104250
29.12.2011
36587
8
1
Erhöhte Sicherheit im VLAN durch separates Management-VLAN?
Ich habe mit Hilfe der Anleitung 5 VLANs erstellt:
10 - LAN1
20 - LAN2
30 - WLAN1
40 - WLAN2
50 - Telefonie
Als Hardware nutze ich in obiger Anleitung genannte Technik:
Mikrotik (Router)
D-Link DGS-1210 (Switch)
Edimax EW-7416APn V2 (AP)
Port 1 - zum Router: alle VLAN tagged / VLAN1 untagged
Port 2 - zum AP: VLAN30 und VLAN40 tagged / VLAN1 untagged
restliche Ports nach Bedarf untagged im LAN1 oder LAN2
ungenutzte Ports untagged im VLAN1
Funktioniert soweit problemlos. Ausnahme ist, dass ich derzeit von einem Win7-PC nicht per TAPI mit der Telefonanlage kommunizieren kann. Als alles in einem Netz hing, ging das... aber das soll zunächst nicht das Problem sein.
Für mich stellt sich aktuell die Frage, wie ich die Sicherheit erhöhen kann? Mehrfach habe ich gelesen, dass VLAN1 nicht für das Management genutzt und dafür ein separates VLAN eingerichtet werden sollte. Wie müsste dann die Konfiguration des Switches aussehen? Testweise habe ich ein VLAN100 erstellt, was das Netzwerk von Switch und AP enthält. Zugriff (Management) auf den AP geht dann aber nur, wenn das VLAN100 am Port 2 untagged übertragen wird... dann aber lässt sich ja VLAN1 dort nicht mehr untagged übertragen. Ebenso zum Router: Winbox findet den Mikrotik nur, wenn VLAN100 am Port 1 untagged übertragen wird.
Ich habe schon einige - meist englischprachige - Beiträge gelesen, bin aber von den Begriffen "default VLAN" / "Management VLAN" / "native VLAN" / ... inzwischen mehr als verwirrt.
10 - LAN1
20 - LAN2
30 - WLAN1
40 - WLAN2
50 - Telefonie
Als Hardware nutze ich in obiger Anleitung genannte Technik:
Mikrotik (Router)
D-Link DGS-1210 (Switch)
Edimax EW-7416APn V2 (AP)
Port 1 - zum Router: alle VLAN tagged / VLAN1 untagged
Port 2 - zum AP: VLAN30 und VLAN40 tagged / VLAN1 untagged
restliche Ports nach Bedarf untagged im LAN1 oder LAN2
ungenutzte Ports untagged im VLAN1
Funktioniert soweit problemlos. Ausnahme ist, dass ich derzeit von einem Win7-PC nicht per TAPI mit der Telefonanlage kommunizieren kann. Als alles in einem Netz hing, ging das... aber das soll zunächst nicht das Problem sein.
Für mich stellt sich aktuell die Frage, wie ich die Sicherheit erhöhen kann? Mehrfach habe ich gelesen, dass VLAN1 nicht für das Management genutzt und dafür ein separates VLAN eingerichtet werden sollte. Wie müsste dann die Konfiguration des Switches aussehen? Testweise habe ich ein VLAN100 erstellt, was das Netzwerk von Switch und AP enthält. Zugriff (Management) auf den AP geht dann aber nur, wenn das VLAN100 am Port 2 untagged übertragen wird... dann aber lässt sich ja VLAN1 dort nicht mehr untagged übertragen. Ebenso zum Router: Winbox findet den Mikrotik nur, wenn VLAN100 am Port 1 untagged übertragen wird.
Ich habe schon einige - meist englischprachige - Beiträge gelesen, bin aber von den Begriffen "default VLAN" / "Management VLAN" / "native VLAN" / ... inzwischen mehr als verwirrt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178192
Url: https://administrator.de/contentid/178192
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Die Sicherheit mit einem separaten Management VLAN erhöht sich einfach dadurch, dass das Netz komplett vom normalen Produktivnetz getrennt ist. Welche VLAN-ID das Netz hat ist unerheblich, da man es an einem Trunkport (also ein Port wo mehr als ein VLAN draufliegt) ruckzuck herausfinden kann.
Wichtig ist dabei, dass ein Zugriff auf das besagte Netz nicht für jedermann möglich ist, also entweder als komplett isoliertes Netz oder vom Restnetz mittels Paketfilter separiert.
Ich bau meine Netze immer so, dass VLAN1 für Managementfunktionen gedacht ist, mit einem Port auf dem Switch als "Noteingang", ebenso wird das Netz mit an den Router geführt und nur für bestimmte Computer freigegeben, Überprüfung einmal anhand der IP durch eine Firewall und einmal über den Benutzernamen des angemeldeten Benutzers durch den Proxyserver. Das es kein anderes VLAN ist liegt damit zusammen, dass es auch Geräte gibt, wo man das Management-VLAN nicht ändern kann.
