . . . . . 802.1X Authentizierung, Quelle: [4] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8 10 12 14 15 22 27 30 32 33 33 34 34

Netzwerk Muster GmbH, Ausgangssituation . . . . . . . . . . . . . . . . . Risikoanalye - Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerk Muster GmbH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufbau Broadcastanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auslastung Interface GiE0/1 und Switch-CPU am Access Switch . . . . . Auslastung Interface GiE0/1 und Switch-CPU am Core Switch . . . . . . Auslastung Netzwerk-Interface und CPU am Monitoring Client (Client1) iperf Messung: Transferrate w hrend Broadcast-Storm Angriff . . . . . . . a

iii

Tabellenverzeichnis
3.1 3.2 3.3 Anzahl Clients im Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Transferrate w hrend Broadcast-Storm Angriff . . . . . . . . . . . . . . . . . . a 21 31 34

iv

Kapitel 1

Einleitung
Vor den 1980ern waren Computer kaum miteinander vernetzt. Um Zugriff auf einen Ser ver zu bekommen war es meist notwendig, diesen direkt uber die Tastatur oder durch eine serielle Schnittstelle zu bedienen. Daten wurden mit Datentr gern wie Disketten, Festplata ten oder Bandlaufwerken ubertragen. Um Daten und Ger te in einem Unternehmen zu a schutzen, musste lediglich der physikalischen Zugriff zu den Servern und Datentr gern a uberwacht und geschutzt werden, indem diese in versperrten R umen aufbewahrt wura den und der Zugang zu Servern oder den Arbeitsstationen zus tzlich mit einem Passwort a versehen wurde. Anfang der 1980er wurden Computer in Unternehmen immer mehr vernetzt und heute sind IT-Netzwerke in fast keinem Betrieb mehr wegzudenken. Server, Arbeitsstationen, Datenspeicher, Netzwerkdrucker, IP-Telefone oder Produktionsmaschinen sind miteinan der vernetzt und lassen sich zentral uber das Netzwerk verwalten. Uber das wohl grote Netzwerk weltweit, das Internet, sind fast alle Unternehmen und Privathaushalte mitein ander verbunden [5]. 2010 hatten in Osterreich 72% aller Haushalte [6], und 97% aller Unternehmen mit mehr als 10 Besch ftigten [7] Zugang zum Internet. Aufgrund dieser a Tatsache wird das Thema Netzwerksicherheit und Netzwerkdesign immer wichtiger, um die Sicherheit und Leistung eines Netzwerkes zu gew hrleisten zu konnen. a

1.1

Motivation und Zielsetzung

Der groe Vorteil von IT-Netzwerken ist, dass unterschiedlichste Daten wie Dokumente, Audio-Dateien, Video-Dateien oder Kongurationsdaten von einem Ort zum anderen schnell und mit einem hohen Ma an Zuverl ssigkeit ubertragen werden konnen [8]. Netza werke haben dazu gefuhrt, dass Daten fast ausschlielich zentral verwaltet werden. Dies erhoht zwar die Produktivit t und die Administrierbarkeit enorm, allerdings bedeutet die a zentrale Verwaltung der Daten ein hohen Sicherheitsrisiko. Verliert eine Arbeitsstation beispielsweise die Netzwerkverbindung zum Server, hat der Benutzer keinen Zugriff auf des sen Daten. Angreifer mussen keinen direkten Zugang zu Firmenservern besitzen, es reicht wenn diese Zugang zum Netzwerk haben um so eine Verbindung zu den Servern zu erhal ten. Des Weiteren konnen ohne entsprechende Sicherheitsmechanismen s mtliche Ger te a a in einem Netzwerk miteinander kommunizieren. Somit ist jedes Ger t im Netzwerk eine a 1

potentielle Gefahr, wenn dieses zum Beispiel mit einer schadhaften Software wie einem Virus oder Trojaner befallen ist. Dieses Szenario zeigt, dass Netzwerksicherheit und Netz werkdesign ein wesentlicher Bestandteil der Unternehmenssicherheit sein mussen. Netzwerksicherheit und Netzwerkdesign beinhaltet s mtliche Manahmen zur Plaa nung, Ausfuhrung und Uberwachung um den sicheren Betrieb in einem Netzwerk zu gew hrleisten [5]. Um dies zu ermoglichen ist es notwendig s mtliche in einem Netza a werk bendlichen Ger te, unter Berucksichtigung moglichst vieler Aspekte, abzusichern. a Ziel dieser Arbeit ist es, ein Netzwerk in einem Unternehmen unter folgenden Aspekten zu planen und zu kongurieren: Sicherstellung eines ausfallsicheren Netzwerk-Betriebs Schutz der IT-Infrastruktur von innen und auen Erhohung der Netzwerkperformance Zukunftssichere, ausbauf hige und skalierbare Infrastruktur a Gew hrleistung der Administrierbarkeit a Um ein Netzwerk unter diese Aspekten entwerfen und kongurieren zu konnen, ist ein umfangreiches Wissen uber das Firmennetzwerk und mogliche Angriffe notwendig. Dies war die Motivation eine Arbeit zum Thema Netzwerkdesign und Netzwerksicherheit zu schreiben, um zukunftigen Netzwerkadministratoren beim Kongurieren und Entwerfen von Netzwerken zu unterstutzen, sowie auf mogliche Sicherheitsmanahmen hinzuweisen.

1.2

Kapitelubersicht und Abgrenzung

Diese Arbeit ist in zwei groe Abschnitte unterteilt: dem theoretischen Teil: Grundlagen zu Netzwerksicherheit und Netzwerkdesign und dem praktischen Teil: Planung und Entwurf eines Campus-Netzwerkes. Im theoretischen Teil werden Kenntnisse, welche im praktischen Teil verwendet werden, erl utert. Nach einer kurzen Erkl rung der Begriffe Routing und Switching, wird im Aba a schnitt 2.2 das Cisco Netzwerk-Design-Modell erl utert. Des Weiteren werden in den Kapitel a Virtual Local Area Network (VLAN) und IEEE 802.1X Port basierende Authentizierung die VLAN Technologie und die Zuweisung von Clients zu entsprechenden VLANS, sowie die Client Authentizierung uber 802.1X behandelt. Im folgenden Kapitel 2.5 werden einige CISCO spezische Sicherheitsfunktionen wie Storm Control und BPDU Guard erkl rt, wela che die Sicherheit und Performance des Netzwerkes zus tzlich erhohen. Im Kapitel 2.6 a wird die Hochverfugbarkeit von Gateways behandelt, welches fur ein ausfallsicheres, redun dantes Netzwerk notwendig ist. Im praktische Teil wird ein neues Firmennetzwerk, welches ein bestehendes Netzwerk ablosen soll, geplant. Dabei wird ein Kriterienkatalog erstellt, anhand dessen das neue Netzwerk umgesetzt werden soll. Abschlieend wird im Kapitel 3.3 die Tragweite von Netzwerksicherheit und Netzwerkdesign anhand eines simulierten Broadcast-Storm Angriffes gezeigt.

Diese Arbeit besch ftigt sich mit der Theorie und Praxis aktueller Netzwerktechnologia en. Es werden Grundkenntnisse im Bereich Netzwerktheorie, wie z.B. die grunds tzliche a Funktionsweise von Switches und Router, vorausgesetzt. Begriffe wie MAC Adresse, IP Adresse, Broadcastdomain, Subnets und VLANs sollten daher bekannt sein. Des Weiteren sollte das ISO OSI-Modell ein Begriff sein, im Speziellen die Aufgaben von Data-Link Layer (Layer 2) und Network Layer (Layer 3). Der Autor empehlt das Buch CCNA R - Cisco R Certied Network Associate study guide [9], welches die oben erw hnten Begriffe und Themen a behandelt.

Kapitel 2

Grundlagen zu Netzwerksicherheit und Netzwerkdesign

Im folgenden Abschnitt werden Grundlagen und Protokolle behandelt, die im praktischen Teil angewendet werden. Da im Praxisteil ein Netzwerk mit Netzwerkkomponenten der Firma CISCO entwickelt wird, sind viele der folgenden Methoden und Protokolle CISCOpropriet r. Meist verwenden andere Hersteller die selben oder leicht ge nderte Standards, a a die sich in ihrer Funktionsweise oft nur minimal unterscheiden.

2.1

Routing und Switching

Ursprunglich war die Trennung zwischen Router und Switches eindeutig. Switches haben die ankommenden Daten nur auf Basis der MAC Adressen (OSI-Layer 2) verarbeitet und in Form von Frames weitergeleitet. Router habe die ankommenden Frames zu einem Paket zusammengefugt und diese auf Basis der IP Adresse (OSI-Layer 3) und Routing Tabellen verarbeitet. Aufgrund der VLAN-Technologie (siehe Kapitel 2.3) verschwinden die Grenzen zwischen Router und Switches immer mehr. Heutige Core und Distribution Switches, aber auch immer ofter Access Switches sind sogenannte Layer 3 Switches oder Multilayer Switches (MLS). Diese haben Layer 2 und Layer 3 Funktionalit ten. Innerhalb einer VLANa Domain, werden Daten (Frames) auf OSI Layer 2 verarbeitet. Mussen Pakete von einem VLAN in ein anderes VLAN weitergeleitet werden, mussen die ankommenden Frames zu Pakten zusammengefugt werden und die IP Adresse des Paketes ermittelt werden, was auf OSI Layer 3 passiert. Man spricht hier von VLAN Routing oder Multilayer Switching. Multilayer Switches besitzen ahnliche Funktionen wie klassische Router wie z.B. Routingtabellen oder Hot Standby Router Protocol (HSRP) (siehe Kapitel 2.6) [9], [10].

2.2

Cisco Netzwerk-Design-Modell

Folgender Abschnitt basiert auf den Quellen [1], [10], [11], [12]. Beim Design des Netzwerkes wird empfohlen, das Cisco Netzwerk Design Modell zu verwenden. Dieses Referenzmodel beschreibt den Aufbau eines hierarchischen Netzwerkes, welches aus drei Schichten (Layer) besteht, wobei jeder Layer bestimmte Aufgaben hat [11], [10].

Core Layer Diese Schicht wird oft auch als Backbone bezeichnet, dessen Hauptaufgabe es ist, Da ten zuverl ssig und mit moglichst hoher Geschwindigkeit von einem Ort zum Andea ren zu transportieren. Da dieser Bereich das Ruckgrat des Netzwerkes darstellt, muss der Core Layer dementsprechend abgesichert und leistungsstark sein. Das Cisco Netz werk Design Modell [10] sieht hierfur zwei redundante Core Switches vor, die uber HSRP (siehe Kapitel 2.6) miteinander verbunden sind. Cisco, aber auch andere Her steller wie Hewlet Packard oder Nortel, bieten fur diesen Bereich spezielle Core Swit ches an. Diese sind in der Regel leistungsst rker als Access Switches und konnen mit a redundanten Baugruppen wie Netzteilen oder Modulen (Supervisor-Engine) bestuckt werden.

