moisseyev - Fotolia
Welche Sicherheitsfunktionen bietet ein virtueller Switch?
Bei einem virtuellen Switch können Administratoren Richtlinien erstellen und erzwingen. Es lassen sich MAC-Adressen blockieren und gefälschter Traffic aufhalten.
Virtuelle Switches, wie sie zum Beispiel in VMware-Plattformen erstellt werden, bieten eine Reihe an nützlichen Sicherheitsfunktionen.
Richtlinien erstellen und erzwingen
Das Erstellen von Richtlinien ist eine Netzwerk-Security-Funktion, die Administratoren virtueller Umgebungen vielleicht nicht kennen. Bei physischen Switch-Ports gibt es keine Einblicke in die Konfiguration der damit verbundenen Netzwerkkarten. virtuelle Switches können hingegen die Konfiguration von virtuellen Netzwerk-Ports auslesen, die mit ihnen verbunden sind. Deswegen haben Administratoren die Möglichkeit, Richtlinien zu erstellen und zu erzwingen. Das wirkt sich natürlich positiv auf die Sicherheit aus.
Zum Beispiel kann ein virtueller Switch verhindern, dass eine Gast-VM ihre MAC-Adresse (Media Access Control) ändert. Das ist oftmals ein Hinweis auf bösartige Aktivität.
Der sogenannte Promiscuous-Modus ist für virtuelle Maschinen per Standard deaktiviert. Wird der Promiscuous-Modus aktiviert, können die virtuellen Maschinen sämtlichen Unicast Traffic sehen, der durch einen virtuellen Switch fließt. Aus Sicht der Sicherheit ist das ein unerwünschter Zustand. Deswegen ist der Promiscuous-Modus per Standard deaktiviert, damit die jeweilige VM auch nur die Daten sehen kann, die sie sehen soll. Die Sicherheitsrichtlinie für den Promiscuous-Modus wird im virtuellen Switch auf der Port-Gruppenebene festgelegt.
MAC-Adressen sperren
Eine weitere wertvolle Netzwerk-Security-Funktion im Zusammenhang mit virtuellen Switches ist die Absperrung von MAC-Adressen. Mit einer MAC-Adresse lässt sich jedes Gerät in einem Netzwerk dauerhaft identifizieren. Sie können das mit einer physischen Adresse für Gebäude vergleichen.
Virtuelle Maschinen bekommen als Teil der Netzwerkkonfiguration solche MAC-Adressen zugewiesen. Allerdings lassen sich die MAC-Adressen bei virtuellen Maschinen relativ einfach ändern. Aus der Sicherheitsperspektive ist das nicht gut und es könnte ein Zeichen von böswilliger Aktivität sein. Sperren Sie die MAC-Adressen ab, stopfen Sie damit diese Schwachstelle.
Gefälschten Traffic von virtuellen Maschinen blockieren
Zu guter Letzt können virtuelle Switches gefälschten Traffic von virtuellen Maschinen blockieren. Normalerweise vergleicht ein Netzwerkgerät wie ein virtueller Switch die MAC-Adressen der Sender in den IP-Paketen nicht, ob sie auch passen. Mithilfe von sogenanntem MAC-Spoofing (Manipulation der MAC-Adresse) könnte sich dadurch böswilliger Traffic senden lassen. Vergleicht ein virtueller Switch die MAC-Adressen, kann er gefälschten oder manipulierten Traffic blockieren.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!