149347
21.08.2021
2619
7
0
Projektarbeit -VLANs
Hi Leute,
ich bin derzeit noch Auszubildender zum IT-Systemelektroniker. Momentan stecke ich voll in der Erstellung meines Kunden für die Projektarbeit. Anfangen wollte ich mit dem Lastenheft. Aufgrund der mangelnden Nähe zum Kunden, aufgrund der "Art" meiner Ausbildung tu ich mich damit recht schwer (Näher möchte ich darauf nicht eingehen).
Nun zu meiner Frage: Mit VLANs lassen sich ja auch gewisse Sicherheiten für ein Netzwerk implementieren. Da ich leider momentan ein wenig auf dem Schlauch stehe, was wären da so typische Fälle in denen ein Kunde merken könnte, dass an der Sicherheit noch n bisschen was zu machen ist und man um die Implementierung einer VLAN-Lösung nicht vorbei kommt bzw. es die beste Alternative wäre?
Schon mal vielen Dank für die Hilfe!
Mit freundlichen Grüßen.
ich bin derzeit noch Auszubildender zum IT-Systemelektroniker. Momentan stecke ich voll in der Erstellung meines Kunden für die Projektarbeit. Anfangen wollte ich mit dem Lastenheft. Aufgrund der mangelnden Nähe zum Kunden, aufgrund der "Art" meiner Ausbildung tu ich mich damit recht schwer (Näher möchte ich darauf nicht eingehen).
Nun zu meiner Frage: Mit VLANs lassen sich ja auch gewisse Sicherheiten für ein Netzwerk implementieren. Da ich leider momentan ein wenig auf dem Schlauch stehe, was wären da so typische Fälle in denen ein Kunde merken könnte, dass an der Sicherheit noch n bisschen was zu machen ist und man um die Implementierung einer VLAN-Lösung nicht vorbei kommt bzw. es die beste Alternative wäre?
Schon mal vielen Dank für die Hilfe!
Mit freundlichen Grüßen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1180458475
Url: https://administrator.de/forum/projektarbeit-vlans-1180458475.html
Ausgedruckt am: 10.04.2025 um 17:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
VLANs per se machen kein Netz sicher(er). Wie immer gilt es ein Gesamtkonzept zu erarbeiten (mag für dich irrelevant sein - oder auch nicht). Prüf das mit deinem Ausbilder, dafür ist er da.
VLANs per se machen kein Netz sicher(er). Wie immer gilt es ein Gesamtkonzept zu erarbeiten (mag für dich irrelevant sein - oder auch nicht). Prüf das mit deinem Ausbilder, dafür ist er da.
1
Du unterteilst das Netzwerk und wenn Du entsprechende FW-Regeln setzt kann nicht jeder auf alle Geräte im Netzwerk … darüber hinaus kannst Du den Zugriff auf verschiedene Geräte und Ports und Protokolle beschränken und damit auch für potentielle Schadsoftware im Netzwerk
1
VLAN ist kein Sicherheitsfeature sondern es sorgt erstmal für eine Trennung von Geräten oder Gerätegruppen sowie eine Verkleinerung der Broadcastdomains zur Entlastung des Netzwerks. Häufig werden die Netze dann ein paar Switches später durch einen Router wieder zusammengeführt.
Diese Trennung kann man aber für eine Erhöhung der Sicherheit nutzen, wenn man den zwingend folgenden Router richtig konfiguriert. Dadurch kann man das Überspringen eines Angriffs eingrenzen. Also wenn man jetzt Verwaltung von Produktion trennt und in der Verwaltung ein Klickaffe Scheiße produziert, muss nicht zwingend die Produktion betroffen sein.
Angriffe sind aber heute hochflexibel und können daher auch über Umwege zum Ziel kommen. Wenn es gemeinsame Serverdienste gibt, die mehrere, durch VLAN getrennte Netzsegmente nutzen, kann es hier überspringen. Ebenso kann die kleinste Lücke im Paketfilter des Routers schon ausreichen.
Bei Kleinstumgebungen machen VLANs meiner Meinung nach mehr Probleme als diese Lösungen liefern. Es muss aber von Umgebung zu Umgebung betrachtet werden. Solange es keinen triftigen Grund gibt, also die Begrenzung der Broadcast-Domäne oder sich im Netzwerk Systeme befinden, die keinerlei Verbindung zueinander haben dürfen, rate ich persönlich davon ab und selbst wenn die Nutzung von VLANs notwendig ist, dann nur soviele wie zwingend nötig.