Distribution Layer Diese Schicht dient als Vermittler zwischen Core und Access Bereich. Durch VLAN Routing wird hier das Netzwerk in verschiedene Broadcastsdomains segmentiert und Sicherheitsrichtlinien durch Access-Listen (ACLs) umgesetzt (siehe Kapitel 2.3.4). Auch diese Switches mussen wie die Core Switches gut abgesichert und performant sein. Das Cisco Netzwerk Design Modell sieht auch hier redundante Core Switches, die ebenfalls via Hot Standby Router Protocol (HSRP) miteinander verbunden sind, vor.

Access Layer In diesem Bereich werden die Clients angeschlossen. Da im Access Layer nicht zwi schen VLANs geroutet wird oder Access Listen abgehandelt werden, konnen in diesem Bereich Layer 2 Switches verwendet werden. Muss zwischen VLANs geroutet werden, wird das entsprechende Paket uber einen Trunk (siehe Abschnitt 2.3.5) an den Distribution Layer gesendet. Alternativ konnen im Access Bereich auch Layer 3 Switches mit Routing und ACL Funktionalit t verwendet werden. Kommunizieren a 5

zwei Ger te miteinander, welche sich in unterschiedlichen VLANs benden aber am a selben Access Switch angeschlossen sind, kann das VLAN Routing bereits am Access Switch geschehen und muss nicht zuerst zum Distribution Switch weitergeleitet wer den. Dies erhoht die Performance des Netzwerkes, erhoht aber den administrativen Aufwand, da Routing Regeln und ACLs an s mtlichen Access Switches konguriert a werden mussen. Core- ,Distribution- und Access Layer sind jeweils uber zwei redundante Verbindungen miteinander verbunden. Diese gew hrleisten, dass beim Ausfall einer Verbindung das a Netzwerk trotzdem voll funktionstuchtig bleibt (siehe Abbildung 2.1). Das Cisco Netzwerk Design Modell ist vor allem fur groe Unternehmensnetzwerke entwickelt worden, wo in verschiedenen Geb uden oder Standorten jeweils ein redundanter a Distribution Switch steht und diese mit einem zentralen Core Switch verbunden sind. Bei kleineren Netzwerken, bzw. bei Netzwerken die sich nicht uber mehrere Standorte erstre cken, konnen der Core Bereich und Distribution Bereich durch einen redundanten Core Switch abgebildet werden. Folgende Abbildung zeigt die schematische Darstellung eines hierarchischen Netzwerkdesigns mit Core- ,Distribution- und Access Layer.
Traditional Campus Design Layer 2 Access with Layer 3 Distribution Routed Access Campus DesignLayer 3 Access with Layer 3 Distribution

Core Layer 3

Core Layer 3 Distribution Layer 2 HSRP Standby Access VLAN 2 Voice VLAN 102 Data VLAN 3 Voice VLAN n Voice VLAN 103 Data VLAN 00 + n Data

Distribution HSRP Active Root Bridge Access VLAN 2 Voice VLAN 102 Data VLAN 3 Voice VLAN 103 Data VLAN n Voice VLAN 100 + n Data

Abbildung 2.1: Hierarchischen Netzwerkdesign, Quelle: [1]

2.3

Virtual Local Area Network (VLAN)

Bei der Planung und Umsetzung eines Netzwerkes und der Netzwerksicherheit sind VLANs ein wesentlicher Bestandteil. Nur durch diese Technologie werden einige Sicher heitsmechanismen erst moglich [13]. VLANs teilen ein physisches Netz in mehrere logische Netze. Die VLAN Technologie ist im IEEE Standard 802.1Q [14] deniert und arbeitet auf dem OSI Layer 2. Das Routing zwischen den VLANS ist im OSI Layer 3 realisiert und wird mit Multilayer Switches oder Router durchgefuhrt. Die Technologie wurde ur sprunglich aus Performancegrunden eingefuhrt. In einem Unternehmen konnen Clients, 6

Layer 2

die sich am selben geographischen Ort benden, bzw. am selben Switch angeschlossen sind, unterschiedliche Anforderungen besitzen. Ein Client aus der Entwicklungsabteilung benutzt moglicherweise bandbreitenintensive Simulationsprogramme, ein Client aus der Buchhaltung Dokumente welche nur wenige Ressourcen benotigt. Sind beide Clients am selben Switch angeschlossen und benden sind nicht in unterschiedlichen VLANs kann es vorkommen, dass der Client der Entwicklungsabteilung den Buchaltungsclient blockiert, da Frames verloren gehen. Durch die VLAN Technologie konnen Clients, die am selben Switch angeschlossen sind, logisch voneinander getrennt werden, indem sich Buchaltungs clients und Entwicklungsclients in unterschiedlichen VLANs benden. Zus tzlich konnen a VLANs unterschiedlich priorisiert werden, indem im 802.1Q TAG die entsprechenden Bits gesetzt werden (siehe Abbildung 2.2). Des Weiteren ist jedes VLAN eine eigene Broadcastdomain. Da Broadcastnachichten in der gesamten Broadcastdomain weitergeleitet werden, kann durch die VLAN-Technologie die Anzahl der Broadcastnachrichten signikant verringert werden, was wiederum ein Performancegewinn ist. Die Auswirkung von Broadcasts auf das Netzwerk wird im praktischen Teil (siehe Kapitel 3.3) verdeutlicht, indem eine simulierter Broadcast-Storm Attacke durchgefuhrt und analysiert wird. Wie bereits erw hnt wurden VLANs ursprunglich nur aus Performancegrunden eina gefuhrt, der Sicherheitsaspekt ist lediglich ein positiver Nebeneffekt. Durch Gigabit-Netze und immer kostengunstigeren Lichtwellenleitern (LWL) ruckt die Performanceuberlegung immer mehr in den Hintergrund und der Sicherheitsaspekt gewinnt immer mehr an Bedeutung. Benden sich wie im obigen Beispiel der Entwicklunsclient und der Buchhaltungs client im selben LAN und nicht in verschiedenen VLANs, konnte der Entwicklunsclient den Datentransfer durch eine gezielte Attacke blockieren oder abfangen (siehe Kapitel 2.5). Benden sich die Rechner in unterschiedlichen VLANs ist dies nicht moglich. Die Zuweisung von VLANs passiert grunds tzlich uber eine der folgenden zwei Methoden: a Statische Zuweisung (siehe Abschnitt 2.3.1) Dynamische Zuweisung (siehe Abschnitt 2.3.2) Bei beiden Methoden erfolgt die Zuweisung zu einem VLAN immer uber den Switch Port. Soll ein Client dynamisch uber 802.1X oder aufgrund der MAC Adresse einem entspre chendes VLAN zugewiesen werden, wird die Zugehorigkeit nicht am Client deniert, sondern der Switch-Port, an dem der Client angeschlossen ist, dem entsprechende VLAN zugewiesen. Erstrecken sich VLANs uber mehrere Switches mussen die Frames uber den VLAN Trunk (siehe Abschnitt 2.3.5) an andere Switches ubertragen werden. Diese Frames werden vom Switch mit einem TAG versehen, welcher die VLAN Zugehorigkeit deniert. Der VLAN-Header (siehe Abbildung 2.2) ist im IEEE 802.1Q Standard deniert [14]. Dieses TAG Feld wird zwischen den Feldern Source Address und Type/Length Feld eingefugt. Da der Frame ver ndert wird, muss der Switch, welcher den VLAN TAG hinzufugt das Fraa

me Check Sequence (FCS) Feld neu berechnen. Folgende Informationen werden dem VLAN Frame hinzugefugt: Tag Protocol Identier (TPID): 16-bit Feld, welches auf den Hexadezimalwert:0x8100 gesetzt wird, um als 802.1q Frame identiziert zu werden. Priority: 3-bit Feld, welches verwendet werden kann, um Daten zu priorisieren. Es gibt 8 Prio risierungsebenen (0-7), wobei 0 die niedrigste, 7 die hochste Priorit t besitzt. a Canonical Format Indicator (CFI): 1-bit Feld. Ist dieses auf 1 gesetzt, ist die MAC Adresse im Canonical Format (Most Signicant bit als erstes) dargestellt. VLAN Identier (VID): 12-bit Feld, mit dem die eigentliche VLAN Zugehorigkeit identiziert wird. Diese Feld kann Werte zwischen 0 und 4095 besitzen.
Taged Ethernet Frame (IEEE 802.1Q)

Destination Address

Source Address

TYPE/LEN Field

Data

FCS

Original Ethernet Frame

Destination Address

Source Address

TAG

TYPE/LEN Field

Data

FCS

IEEE 802.1Q Frame

TPID (16 bit)

PRIORITY (3 bit)

CFI (1 bit)

VDI (12 bit)

TAG Field

Abbildung 2.2: Taged Ethernet Frame (IEEE 802.1Q), nach [2]

2.3.1

Statische Zuweisung

Bei der statischen Zuweisung wird der Port eines Switches direkt durch den Netzwerkadministrator konguriert. Jeder Frame, der an diesem Port empfangen wird, bendet sich somit im entsprechenden VLAN. Muss die VLAN-Zugehorigkeit ge ndert werden, muss a dieser den Switch umkongurieren. Der Vorteil dieser Methode ist, dass diese sehr zuverl ssig, sicher und schnell ist. Des a Weiteren muss der Switch keine Uberprufung oder Vergleich der MAC Adresse mit ei8

ner lookup table machen. Allerdings bedeutet diese Methode einen hohen administrativen Aufwand. Zieht ein Client um und steckt sein Ger t an einen anderen Switch Port an, a muss dies immer manuell am Switch konguriert werden. Speziell wenn VLANs sich uber das gesamten Campus-Netzwerk1 erstrecken und sich nicht auf einen Switch beschr nken, a wird diese Methode rasch unubersichtlich [15].

2.3.2

Dynamische Zuweisung

Eine andere Methode ist die dynamische Zuweisung der VLANs. Die Zuweisung passiert entweder aufgrund der MAC Adresse oder uber die 802.1X Authentizierung.

