Open Source im professionellen Einsatz
Linux-Magazin 10/2012
© luchschen, 123RF.com

© luchschen, 123RF.com

Aufgedeckt: Unsicheres Konfigurationsprotokoll für einen Switch

Ausposaunt

Eigentlich wollte der Autor nur seinen neu gekauften Switch von Linux aus konfigurieren. Dabei stieß er auf eine hanebüchene Sicherheitslücke in der Firmware sowie im Managementprotokoll des Geräts. Der Hersteller hat es offenbar nicht besonders eilig, den Mangel zu beheben.

573

Dieser Artikel ist das Nebenprodukt technischer Nachbarschaftshilfe. Ursprünglich ging es darum, acht Wohnungen ans Internet zu bringen und dazu Linux zu verwenden. Herausgekommen ist die Analyse eines überraschend unsicher progammierten Managementprotokolls für einen Netgear-Switch.

Otto Normalverbrauchers Heimnetzwerk besteht aus einem Router und zwei bis vier Computern. Beim Autor sieht es allerdings etwas anders aus, da er die halbe Nachbarschaft mit Internet versorgt: Mit zwei DSL-Routern bringt er acht Wohnungen ins Netz.

Mehrparteien-Internet

Es empfiehlt sich nicht, alle Rechner in ein einziges Netzwerk zu stecken. Dabei könnte beispielsweise ein fahrlässig angeschlossener WLAN-Router mit eigenem DHCP-Server das gesamte Netz stören. Bei einer Installation für acht Parteien sind zehn Netzwerke eine gute Lösung – eines für jede Wohnung und eines für jeden DSL-Anschluss.

Dazu umfasst die Installation auch noch drei Häuser. Wer nicht in jedes einen eigenen Router stellen möchte, sondern nur ein Gerät administrieren will, greift zu VLAN. VLAN nach dem IEEE-Standard 802.1q ermöglicht es, so zu tun, als gäbe es mehrere Kabel statt nur des einen. Das setzt jedoch VLAN-fähige Geräte voraus. Ein solches Gerät ist der Linux-Computer des Autors, die anderen sind die auf die Häuser verteilten Switches.

Manche preiswerten Switches beherrschen zwar auf dem Papier VLAN, bilden das gewünschte Verhalten aber in der Praxis nicht ab. Beim Einkauf sollte man daher auf den VLAN-Standard 802.1q achten – und darauf, dass der Switch Tagging (VLAN-Etiketten für bestimmte Switchports) und Trunking (mehrere VLAN-Tags auf eine Schnittstelle legen, ohne das Tag zu entfernen) versteht. Mehr zum Thema VLAN und wie der Admin es konfiguriert findet sich in dem Artikel "Patchen ohne Kabel" im Linux-Magazin 11/2006 [1].

Schnäppchen

Der 8-Port-Switch Pro Safe Plus GS108Ev2 von Netgear (Abbildung 1) entspricht diesen Anforderungen und lässt sich per Software aus der Ferne verwalten. Dabei kostet das Gerät nicht einmal 50 Euro und ist damit deutlich günstiger als vergleichbare Produkte, die in der Regel erst ab 150 Euro zu haben sind.

Abbildung 1: Der 8-Port-Switch Pro Safe Plus GS108Ev2 von Netgear beherrscht VLAN, lässt sich aus der Ferne konfigurieren und ist preiswert.

Der Switch ist klein, lüfterlos und sparsam im Stromverbrauch. Daneben beherrscht er VLAN gemäß 802.1q mit der vollen Bandbreite an VLAN-Tags. Außerdem bietet er Quality-of-Service-Einstellungen, die beispielsweise Bandbreite für die VoIP-Telefonie reservieren. Einen Mangel hat der Netgear-Switch allerdings: Seine Konfiguration funktioniert nur über eine Windows-Software, die auf der Laufzeitumgebung Adobe Air beruht (Abbildung 2). Ein Versuch, diese Software mit Wine zum Laufen zu bekommen, scheiterte. Offenbar hatten andere aber mehr Glück [3].

Abbildung 2: Die Konfigurationssoftware für den Switch verwendet Adobe Air und lässt sich auf Linux nicht ordentlich zum Laufen bringen.

Aus praktischen Gründen möchte der Verfasser jedoch auch von Linux aus auf den Switch zugreifen, um ihn beispielsweise von unterwegs neu zu konfigurieren. Also machte er sich daran, das Protokoll zur Konfiguration einer Analyse zu unterziehen. Ein geliehener Laptop mit Windows XP diente dazu, zu erforschen, was die Software über die Leitung schickt. Dabei half ihm Wireshark, ein Tool, das Netzwerkverkehr unter Linux, Windows und Mac OS X analysiert [4]. Er verband nur den Laptop und den Switch und verfolgte, wie deren Kommunikation vor sich geht.

Irritierend: Nutzt man die Managementsoftware ohne Verbindung zum Internet, beklagt sie sich bei jedem Start, dass sie keine Daten zum Server des Herstellers übertragen kann. Warum sie diese Verbindung aufbaut, bleibt fraglich.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.