1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Angriff auf Zentralbank…

Wie ist das mit den Switches gemeint?

  1. Thema

Neues Thema


  1. Wie ist das mit den Switches gemeint?

    Autor: gelöscht 25.04.16 - 17:14

    Keine VLANS oder wie?
    Oder Port-Security? (Dürfte für einen Hack aber nicht Relevant sein)

    Was macht einen Switch geeignet für "Professionelle Netze"? Der Preis? (Cisco?)
    Denn VLANs etc. findet man auch bei billig Switches.

  2. Re: Wie ist das mit den Switches gemeint?

    Autor: drsnuggles79 25.04.16 - 17:17

    ich vermute keine VLANs. billige unmanaged switches haben keine VLAN funktionalität.

  3. Re: Wie ist das mit den Switches gemeint?

    Autor: Moe479 25.04.16 - 17:37

    eingebauter zugriff für die nsa natürlich, wenn schon unsicherheit, dann wenigstens professionelle ... ^^

  4. Re: Wie ist das mit den Switches gemeint?

    Autor: smueller 25.04.16 - 17:48

    Snoozel schrieb:
    --------------------------------------------------------------------------------

    > Was macht einen Switch geeignet für "Professionelle Netze"? Der Preis?

    Nein eigentlich eher Zuverlässigkeit, Security und Features würd ich mal behaupten...

  5. Re: Wie ist das mit den Switches gemeint?

    Autor: tingelchen 25.04.16 - 18:17

    Ich nehme an du meinst folgendes?
    > Außerdem verwendete die Bank billige Netzwerk-Switches, die nicht für den Betrieb in
    > professionellen Umgebungen vorgesehen sind.
    >
    Billig ist etwas blöde ausgedrückt. Ich denke es sind hier einfache Unmanaged Switches verwendet worden/gemeint. Normal nutzt man in einem professionellen Netzwerk nur Managed Switches.

    Diese bieten einem umfangreiche Möglichkeiten um die einzelnen Ports zu konfigurieren. Damit zum einen nicht einfach jeder ein Gerät an einen Port anstecken kann, als auch mehr Kontrolle über den Datenfluss über den Switch zu haben. Die meisten dieser Funktionalitäten findet man aber auch schon in preiswerteren Managed Switches.

    Es ist aber nicht unbedingt unprofessionell Unmanaged Switches ein zu setzen. Oft brauch man einfach nur weitere Ports, die weniger mit der Client <-> Server Kommunikation zu tun haben. Unprofessionell wird es erst, wenn man auf die Möglichkeiten von Managed Switches verzichtet :) An zentralen Knotenpunkten oder bei Switches die mit Ports von Dosen verbunden sind, sollte man schon Managed Switches verwenden :)

  6. Re: Wie ist das mit den Switches gemeint?

    Autor: gelöscht 25.04.16 - 20:54

    > Nein eigentlich eher Zuverlässigkeit, Security und Features würd ich mal
    > behaupten...

    Welche wären denn die Features die gegen Hackerangriffe wirken?
    Mir fallen da nur VLANs ein und das abschotten kritischer Bereiche.
    Zuverlässigkeit ist für den Angriff nicht relevant, und andere Features wie Port Security etc. auch nicht.

  7. Re: Wie ist das mit den Switches gemeint?

    Autor: gelöscht 25.04.16 - 21:04

    > Ich nehme an du meinst folgendes?

    Ja.

    > Billig ist etwas blöde ausgedrückt. Ich denke es sind hier einfache
    > Unmanaged Switches verwendet worden/gemeint. Normal nutzt man in einem
    > professionellen Netzwerk nur Managed Switches.

    Selbst billige Netgear Switche sind inzwischen Managebar, und haben VLAN Support, QoS etc..
    Deswegen wundert mich die Relevanz der Switche überhaupt bei dem Thema, selbst wenn sie unmanaged sind - für einen Angriff spielt das keine Rolle.
    Das Problem war die fehlende Firewall sowie das nicht abschotten wichtiger Netzsegmente - was auch passieren könnte wenn man diese alleine an einen "billigen" Switch hängt und den Uplink weg lässt.
    Dieses pauschale Hauen auf billige Switche passt irgendwie nicht, es fehlte wohl eher komplett am Netzwerkdesign.

  8. Re: Wie ist das mit den Switches gemeint?

    Autor: eliazTeez7 25.04.16 - 21:29

    Ich denke es geht wirklich um billige Switche. Wenn man einem billigen Switch vorgaukeult hinter einem Port wären jede Menge MAC-Adressen geht er in den Hub Modus über. Und das bedeutet ab diesem Zeitpunkt kann der gesamte netzwerktraffic von auf dem Switch begutachtet werden. Vorher sieht man halt nur den treffic der zu den MACs am Port passt. Somit kann viel abgefangen werden. Zum Beispiel packete welche an den Server gehen sollen.