MAC-basierende VLAN Zuweisung

Diese Methode ist eine dynamische VLAN-Zuweisung, basierend auf der MAC Adresse des Clients. Dazu muss der Switch die MAC Adresse mit einer lookup table vergleichen. Dafur mussen ein oder mehrere Switches als VLAN Membership Policy Server (VMPS) deniert werden. Wird ein Client an einen anderen Port angesteckt, erkennt der Switch eine Anderung der MAC Adresse und schickt eine Anfrage an den VMPS. Dieser uberpruft automatisch die aktuelle VLAN-Zugehorigkeit, indem er diese mit einer Datenbank, welche auf einem separaten Server liegt, vergleicht. Anschlieend wird dem Port das richtige VLAN zugewiesen. Ist in der VMPS-Datenbank keine entsprechende MAC Adresse vorhanden kann der Port entweder blockiert werden, indem dieser abgeschaltet oder dem Port ein Standard VLAN zugewiesen wird. Der VMPS ist eine CISCO-propriet re Funktia on, welche in aktuellen CISCO Switches integriert ist. Allerdings kann anstelle eines VMPS f higen Switches, ein VMPS auch als Software (z.B.: OpenVMPS 2 ) auf einem Server instala liert werden. [16].

802.1X basierende VLAN Zuweisung

Eine weitere Methode um VLANs dynamisch zuzuweisen basiert auf der 802.1X Authen tizierung welche im Abschnitt 2.4 n her erl utert wird . Mochte ein Client (Supplicant) a a im Netzwerk kommunizieren, muss sich dieser zuerst uber den Switch authentizieren (Authenticator). Zu diesem Zeitpunkt werden alle anderen Pakete verworfen, lediglich Au thentizierungsmeldungen werden angenommen. Der Authenticator uberpruft uber den Authentication Server (z.B. RADIUS Server) ob der Client die erforderliche Berechtigung
Ein Campus- oder Unternehmensnetzwerk ist ein Netzwerk, welches aus verschiedenen local area networks (LANs) besteht. Dabei sind die einzelnen LANs uber Router oder Multilayer Switches miteinander verbunden und sind ublicherweise geographisch nicht weit voneinander entfernt [10]. 2 http://sourceforge.net/projects/vmps/
1

 besitzt, um sich am Netzwerk anmelden zu durfen. Am Ende der erfolgreichen Authentizierung sendet der Authentication Server eine Access-Accept-Nachricht, welche die ent sprechende VLAN-ID fur den Client enth lt und dem entsprechenden Switch Port diese a VLAN-ID zugewiesen wird. Ist keine Authentizierung moglich, kann dem Port entweder ein Standard-VLAN zugewiesen oder der Port deaktiviert werden. Die Authentizie rung gegenuber dem Authentication Server basiert im Normalfall auf Benutzername und Passwort. Ger te die dieses Protokoll nicht unterstutzen, konnen alternativ uber die MAC a Adresse authentiziert werden. Sind 802.1X und MAC Authentizierung nicht moglich, kann sich ein Client auch uber einen http Login authentizieren. So konnen zum Beispiel Gast Clients authentiziert werden, ohne Ver nderungen am Client vornehmen zu mussen a [4].

2.3.3

VLAN Trunk

Erstrecken sich VLANs uber mehrere Switches oder mussen von einem Router oder einen weiteren Switch geroutet werden (siehe Kapitel 2.1), muss ein Uplink Port als VLAN Trunk konguriert werden. Wir kein Port als VLAN Trunk konguriert, ist fur jedes VLAN ein eigener Uplink zum n chsten Routing-Ger t notwendig. Folgende Abbildung zeigt die a a schematische Darstellung eines Switches mit und ohne VLAN Trunk.

VLAN TRUNK
switchport trunk allowed vlan 10,20,30

3 seperate Uplinks fr jedes VLAN

Client VLAN 10

Client VLAN 20

Client VLAN 30

Client VLAN 10

Client VLAN 20

Client VLAN 30

Abbildung 2.3: VLAN Trunk

10

2.3.4

VLAN Routing

Wie bereits erw hnt konnen verschiedene VLANs nicht direkt miteinander kommuniziea ren, sondern mussen uber einen Router oder einen Multilayer Switch geroutet werden. Dabei konnen Routingregeln in Form von Access Control Lists (ACL) oder VLAN Maps kon guriert werden. Diese denieren, welche VLANs miteinander kommunizieren durfen, indem Pakete weitergeleitet oder verworfen werden. Access Control Lists: Access Control Lists (ACLs) regeln welche Clients bzw. IP-Bereiche miteinander kom munizieren durfen. ACLs werden ublicherweise in Router eingesetzt und sind nicht VLAN spezisch. Pakete konnen aufgrund ihrer Source IP Adresse, Destination IP Adresse und dem verwendetet Protokoll bzw. Protokoll-Port (SMTP, FTP, HTTP,...) weitergeleitet oder verworfen werden. Dabei spielt die VLAN Zugehorigkeit selbst keine Rolle. Des Weiteren werden diese ACLs einem spezischen Multilayer Switch oder Router Interface zugewiesen und unterscheiden, ob es sich um eingehenden oder ausgehenden Verkehr handelt [15]. VLAN Maps VLAN Maps dienen lediglich dazu, zwischen VLANS zu routen. Die eingehenden Pakete werden nur aufgrund ihrer IP Adresse und VLAN Zu gehorigkeit weitergeleitet. Des Weiteren werden VLAN MAPS nicht spezischen a Switch- oder Router Interfaces zugeordnet, sondern gelten fur s mtliche Pakete, die an das Routing-Ger t gesendet werden [15]. a

2.3.5

VLAN Trunk Protocol

VLAN Trunk Protocol (VTP) ist ein CISCO-propriet res Protokoll um VLANs in einem a Netzwerk (VTP-Domain) zu administrieren und zu kongurieren. Dabei tauschen die Swit ches gegenseitig ihre VLAN Informationen aus und speichern diese. Switches konnen dabei eine von drei Rollen besitzen. VTP-Server: Auf diesem Switch wird die VLAN-Konguration durchgefuhrt. Wird hier ein neues VLAN hinzugefugt, wird eine VTP-Advertisment Nachricht an alle andere Switches in der VTP Domain uber den Trunk Port weitergeleitet. VTP-Client: VTP-Clients erhalten vom Server die VTP-Advertisments und uberprufen uber die Versionsnummer, ob die enthaltenen Informationen aktueller sind als die lokal gespei cherten. Ist die enthaltene Information aktueller, ubernimmt dieser die neuen Daten in die lokale Datenbank und sendet im Anschluss ein weiteres VTP-Advertisment

11

 an die angeschlossenen Switches. Auf dem VTP-Client konnen keine VLANs manuell konguriert werden. Dieser empf ngt lediglich die VTP-Advertisments vom a VTP-Server, oder anderen VTP-Clients, uberpruft diese und leitet sie an die angeschlossenen Switches weiter. VTP-Transparent: Ist ein Switch im VTP-Transparentmodus, werden die am Switch kongurierte VLANs nicht in der VTP-Domain verbreitet. Des Weiteren werden VTPInformationen nicht in die lokale Datenbank aufgenommen. Der VTP-Transparent Switch leitet lediglich erhaltene VTP-Nachrichten an dessen angeschlossene Switches weiter. Damit die VLAN Informationen im gesamten Netzwerk propagiert werden, werden periodische (Defaultwert: 5 Minuten) Summary Advertisments Nachrichten verschickt. Dies ent halten s mtliche Informationen uber die aktuelle VLAN-Konguration. Wird ein Switch a neu gestartet, sendet dieser eine Subset Advertisment Nachricht an dessen angeschlossenen Switches, welche diese mit einer Summary Advertisments Nachrichten beantworten [17]. Folgende Abbildung zeigt den Aufbau des VTP-TAG

VTP Protocol Version

VTP Message Management Domain Type Name Lenght

Management Domain Name

VTP Field TAGMessage

VTP Header

VTP Message

Abbildung 2.4: VTP TAG

2.4

IEEE 802.1X Port basierende Authentizierung

802.1X ist ein relativ neuer Standard, welcher im November 2004 erstmals durch das Institute of Electrical and Electronics Engineers-Standards Association (IEEE-SA) standardisiert wurde [18]. Der Standard deniert eine Methode zur Port basierenden Zugangskontrolle und Authentizierung. Bevor ein Ger t im Netzwerk kommunizieren kann, muss sich diea ses authentizieren, wobei der Netzzugang uber WLAN oder einen physischen Port eines Switches erfolgen kann. Vor und w hrend dem Authentizierungsprozess werden keine a Pakete vom Client in das Netzwerk weitergeleitet lediglich Extensible Authentication Protocol over LAN (EAPOL) bzw. EAP over Wireless (EAPOW) Nachrichten werden angenommen. Nach erfolgreicher Authentizierung kann dem entsprechenden Switch Port zus tzlich ein a entsprechendes VLAN zugewiesen und Netzwerkkommunikation erlaubt werden. Wird der Client vom Netzwerk getrennt, oder meldet sich der Benutzer ab (Windows Cli12

ent) wird dieser automatisch vom Netzwerk abgemeldet und muss sich erneut authenti zieren, sobald der Client wieder Zugang zum Netzwerk benotigt. Des Weiteren muss sich der Supplicant periodisch (Defaultwert: 5 Minuten) am Netzwerk re-authentizieren [4].

2.4.1

Rollen

Beim Authentizierungsmodus existieren drei Entit ten: a Supplicant: Supplicants sind alle jene Ger te, die sich uber 802.1X am Netzwerk mit Benutzernaa me und Passwort authentizieren mussen. Dabei kann es sich um Computer, Drucker oder andere netzwerkf hige Ger t handeln. Obwohl bereits sehr viele Ger te diesen a a a Standard unterstutzen gibt es noch immer Ger te die nicht uber 802.1X authentia ziert werden konnen. Um dieses Problem zu umgehen haben die meisten Switches eine MAC-Bypass-Funktion, die dem Supplicant erlaubt, sich mittels MAC Adresse zu authentizieren. Authenticator: Der Authenticator ist der Zugangspunkt zum Netzwerk wie beispielsweise ein Switch oder WLAN Accesspoint und steht zwischen Supplicant und Authentication-Server. Solange der Supplicant nicht authentiziert ist, werden alle Pakete bis auf EAPOL Pakete verworfen und der Zugang zum Netzwerk blockiert. Die Authentizierung ndet zwischen Supplicant und Authentication-Server statt. Der Authenticator selbst hat keine Benutzerdaten gespeichert und dient lediglich als Vermittler zwischen den beiden Entit ten. a Authentication-Server: Der Authentication-Server entscheidet, ob der Supplicant berechtigt ist Zugang zum Netzwerk zu bekommen. Dieser besitzt entweder selbst eine Datenbank, welche Benutzer und Zugangsdaten beinhaltet, oder gleicht diese Daten mit einem LDAPServer und/oder Daten im Active Directory Service (ADS) von Micrsoft ab. So konnen die vorhandenen Benutzerdaten, welche zur Anmeldung an der Dom ne in a einem Client-Server Netzwerk benutzt werden, auch zur Authentizierung am Netz werk verwendet werden. Als Authentication-Server kommen uberwiegend Server die das Remote Authentication Dial In User Service (RADIUS) Protokoll verwenden zum Einsatz. Alternativ konnen auch andere Protokolle, wie z.B. das CISCO-propriet re a Protokoll TACACS+, verwendet werden [4]. Die Authentizierung zwischen Supplicant und Authenticator erfolg uber EAP-Frames (Layer 2). Wie im Abschnitt 2.4 beschrieben, werden vor und w hrend des Authentiziea rungsprozesses nur EAP Pakete angenommen. Alle anderen Pakete werden verworfen. Es