Wichtig ist dabei, dass ein Zugriff auf das besagte Netz nicht für jedermann möglich ist, also entweder als komplett isoliertes Netz oder vom Restnetz mittels Paketfilter separiert.
Ich bau meine Netze immer so, dass VLAN1 für Managementfunktionen gedacht ist, mit einem Port auf dem Switch als "Noteingang", ebenso wird das Netz mit an den Router geführt und nur für bestimmte Computer freigegeben, Überprüfung einmal anhand der IP durch eine Firewall und einmal über den Benutzernamen des angemeldeten Benutzers durch den Proxyserver. Das es kein anderes VLAN ist liegt damit zusammen, dass es auch Geräte gibt, wo man das Management-VLAN nicht ändern kann.
Meine Frage bezieht sich gerade darauf, das VLAN1 eben nicht zum Management zu nutzen, sondern ein zusätzliches Management-VLAN einzurichten.
Im Buch "LAN-switching und Wireless: CCNA Exploration Companion Guide" wird im Kapitel 3 empfohlen, für die Administration 4 separate VLANs abzubilden:
- VLAN 1
- Black-Hole-VLAN: für ungenutzte Ports
- natives VLAN: als Pseudo-VLAN
- Management-VLAN
In der weiteren Beschreibung werden das native und das Management-VLAN zur Vereinfachung allerdings wieder zusammengefasst.
Für meine aus 3 Geräten bestehende Struktur erscheint mir die Aufteilung aber etwas überdimensioniert.
Im Buch "LAN-switching und Wireless: CCNA Exploration Companion Guide" wird im Kapitel 3 empfohlen, für die Administration 4 separate VLANs abzubilden:
- VLAN 1
- Black-Hole-VLAN: für ungenutzte Ports
- natives VLAN: als Pseudo-VLAN
- Management-VLAN
In der weiteren Beschreibung werden das native und das Management-VLAN zur Vereinfachung allerdings wieder zusammengefasst.
Für meine aus 3 Geräten bestehende Struktur erscheint mir die Aufteilung aber etwas überdimensioniert.
Generell kann man dem Kollegen tikayevent nur zustimmen. Verantwortungsvolle Netzwerk Admins setzen in einem sauberen VLAN Design das Management VLAN immer in ein separates VLAN !
Der Sinn ist die sichere Trennung der Geräte vom Produktivnetz bzw. weiteren Produktiv VLANs um den User Zugriff zu unterbinden, so das niemand der Enduser wenn er mal Langeweile hat Unsinn mit den Infrastrrukturgeräten machen kann oder andere Dinge.
Es spricht nichts dagegen das Management VLAN im VLAN 1 zu betreiben. Der kosmetische Nachteil ist allerdings das das meist das Default VLAN ist und alle ungenutzten bzw. nicht zugewiesenen Ports in dieses VLAN fallen. Damit weicht man so ein Konzept aus Sicherheits Perspektive wieder etwas auf.
Die Abhilfe ist aber kinderleicht indem man das Default VLAN global auf allen Switches im Netz z.B. auf 2999 oder eine andere exotische Zahl setzt. Damit hast du das Problem dann sicher gefixt.
Analog kannst du auch das Management VLAN in das VLAN 2999 setzen. Wie rum du das Pferd aufzäumst ist dann eher eine kosmetische Frage hier.
Es bleibt aber bei der festen Tatsache das ein separates Management VLAN (in dem auch alle zu managen Geräte sind wie USVs usw.) zu dem nur Admins Zugang haben eine sehr sinnvolle Maßnahme ist im Netzwerk.
Der Sinn ist die sichere Trennung der Geräte vom Produktivnetz bzw. weiteren Produktiv VLANs um den User Zugriff zu unterbinden, so das niemand der Enduser wenn er mal Langeweile hat Unsinn mit den Infrastrrukturgeräten machen kann oder andere Dinge.
Es spricht nichts dagegen das Management VLAN im VLAN 1 zu betreiben. Der kosmetische Nachteil ist allerdings das das meist das Default VLAN ist und alle ungenutzten bzw. nicht zugewiesenen Ports in dieses VLAN fallen. Damit weicht man so ein Konzept aus Sicherheits Perspektive wieder etwas auf.
Die Abhilfe ist aber kinderleicht indem man das Default VLAN global auf allen Switches im Netz z.B. auf 2999 oder eine andere exotische Zahl setzt. Damit hast du das Problem dann sicher gefixt.
Analog kannst du auch das Management VLAN in das VLAN 2999 setzen. Wie rum du das Pferd aufzäumst ist dann eher eine kosmetische Frage hier.
