lll0rd
Goto Top

Sicherheit mit VLAN, aber wie einrichten?

Hallo Leute,

ich habe bei mir zu Hause einen Lancom GS-1224P Switch, der zumindest einigermaßen administrierbar ist. Ich war heute dabei, das Netzwerk etwas zu umzugestalten, doch leider verstehe ich die VLAN Geschichte nicht so ganz. Besonders dann, wenn es um WLAN APs geht.

Wenn ich es richtig verstanden habe, habe ich zwei Möglichkeiten, das Netzwerk in verschiedene Teile aufzuteilen. Einmal basierend auf dem Port und einmal auf dem Tag. Okay, wenn ich jetzt sage, dass der Port 1, 2 und 3 dem VLAN 1 gehören und Port 4, 5 und 6 dem VLAN 2 gehören, dann kann ein Rechner am Port 1 einen anderen am Port 6 nicht erreichen, bzw. muss dann einen Umweg über z.B. einen Router gehen. Einen anderen Weg gibt es nicht.

Beim Tag-Based Verfahren setzt der Rechner selbst ein VLAN Tag. Und wenn ich einfach die VLAN-Tags ändere, kann ich problemlos in ein anderes VLAN gehen, nichts hindert mich daran.

Doch wie sieht es jetzt aus, wenn ein WLAN-AP dazu kommt?

Bzw. ich schreibe das jetzt mal etwas anders. Ich hätte gerne bei mir drei Netze.

Netz 1 soll für meine Arbeit sein, in dem wichtige Geräte enthalten sind.
Netz 2 soll für die Familie sein, in dem z.B. ein Mediaserver läuft. In dem Fernseher, die Playstation, die Receiver, etc. sind.
Netz 3 soll für die Gäste sein, also wenn jemand mal bei mir online gehen will.

Zwischen diesen Netzen soll ein Router den Traffic regeln. Hätte ich jetzt nur kabelgebundene Ports, wäre alles kein Problem. Dann könnte ich die Netze einfach portbasierend aufteilen. Doch gerade Gästen möchte ich einen WLAN Zugang zur Verfügung stellen, ohne Verschlüsselung. Ich habe also beim WLAN Multi-SSID, wo jedes WLAN eine andere VLAN-ID bekommen soll.

Dann kann ich ja kein portbasiertes VLAN betreiben, sondern Tag-Based. Aber da kann dann der Client problemlos in mein inneres Netz eindringen, in dem er einfach die VLAN-ID ändert, mit der getagt wird. Oder verstehe ich es da falsch?

Content-ID: 210729

Url: https://administrator.de/contentid/210729

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

LordGurke
LordGurke 07.07.2013 aktualisiert um 02:02:39 Uhr
Goto Top
Zitat von @LLL0rd:

Okay, wenn ich jetzt sage, dass der Port 1, 2 und 3 dem VLAN 1 gehören und
Port 4, 5 und 6 dem VLAN 2 gehören, dann kann ein Rechner am Port 1 einen anderen am Port 6 nicht erreichen, bzw. muss dann
einen Umweg über z.B. einen Router gehen. Einen anderen Weg gibt es nicht.

Korrekt, so ist das gedacht.


Beim Tag-Based Verfahren setzt der Rechner selbst ein VLAN Tag. Und wenn ich einfach die VLAN-Tags ändere, kann ich
problemlos in ein anderes VLAN gehen, nichts hindert mich daran.

Doch, der Switch.
Du musst dem Switchport normalerweise eine Liste mit VLANs mitgeben, in die er getagged hineindarf und aus denen er getaggete Daten empfängt. Macht ja auch keinen Sinn, wenn ein getaggeter Port hunderte Gigabit Traffic aus allen VLANs abbekommt den er garnicht haben will.
Steht das vom Rechner gesetzte VLAN-Tag nicht in der Liste der erlaubten VLANs verwirft der Switch die Pakete.

Ich habe also beim WLAN Multi-SSID, wo jedes WLAN eine andere VLAN-ID
bekommen soll.
Dann kann ich ja kein portbasiertes VLAN betreiben, sondern Tag-Based. Aber da kann dann der Client problemlos in mein inneres
Netz eindringen, in dem er einfach die VLAN-ID ändert, mit der getagt wird. Oder verstehe ich es da falsch?

Siehe oben, zusätzlich erzwingt der WLAN-AP aber ohnehin den von dir konfigurierten VLAN-Tag. Selbst wenn der Client da jetzt im Gast-WLAN hängt und mit VLAN 1 getaggete Pakete verschickt, überschreibt der AP sie mit dem für die betroffene SSID konfigurierten Wert.
Ein Paket kann nur für ein VLAN getagged sein und wenn der AP sagt, dass da jetzt VLAN 3 dranstehen muss, überschreibt er einen evtl. vorhandenen Wert oder verwirft das Paket direkt.
MrNetman
MrNetman 07.07.2013 aktualisiert um 10:06:11 Uhr
Goto Top
Da fehlt ein grundlegender Ansatz:
VLAN-Ports sind prinzipiell immer ungetaggt und der Switch setzt das Tag, das er intern dann weiter verwendet und damit die Trennung der Netze realisiert.
Für einen Router, Uplink, oder WLAN-AP benötigst du einen getaggten Port, dort werden die Tags vonm Switch nicht entfernt. Deshalb kann das dort angeschlossene Gerät zwischen den Netzen unterscheiden. Der AP ist bei Multi-SSID auch an einem getaggten Port angeschlossen. Nur so kann er die Netze durchgängig unterschieden.