13

werden auch keine Pakete weitergeleitet. Der Authenticator nimmt nur die EAP Nachrichten an, analysiert diese und startet den Authentizierungsprozess zwischen Authenticator und Authentication-Server. Wird als Authentication-Server ein RADIUS Server verwendet, erfolgt der Authenti zierungsprozess zwischen Authenticator und Authentication-Server uber RADIUS-Pakete (siehe Abbildung 2.5), welche ublicherweise uber UDP Port 1812 versendet werden.
RADIUS Paket

Code (1 Byte)

Identifier (1 Byte)

Length (2 Byte)

Authenticator (16 Byte)

Attributes (Variable)

Identifier (1 Byte)

Length (1 Byte)

Value (Variable)

Type Values 1 2 3 4 5 6 7 8

Type Values User-Name 9 User-Password 10 CHAP-Password 11 NAS-IP-Address 12 NAS-Port 13 Service-Type 19 Framed-Protocol 24 Framed-IP-Address 25 Description

Type Values Framed-IP-Netmask 26 Framed-Routing 27 Filter-ID 28 Framed-MTU 29 Framed-Compression 32 Reply-Message 56 State 57 Class 58 Description

Description Vendor-Specific Session-Timeout Idle-Timeout Termination-Action NAS-Identifier Egress-VLANID Ingress-Filters Egress-VLAN-Name

Codes 1 2 3 4 5 11 12 13 255

Packets Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge Status-Server Status-Client) Reserved

Abbildung 2.5: RADIUS Paket, nach [3]

2.4.2

Authentizierungsprozess

Der Authentizierungsprozess wird gestartet, indem der Authenticator ein EAPRequest/Identity Frame sendet. Falls der Client kein Request vom Switch bekommt, kann dieser den Authentizierungsprozess initiieren, indem er ein EAPOL-start frame schickt. Nach dem EAP-Request/Identity Paket vom Authenticator antwortet der Supplicant mit EAP-Response/Identity. Anschlieend sendet der Authenticator ein RADIUS Paket mit dem Attribut Access-Request. Der RADIUS Server sendet dann mit einem RADIUS Access Challenge (siehe Abbildung 2.5) Paket eine Authentizierung, welche er uber den Authenticator anfordert. Im Anschluss sendet der Authenticator, je nach implementierter Authentizierungsmethode, ein EAP-Request Frame. In Abbildung 2.6 wird die Authentizierungs methode One-Time-Password verwendet. Die moglichen Authentizierungsmethoden werden im Abschnitt 2.4.3 n her erl utert. a a

14

Der Supplicant antwortet mit einem EAP-Response/OTP Frame, woraufhin der Autenticator ein RADIUS Access-Request Paket an den RADIUS Server sendet. Der RADIUS Server uberpruft, ob der Supplicant berechtigt ist, sich am Netzwerk anzumelden und sendet im Anschluss ein RADIUS Access-Accept Paket an den Authenticator. Abschlieend sendet der Switch ein EAP-Success Frame an den Supplicant, woraufhin der Client Zugang zum Netzwerk hat. Das RADIUS Access-Accept Paket enth lt ebenfalls die VLAN ID des a Clients (Attribut 56: Egress-VLANID). Dem Switch-Port wird aufgrund dieser Information das entsprechende VLAN zugewiesen. Folgende Abbildung zeigt die oben beschriebene 802.1X Authentizierung.
Catalyst switch or Cisco Router Authentication server (RADIUS)

Client

EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/OTP EAP-Response/OTP EAP-Success RADIUS Access-Request RADIUS Access-Challenge RADIUS Access-Request RADIUS Access-Accept Port Authorized EAPOL-Logoff Port Unauthorized
79551

Abbildung 2.6: 802.1X Authentizierung, Quelle: [4]

2.4.3
Wie

EAP-Authentizierungsmethoden
im oberen Abschnitt bereits erw hnt, a gibt es verschiedene EAP-

Authentizierungsmethoden. Im obigen Beispiel wurde die Methode One Time Password verwendet. Hier existiert auf beiden Seiten (Supplicant und Authenticator) eine Liste von Passwortern, welche nur einmal verwendet werden konnen. Dazu muss ein entsprechendes Sicherheits-System, z.B. von RSA Security3 , im Unternehmens-Netzwerk implementiert werden. Die meist verwendete EAP-Authentizierungsmethode, welche auch im Kapitel 3 angewendet wird, ist die Authentizierung uber das Protected Extensible Authentication Protocol (PEAP). Diese Authentizierungsmethode ist ein offenes Protokoll, welches von
3

http://www.rsa.com/

15

Microsoft, Cisco und RSA Security vorgeschlagen wurde und basiert auf der EAP-Transport Layer Security (EAP-TLS) Methode [19].

Extensible Authentication Protocol - Transport Layer Security

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) ist ein sehr sicheres aber auch aufwendiges Verfahren und wurde von der Internet Engineering Task Force (IETF) als Open Standard entwickelt. Um dieses Verfahren verwenden zu konnen, ist eine aufwendige Public Key Infrastruktur (PKI) und eine Certicate Authority (CA) notwendig, mit denen Zertikate erstellt und verteilt werden konnen.

Der RADIUS Server ubermittelt dem Client das von der CA erstellte Zertikat mit dem RADIUS Access-Challenge Paket, welches der Client auf Gultigkeit und Vertraulichkeit uberpruft. Nach erfolgreicher Prufung authentiziert sich der Client am Server uber ein weiteres Zertikat. Durch die Verwendung der zertikatsbasierenden Authentizierung ist dieses Verfahren sehr sicher. Zertikate konnen nach dem heutigen Stand der Technik nicht gef lscht werden, da diese mit einem public key signiert sind. Wird ein Zertikat ver ndert, a a andert sich die Signatur und der Empf nger erkennt diese falsche Signatur. Nach erfolga reicher Zertikatsubermittlung und Authentizierung wird ein Session-Key ausgehandelt, mit dem folgende Pakete verschlusselt werden konnen [3], [4].

Protected Extensible Authentication Protocol

Protected Extensible Authentication Protocol (PEAP) funktioniert auf ahnliche Weise wie TLS, allerdings ist nur ein Server-Zertikat notwendig. In einer Misrosoft Server-Client Infrastruktur ist die PEAP Implementierungsmethode Microsoft Challenge-Handshake Authentication Protocol (EAP-MSCHAPv2) erforderlich. Bei der RADIUS Authentizierungsnachricht wird dessen Serverzertikat mitgeschickt, welches der Client uberpruft. Der Client sendet im Anschluss seine Benutzerdaten, inklusive Kennwort, verschlusselt an den Server. Nach erfolgreicher Prufung der Daten, sendet der RADIUS Server das RADIUS Access-Accept Paket [4],[3].

2.5

CISCO Sicherheits Funktionen

Um die Zuverl ssigkeit und Sicherheit eines Netzwerkes zu gew hrleistet, bieten Herstela a ler von Netzwerk-Ger ten verschiedene Funktionen an, welche das Netzwerk vor Attacken a und falsch kongurierten oder fehlerhaften Ger ten schutzt. Die hier beschriebenen Funka tionen sind CISCO-propriet re Methoden und Protokolle, welche aber auch zum Teil in a 16

Ger ten anderer Hersteller verwendet werden. Des Weiteren bieten andere Hersteller wie a HP oder Nortel ahnliche Sicherheitsfunktionen, welche sich von den im folgenden Abschnitt beschriebenen Methoden nur gering unterscheiden.

2.5.1

Bridge Protocol Data Unit - Guard

In einem Campus-Netzwerk werden Switches aus Redundanzgrunden mehrfach miteinander verbunden. So ist gew hrleistet, dass beim Ausfall einer Verbindung der Switch, a uber einen zweiten Uplink, mit einem anderen Switch kommunizieren kann. Damit es bei der Verwendung von mehreren Uplinks zu keiner Schleifenbildung kommt, muss das Spanning-Tree Protokoll (STP) aktiviert werden. Dazu werden vom Switch Bridge Protocol Data Units (BPDUs) versendet und nicht verwendete Uplinks deaktiviert um Schleifenbil dung zu verhindern. Allerdings konnten BPDUs auch von Clients im Netzwerk versendet werden und so einen benotigten Switch Port deaktivieren. Um dies zu verhindern haben CISCO-Switches den sogenannten BPDU Guard implementiert, welcher auf Access-Ports aktiviert wird. Wird auf diesem Port ein BPDU registriert, wird dieser Port fur eine gewisse Zeit deaktiviert [1].

2.5.2

Dynamic Host Conguration Protocol - Snooping

Eine groes Problem in Netzwerken sind fremde Dynamic Host Conguration Protocol (DHCP) Server. Haben Clients im Netzwerk keine statische IP Adresse, sendet dieser ein DHCPDISCOVER Frame an die MAC Broadcast Adresse. Ein oder mehrere DHCP Server antworten mit einem DHCP-OFFER. Der Client reagiert auf das erste DHCP-OFFER und antwortet jenem DHCP Server mit einem DHCP-REQUEST Frame. Abschlieend weist der DHCP Server uber ein DHCP-ACK Frame eine IP Adresse, sowie die Gateway Adresse und DNS Server Adresse zu. Benden sich ein fremder DHCP-Server im Netz (rough DHCP Server) und antwortet dieser schneller als der eigentliche DHCP-Server, weist dieser dem Client falsche IP Adressen zu. Dies kann dazu fuhren, dass der Client nicht im Netzwerk kommunizieren kann. Diese Methode kann aber auch dazu verwendet werden, dem Client falsche DNS Server- oder Gateway Adressen, aber richtige IP Adressen zu vergeben. So kann ein Angreifer s mtlichen gerouteten Verkehr, vor allem Internet Verkehr des Clients uber einen a fremden Server leiten, der z.B. Passworter oder ahnliche vertrauliche Daten speichert. Eine andere DHCP-Attacke ist das sogenannte DHCP Server ooding. Ein Client sendet dabei so viel DHCP-Requests, bis der gesamte IP Adressen Pool des Servers aufgebraucht ist. Senden andere Clients ein DHCP Request, bekommen diese keine IP Adressen zugewiesen und konnen nicht im Netzwerk kommunizieren.

