bluebay2014 - Fotolia

Hyper-V: Der DHCP-Wächter und erweiterte Funktion für die Netzwerksicherheit

Um eine virtuelle Umgebung unter Hyper-V zu schützen, können Sie einige erweiterte Sicherheitsfunktionen wie den den DHCP- und Router-Wächter nutzen.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Als Microsoft Windows Server 2012 veröffentlichte, unterzog der Hersteller Hyper-V einer Generalüberholung – und fügte Windows Server 2012 R2 weitere Verbesserungen hinzu. Unter den Neuerungen für Hyper-V waren einige erweiterte Netzwerkfunktionen, die die Sicherheit erhöhen sollen, zum Beispiel der DHCP-Wächter und der Router-Wächter.

Die erweiterten Netzwerkfunktionen werden auf VM-Ebene angewendet, und zwar pro virtuellem Netzwerkadapter (Virtual Network Interface Card, vNIC). Sie können auf diese Einstellungen vom Hyper-V-Manager aus zugreifen, indem Sie mit der rechten Maustaste auf eine virtuelle Maschine (VM) klicken und im Kontextmenü den Befehl Einstellungen wählen.

Danach öffnet Windows das Einstellungsfenster für die VM. Nun erweitern Sie das aufklappbare vNIC-Menü der virtuellen Maschine und wählen anschließend den Eintrag Erweiterte Funktionen aus. Wie das Ganze aussieht, zeigt der Screenshot in Abbildung 1. Wenn die VM mehrere vNICs enthält, verfügt jede über eine eigene Option für die erweiterten Funktionen.

Zwei der erweiterten Funktionen, mit denen Sie sich etwas näher beschäftigen sollten, sind der DHCP-Wächter (Dynamic Host Configuration Protocol) und der Router-Wächter. Beide sind in Abbildung 1 (DHCP guard und Router guard) zu sehen. Bei diesen Funktionen handelt es sich um Schutzmechanismen, die dazu gedacht sind, eine VM gegen nicht autorisierte Netzwerkservices abzusichern.

Abbildung 1: Die erweiterten Funktionen werden pro vNIC verwaltet.

So funktioniert der Router-Wächter

Der Router-Wächter kann zum Beispiel verhindern, dass eine VM als Router fungiert, was Ihre virtuellen Netzwerke schützen kann, falls das Betriebssystem der VM kompromittiert wurde. Oberflächlich betrachtet mag diese Funktion nur begrenzt hilfreich erscheinen. Schließlich gehen die meisten Hacker nicht so vor, dass sie VMs in Router verwandeln – obwohl dies bereits passiert ist. Trotzdem hat der Router-Wächter seine Berechtigung.

Nehmen Sie einmal an, dass eine bestimmte VM Routingdienste für mehrere virtuelle Netzwerke zur Verfügung stellt. Oft enthalten solche VMs virtuelle Netzwerkadapter, die nicht direkt in den Routing-Prozess eingebunden sind. Diese virtuellen Netzwerkadapter könnten für Management-Traffic oder ähnliche Zwecke genutzt werden. Obwohl eine solche virtuelle Maschine Routingfunktionen ausführen muss, würde üblicherweise der Netzwerk-Traffic nicht über ein Management-Netzwerk geroutet. Von daher könnte ein Administrator den Router-Wächter für das Management-Netzwerk aktivieren, um zu verhindern, dass es als Routing-Pfad missbraucht wird.

Zugegeben, die Routing- und Remote-Access-Dienste beginnen nicht plötzlich damit, ohne Grund Traffic über ein Management-Netzwerk zu routen. Deshalb sollte sich das Verhalten der VM nicht ändern, wenn man den Router-Wächter für ein Management-Netzwerk aktiviert. Der Router-Wächter dient lediglich als zweite Verteidigungslinie für den Fall, dass ein Administrator unbeabsichtigt eine Konfigurationsänderung vornimmt, die das Management-Netzwerk in den Routing-Prozess einbezieht, oder der Router kompromittiert wird.

Wenn Sie sich fragen, was der Router-Wächter denn eigentlich macht: Seine Aufgabe besteht darin, Router-Advertisements und Umleitungsnachrichten zu verwerfen. Insbesondere entfernt der Router-Wächter die folgenden Pakettypen:

ICMPv4 Typ 5 (Umleitungsnachricht)

ICMPv4 Typ 9 (Router-Advertisement)

ICMPv6 Typ 134 (Router-Advertisement)

ICMPv6 Typ 137 (Umleitungsnachricht)

Weitere Informationen über den Router-Wächter finden Sie auf der Website des Microsoft Developer Network (MSDN).

Der DHCP-Wächter als zweite Verteidigungslinie

Um die Funktion des DHCP-Wächters zu verstehen, benötigt man ein wenig mehr Hintergrundwissen. Falls Sie jemals einen Windows-basierten DHCP-Server bereitgestellt haben, wissen Sie, dass es zum Deployment-Vorgang gehört, den neuen DHCP-Server auf Active-Directory-Ebene zu autorisieren. Dadurch ist es dem Active Directory möglich, zwischen einem legitimen DHCP-Server und einem Rogue-DHCP-Server zu unterscheiden. Das Problem besteht allerdings darin, dass ein DHCP-Server, der nicht unter Windows läuft, funktionieren kann, ohne dass er auf Active-Directory-Ebene autorisiert werden muss. Somit kann der DHCP-Wächter als zweite Verteidigungslinie gegen nicht autorisierte DHCP-Server fungieren. Sofern aktiviert, verhindert diese Einstellung, dass eine VM als DHCP-Server arbeitet. Es existiert Malware, die einen Rechner in einen DHCP-Server verwandelt. Der DHCP-Wächter kann eine solche Malware unschädlich machen.

Darüber hinaus lässt sich mit dem DHCP-Wächter auch ein legitimer DHCP-Server einschränken. Wenn Sie beispielsweise nicht wünschen, dass ein DHCP-Server IP-Adressen in einem bestimmten Netzwerksegment zur Verfügung stellt, können Sie den DHCP-Wächter für diese vNIC aktivieren.

Der in Hyper-V integrierte Router-Wächter und DHCP-Wächter sollen virtuelle Maschinen vor nicht autorisierten Netzwerkservices schützen. Dennoch empfiehlt Microsoft generell, diese Funktionen nicht standardmäßig, sondern nur bei Bedarf zu aktivieren, weil damit eine leichte Beeinträchtigung der Performance verbunden ist.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Erweiterungen für virtuelle Switches in Hyper-V erhöhen Switch-Funktionalität.

Extern, Intern und Privat: In Hyper-V virtuelle Switches richtig konfigurieren.

Sicherheitsrechte in Hyper-V richtig verwalten.

Tools und Tipps zur Verbesserung der Netzwerk-Performance mit Hyper-V.

Artikel wurde zuletzt im November 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close