Eine Alternative wären Private VLANs (basieren auf normalen VLANs, gehen nur viel weiter) oder sogar Protected Ports. Damit können sich Rechner untereinander gar nicht sehen und nur Ressourcen, die explizit am Switch freigegeben sind, können erreicht werden.
Diese Trennung kann man aber für eine Erhöhung der Sicherheit nutzen, wenn man den zwingend folgenden Router richtig konfiguriert. Dadurch kann man das Überspringen eines Angriffs eingrenzen. Also wenn man jetzt Verwaltung von Produktion trennt und in der Verwaltung ein Klickaffe Scheiße produziert, muss nicht zwingend die Produktion betroffen sein.
Angriffe sind aber heute hochflexibel und können daher auch über Umwege zum Ziel kommen. Wenn es gemeinsame Serverdienste gibt, die mehrere, durch VLAN getrennte Netzsegmente nutzen, kann es hier überspringen. Ebenso kann die kleinste Lücke im Paketfilter des Routers schon ausreichen.
Bei Kleinstumgebungen machen VLANs meiner Meinung nach mehr Probleme als diese Lösungen liefern. Es muss aber von Umgebung zu Umgebung betrachtet werden. Solange es keinen triftigen Grund gibt, also die Begrenzung der Broadcast-Domäne oder sich im Netzwerk Systeme befinden, die keinerlei Verbindung zueinander haben dürfen, rate ich persönlich davon ab und selbst wenn die Nutzung von VLANs notwendig ist, dann nur soviele wie zwingend nötig.
Eine Alternative wären Private VLANs (basieren auf normalen VLANs, gehen nur viel weiter) oder sogar Protected Ports. Damit können sich Rechner untereinander gar nicht sehen und nur Ressourcen, die explizit am Switch freigegeben sind, können erreicht werden.
2
Hi
wie schon gesagt wurde: VLANs ermöglicht einem erst mal nur mehrere getrennte Netze auf einer physik laufen zu haben.
Wenn man das so betreibt, ist das insofern erst mal sicher, weil die untereinander nicht reden können.
Das bringt einem aber meistens nix, weil man ja genau das haben will. Also muss man sie routen. Und damit gibts dann die möglichkeit für sicherheit zu sorgen.
Wenn man will das Clients aus dem NetzA mit denen aus NetzB reden können sollen, dann braucht man ein Gerät das ein Bein in beiden Netzen hat und als Gateway das routing macht.
Also hat man üblicherweise z.B die .254 als Gateway. Ein typischer Router hat hier erst mal keine Sicherheitsfeatures. Manche haben ACLs, also ganz simple Regelwerke die dann z.B sagen NetzA darf mit Port 80 und 443 ins NetzB sprechen, aber andersrum nicht.
Will man mehr, braucht man dann eine Firewall, die das Gateway stellt. Damit läuft dann jeder traffic über die Firewall. Die hat einerseits auch diese Regeln, aber heutzutage halt noch viel mehr. Die schaut sich den Traffic an und kann diesen auf "bösartigkeit" prüfen. Also ob da grad ein Virus übertragen wird, oder ob die Datenpakete so manipuliert sind das da ein Exploit draus wird usw.
Ergo: Wenn man Netze segmentiert und Sicherheit haben will, dann braucht man da eine Firewall. Üblicherweise nennt man das dann eine NSEG-FW, also Network Segmentation Firewall.
wie schon gesagt wurde: VLANs ermöglicht einem erst mal nur mehrere getrennte Netze auf einer physik laufen zu haben.
Wenn man das so betreibt, ist das insofern erst mal sicher, weil die untereinander nicht reden können.
Das bringt einem aber meistens nix, weil man ja genau das haben will. Also muss man sie routen. Und damit gibts dann die möglichkeit für sicherheit zu sorgen.
Wenn man will das Clients aus dem NetzA mit denen aus NetzB reden können sollen, dann braucht man ein Gerät das ein Bein in beiden Netzen hat und als Gateway das routing macht.
Also hat man üblicherweise z.B die .254 als Gateway. Ein typischer Router hat hier erst mal keine Sicherheitsfeatures. Manche haben ACLs, also ganz simple Regelwerke die dann z.B sagen NetzA darf mit Port 80 und 443 ins NetzB sprechen, aber andersrum nicht.