Es bleibt aber bei der festen Tatsache das ein separates Management VLAN (in dem auch alle zu managen Geräte sind wie USVs usw.) zu dem nur Admins Zugang haben eine sehr sinnvolle Maßnahme ist im Netzwerk.
Ein "separates" Management-VLAN habe ich bereits (VLAN 1), da die IPs vom Switch und AP nichts mit denen der VLANs 10-50 zu tun haben.
Nun habe ich auf dem Switch noch ein VLAN 2 eingerichtet und dort alle ungenutzten Ports zugewiesen. Nach dem o.g. Buch ist dieses das Black-Hole-VLAN bzw. Default-VLAN (je nach Defnition der Begriffe, da oftmals Default VLAN für VLAN 1 verwendet wird), was auf dem Switch isoliert ist.
Als nächstes möchte ich noch ein VLAN 3 als Management VLAN einrichten. Wie muss dann die Konfiguration der Ports 1 und 2 am Switch angepasst werden?
Bisher:
Port 1 - zum Router: VLAN 10-50 tagged / VLAN1 untagged
Port 2 - zum AP: VLAN30 und 40 tagged / VLAN1 untagged
restliche Ports nach Bedarf untagged im LAN1 oder LAN2
ungenutzte Ports untagged im VLAN2
Wenn ich VLAN 3 am Port 2 untagged zum AP übertrage (andernfalls bekomme ich keinen Zugang zum AP, da dort VLAN 3 scheinbar nicht als Management VLAN konfiguriert werden kann), dann kann das VLAN 1 nicht mehr untagged übertragen.
Nun habe ich auf dem Switch noch ein VLAN 2 eingerichtet und dort alle ungenutzten Ports zugewiesen. Nach dem o.g. Buch ist dieses das Black-Hole-VLAN bzw. Default-VLAN (je nach Defnition der Begriffe, da oftmals Default VLAN für VLAN 1 verwendet wird), was auf dem Switch isoliert ist.
Als nächstes möchte ich noch ein VLAN 3 als Management VLAN einrichten. Wie muss dann die Konfiguration der Ports 1 und 2 am Switch angepasst werden?
Bisher:
Port 1 - zum Router: VLAN 10-50 tagged / VLAN1 untagged
Port 2 - zum AP: VLAN30 und 40 tagged / VLAN1 untagged
restliche Ports nach Bedarf untagged im LAN1 oder LAN2
ungenutzte Ports untagged im VLAN2
Wenn ich VLAN 3 am Port 2 untagged zum AP übertrage (andernfalls bekomme ich keinen Zugang zum AP, da dort VLAN 3 scheinbar nicht als Management VLAN konfiguriert werden kann), dann kann das VLAN 1 nicht mehr untagged übertragen.
Untagged wäre ja Unsinn, denn dann wäre es das Native VLAN sprich default VLAN was ja bei dir immer noch auf 1 gesetzt ist. Tagged muss es also sein:
Port 1 - zum Router: VLAN 3, 10-50 tagged / VLAN1 untagged
Port 2 - zum AP: VLAN 3, 30 und 40 tagged / VLAN1 untagged (VLAN 3 nur wenn du den AP auch über das Managemt erreichen willst)
Wenn du VLAN 2 auch Infrastruktur übergreifend als "Black Hole" VLAN haben willst musst du es ebenfalls an allen Uplink Ports tagged übertragen...logo !
Nur das "default VLAN" also das native VLAN ist laut 802.1q Standard immer untagged an den tagged Uplink Ports. Niemals kann man dort 2 untagged VLANs anlegen es kann immer nur ein einzelnes VLAN untagged dort anliegen. Generell sagt man den Switches in der Konfig damit in welches VLAN er alle untagged Pakete forwarden soll die er an diesem Port "sieht".
Wichtig ist noch auf dem Router der zwichen den VLANs routet dort eine Access Liste zu konfigurieren, der den Zugang zum Management VLAN blockiert und nur für die Netzwerk Admin IP Netze oder Rechner freigibt ! Ohne das nützt ein Mangement VLAN sonst logischerweise gar nix !
Port 1 - zum Router: VLAN 3, 10-50 tagged / VLAN1 untagged
Port 2 - zum AP: VLAN 3, 30 und 40 tagged / VLAN1 untagged (VLAN 3 nur wenn du den AP auch über das Managemt erreichen willst)
Wenn du VLAN 2 auch Infrastruktur übergreifend als "Black Hole" VLAN haben willst musst du es ebenfalls an allen Uplink Ports tagged übertragen...logo !
Nur das "default VLAN" also das native VLAN ist laut 802.1q Standard immer untagged an den tagged Uplink Ports. Niemals kann man dort 2 untagged VLANs anlegen es kann immer nur ein einzelnes VLAN untagged dort anliegen. Generell sagt man den Switches in der Konfig damit in welches VLAN er alle untagged Pakete forwarden soll die er an diesem Port "sieht".