17

 Diese Attacken konnen mittels DHCP-Snooping verhindert werden. Dazu muss DHCP Snoo ping global am Switch und fur jedes VLAN konguriert werden. Die einzelnen Access-Ports mussen im Anschluss noch als no ip dhcp snooping trust (nicht vertrauenswurdig) oder ip dhcp snooping trust (vertrauenswurdig) konguriert werden. Jener Access-Port, an dem ein (echter) DHCP-Server angeschlossen ist, wird als vertrauenswurdig konguriert. Alle an deren Access-Ports als nicht vertrauenswurdig. Um DHCP Server ooding zu verhindern, kann an den nicht vertrauenswurdigen Ports ein DHCP Request Limit pro Sekunde konguriert werden [15],[1].

2.5.3

Dynamic ARP Inspection

Eine weitere g ngige Netzwerk-Attacke ist das sogenannte ARP Spoong [5]. Bevor ein a Client Daten an einen anderen Client senden kann, benotigt dieser die MAC Adresse des Empf ngers, bzw. die MAC Adresse des n chsten Routing-Ger tes, wenn der Empf nger a a a a nicht in der selben Broadcast-Domain ist. Dazu sendet dieser Absender ein ARP-Request an die Broadcast MAC Adresse FF:FF:FF:FF:FF:FF. Der Empf nger oder das Routing Ger t a a antwortet mit einer ARP-Nachricht, welche unter anderem die Empf nger IP Adresse und a MAC Adresse enth lt. Der Sender sendet im Anschluss die Daten an die empfangene a MAC Adresse. Beim ARP-Spoong senden Angreifer ARP-Pakete mit falscher IP/MAC Adressenkombination und geben sich so als ein anderer Client aus. Wird DHCP Snooping aktiviert, kann zus tzlich DAI aktiviert werden. Der Switch speia chert so die MAC Adresse des Clients und die vom DHCP-Server zugewiesene IP Adresse in einer lokalen Datenbank und verhindert, dass Clients ARP - Nachrichten mit falscher IP/MAC Adressenkombination senden [20],[1].

2.5.4

Storm Control

Broadcast und Multicast Pakete werden in der gesamten Broadcast-Domain verbreitet. Jeder Switch und jeder Client im Netzwerk verarbeitet diese Broadcast Nachrichten, daher wird neben den Netzwerkverbindungen auch die CPU jedes Switches und Clients in der Broadcastdomain belastet. Dies kann von Angreifern verwendet werden, um das Netzwerk und die Clients mit einer hohen Anzahl von Broadcast pro Sekunde zu belasten. Dies kann soweit gehen, dass Switches mit der Verarbeitung der Broadcast Nachrichten ausgelastet sind und einen Groteil der anderen Datenpakete verwerfen. Um dies zu verhindern, kann der Anteil der Broadcasts gegenuber der Gesamtkapazit t des a Switch-Ports, oder uber die maximale Anzahl von Paketen pro Sekunde, begrenzt werden, in dem die Funktion Storm Control fur Broadcast, Multicast und Unicast Pakete am AccessPort aktiviert wird.

18

Die Auswirkung von Broadcasts und Storm Control auf das Netzwerk werden im praktischen Teil im Kapitel 3.3 analysiert.

2.5.5

Port Security

Durch die Funktion Port Security kann an einem Access-Port deniert werden, welche MAC Adressen am Port erlaubt sind. So kann verhindert werden, dass sich nicht bekannte Clients mit dem Port verbinden. Des Weiteren kann auch die Anzahl der MAC Adressen pro Port beschr nkt werden, womit verhindert wird, dass an einem Switch Port ein weiterer, a moglicherweise fremder Switch, betrieben werden kann [9], [13].

2.6

Hochverfugbarkeit von Gateways

Damit Clients mit anderen IP-Netzen, wie zum Beispiel dem Internet oder anderen VLANs kommunizieren konnen, benotigen diese die IP Adresse des n chsten Routers, dem sogea nannten Gateway. F llt dieser Gatewayrouter aus, konnen Endger te nicht dynamisch auf a a den Ausfall reagieren, indem beispielsweise ein anderer Gatewayrouter gew hlt wird. a

2.6.1

Hot Standby Router Protocol

Das von CISCO entwickelte Hot Standby Router Protocol (HSRP) ist ein Verfahren um Hoch verfugbarkeit in IP-Netzwerken zu schaffen und wird meist im Core- oder Distribution Be reich implementiert (siehe Kapitel 2.2). HSRP lost das Gateway Problem, indem zwei oder mehrere Router mit jeweils einer IP Adresse und einer MAC Adresse, aber identischen Routingtabellen, zu einer HSRP Gruppe zusammengefugt werden und sich gemeinsam eine virtuelle IP- und MAC Adresse teilen. Beim erstmaligen Aktivieren der HSRP Gruppe ndet ein election-process statt, indem al le Ger t HELO-Nachrichten an die Multicast Adresse 224.0.0.2 uber UDP-Port 1985 sena den. Der Router mit der hochster Priorit t wird der aktive Router und erh lt die virtuelle a a MAC Adresse, das Ger t mit der zweithochsten Priorit t wird der Standby Router. Nach a a dem election-process werden HSRP-Nachrichten periodisch nur zwischen dem Aktiv- und Standby-Router ausgetauscht. F llt der aktive Router aus, da dieser keine HSRP-Pakete a mehr sendet, wird der Standby-Router zum Aktiv-Router und erh lt die virtuelle MAC a Adresse. Der election-process wird erneut durchgefuhrt, um einen neuen Standby-Router zu ermitteln. Durch HSRP ist gew hrleistet, dass beim Ausfall eines Routers keine downtime entsteht. a Das Gateway ist nur fur die Dauer des eingestellten Zeitintervalls der periodischen HSRP-

19

Nachrichten kurzzeitig nicht erreichbar. Daher sollte das Zeitintervall nicht zu gro eingestellt werden. Da HSRP Nachrichten nur zwischen Standby und Aktiv-Router ausgetauscht werden, kann das Zeitintervall im Sekundenbereich liegen [15].

2.6.2

Virtual Router Redundancy Protocol

Wie bereits erw hnt ist HSRP ein CISCO-propriet res Protokoll. Alternativ kann auch das a a nicht CISCO-propriet re Virtual Router Redundancy Protocol (VRRP) verwendet werden, wela ches ein von der Internet Engineering Task Force (IETF) standardisiertes Protokoll (RFC 2338) ist. Beide, HSRP und VRRP basieren auf dem gleichen Prinzip. Der wesentliche Unterschied besteht darin, dass VRRP einen Master-Router und einen oder mehre BackupRouter besitzt ( hnlich Aktiv-Router und Standby-Router). Nach dem election-process sena det nur der aktive Master-Router VRRP-Pakete an alle HSRP-Ger te. Werden keine VRRPa Nachrichten mehr empfangen, wird einer der VRRP-Backup-Router zum aktiven-Router. Ist der ursprungliche Master-Router wieder aktiv, wird dieser zum aktiven-Router [15], [5]. Auch durch VRRP ist gew hrleistet, dass beim Ausfall eines Routers, keine downtime enta steht.

20

Kapitel 3

Planung und Entwurf eines Campus-Netzwerkes

Im folgenden Abschnitt wird die Planung und Umsetzung eines Campus-Netzwerkes, welches den aktuellen Standards hinsichtlich Sicherheit, Qualit t und Performance entsprea chen soll, durchgefuhrt. Das hier dargestellte Szenario entspricht einem realen Projekt ei ner Firma, welche aufgrund von datenschutzrechtlichen Grunden anonym bleiben mochte und daher im folgenden Kapitel als Muster GmbH bezeichnet wird.

3.1

Ausgangssituation

Die Muster GmbH ist starken, saisonalen Schwankung unterworfen. Folgende Tabelle zeigt die Anzahl der verschiedenen Clients im Netzwerk. Client Arbeitsstationen Drucker Server WLAN AP Geb udesteuerung a Sonstiges Gesamt Anzahl 250 (Saison 350) 70 (Saison 90) 30 20 (nur fur Mitarbeiter WPA gesichert) 30 50 ca. 450 (Saison 570)

Tabelle 3.1: Anzahl Clients im Netzwerk

Die aktuelle Netzwerkinfrastruktur besteht aus einem Core Bereich mit einem Core Switch (HP-Catalyst 4500 Serie) und 20 Access Standorten (HP Catalyst, verschiedene Modelle), welche direkt, oder uber einen anderen Access Switch, uber einen Lichtwellenleiter-Uplink 21

 (LWL-Uplink) aber auch zum Teil uber eine Kupfer-Uplink (Cu-Uplink) mit dem Core Switch verbunden sind. Abbildung 3.1 visualisiert das bestehende Netzwerk. Das Netzwerk ist nicht in VLANs segmentiert, somit benden sich s mtliche Ger t in einer Broada a cast Domain.

100 Mbit Uplink

Servers 21-30

1 Gb

it Up

link

...
Switch 1 Switch 2 Switch 3 Switch 19 100 Mbit Uplink

Servers 1-20

Switch 4

Switch 5

Switch 20

Abbildung 3.1: Netzwerk Muster GmbH, Ausgangssituation

Des Weiteren gibt es im Unternehmen Bereiche die offentlich zug nglich und daher nur a schwer kontrollierbar sind. W hrend der Saison sind ebenfalls viele Partnerrmen und a kurzfristig angestellte Personen im Haus, die mit privaten Ger ten (Notebooks) Zugang a zum Internet uber das Firmennetzwerk haben.

3.2

Netzwerkplanung

Wie in der Einleitung beschrieben, umfasst das Thema Netzwerksicherheit s mtliche Maa nahmen, um den sicheren Betrieb in einem IT-Netzwerk zu gew hrleisten. Dies bedeutet, a dass es nicht ausreicht, sich nur vor Bedrohungen wie Hackern oder Viren zu schutzen. Das Netzwerk muss so entworfen sein, dass sichergestellt ist, dass das Netzwerk zu jeder Zeit verfugbar ist und keine Ressourcenprobleme bei erhohtem Bandbreitenbedarf existieren.

22

3.2.1

Erstellung eines Kriterienkatalog

Wird ein Netzwerk neu geplant ist es vorher notwendig, die Anforderungen an das Netzwerk in Form eines Kriterienkatalog zu denieren, um bei der Planung des Netzwerkes selbst auf entsprechende Daten zuruckgreifen zu konnen. Bei der Erstellung eines Kriteri enkatalogs ist darauf zu achten, dass so viele Aspekte wie moglich berucksichtigt werden.

