Sicherheitsfunktionen von LAN-Edge-Switches: Switch ACLs und Filtern von Port-Traffic

Moderne Edge-Switches bieten leistungsfähige Sicherheitsfunktionen wie ACLs, das Filtern von Port-Traffic und die Einrichtung von VLANs.

Dieser Artikel behandelt

Firewalls

Große wie kleine Organisationen geben viel Geld für intelligente Edge-Switches aus, die deutlich mehr zu bieten...

haben als nur grundlegende Konnektivität – nur um anschließend doch kaum mehr zu nutzen als ein paar Basis-Funktionen. Zu den am häufigsten übersehenen Funktionen der LAN-Edge-Switches gehören die Sicherheitsfunktionen, inklusive der Absicherung auf Port-Ebene und der Access-Control-Listen (ACLs) auf Switch-Ebene.

Die ACLs von LAN-Edge-Switches können als wichtiger Baustein für einen tiefer reichenden Schutz dienen. Wie im Fall der ACLs von Routern und Firewall können auch ACLs auf Switch-Ebene den Traffic filtern oder den Zugriff über den jeweiligen Port verwehren. Zwar bedeutet ein Ausreizen dieser Funktion einerseits mehr Arbeit. Doch andererseits lassen sich dadurch die Anzahl von Richtlinien an anderer Stelle und damit auch der Umfang des dortigen Datenverkehrs potenziell reduzieren, was zu besserer Performance beiträgt. ACLs von LAN-Edge-Switches können zudem etwas, was ACLs an anderer Stelle nicht können: Sie helfen dabei, Edge-Geräte gegeneinander abzuschotten.

Wie ACLs von LAN-Edge-Switches funktionieren

Die Funktionsweise von ACLs ist relativ einleuchtend: Sie können verwendet werden, um eine Aktion zu identifizieren, festzustellen, welche Art von Traffic davon betroffen ist (das Objekt der Aktion) und die involvierten Quellen und Ziele ermitteln.

  • Aktion: Die Optionen beschränken sich hier meist auf die Weiterleitung von Paketen („Permit“) oder ein Verhindern des Durchgangs („Deny“).
  • Objekt: Wenn ein Switch über ACLs verfügt, dann gibt es mindestens drei Möglichkeiten: All IP-Traffic, All TCP-Traffic und All UDP-Traffic. Viele Switches bieten eine Filterung pro Port für TCP und auch für UDP. So können Sie zum Beispiel SSL-Traffic zulassen, NFS jedoch blockieren.
  • Quelle und Ziel: Diese können stets in Form von IP-Adressen oder IP-Bereichen angegeben werden (wie bei einer Basisadresse und Maske). Unter Umständen können Sie auch MAC-Adressen und EtherType-Daten verwenden.

Beachten Sie die Verschmelzung der Informationen der Schichten 2 (MAC-Adresse), 3 (IP-Adresse) und 4 (TCP/UDP-Ports) in den ACLs. Diese Fähigkeit, auf verschiedene Traffic-Layer zu achten und zu reagieren, ist das, was intelligente Switches erst wirklich intelligent macht.

ACLs werden sequentiell verarbeitet: Der Traffic wird mit jeder einzelnen Regel von oben nach unten abgeglichen, bis die passende gefunden ist; anschließend wird die entsprechende Aktion ausgeführt. Um zum Beispiel einen Switch nur für den Fall nutzbar zu machen, dass ein Thin-Client, der über eine Citrix XenApp/XenDesktop-Farm läuft, auf den Port zugreift, könnte die zugehörige ACL in etwa so aussehen (Annahme: Das Rechenzentrumsnetz ist unter 192.168.100.000 mit der Maske 000.000.000.255 erreichbar):

  • Permit TCP any 192.168.100.000 000.000.000.255 Port 1494
  • Permit TCP 192.168.100.000 000.000.000.255 Any Port 2598
  • Permit TCP any 192.168.100.000 000.000.000.255 Port 1494
  • Permit TCP 192.168.100.000 000.000.000.255 any Port 2598
  • Deny any any

Die Ports 1494 und 2598 sind die primären Ports, die ICA – das Thin-Clientprotokoll von Citrix – verwendet. Traffic in Richtung Rechenzentrum über einen beliebigen IP-Knoten, der an den Switch angebunden ist oder vom Rechenzentrum zu einem beliebigen Knoten am Switch, der über die angegebenen TCP-Ports läuft, darf den Switch in Richtung Edge- oder Uplink-Ports passieren.