Will man mehr, braucht man dann eine Firewall, die das Gateway stellt. Damit läuft dann jeder traffic über die Firewall. Die hat einerseits auch diese Regeln, aber heutzutage halt noch viel mehr. Die schaut sich den Traffic an und kann diesen auf "bösartigkeit" prüfen. Also ob da grad ein Virus übertragen wird, oder ob die Datenpakete so manipuliert sind das da ein Exploit draus wird usw.
Ergo: Wenn man Netze segmentiert und Sicherheit haben will, dann braucht man da eine Firewall. Üblicherweise nennt man das dann eine NSEG-FW, also Network Segmentation Firewall.
1
Vielen Dank an euch für die zahlreichen Antworten!
Nur für dein Verständnis: Stell dir einfach jedes VLAN als eigenen Switch vor... du hast einen Switch den du z.B. SW100 nennst (oder eben VLAN100). Du hast einen anderen Switch den du SW200 nennst (oder eben VLAN200). Das kannst du beliebig oft machen. Das wird sich dann identisch genug verhalten. Hast du z.B. keine Verbindung zwischen SW100 und SW200 werden sich die Netze nicht sehen - dasselbe gilt für VLANs. Wenn du auf jedem Switch nen anderes IP-Netz legst brauchst du nen Router - genauso wie bei VLANs (oder eben Layer3-Switches die Routen können)....
Jetzt kannst du dir also selbst überlegen: Würde es die Sicherheit merklich erhöhen nur weil du nen SW300 in das Netz haust? Wenn du dem keinen Uplink gibst ggf. (dann is das halt nen Netz ohne anbindung an irgendwas - kann ja durchaus gewünscht sein weil man z.B. Überwachungskamaras da drin hat die nur in ihrem Netz reden sollen). Gibst du dem Netz aber ne Verbindung zu den anderen und sagst in der Firewall/Router/Whatever "mir egal, lass alles zu" - dann hast du ja keine wirkliche Sicherheit geschaffen. Jetzt kommt es eben auf dein Konzept an - nehmen wir mal an du willst in diesem neuen Netz "300" z.B. nen FTP betreiben, dein Netz 100 is Admin, 200 is Arbeitsplätze. DANN kannst du natürlich mit ner Firewall sagen "von 200 auf 300 darf nur FTP während von 100 auf 300 z.B. RDP/SSH/... auch geht). JETZT hast du eine erste Sicherheit geschaffen denn steht dein FTP im Netz der Arbeitsplätze würde die FW ja den Traffic idR. nicht mal sehen. Deshalb muss hier das gesamtkonzept stimmen - es ist nicht so das du eine Schraube ziehst und alles is jetzt pauschal sicher...
Jetzt kannst du dir also selbst überlegen: Würde es die Sicherheit merklich erhöhen nur weil du nen SW300 in das Netz haust? Wenn du dem keinen Uplink gibst ggf. (dann is das halt nen Netz ohne anbindung an irgendwas - kann ja durchaus gewünscht sein weil man z.B. Überwachungskamaras da drin hat die nur in ihrem Netz reden sollen). Gibst du dem Netz aber ne Verbindung zu den anderen und sagst in der Firewall/Router/Whatever "mir egal, lass alles zu" - dann hast du ja keine wirkliche Sicherheit geschaffen. Jetzt kommt es eben auf dein Konzept an - nehmen wir mal an du willst in diesem neuen Netz "300" z.B. nen FTP betreiben, dein Netz 100 is Admin, 200 is Arbeitsplätze. DANN kannst du natürlich mit ner Firewall sagen "von 200 auf 300 darf nur FTP während von 100 auf 300 z.B. RDP/SSH/... auch geht). JETZT hast du eine erste Sicherheit geschaffen denn steht dein FTP im Netz der Arbeitsplätze würde die FW ja den Traffic idR. nicht mal sehen. Deshalb muss hier das gesamtkonzept stimmen - es ist nicht so das du eine Schraube ziehst und alles is jetzt pauschal sicher...
Es gäbe mit Private VLANs bzw. Isolated VLANs noch ein Feature was sehr rudimentäre Security Features enthält zumindestens auf Layer 2. Richtig Security im Sinne von Firewalling usw. ist es aber natürlich niemals. Zumal es auch ein VLAN Feature ist was primär eher im Metro- oder Provider Business angesiedelt ist.