Analysieren und Messen des bestehenden Netzwerkes

Wird ein bestehendes Netzwerk erweitert oder abgelost, sollte der Netzwerkadministrator das bestehende Netzwerk analysieren, Messungen durchfuhren und die Ergebnisse in den Kriterienkatalog einieen lassen. Performance-Schw chen sollten ebenfalls einieen wie a Ausf lle und Grunde der Ausf lle. Zur Analyse der Performance gibt es auf dem Markt eia a ne Vielzahl von Software und Ger ten, welche dafur geeignet sind. Eine mogliche Software a ist das Tool Cacti1 . Diese Software wird unter der GNU General Public License2 veroffentlicht und kann somit frei verwendet und ver ndert werden. Cacti ist ein Web-Frontend fur das a RRDTool von Tobias Oetiker3 , welches unter anderem uber das Simple Network Management Protocol (SNMP)[13], [5], die momentane Auslastung einer Netzwerkschnittstelle auslesen und darstellen kann. Das Ergebnis liefert eine grasche Darstellung der Netzwerkauslas tung einer oder mehreren Netzwerkschnittstellen uber einen gewissen Zeitraum. Bei Windows-Clients kann unter anderem die Netzwerkauslastung oder Prozessorauslas tung uber den Performance Monitor direkt am Client aufgezeichnet werden. Auch andere Netzwerkger te wie Switches oder Server bieten meist ahnliche Moglichkeiten, um die a momentane Netzwerkauslastung in Echtzeit darzustellen und zu protokollieren.

Zukunftige Anwendungen und Skalierbarkeit

Ein neues IT-Netzwerk in einem Unternehmen muss auch fur zukunftige Anforderungen gewappnet sein. Die IT-Technologie ist st ndigen Ver nderungen und Erneuerungen una a terworfen und stellt immer wieder neue Anforderungen an das Netzwerk. Es ist daher notwendig mogliche zukunftige Anwendungen, die uber das Firmen-Netzwerk kommu nizieren zu berucksichtigen. Da es schwierig ist in die Zukunft zu blicken, konnen solche Anforderungen uber Befragung bzw. Gespr che mit den verantwortlichen Abteilungs- oder a Bereichsleiter ermittelt werden. Mogliche Anwendungen w ren z.B.: a Einfuhrung von IP-Telefonie (VoIP)
1 2

http://www.cacti.net http://www.gnu.org 3 http://www.mrtg.org/rrdtool/

23

 Einfuhrung einer Intranet Webseite mit Videoinhalten Geb ude/Raumuberwachung mit IP-Kameras a Fl chendeckendes WLAN und Stromversorgung der Accesspoints uber Power over a Ethernet (PoE) Einfuhrung eines Electronic Documentmanagement-System (DMS) Da aufgrund der schnellen Ver nderungen im IT-Bereich nicht alle Eventualit ten a a berucksichtigt werden konnen, ist es notwendig, das Netzwerkkonzept skalierbar zu ge stalten. Das Netzwerk muss mit dem Unternehmen mitwachsen konnen. Beispielsweise sollten Verbindungen so ausgelegt werden, dass zus tzliche Switches oder andere Netza werkger te an die bestehende Verkabelung angeschlossen werden konnen, ohne die Pera formance der bestehenden Ger te zu verringern. Auch diese Anforderungen mussen in a den Kriterienkatalog einieen.

IT-Sicherheit
Netzwerksicherheit muss bereits in der Designphase berucksichtigt werden und in den Anforderungskatalog mit einieen. Ziel ist nicht wie, bzw. mit welcher Technologie die Netzwerksicherheit schlussendlich umgesetzt wird, sondern welche Sicherheitsmanah men gesetzt werden mussen, um die sich im Netzwerk bendlichen Ger te vor Angriffen a zu schutzen und die Kommunikation zu gew hrleisten. Auch hier ist eine Risikoanalyse a notwendig. Zu viele Sicherheitsmechanismen konnen die Kosten und den Aufwand fur das Netzwerkmanagement und den IT- Betrieb im Allgemeinen erheblich erhohen. Mochte man beispielsweise eine Netzwerkauthentizierung mittels 802.1X [18] realisieren, (siehe Kapitel 2.4) sind oft neue Server und neue Software notwendig. Fuhrt man eine auf MAC Adressen basierende Authentizierung ein, mussen dem Netzwerkadministrator s mtlich a im Netz bendlichen MAC Adressen bekannt und zugeordnet sein. Auch VLANs (siehe Kapitel 2.3) tragen einen wesentlichen Anteil zur Netzwerksicherheit und Netzwerkperfor mance bei. Diese mussen bei der Netzwerkplanung und im Kriterienkatalog berucksichtigt werden. Folgende Auistung zeigt moglich Anforderungen an ein Netzwerk bezuglich ITSicherheit: Netzwerkauthentizierung Aufteilung der Netze in VLANs Schutz vor Angriffen von innen (DHCP-Flooding 2.5.2 , ARP-Spoong 2.5.3, BroadcastStorms 2.5.4 ) Verhindern fremder DHCP-Server 2.5.2 Aufgrund der oben genannten Punkte wurde folgender Kriterienkatalog erstellt: 24

 Netzwerkmanagement zentrale Konguration, Wartung und Uberwachung proaktive Administration Ausfallsicherheit, Wiederherstellung Gew hrleisten der Ausfallsicherheit (Hochverfugbarkeit) durch: a Zwei redundanten Core Switches Wegeredundante LWL-Anbindung der Access Switches Absicherung der Switches durch unterbrechungsfreie Stromversorgung (USV) T gliche Sicherung der Switches Kongurationen auf redundante Server a Erstellung eines disaster & recovery Protokolls IT-Sicherheit Implementierung von VLANS Netzwerk - Authentizierung physikalische Absicherung der Standorte Monitoring und Reporting Schutz vor internen Angriffen wie ARP-Spoong, Broadcast-storms, falschen DHCP-Server,...) Dokumentation und Erstellung einer Netzwerk-Policy Performance, Funktionalit t a Access-Switches: 48 Ports, 1Gbit, PoE , 2 x 1Gbit LWL Uplink Core-Switches: 48 Cu-Ports, 1Gbit, PoE 48 LWL-Ports, 1Gbit 12 LWL-Ports, 10Gbit Implementierung von VLANS Skalierbarkeit Vorbereitung und Einplanung von Redundanzen in den Bereichen Core-Bereich: Moglichkeit den Core-Switch zu erweitern Access-Bereich: Moglichkeit Standorte durch zus tzliche Switches zu erweitern a Zukunftige Anwendungen Vorbereitung der Infrastruktur fur folgende (mogliche) Systeme: IP-Telefonie (VoIP), Video-Telefonie 25

 Videouberwachung uber IP Geb ude-Zutrittssystem uber IP a Austausch der bestehenden Serverlandschaft Folgende Anwendungen werden in naher Zukunft implementiert und mussen bei der Planung des Netzwerkes berucksichtigt werden: ERP (Electronic Resource Planning) DMS (Dokument Management System) Intranet-Seite

3.2.2

Risikoanalyse

Da das Unternehmensnetzwerk heutzutage die Basis der Firmenkommunikation wie Emails, IP-Telefonie oder Datenaustausch ist, ist es notwendig das Netzwerk so zu konzipieren, dass es zu keinem Ausfall kommt. Eine 100 prozentige Ausfallsicherheit ist aller dings nicht moglich, da nicht alle Eventualit ten erkannt und abgesichert werden konnen a und der Aufwand bzw. die Kosten hoher sein konnen als der eigentliche Nutzen. Ein Unter nehmen muss fur sich Kosten und Nutzen fur verschiedene Bereiche des Betriebs abw gen a und anhand dieser denieren, wo Redundanzen zur Ausfallsicherheit eingebaut werden sollten. Einige Technologien zur Erhohung der Ausfallsicherheit werden im Kapitel 2 behandelt. Die folgende Beschreibung der Ist-Situation und der Quantizierung des Risikos basiert auf der Erfahrung des Netzwerkadministrators und dem IT-Verantwortlichen. Um das Ri siko detaillierter absch tzen zu konnen, w re es notwendig, auf Daten bisher aufgetretener a a F lle zuruckgreifen zu konnen, um die Eintrittswahrscheinlichkeit zu berechnen und die a Ausfallzeit von Server, Clients und die damit verbundenen Standzeit von Mitarbeitern in Kosten pro Stunde ausdrucken zu konnen. Diese Daten stehen allerdings in der Muster GmbH nicht zu Verfugung. Um das Risiko einstufen zu konnen, wurden die ermittelten F lle in einem Matrixdiaa gramm eingetragen (siehe Abbildung 3.2). Dabei wird auf einer Achse das Schadensausma (Kosten) und auf der anderen die Eintrittswahrscheinlichkeit aufgetragen. Je weiter oben-rechts der eingetragene Fall ist, desto hoher ist das Risiko.

26

Ausfallschutz (unzureichende Absicherung vor Stromschwankungen)

ho ko isi sR he
Angriffe aus dem Netzwerk
(Denial of Service Attaken)

Eintretenswahrscheinlichkeit

Monitoring (nicht erkennen defekter/falsch konfigurierter Gerte)

ko isi sR re tle iit m ko isi sR ge rin ge

Schadensausma (Kosten)

Ausfall Access Switch Ausfall Core Switch Performanceproblem

(fehlende VLANs, Broadcasts, Uplink Geschwindigkeit)

Abbildung 3.2: Risikoanalye - Matrix

3.2.3

Beschreibung der Ist-Situation und Quantizierung des Risikos

Ausfall Access Switch Access-Switches sind uber nur eine LWL-Leitung mit den Core Switch verbunden. Bei einem defekten Uplink haben die Access-Switches und somit alle angeschlossen Clients keine Verbindung mehr zu den Servern. Auswirkung: Stillstand der Gesch ftsprozesse a ermitteltes Risiko: hohes Risiko Ausfall Core Switch Im Rechenzentrum ist nur ein Core Switch vorhanden. F llt dieser aus, ist das gea samte Firmen-Netzwerk stillgelegt. S mtliche Netzwerkkommunikation ist folglich a unmoglich. Es dauert mehrere Stunden, bis zu einigen Tagen, bis das Netzwerk wieder zu 100 Prozent einsatzf hig ist. a Auswirkung: Stillstand aller Gesch ftsprozesse a ermitteltes Risiko: hohes Risiko Angriffe aus dem Netzwerk G ste die sich an das Netzwerk anschlieen, sind nicht vom internen Netzwerk aba gegrenzt. Betriebsfremde Personen konnen mit genugend Know-How unerlaubt auf Clients und Daten zugreifen. 27