    Izum Hub wird der Switch weil der MAC-Table vollläuft. Ich meine bei professionellen Geräten schaltet der Switch lieber ab oder routet nicht gleich alles auf alle Ports.

  9. Re: Wie ist das mit den Switches gemeint?

    Autor: _shiny_ 25.04.16 - 21:44

    VLANs wird hier warscheinlich gemeint sein, als Basis Schutz. Und hätte vermutlich einiges schwerer gemacht.

    Zusätzlich gibts noch 802.11x Authentifizierung für Lokale Port Security. (nur trusted devices / user über Zertifikat)
    DHCP Snooping, damit nicht jemand deinen Client wohin redirected.
    Switch Access Control Lists. (Also kl. Portfilter auf Switchebene)
    Zentrales Logging an syslogserver / SIEM Systeme -> Damit kann man anomalien erkennen

    @eliazTeez7 -> MacFlooding ist sehr laut. Den Hubmodus bekommt in dieser umgebung ein Admin vermutlich mit (zwecks performance), die haben warscheinlichh ein 16/er Netz mit 100Mbit Broadcast im Idle Betrieb laufen :) -> Arp Poisoning ist hier die einfachste und effektivste Attacke

  10. Re: Wie ist das mit den Switches gemeint?

    Autor: JouMxyzptlk 25.04.16 - 23:56

    Snoozel schrieb:
    --------------------------------------------------------------------------------
    > Keine VLANS oder wie?

    Die meisten Switche von sinnvollen Herstellern blockieren Pakete mit VLAN Tags by default. Selbst bei Geiz-ist-Geil Switche kommt das langsam an.
    Deshalb dreht sich das inzwischen um: Einige Switche haben "VLAN Transparency" explizit in ihrer Beschreibung, z.B.: PoE Switch für WLAN's, bei dem das Gast-WLAN in einem anderen VLAN ist . Siehe Allied Telesis AT-FS708/POE http://www.alliedtelesis.com/p-2101.html als Beispiel.

    > Denn VLANs etc. findet man auch bei billig Switches.

    Ich bevorzuge immer noch physikalische Trennung statt VLAN.
    Die Zeit die es kostet VLAN(s) zu konfigurieren kann schnell den Preis eines weiteren Switches erreichen, dann isses Billiger sich den VLAN Kram zu schenken und eben Physikalisch zu trennen. Ist für den Kunden dann auch einfacher im handling.

    Ultra HD ist LOW RES! 8K bis 16K sind mein Metier.

  11. Re: Wie ist das mit den Switches gemeint?

    Autor: tingelchen 26.04.16 - 01:40

    Bis es dann an den Router geht :) Es ist billiger dem Netzwerkport mit VLAN's zu bestücken als dem Ding eine Multi Port Karte zu spendieren.

    Jedoch ist hier eine generelle Aussage nicht zu treffen und muss spezifisch getroffen werden. Getrennte Switches mögen einfacher sein. Je nach Fall kann es aber teurer sein mehrere Unmanaged Switches zu kaufen, anstatt eben fix die Ports eines Switches in VLAN's zu unterteilen :)

    Soviel Zeit nimmt das nun echt nicht in Kauf. Bei meinem Switch geht das in wenigen Minuten und alle 24 Ports sind konfiguriert :)

  12. Re: Wie ist das mit den Switches gemeint?

    Autor: serra.avatar 26.04.16 - 09:09

    na dann schau halt mal was nen 10¤ Switch dir an Sicherheitsfeatures so bietet ;p Die halten ja nichtmal Skript Kiddies ab.

  13. Re: Wie ist das mit den Switches gemeint?

    Autor: chefin 26.04.16 - 13:35

    Billige Switche akzeptieren jede IP am Port. VLAN ist kein Billigswitch, jedoch muss er eine Bridgefunktion mitbringen um ins Internet zu kommen.

    Stell dir die Struktur mal so vor:
    192.168.1.x sind die Kassen-PCs
    192.168.2.x sind die Transaktions-geräte
    192.168.3.x sind die Manager
    192.168.4.x Sind die Server

    VLAN kann nur statisch über die IP-range filtern. Keines der Subnetze könnte auf jeweils das andere zugreifen. Aber die Kassen-PC müssen auf genau einen Transaktionsserver zugreifen können. Dort muss das VLAN bridgen, um genau diese Verbindung doch zu erlauben. Oder sie wollen auf ihren Server zugreifen, der nur Intern erreichbar ist. Gegenüber dem Internetgateway müssen einige durchkommen, aber nur auf dieses. VLAN lässt nur IPs an diesem Port zu die im VLAN stehen. Und bridged nicht, filtert auch nicht. So kann ich einfach die IP am Gerät ändern um als Server aufzutreten, solange ich im selben Subnet bleibe. Managed Switche lassen an einem Port aber solch eine IP garnicht zu. Oder ich ordne meinem Rechner alle IPS des Subnetzes zu, übermittel das an den Switch und der schickt mir alle Daten dieses VLAN/Subnetzes. Weil er eben nicht weis, das ich kein nachgeschalteter Switch bin sondern ein Endgerät. Und erzähl mir nicht, das Switche sowas nicht zulassen. Jedes Vhost Gerät in rechenzentren wird genau darüber erreicht. Am PC liegen dann 20 interne IPs an, aber der Host selbst hat nur eine und fungiert softwäremässig als Switch mit einem WAN-Port (und vielen Virtuellen Ports).

