Beim Einsatz von Load Balancern, Gateways, Firewalls oder Routern in einem Netzwerk IP-Weiterleitung spielt eine entscheidende Rolle im Verkehrsfluss. Mit dieser Flexibilität geht jedoch auch Verantwortung einher – insbesondere in Bezug auf die Sicherheit.
Dieser Artikel erklärt, was IP-Weiterleitung ist, wie sie sich in verschiedenen Lastausgleichsszenarien (L4 vs. L7) verhält und welche Sicherheitsempfehlungen zu beachten sind – insbesondere bei der Verwendung von RELIANOID mit mehreren Netzwerkschnittstellen.
Was ist IP-Weiterleitung? #
IP-Weiterleitung ist die Fähigkeit eines Systems (wie etwa eines Linux-basierten Load Balancers), Pakete von einer Netzwerkschnittstelle an eine andere weiterzuleiten – also Pakete umzuleiten, die nicht für den lokalen Computer bestimmt sind.
Aktivieren der IP-Weiterleitung unter Linux #
So aktivieren Sie es vorübergehend:
Echo 1> / proc / sys / net / ipv4 / ip_forward
So aktivieren Sie es dauerhaft:
# /etc/sysctl.conf bearbeiten net.ipv4.ip_forward = 1 # Änderungen anwenden sysctl -p
Deaktivieren der IP-Weiterleitung #
So deaktivieren Sie es vorübergehend:
Echo 0> / proc / sys / net / ipv4 / ip_forward
So deaktivieren Sie es dauerhaft:
# /etc/sysctl.conf bearbeiten net.ipv4.ip_forward = 0 # Änderungen anwenden sysctl -p
Sicherheitsrisiken bei der Aktivierung der IP-Weiterleitung #
Die Aktivierung der IP-Weiterleitung in Load Balancern (oder anderen Linux-basierten Netzwerkgeräten) kann bei unsachgemäßer Konfiguration Sicherheitsbedenken mit sich bringen. Hier finden Sie eine Übersicht über diese Bedenken und wie Sie sie entschärfen können.
Unbeabsichtigtes Routing / Backdoor-Zugriff #
Wenn die IP-Weiterleitung ohne strenge Firewall-Regeln aktiviert ist, kann Ihr System unbeabsichtigt Datenverkehr zwischen Schnittstellen (z. B. von intern nach extern) umleiten und so als Brücke zwischen isolierten Netzwerken fungieren.
Quell-IP-Spoofing #
Wenn der Load Balancer Pakete weiterleitet, ohne die Quelladressen zu validieren, könnte ein Angreifer die Quell-IPs fälschen und so Probleme mit der Protokollierung, der Ratenbegrenzung oder der Umgehung von ACLs auf Backend-Systemen verursachen.
Offenes Relay für die Paketweiterleitung #
Ein falsch konfiguriertes System könnte beliebige Pakete zwischen Schnittstellen weiterleiten, wodurch der Load Balancer zu einem Paket-Relay wird, das für DDoS-Amplification-Angriffe oder Datenexfiltration verwendet werden kann.
Gefährdung durch L3-Angriffe (z. B. SYN-Floods, Smurf-Angriffe) #
Ein Load Balancer mit aktivierter Weiterleitung kann bei bestimmten Angriffen auf Schicht 3 oder 4 verwendet werden, insbesondere wenn er nicht durch Ratenbegrenzung oder geeignete Filterung geschützt ist.
Umgehen von Sicherheitsgeräten #
Wenn der Datenverkehr per IP-Weiterleitung um Ihre Firewall oder Ihr IDS/IPS herumgeleitet wird, kann es sein, dass bösartiger Datenverkehr die Überprüfung umgeht.
Wie RELIANOID Verwendet IP-Weiterleitung #
Wenn die Funktion RELIANOID Lastenausgleicher ist konfiguriert mit mehrere Netzwerkschnittstellen, IP-Weiterleitung ist standardmäßig aktiviert. Dadurch kann das System Routing-Hops reduzieren und intern den kürzesten Pfad zu Backends auswählen, wodurch die Leistung in NAT- und Multi-Subnetz-Konfigurationen verbessert wird.
IP-Weiterleitung: Wann sie erforderlich ist (und wann nicht) #
| Load Balancer-Modus | IP-Weiterleitung erforderlich? |
| L4 (Transportschicht) | Erforderlich, wenn sich VIP und Backends in unterschiedlichen Subnetzen befinden (z. B. NAT/DNAT-Topologien) |
| L7 (HTTP/S-Proxy) | Nicht erforderlich, da der Proxy Verbindungen pro Hop beendet und neu initiiert |
Bewährte Sicherheitsmethoden, wenn die IP-Weiterleitung aktiviert werden muss #
Wenn Ihre Infrastruktur eine IP-Weiterleitung erfordert, sollten Sie die folgenden Härtungsstrategien in Betracht ziehen:
Setzen Sie das Schnittstellen-Routing auf „Nicht verwaltet“ in RELIANOID #
In Netzwerk > Routing, wechseln Sie von Managed zu Unmanaged Modus. Dies verhindert die interne Verwaltung von Routing-Tabellen und die laterale Pfaderkennung.
Verwenden Sie Mikrosegmentierung #
Definieren Sie explizite Zugriffsregeln für die einzelnen Endpunkte mithilfe von Firewalls oder Sicherheitsgruppen. Erlauben Sie nur Datenverkehr zwischen autorisierten Komponenten (z. B. VIP ↔ Backend).
Implementieren Sie VLAN-Tagging #
Erzwingen Sie die Layer-2-Segmentierung mithilfe von VLANs, um interne/externe Verkehrspfade zu isolieren und den Zugriff auf Hardwareebene einzuschränken.
Obwohl IP-Weiterleitung notwendig sein kann – insbesondere für L4-Verkehr oder Multi-Interface-Setups – birgt sie auch Risiken. Durch die Kombination RELIANOID Nicht verwaltetes Routing Im Modus mit Netzwerksegmentierungsstrategien wie VLANs und Mikrosegmentierung können Unternehmen sowohl Leistung als auch hohe Sicherheit erreichen.
