Sicherheit bei Trennung kritischer Netze durch VLANs
Hallo,
ich nutze seit Jahren intensiv VLANs, um logische Netzte abzugrenzen, ohne einen unüberschaubaren "Wust" an Switchen zu benötigen.
Bisher habe ich nur verschiedene, lokale Subnetze getrennt. Jetzt würde es mir aber viel Arbeit ersparen, wenn ich auch die externen Internetverbindungen über die gleichen Switche zwischen den Routern verteilen könnte....
Wie seht ihr die Gefahr, wenn auf den gleichen Switchen:
- der interne VoIP-Verkehr
- sensible Daten der ERP
- ungefilterter Internetverkehr
läuft?
Vielen Dank für euere Hilfe
Phil
ich nutze seit Jahren intensiv VLANs, um logische Netzte abzugrenzen, ohne einen unüberschaubaren "Wust" an Switchen zu benötigen.
Bisher habe ich nur verschiedene, lokale Subnetze getrennt. Jetzt würde es mir aber viel Arbeit ersparen, wenn ich auch die externen Internetverbindungen über die gleichen Switche zwischen den Routern verteilen könnte....
Wie seht ihr die Gefahr, wenn auf den gleichen Switchen:
- der interne VoIP-Verkehr
- sensible Daten der ERP
- ungefilterter Internetverkehr
läuft?
Vielen Dank für euere Hilfe
Phil
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131198
Url: https://administrator.de/forum/sicherheit-bei-trennung-kritischer-netze-durch-vlans-131198.html
Ausgedruckt am: 03.04.2025 um 09:04 Uhr
6 Kommentare
Neuester Kommentar
Mach ich seit Jahren und sehe es deutlich unkritischer als manches andere.
Es gibt zwar Angriffsmöglichkeiten wie VLAN Hopping, doch das ist doch nur unter ganz bestimmten Umständen ausnutzebar, wenn überhaupt.
http://en.wikipedia.org/wiki/VLAN_hopping
Seh ich ähnlich unkritisch wie IP-Spoofing (gähn). Da könnt ja einer aus dem Internet sich eine Source-IP aus deinem eigenen Netz geben, was zur Folge hätte dass deine FW die Pakete reinlässt. Ja und dann? Die werden ja niemals zurückgeroutet zum Angreifer, wat soll er damit? Klar, eventuell bissl Denial of Service probieren (gähn), aber ich hab das in den letzten 200 Jahren nie erlebt. Mit so mancher "Sicherungsmaßnahme" macht man sich nur mehr Probleme als man ohne die Maßnahme gehabt hätte, von steigender Komplexität und Unübersichtlichkeit ganz zu schweigen.
Tipps
Man sollte sich mehr auf die wahrscheinlicheren Risiken konzentrieren, als sich von theoretischen Möglichkeiten verwirren zu lassen.
Wie stehts z. B. um loop guard Konfiguration? Da kann ein kleiner Fehler oder Ausfall eines einzigen Switches das ganze Netz lahmlegen wenn man sich nicht vor Broadcast Stürmen schützt. Super GAU.
Es gibt zwar Angriffsmöglichkeiten wie VLAN Hopping, doch das ist doch nur unter ganz bestimmten Umständen ausnutzebar, wenn überhaupt.
http://en.wikipedia.org/wiki/VLAN_hopping
Seh ich ähnlich unkritisch wie IP-Spoofing (gähn). Da könnt ja einer aus dem Internet sich eine Source-IP aus deinem eigenen Netz geben, was zur Folge hätte dass deine FW die Pakete reinlässt. Ja und dann? Die werden ja niemals zurückgeroutet zum Angreifer, wat soll er damit? Klar, eventuell bissl Denial of Service probieren (gähn), aber ich hab das in den letzten 200 Jahren nie erlebt. Mit so mancher "Sicherungsmaßnahme" macht man sich nur mehr Probleme als man ohne die Maßnahme gehabt hätte, von steigender Komplexität und Unübersichtlichkeit ganz zu schweigen.
Tipps
- http/https abschalten (no ip http server)
- ACLs für Management (line vty 0 15) anlegen (Management Zugriff nur aus klar definierten Netzen erlauben)
- VLAN Allow Listen
- Spanning-Tree loop guard
- root bridges manuell festlegen
- vtp mode transparent auf allen switches
Man sollte sich mehr auf die wahrscheinlicheren Risiken konzentrieren, als sich von theoretischen Möglichkeiten verwirren zu lassen.
Wie stehts z. B. um loop guard Konfiguration? Da kann ein kleiner Fehler oder Ausfall eines einzigen Switches das ganze Netz lahmlegen wenn man sich nicht vor Broadcast Stürmen schützt. Super GAU.

Dann ruft wenigstens keiner an um sich zu beschweren, dass die ERP softwware nicht mehr geht...