Spezialfall ungesichertes WLAN:
Das Gerät, das die Verbindungen zwischen den VLANs und auch zum Internet herstellt, sorgt für die Sicherheit. Dort müssen Regeln (ACL) für den Zugriff auf die anderen Netze hinterlegt werden. SO kann das Gast-WLAN eben nur ins Internet, während das Busieness-LAN auch auf das Privat-LAN zugreifen und ins Internet kann.

Wenn du auch sonst Lancom hast, sollte das problemlos gehen.

GRuß
Netman
aqui
aqui 07.07.2013 aktualisiert um 10:44:31 Uhr
Goto Top
Die WLAN AP Geschichte mit Multi SSIDs ist in diesem Forumstutorial genau beschrieben im Kapitel "Praxisbeispiel":

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Im WLAN AP weist du im Setup jeder virtuellen SSID ein VLAN Tag zu. Mit diesem Tag landen dann die Pakete der jeweiligen SSIDs in einem separaten VLAN. So kannst du mehrere WLANs sauber trennen. Das obige "Praxisbeispiel" erläutert das wie bereits gesagt leicht verständlich !

Wie VLANs am Rechner selber mit Tagging übertragen werden erklärt dir dieses Tutorial:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Im Grunde wird hier das Endgerät das VLAN Tags versenden kann mit den Paketen genau so angebunden wie der Multi SSID AP vom obigen Beispiel.
Das Prinzip wird damit schnell klar: Anhand des empfangenen VLAN Tags im Paket weiss der Switch ganz genau welchem VLAN er dieses Paket zuordnen muss.

Im Grunde behandelt das erste Tutorial ganz genau dein angestrebtes Szenario und erklärt auch die Zusammenhänge.
Hilfreich ist ggf. noch ein Grundkurs zum Thema VLAN wie dieser hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/

Mit dem Rüstzeug sollte dir schnell klar sein wie das alles zusammenspielt...
LLL0rd
LLL0rd 07.07.2013 um 23:34:31 Uhr
Goto Top
Danke euch für die Hilfe. Mit den Tutorials und etwas rumprobieren, habe ich es nun geschafft, das VLAN so einzurichten, wie ich es brauche.

Allerdings habe ich jetzt noch eine andere Frage. Wo ich nur kann, verwende ich dot1x, damit ich tatsächlich weiß, dass im Kabelgebundenen Netzwerk nur meine Devices angeschlossen sind. Der Switch authentifiziert die Rechner per EAP-TLS an einem Radius Server. Wenn ich es allerdings richtig verstanden habe, dann kann ich per Radius auch ein VLAN mitgeben.

Momentan ist es so, dass per angeschlossenem Rechner entschieden wird, in welchem VLAN ein Rechner landet. Mit dot1x wäre es aber anscheinend möglich, per Benutzer festzulegen, in welchem VLAN der Rechner landet. So könnte ich z.B. im Wohnzimmer an den Rechner gehen, mich einloggen und hätte dann Zugriff auf das Business (V)LAN.

Allerdings weiß ich nicht, ob der Switch, den ich habe, dieses Feature auch unterstützt. Wie nennt man das denn?
MrNetman
MrNetman 08.07.2013 um 09:04:47 Uhr
Goto Top
Deine Vorgangsweise wäre nachvollziehbar - aber:

Wenn du mit einem PC bei 802.1x am Switch angemeldet bist, dann gibt es für den Switch keine Notwendigkeit dich wieder raus zu schmeißen. Bei einem Reboot wäre das anders.
Switchkonfigurationen ein VLAN mit zu geben funktioniert via SNMP set. Aber das ist für jeden Switch getrennt heraus (OID 3.1.6.1....) zu finden und via Skript auszuführen.
Im Switch selbst gitbt es solche Funktionen typischerweise nicht. 802.1x ist sogar überlistbar, wenn man am Switchport einen Dummswitch (nicht nmanagebar) dran hat. Dann kommt mit dem einen zugelassenen Gerät auch ein nicht zugelassenes Gerät ins Netz.

Gruß
Netman
aqui
aqui 08.07.2013 aktualisiert um 12:35:57 Uhr
Goto Top
.@LLLord
Dieses Tutorial beschreibt dir genau wie du auch die VLANs am Switch dynamisch mit 802.1x am Port via Radius einstellst:

Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kapitel --> "Dynamische VLANs"