Wichtig ist noch auf dem Router der zwichen den VLANs routet dort eine Access Liste zu konfigurieren, der den Zugang zum Management VLAN blockiert und nur für die Netzwerk Admin IP Netze oder Rechner freigibt ! Ohne das nützt ein Mangement VLAN sonst logischerweise gar nix !
Sobald ich VLAN 3 taggead am Port 2 zum AP übertrage, kann nicht mehr auf das Management des AP zugreifen. Wäre es dann so richtig:
Port 2 - zum AP: VLAN30 und 40 tagged / VLAN3 untagged
oder passt das nicht, weil das Default VLAN (VLAN1) dann nicht mehr am tagged Uplink Port anliegt?
VLAN 2 soll nur als Sammelbecken für die ungenutzten Ports dienen. Soll nur dazu dienen, dass in meiner Abwesenheit dort angeklemmte Geräte nichts weiter tun können. Auf dem Router ist das VLAN2 nicht konfiguriert.
Wenn ich das richtig vertanden habe, kann ich noch ein VLAN 4 anlegen und das als Default VLAN nutzen. VLAN 1 wäre dann nur noch "im Hintergrund" für Protokolle zuständig, an den tagged Uplink Ports müsste ich dann VLAN 1 durch VLAN 4 ersetzen.
Port 2 - zum AP: VLAN30 und 40 tagged / VLAN3 untagged
oder passt das nicht, weil das Default VLAN (VLAN1) dann nicht mehr am tagged Uplink Port anliegt?
VLAN 2 soll nur als Sammelbecken für die ungenutzten Ports dienen. Soll nur dazu dienen, dass in meiner Abwesenheit dort angeklemmte Geräte nichts weiter tun können. Auf dem Router ist das VLAN2 nicht konfiguriert.
Wenn ich das richtig vertanden habe, kann ich noch ein VLAN 4 anlegen und das als Default VLAN nutzen. VLAN 1 wäre dann nur noch "im Hintergrund" für Protokolle zuständig, an den tagged Uplink Ports müsste ich dann VLAN 1 durch VLAN 4 ersetzen.
Der AP hat seine Management IP Adresse immer im Default VLAN also dem VLAN das untagged an dem Port 2 übertragen wird. Bei einfachen APs wie dem von Edimax ist das leider nicht veränderbar.
Die IP muss also dann im VLAN 1 vergeben sein, denn das default VLAN ist ja immer untagged am D-Link Switch an tagged Ports. Beim D-Link lässt sich im Gegensatz zu anderen Switches leider nicht das native VLAN an tagged Ports separat bestimmen. Ein Nachteil dieses billigen Web Smart Switches von D-Link.
Du musst das also beachten bei der Adaption des APs an Port 2.
Ob du auf dem D-Link das Default VLAN von 1 auf einen anderen Wert global umstellen kannst müsste im Handbuch stehen. Andere Switches machen sowas problemlos aber es ist möglich das der D-Link das nicht supportet. Dann musst du mit der festen Zuweisung des Default (native) VLANs auf der VLAN ID 1 bei diesem Switch leben....
Die IP muss also dann im VLAN 1 vergeben sein, denn das default VLAN ist ja immer untagged am D-Link Switch an tagged Ports. Beim D-Link lässt sich im Gegensatz zu anderen Switches leider nicht das native VLAN an tagged Ports separat bestimmen. Ein Nachteil dieses billigen Web Smart Switches von D-Link.
Du musst das also beachten bei der Adaption des APs an Port 2.
Ob du auf dem D-Link das Default VLAN von 1 auf einen anderen Wert global umstellen kannst müsste im Handbuch stehen. Andere Switches machen sowas problemlos aber es ist möglich das der D-Link das nicht supportet. Dann musst du mit der festen Zuweisung des Default (native) VLANs auf der VLAN ID 1 bei diesem Switch leben....
Besten Dank.
Im D-Link Switch lässt sich nur das Management-VLAN anpassen, mehr offensichtlich nicht. Ich werde nahezu alles im VLAN 1 belassen wie es ist und den Zugang entsprechend einschränken. Ausnahme ist VLAN 2 als Sammelbecken für die nicht genutzten Ports - obwohl das auch mehr kosmetischer Natur ist.
Im D-Link Switch lässt sich nur das Management-VLAN anpassen, mehr offensichtlich nicht. Ich werde nahezu alles im VLAN 1 belassen wie es ist und den Zugang entsprechend einschränken. Ausnahme ist VLAN 2 als Sammelbecken für die nicht genutzten Ports - obwohl das auch mehr kosmetischer Natur ist.