    Du siehst, das mit den Cisco und das die Geld kosten hat schon auch einen Hintergrund und einen Sinn.

  14. Re: Wie ist das mit den Switches gemeint?

    Autor: JouMxyzptlk 26.04.16 - 18:02

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Billige Switche akzeptieren jede IP am Port.

    Falsche Aussage.

    > VLAN ist kein Billigswitch,
    > jedoch muss er eine Bridgefunktion mitbringen um ins Internet zu kommen.

    Passt auch nicht.

    > Stell dir die Struktur mal so vor:
    >
    > VLAN kann nur statisch über die IP-range filtern.

    Diese Aussage ist unglaublich falsch. VLAN ist ein Tag am Ethernetpaket welche unabhängig von TCP/IP ist, man kann es auch mit IPX/SPX, NETBeui und selbstgebasteltem machen.
    VLAN's können auch "untagged" aufgebaut werden, hat dann aber immer noch nichts mit IP zu tun.

    > Keines der Subnetze
    > könnte auf jeweils das andere zugreifen. Aber die Kassen-PC müssen auf
    > genau einen Transaktionsserver zugreifen können.

    Das ist die Aufgabe einer Firewall und nicht die eines Switches. Und die Firewall legt fest wer mit wem über welche Port sprechen kann, ggf. auch auf Mac-ebene gefiltert. Das kann sogar so weit gehen dass es nur als Portforwarding bzw statischen NAT gemacht wird und nicht direkt als Routing, so dass die Kassen "scheinbar" die Firewall im eigenen Subnetz ansprechen, und nicht den Server dahinter im anderen Subnetz. Dann muss die Kasse nicht mal wissen welche IP-Range auf der anderen Seite ist.

    Sorry, du hast hier gezeigt dass du noch lernen musst.

  15. Re: Wie ist das mit den Switches gemeint?

    Autor: tingelchen 26.04.16 - 18:28

    Ich schlage vor du schaust noch einmal nach was ein VLAN ist :)

    Wie schon erwähnt hat das absolut nichts mit TCP oder UDP zu tun. Sondern mit Interfaces. Ein VLAN bekommt eine ID. Anhand dieser ID können die Netzwerkstacks die Pakete einem bestimmten Interfaces zuordnen.

    Aber Vorsicht. Die ID ist nicht zwingend. Bei einem Switch kann man das VLAN auch dazu nutzen um die Ports des Switches in vollständig entkoppelte Netze auf zu teilen. Dann brauch man die ID nicht. Die Pakete sind "untagged". Switches die VLAN Fähig sind, bieten einem allerdings auch an, das ein Interface an mehreren VLAN's gekoppelt ist. Taggen muss man die Pakete dann immer noch nicht. Wenn man allerdings die Trennung aufrecht erhalten will (z.B. für echtes Routing), dann lässt man den Switch die Pakete markieren.

    Gutes Beispiel dafür wäre z.B. wenn man einen Router mit 2 Ports hat (WAN eth0, LAN eth1), aber mehrere entkoppelte Netzwerke (z.B. 2 Firmen). Dann wird jede Firma in 1 VLAN gestopft (Firma A VLAN ID 10, Firma B VLAN ID 20) und am Router richtet man für eth1 2 virtuelle Interfaces ein. eth1.10 für Firma A und eth1.20 für Firma B.

    Der Switch (24 Ports) wird so eingerichtet das die Ports 1 bis 10 zu VLAN10 (untagged) gehören und die Ports 11 bis 20 zu VLAN20 (untagged). An Port 24 hängt der Router und hängt in beiden VLAN's. Der Switch markiert dann die Pakete und der Router kann die Pakete den jeweiligen Interfaces zuordnen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe
  2. Department Head (m/w/d) IT-Services
    IHP GmbH - Institut für innovative Mikroelektronik, Frankfurt (Oder)
  3. Resident Engineer (m/w/d)
    Delta Energy Systems (Germany) GmbH, Großraum Stuttgart
  4. Digital Process Spezialist:in
    enercity AG, Hannover

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. basierend auf Verkaufszahlen


Haben wir etwas übersehen?

E-Mail an news@golem.de