Security-Funktionen intelligenter Edge-Switches: Unterstützung von VLANs und Port-Verwaltung

ACLs sind längst nicht die einzige Sicherheitsfunktion intelligenter Edge-Switches. Jeder smarte Switch unterstützt auch VLANs. Während ACLs sich hervorragend zum Verwalten des Zugriffs auf spezielle Adressen oder Anwendungen eignen, sind VLANs eine eher robuste Methode, Gruppen von Ports zu bilden und den Traffic zwischen diesen Gruppen zu steuern. Zusätzlich sind noch viele weitere Sicherheitseinstellungen möglich (je nach Anbieter und Serie), um beispielsweise Broadcast-Storms zu kontrollieren oder die MAC-Adressen einzugrenzen, mit denen ein Port kommuniziert.

Nehmen wir an, dass es in Ihren Büros keinen geschäftlichen Grund dafür gibt, PCs (oder Macs) direkt miteinander kommunizieren zu lassen, weil sämtliche Services direkt aus dem Rechenzentrum heraus bereitgestellt werden. Um eine schnelle und direkte Verbreitung von Viren von Maschine zu Maschine zu verhindern, können Sie die Edge-Switches dann so konfigurieren, dass diese die Kommunikation der Ports untereinander blockieren. Es gibt diverse Möglichkeiten dies umzusetzen:

  • Sie können es mittels ACLs umsetzen:
    •  Permit IP any 192.168.100.000 000.000.000.255
    • Permit IP 192.168.100.000 000.000.000.255 any
    • Deny IP any 192.168.000.000 000.000.255.255
    • Deny IP 192.168.000.000 000.000.255.255 any
    • Permit IP any any
  • Sie können es auch über VLANs lösen, indem Sie jeden Port in einzelnes VLAN legen und die VLANs nicht über den Switch hinaus bekannt machen.
  • Ebenso können Sie auch noch andere Einstellungen nutzen, wie zum Beispiel das Markieren aller Edge-Ports auf einem Cisco-Switch als „protected“ oder durch Verwendung der „Port-Isolation“-Funktion auf HP ProCurve Switches.

Das manuelle Verwalten von ACLs (wie auch der übrigen Sicherheitseinstellungen auf Ihren Switches) ist relativ einfach, wenn Sie nur einige wenige Switches besitzen. Je mehr Sie besitzen, umso wichtiger wird es, eine „goldene“ Standard-Konfiguration beizubehalten und Tools für automatisierte Konfiguration sowie deren Pflege und Überwachung einzusetzen.

Über den Autor: John Burke ist Principal Research Analyst von Nemertes Research, wo er den Fokus auf Software-orientierte Architekturen und Verwaltung legt. In seine Tätigkeit als Analyst bringt er seine Erfahrungen als IT-Experte und als Führungskraft ein. So kennt er die Bedürfnisse von IT-Managern und die Herausforderungen, die Geschäfte mit ihnen für Produkt-Anbieter mit sich bringen. Seine Karriere begann an der Johns Hopkins University, wo er die technische Fakultät bei der Nutzung von Computern in Lehre und Forschung unterstützte. Es folgte System- und Netzwerk-Administration am College of St. Catherine in Minnesota und zuletzt eine Führungsposition im Bereich Sprache, Daten, Desktops und System-Management an der University of St. Thomas, die ihren Sitz ebenfalls in St. Paul hat.

Artikel wurde zuletzt im März 2010 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close