Die Architektur eines Layer-2-Ethernet-Switches im Kontext der Cybersecurity

Der Schutz des Vermögens, die Wahrung der Privatsphäre und das Vertrauen von Kunden und Interessengruppen sind zentrale Ziele einer Organisation. Um diese zu erreichen, konzentriert sich die Organisation darauf, die Verfügbarkeit von Diensten und sensiblen Informationen zu gewährleisten, unbefugten Zugriff auf Daten zu verhindern und potenzielle Risiken zu minimieren.

Cybersicherheit umfasst nicht nur eine einzelne Hardwarekomponente, sondern erfordert einen ganzheitlichen Ansatz, der verschiedene Aspekte von Technologie, Prozessen und Menschen berücksichtigt.

Das Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST) bietet Richtlinien und bewährte Verfahren zur Beurteilung, Implementierung und Risikobewältigung, um Systeme vor Cyberangriffen zu schützen (https://www.nist.gov/cyberframework). Es beschreibt Cybersecurity als kontinuierliche Anstrengung und erleichtert das Verständnis des vollen Umfangs.

Zum Schutz eines Systems ist es unerlässlich, die Funktionsdetails auf Komponentenebene genau zu kennen. Eine detaillierte technische Bewertung der verwendeten Komponenten ist erforderlich, um potenzielle Schwachstellen für Angriffe zu identifizieren und zu verstehen, wie die Komponenten zum Schutz des Systems beitragen können.

Dieser Artikel erläutert die Grundarchitektur eines Ethernet Switches, um technische Details für die Beurteilung der Cybersecurity bereitzustellen. Ein Ethernet Switch wird in diesem Zusammenhang als eigenständiges, gemanagtes Layer-2-Gerät definiert, das die Kommunikation in einem lokalen Netzwerk (LAN) gewährleistet.

Ein Ethernet Switch fungiert als Verteiler innerhalb eines lokalen Netzwerks (LAN). Seine Hauptaufgabe besteht darin, die Teilnehmer auf der physikalischen Ebene (Layer-1) mit dem Netzwerk zu verbinden und die Adressierung der einzelnen Teilnehmer auf der logischen Ebene (Layer-2) zu ermöglichen.

Die zentrale Komponente des Ethernet Switches ist die Switching Engine, die für die Weiterleitung des Netzwerkverkehrs zuständig ist. Sie beinhaltet die Steuereinheit für Warteschlangen sowie Eingangs- (Ingress) und Ausgangspuffer (Egress). Die eigentliche Datenverarbeitung erfolgt vollständig in der Hardware, was eine äußerst geringe Latenzzeit (µs-Bereich) für die Datenübertragung gewährleistet.

Die Adressierung auf Layer-2-Basis erfolgt anhand von MAC-Adressen. Jede Netzwerkschnittstelle besitzt eine eindeutige MAC-Adresse, die weltweit gültig ist. Die Kommunikation wird mittels Datenpaketen (Frames) abgewickelt. Jedes Datenpaket enthält eine Ziel-MAC-Adresse (DA) und eine Quell-MAC-Adresse (SA). Die Warteschlangensteuerungseinheit entscheidet anhand der Ziel-MAC-Adresse, an welchen Anschluss das eintreffende Datenpaket weitergeleitet wird. Zu diesem Zweck werden die Adressen in einer MAC-Tabelle gespeichert, die automatisch von der Warteschlangensteuerungseinheit aktualisiert wird, um die Zuordnung zwischen Port und Absender-MAC-Adresse festzuhalten.

Ein gemanagter Ethernet Switch bietet Konfigurationseinstellungen zur Steuerung von eingehenden und ausgehenden Puffern sowie zur Anwendung von Filtern für die bedingte Weiterleitung oder Weiterverarbeitung von Paketen. Dadurch werden Funktionen wie VLAN, Spanning Tree (STP/RSTP) und DHCP-Optionen unterstützt.

Die Konfigurationseinstellungen werden über eine Steuerschnittstelle vorgenommen, die in der Regel als Schnittstelle für das Management fungiert. Diese Einstellungen werden im Allgemeinen als Switch-Konfiguration bezeichnet und die Verwaltungsdienste werden durch Softwareprogramme bereitgestellt, die in einem eingebetteten Betriebssystem (Management OS) ausgeführt werden.