Aufgrund fehlender Sicherheitsmanahmen ist das Netzwerk nicht vor Attacken wie ARP-Spoong, DHCP-Flooding oder Broadcast-Storms geschutzt. Auswirkung: Datendiebstahl vertraulicher Dokumente moglich, Zerstorung von Daten, Ausfall und Performanceeinbuen des Netzwerkes. ermitteltes Risiko: hohes Risiko Ausfallschutz Die Access Switches sind vor Stromausfall und Stromschwankungen NICHT durch unterbrechungsfreie Stromversorgungsger te (USVs) geschutzt. Bei Stromproblemen a fallen Access Switches aus oder werden besch digt. a Auswirkung: Stillstand von Gesch ftsprozessen a ermitteltes Risiko: hohes Risiko Monitoring Nur durch manuelle Uberprufung (Rundgang im Geb ude) kann uberwacht werden a ob fremde Ger te im Netzwerk h ngen. Fremde Ger te sind potentielle Angreifer a a a und konnen zu groen Performanceproblemen und Ausfallzeiten fuhren. Auswirkung: Verlangsamung und Stillstand der Gesch ftsprozesse a ermitteltes Risiko: mittleres Risiko Performance Zus tzliche Ger te und immer groer werdende Datenbanken belasten das Netza a werk immer mehr. Das Netzwerk ist unstrukturiert und nicht in VLANs unterteilt. Broadcasts werden im gesamten Netzwerk weitergeleitet, was zu Performanceverlus ten fuhrt. Auswirkung: Verlangsamung von Gesch ftsprozessen a ermitteltes Risiko: geringes Risiko

3.2.4

Planung

Aufgrund des Anforderungskataloges und der Risikoanalyse wurde das im Folgenden Abschnitt beschriebene Netzwerk entworfen und implementiert. Es wurden durchgehend Produkte von CISCO (Marktfuhrer im Bereich Switchprodukte [21]) verwendet, da diese s mtliche denierten Kriterien wie Sicherheit, Skalierbarkeit und Performance erfullen. a

Core und Distribution Bereich

Im Core Bereich werden zwei redundante Multilayer Core Switches aus der Catalyst 4600 Serie eingesetzt, welche uber HSRP (siehe Kapitel 2.6) miteinander verbunden sind. Die ser kann mit verschiedenen Modulen, sogenannte LINE-Cards, bestuckt werden. Somit ist gew hrleistet, dass das Netzwerk skalierbar bleibt und gegebenenfalls erweitert werden a 28

kann. Core-Switches der Catalyst Serie verfugen uber genugend Performance und umfassen s mtliche Features, um alle denierten Kriterien zu erfullen. Des Weiteren besitzen diea se genugend Reserven um auf zukunftige Anforderungen reagieren zu konnen. Der Core Switch ist mit Gigabit-LWL Modulen (Access-Switch Uplinks), Gigabit-Kupfer Modulen (Server Uplink) und TenGigabit-LWL Modulen (Server Uplink) bestuckt. Des Weiteren verfugen die Core Switches uber redundante Netzteile. Aufgrund der geringen Groe und Ausdehnung des Netzwerkes wird auf die Verwen dung eines eigenen Distribution Bereichs verzichtet. Die Core Switches haben genugend Leistung, um die Aufgaben von Core und Distribution Switch zu erfullen (siehe Kapitel 2.2).

Access Bereich
Im Access Bereich werden Switches der Catalyst 3560 Serie verwendet. Dies sind Multi layer Gigabit Switches welche zus tzlich uber Pover over Ethernet (PoE) Ports verfugen. a So konnen in Zukunft WLAN Accesspoints und IP-Telefone uber das Netzwerkkabel mit Strom versorgt werden. Alle Access Switches sind redundant uber zwei Glasfaser-Leitungen mit den Core Switches verbunden und konnen optional mit vier TenGigabit-LWL Modulen bestuckt werden. Des Weiteren ist jeder Access Switch uber eine USV vor Stromausf llen und Stromschwana kungen geschutzt.

Konguration
Um die Netzwerksicherheit zu gew hrleisten wurden folgende Sicherheitsmanahmen ima plementiert: 802.1X Authentizierung Jedes Ger t im Netzwerk muss sich am Netzwerk authentizieren. Dazu wird die a im Kapitel 2.4 beschriebene Port Authentizierung verwendet. Als AuthenticationServer wird ein Cisco Secure Access Control Server Express eingesetzt, welcher ebenfalls redundant ausgefuhrt ist. Sicherheitsfeatures Auf den Access Switches werden die im Kapitel 2.5 beschriebenen Sicherheitsfeatures aktiviert: BPDU Guard 29

 DHCP Snooping Storm Control Port Security Dynamic ARP Inspection (DAI) wird vorerst nicht eingesetzt, da sehr viele Ger te a statische IP Adressen besitzen. Eine nachtr gliche Aktivierung von DAI wird nach a der vollst ndigen Implementierung und nach einer Evaluierung des laufenden Netza werkbetriebes gepruft. Folgende Abbildung zeigt den Aufbau des neuen Netzwerkes.

ACS

1 Gbit Uplink 100 Mbit Uplink

Servers 21-30

1G bit

Up lin

10 G b

it Up

link

Servers 1-20

...
Switch 1 Switch 2 Switch 20

1 Gbit Uplink

Abbildung 3.3: Netzwerk Muster GmbH

VLANS
Des neue Netzwerk wir in folgende VLANS unterteilt.

30

VLAN ID 9 30 50 60 70 80 98 99 101 200

Bereich Server Bankomat Geb udesteuerung a Technik VoIP Drucker WLAN Management Netzwerk Management Clientnetz G stenetz a

Tabelle 3.2: VLANs

3.3

Simulierter Broadcast Storm Angriff

Im folgenden Abschnitt wird ein Broadcast Storm Angriff durchgefuhrt, welcher die Wichtigkeit von Netzwerksicherheit und Netzwerkdesign - am Beispiel des CISCO Sicherheitsfeatures Storm Control (siehe Kapitel 2.5.4 ) - in einem Campus-Netzwerk zeigen soll.

3.3.1

Labor-Aufbau

Abbildung 3.4 zeigt den Labor Aufbau fur den simulierten Broadcast Storm Angriff. Uber Client 1 und 2 werden die Auswirkung von Broadcastnachrichten auf Clients aufgezeichnet, indem die Netzwerkauslastung und CPU-Auslastung aufgezeichnet werden. Des Weiteren wird uber diese beiden Clients, w hrend des simulierten Angriffes, die a Ubertragungsrate eines TCP Datenverkehrs aufgezeichnet. Client 3 und Client 4 senden Daten an die Broadcastadresse. Dies wurde mit dem Programm iPerf (Version 2.0.2) durchgefuhrt, indem UDP Pakete an die Adresse 255.255.255.255 gesendet wurden. Da das Senden von Broadcasts die Rechner-CPUs (Intel Dual-Core i7) sehr stark belastet, kann der verwendete Client eine maximale Bandbreite von ca. 700 Mbit/s erzeugen. Der Access-Port und die Uplinks zum Core-Switch haben eine maximale Bandbreiten von 1000 Mbits/s, daher werden zwei identische Clients zum Erzeugen der Broadcastpakete eingesetzt um das Netzwerk moglichst hoch zu belasten. Clients 1 bis 4 benden sich im selben VLAN 101 und Storm Control wird auf den Switch Ports der Clients 3 und 4 deaktiviert. Auf dem Switch Port der Monitoring-Clients (Client 1 & 2) ist Storm Control aktiviert (siehe Abbildung 3.4). Gleichzeitig werden CPU- und Interface-Auslastung des Core Switches und des Access Switch 1 mit dem Programm Cacti (siehe Kapitel 3.2.1) aufgezeichnet. Dabei wird in 131

Minutenabst nden die momentane Auslastung des Switch Interfaces in Mbit/s und die a durchschnittliche CPU-Auslastung in % der vergangenen 5 Minuten aufgezeichnet. Da nicht die momentane CPU-Auslastung aufgezeichnet wird, steigt und sinkt die CPU Aufzeichnung ahnlich einer eulerschen Funktion.

Laboraufbau - Broadcastanalyse

Client4
Broadcastssource VLAN 101 Interface GiE 0/4
oa Br as dc t

Broadcastssource Interface GiE 0/3

Bro ad cas t

Client2
Monitoring VLAN 101 Interface GiE 0/2

1 Gbit Uplink Interface GiE1/1

Client3

...
Uplin 1 Gbit k

Client1
Monitoring VLAN 101 Interface GiE 0/1

Switch 1

Switch 20

interface GigabitEthernet0/1 switchport access vlan 101 switchport mode access storm-control broadcast level 5.00 ! interface GigabitEthernet0/2 switchport access vlan 101 switchport mode access storm-control broadcast level 5.00 ! interface GigabitEthernet0/3 switchport access vlan 101 switchport mode access ! interface GigabitEthernet0/4 switchport access vlan 101 switchport mode access ! interface GigabitEthernet1/1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 91,98,99,101,200 switchport mode trunk

Abbildung 3.4: Aufbau Broadcastanalyse

3.3.2

Auswirkung von Broadcasts

Auslastung Access Switch

Wie erwartet, werden Broadcasts im gesamten VLAN 101 weitergeleitet. Wie in Abbildung 3.5 ersichtlich, steig die Netzwerkauslastung nach dem Start der Broadcasts (Zeitpunkt 12:30) an s mtlichen Ports welche im VLAN 101 sind. Neben der Netzwerkauslastung, a steigt auch die CPU Auslastung erheblich auf eine Auslastung von ca. 60 %. Zum Zeitpunkt 12:30 (siehe Graken 3.5) wurde auf den am Access Switch Storm Control aktiviert (Cisco command: storm-control broadcast level 5.00). Wie in der Abbildung ersichtlich, gehen Interface-Auslastung und CPU-Auslastung unmittelbar zuruck.

32

Abbildung 3.5: Auslastung Interface GiE0/1 und Switch-CPU am Access Switch

Des Weiteren ist ersichtlich, dass Storm Contol nur eingehende Broadcasts uberwacht, da an Client 1 s mtliche Broadcast Nachrichten weitergeleitet werden, obwohl am entsprechena den Switchport Storm Control aktiviert wurde.

Auslastung Core Switch

Da Broadcast Nachrichten bereits an den Ports der Access Switches begrenzt werden sollten, wurde Storm Control an den Uplinks am Core Switch nicht aktiviert. Daher werden auch dort die Broadcast-Nachrichten an s mtliche Switch-Ports im VLAN 101 weitergea leitet. Wie in der folgenden Abbildung ersichtlich, steigen CPU-Auslastung und Netzwerkauslastung nach dem Start des simulierten Broadcast-Storm Angriffes gleichzeitig an (Zeitpunkt 12:10). Nach dem Aktivieren von Storm Control an den Access Ports (Zeitpunkt 12:30), sinken beide wieder auf den ursprunglichen Wert. Da der verwendete Core Switch (CISCO Catalyst 4500 Serie) leistungsst rker als der Access-Switch ist und uber zwei CPUs a verfugt, erhoht sich die CPU-Auslastung nicht so stark wie bei den Access Switches (siehe Abbildung 3.6).

Abbildung 3.6: Auslastung Interface GiE0/1 und Switch-CPU am Core Switch

33

Auslastung Clients
Wie bereits beschrieben, wird uber die Clients 1 und 2 die Auswirkung von Broadcast auf Clients im Netzwerk ermittelt. Empfangene Broadcast Nachrichten mussen von jedem Client verarbeitet werden, was sich neben der Netzwerkauslastung auch auf die CPU des Clients auswirkt. Folgende Daten wurden mit dem in Windows 7 integrierten Performance Monitor aufgezeichnet und visualisiert. Wie in Abbildung 3.7 ersichtlich, verhalten sich CPU und Netzwerkauslastung nahezu identisch.

Abbildung 3.7: Auslastung Netzwerk-Interface und CPU am Monitoring Client (Client1) Abbildung 3.8 zeigt die Transferrate zwischen Client 1 und 2 w hrend des Broadcast-Storm a Angriffes. Dabei wurde die verfugbare Bandbreite ebenfalls mit der Software iPerf gemessen, indem 10 TCP-Streams zwischen den beiden Clients erzeugt wurden. Folgende Abbildung zeigt die durchschnittliche Bandbreite w hrend des Angriffes. a

Abbildung 3.8: iperf Messung: Transferrate w hrend Broadcast-Storm Angriff a

Zeitpunkt 0.0- 19.0 sec 20.0- 39.0 sec 40.0- 60.0 sec

Durchschnittliche Transferrate TCP 896 Mbits/s 82,4 Mbits/s 0-2 Mbits/s

Beschreibung Transferrate bei keinen Broadcasts von Client 3&4 Transferrate w hrend Broadcast-Storm von Client 3 a Transferrate w hrend Broadcast-Storm von Client 3&4 a

Tabelle 3.3: Transferrate w hrend Broadcast-Storm Angriff a 34

3.3.3

Erkenntnis

Das Netzwerk kann uber Broadcasts sehr schnell und einfach komplett uberlastet werden. Dies hat zur Folge, dass die restliche Netzwerkkommunikation nahezu unmoglich wird. Des Weiteren sind s mtliche Clients in der Broadcast-Domain mit der Verarbeitung der a Broadcast zus tzlich besch ftigt. Kleinere Ger te mit weniger leistungsf higen CPUs, wie a a a a Bankomatterminals oder Sensoren zur Geb udesteuerung, konnen dadurch komplett ausa fallen. Aus diesem Grund ist es wichtig, Storm Control an allen Access-Ports zu aktivieren, um diese Effekte zu verhindern. Des Weiteren konnen die Auswirkungen von Broadcast durch die Unterteilung des physischen Netzwerkes in VLANs eingeschr nkt werden. Speziell bei Multimediaanwendungen a ist es oft notwendig Videostreams uber Multicasts zu verteilen. Daher ist es wichtig, diese Daten in ein eigenes VLAN zu geben, damit sich diese Broadcasts oder Multicasts nicht im gesamten Netzwerk ausbreiten.

35

Kapitel 4

Zusammenfassung und Ausblick

Das Design eines Netzwerkes und die implementierten Sicherheitsfeatures haben unmittelbare Auswirkungen auf die Performance des Netzwerkes und die Sicherheit der gesamten IT-Infrastruktur. Indem im Core- und Distributionbereich redundante Switches verwen det werden, die uber z.B. HSRP miteinander verbunden sind, kann ein kompletter Netzwerkausfall verhindert werden. Des Weiteren kann bei Wartungsarbeiten ein redundanter Switch ohne Performanceeinbuen vom Netz getrennt werden. Die Broadcast Storm Simulation hat gezeigt, wie einfach ein Netzwerk angegriffen werden kann. Ist das Netzwerk ungenugend abgesichert, kann bereits mit wenig Know-How das komplette Netzwerk so uberlastet werden, dass keine Kommunikation mehr moglich ist. Dabei muss nicht immer von einem Angreifer ausgegangen werden. Defekte Netzwerkkar ten oder falsch kongurierte Ger te im Netzwerk konnen, den selben Effekt wie Angreifer a haben. Allerdings kann, wie im Kapitel 2 beschrieben, ein Campus-Netzwerk mit der rich tigen Konguration relativ einfach vor solchen Angriffen geschutzt werden. Durch die Authentizierung uber 802.1X kann der Zugriff bereits am Netzwerk eingeschr nkt werden und Angreifer daran hindern, unbefugt auf Clients oder Daten zuzua greifen. Diese Sicherheitsfunktion sollte ein wesentlicher Bestandteil in jedes Netzwerkes werden. Zwar ist die Implementierung verh ltnism ig aufwendig, da zus tzliche Ger te a a a a und erheblicher Kongurationsaufwand notig sind, allerdings ist der Nutzen sehr hoch. Sollen z.B. G ste das Firmen-Internet verwenden durfen, konnen diese uber die Porta Authentizierung einem entsprechenden VLAN zugewiesen werden, damit andere Netzwerkbereiche nicht beeinussen werden. Die in dieser Arbeit behandelten Bereiche zum Thema Netzwerksicherheit sind allerdings nur ein kleiner Teil des gesamten Themas Netzwerksicherheit. Wie bereits in der Einleitung beschrieben umfasst dieses Thema s mtliche Manahmen zur Planung, Ausfuhrung und a Uberwachung, um den sicheren Betrieb in einem Netzwerk zu gew hrleisten. Soll ein Netza

36

 werk so sicher wie moglich sein, muss davon ausgegangen werden, dass ein Angreifer die Netzwerkauthentizierung uberwinden kann. Alle technischen Manahmen wie Authen tizierung mit Passwortern, redundante Ger te und Verschlusselungen sind wirkungslos, a wenn Mitarbeiter nicht entsprechend geschult werden. Viele Unternehmensnetzwerke wer den durch leichtfertig aufbewahrte (aufgeschriebene) Passworter oder leichtgl ubige Mita arbeiter gehackt [5]. Ein vollst ndiger Schutz einer Unternehmensinfrastruktur bedeutet, neben dem Netzwerk a auch alle anderen Bereiche abzusichern, wie z.B.: Absicherung der Server, Schutz vor Da tendiebstahl, Verschlusselung s mtlicher Kommunikation, richtiger Konguration der Fia rewalls und die Schulung der Mitarbeiter. Jedes Ger t im Netzwerk kann als Glied einer Kette angesehen werden. Angreifer nutzen a s mtliche Schw chen einer Infrastruktur aus, daher ist ein Unternehmensnetzwerk nur so a a stark, bzw. so sicher, wie dessen schw chstes Glied. a

37

Literaturverzeichnis
[1] Bill Chadwick. Principles of Secure Network Design. Technical report, Cisco Systems, Inc., 2008. [2] Cisco Systems, Inc. Inter Switch Link and IEEE 802.1Q Frame Format. http://www.cisco.com/application/pdf/paws/17056/741_4.pdf (20.04.2011), 2006. [3] Microsoft. Radius packet format. http://technet.microsoft.com/en-us/library/cc958030.aspx (01.05.2011), 2011. [4] Cisco Systems, Inc. Conguring IEEE 802.1X Port-Based Authentication. http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/ configuration/guide/dot1x.pdf (20.04.2011). [5] W. Lewis, W. Lewis, Inc Cisco Systems, and Cisco Networking Academy Program. CCNP 3: multilayer switching companion guide. Cisco Networking Academy Program series. Cisco Press, 2004. [6] Statistik Austria. Haushalte mit internetzugang 2010. http://www.statistik.at/web_de/statistiken/informationsgesellschaft/ikteinsatz_in_unternehmen_e-commerce/index.html (23.04.2011), 2010. [7] Statistik Austria. Unternehmen mit internetzugang 2003 bis 2010. http://www.statistik.at/web_de/statistiken/informationsgesellschaft/ikteinsatz_in_unternehmen_e-commerce/index.html (23.04.2011), 2010. [8] Lobmeier. Pressemeldung - funffaches datenwachstum durch video und mobile

dienste bis 2013 erwartet. http://www.cisco.com/web/DE/presse/meld_2009/06-15-2009-visualnetworking-index-bandbreite-ip-datenverkehr.html (10.04.2011), 2009. [9] T. Lammle. CCNA R - Cisco R Certied Network Associate study guide. Serious skills. Wiley, 2007. [10] P. Oppenheimer. Top-down network design. Networking Technology Series. Cisco Press, 2004. 38

[11] Cisco Systems, Inc. High Availability Campus Network Design - Routed Access Layer using EIGRP or OSPF. http://www.cisco.com/application/pdf/en/us/guest/netsol/ns432/c649/ ccmigration_09186a00805fccbf.pdf (16.04.2011), 2005. [12] Z. Naseh and H. Khan. Designing content switching solutions. Networking Technology Series. Cisco Press, 2006. [13] Enterasys Networks Deutschland GmbH. Network soluions guide 2009. Book, 2009. [14] IEEE. Standard for local and metropolitan Area Networks: Virtual Bridged Local Area Networks. http://standards.ieee.org (01.05.2011), 2005. [15] S. Wendzel and J. Plotner. Praxisbuch Netzwerk-Sicherheit: Risikoanalyse, Methoden und Umsetzung. Galileo Press, 2007. [16] Cisco Systems, Inc. Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controller Conguration Example. http://www.cisco.com/application/pdf/paws/71683/dynamicvlan-config.pdf (01.05.2011), 2009. Document ID: 71683. [17] Cisco Systems, Inc. Understanding VLAN Trunk Protocol (VTP). http://www.cisco.com/application/pdf/paws/10558/21.pdf Document ID: 10558. [18] IEEE. Standard for Local and metropolitan area networks : Port-Based Network Access Control. http://standards.ieee.org (01.05.2011), 2010. [19] Arunesh Mishra and William A. Arbaugh. An initial security analysis of the ieee 802.1x standard. Technical report, Departement of Computer Science, UNiversity of Maryland, 2002. 2002. [20] Gereon Ruetten and Oliver Stutzke. Angriff von innen - Technik und Abwehr von ARP-Spoong-Angriffen. http://www.heise.de/security/artikel/Augenzeuge-271322.html 2005. [21] http://www.tecchannel.de/netzwerk/news/457310/idc_europaeischer_markt_ fuer_switches_legt_ordentlich_zu/ (08.05.2011), 2006. (01.04.2011), (05.05.2011), 2007.

39