Ein gemanagter Ethernet-Switch verfügt mindestens über zwei Verwaltungsschnittstellen: eine lokale Service-Schnittstelle, die häufig als USB- oder serielle Schnittstelle ausgeführt wird, und eine Netzwerkschnittstelle, die den Zugriff auf Verwaltungsdienste über das Netzwerk ermöglicht (Admin-Schnittstelle). Diese Netzwerkschnittstelle verhält sich wie ein gewöhnlicher Netzwerkteilnehmer und kann über eine IP-Adresse im Netzwerk angesprochen werden. Hierfür ist in der Switching-Engine ein spezieller Port als interner Management-Port vorgesehen.

Der Management-Port kann reguläre Frames sowie Management-Frames verarbeiten, die speziell gekennzeichnet sind und immer von der Warteschlangensteuerung an den Management-Port weitergeleitet werden. Diese Frames stehen dann für die Verarbeitung von Diensten (z. B. DHCP) zur Verfügung, die normalerweise der Schicht 4 und höher angehören. Die Kontrolle über das Gerät liegt in den Händen derjenigen, die Zugriff auf die Verwaltungsdienste haben.

Ein Layer-2-Ethernet-Switch leitet Daten weiter, ohne den Inhalt der Frames (Nutzlast) zu analysieren. Die physische Übertragung der Frames erfolgt ausschließlich in der Hardware (Silizium). Alle weiteren Dienste und Protokolle werden im Betriebssystem als Teil der Verwaltungssoftware ausgeführt (Verwaltungsdienste).

Zur Verwaltung des Netzwerks und zur Unterstützung von Netzwerkprotokollen werden die Ethernet-Frames an die Verwaltungssoftware weitergeleitet. Die Software kann dann die Frames oder Daten entsprechend verarbeiten. Theoretisch könnte die Software alle Frames anstelle der Switching-Engine verarbeiten und die Pakete gemäß einer spezifischen Richtlinie wie eine Firewall analysieren und filtern. Dieser Ansatz ist jedoch für ein Layer-2-Gerät nicht praktikabel.

Die Verwaltungssoftware läuft auf einer eingebetteten CPU. Die Rechenleistung eines typischen eingebetteten Systems reicht nicht aus, um die Frames reibungslos weiterzuleiten und gleichzeitig eine Paketinspektion durchzuführen und Filterregeln anzuwenden. Daher führt eine softwarebasierte Paketinspektion zu erheblichen Leistungseinbußen. Der Datendurchsatz verringert sich drastisch, sobald die Verwaltungssoftware in die Paketverarbeitung eingreift. Dies gilt für alle Firewall- und Verschlüsselungsmechanismen, die per Software auf der Ebene der Ethernet-Frames durchgeführt werden.

Die Software-Updates beziehen sich auf den Prozess der Aktualisierung des Betriebssystems (Management-OS). Dieser Prozess beinhaltet in der Regel den Austausch des Betriebssystems auf dem eingebetteten Gerät. Updates der Siliziumfunktionen werden in diesem Zusammenhang technisch nicht unterstützt.

Es ist von großer Bedeutung zu verstehen, dass Cybersecurity ein fortlaufender Prozess ist, der eine kontinuierliche Überwachung, Aktualisierung und die Einhaltung bewährter Verfahren erfordert.

Um angemessene Sicherheitsmaßnahmen zu definieren, zu implementieren und aufrechtzuerhalten, ist es entscheidend, die Technologie in ihrem Kern auf Komponentenebene zu verstehen.

Dieses Dokument beschreibt die Architektur von Ethernet Switches und bietet wertvolle Einblicke in ihre Technologie, wobei ein besonderer Schwerpunkt auf der Cybersicherheit liegt. Dadurch wird Systemingenieuren geholfen, die Technologie und Funktionalität zu verstehen und Cybersicherheitsaspekte zu bewerten.

Ein Layer-2-Ethernet-Switch leitet den Datenverkehr über eine Silizium-Switching-Engine weiter, während die Verwaltungssoftware die Netzwerkprotokolle und -dienste verwaltet.

Eine softwarebasierte Paketprüfung kann die Leistung und den Durchsatz erheblich beeinträchtigen und ist daher nicht sinnvoll, um den Datenverkehr durch das Management-Betriebssystem zu filtern.

Ethernet Switches unterstützen Software-Updates des Management-Betriebssystems.