Verständnisfrage VLAN und Virus Sicherheit
Hallo,
bin neu hier und natürlich wie alle habe ich dann gleich mal eine Frage:
beschäftige mich gerade ein klein wenig mit dem Thema VLAN.
Dabei stellt sich mir aber immer noch eine Frage, die ich leider nicht so recht beantworten kann bzw. für die ich keine wirklich gute Seite finde, auf der das er- bzw. geklärt wird:
kann das Nutzen von verschiedenen VLANs dabei helfen, die Ausbreitung eine Virus im Netzwerk zu verhinden?
Also wenn die VLANs komplett voneinander getrennt sind und keine Freigaben oder sonstiges vorliegen?
Also wenn sich z.B. ein PC im VLAN "Lager" einen Virus einfängt, kann sich dieser natürlich über alle "Lager" PCs verbreiten.
Aber was ist dann z.B. mit dem PCs im VLAN "Büro"? Sind diese dann davor geschützt, oder können diese ebenso kompromittiert werden?
Danke schonmal vielmals für eure Antworten!
Viele Grüße
Voodoopupp
bin neu hier und natürlich wie alle habe ich dann gleich mal eine Frage:
beschäftige mich gerade ein klein wenig mit dem Thema VLAN.
Dabei stellt sich mir aber immer noch eine Frage, die ich leider nicht so recht beantworten kann bzw. für die ich keine wirklich gute Seite finde, auf der das er- bzw. geklärt wird:
kann das Nutzen von verschiedenen VLANs dabei helfen, die Ausbreitung eine Virus im Netzwerk zu verhinden?
Also wenn die VLANs komplett voneinander getrennt sind und keine Freigaben oder sonstiges vorliegen?
Also wenn sich z.B. ein PC im VLAN "Lager" einen Virus einfängt, kann sich dieser natürlich über alle "Lager" PCs verbreiten.
Aber was ist dann z.B. mit dem PCs im VLAN "Büro"? Sind diese dann davor geschützt, oder können diese ebenso kompromittiert werden?
Danke schonmal vielmals für eure Antworten!
Viele Grüße
Voodoopupp
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357947
Url: https://administrator.de/forum/verstaendnisfrage-vlan-und-virus-sicherheit-357947.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Je nach Virus können die , aber dazu ist auf jeden fall eine möglichkeit von nöten damit die in das andere Netz kommen. Haben die VLANs keine kommunikationswege etabliert geht es nicht. Nur was nützen VLANs wenn die Rechner alle dort Isoliert sind? Irgendwie sollten die Rechner in den VLANs auch Daten austauschen können, oder nicht?
Gruß,
Peter
Je nach Virus können die , aber dazu ist auf jeden fall eine möglichkeit von nöten damit die in das andere Netz kommen. Haben die VLANs keine kommunikationswege etabliert geht es nicht. Nur was nützen VLANs wenn die Rechner alle dort Isoliert sind? Irgendwie sollten die Rechner in den VLANs auch Daten austauschen können, oder nicht?
Gruß,
Peter
Moin,
das VLAN selbst schützt erst mal gar nicht - sondern nur das was du daraus machst... Denn wenn du einen Switch mit VLAN-Fähigkeiten hast nutzt du auch immer eines (und sei es das default-VLAN mit allen Ports drin). Wenn du jetzt dir 100 VLANs generierst, die schön abschottest und dann aber dein Admin-Vlan überall Dauerzugriff hat dann ist das natürlich nur solange sicher wie in deinem Admin-VLAN nix blödes passiert.
Wo es aber natürlich sinnvoll ist: Wenn du z.B. öffentliche Bereiche hast diese schon mal so zu packen das die nicht an dein normales Arbeitsnetzwerk kommen. Selbst der beste Hacker vorm Herren kann nix machen wenn sein Port am Switch endet und ggf. sogar dann automatisch auf Shut steht. Wenn du Bereiche wie dein Lager hast in dem die Jungs ggf. gerne mal spielen und dir ihre Privategeräte ans Netz hängen wäre das ebenfalls ein Part den ich ggf. abtrennen würde - damit ein Virus dort gar keine Verbindung zum normeln Büro-Netzwerk hat.
Von daher: Eigentlich soll es nicht wirklich vor Viren schützen - da du normalerweise aus deinem Office- und Arbeitsnetzen die Server usw. eh erreichbar hast. Es soll lediglich die Arbeitsgruppen etwas teilen und die Zugriffe besser verwalten. So hast du oft auch ein VLAN für die Infrastruktur. In das brauchen aber die Lager- und Büroleute eher nicht rein, da die keinen Switch oder Drucker usw. verwalten sollen/müssen. Dabei ist der Virus sekundär, der Spieltrieb der Menschen ist da eher das Problem ;)
das VLAN selbst schützt erst mal gar nicht - sondern nur das was du daraus machst... Denn wenn du einen Switch mit VLAN-Fähigkeiten hast nutzt du auch immer eines (und sei es das default-VLAN mit allen Ports drin). Wenn du jetzt dir 100 VLANs generierst, die schön abschottest und dann aber dein Admin-Vlan überall Dauerzugriff hat dann ist das natürlich nur solange sicher wie in deinem Admin-VLAN nix blödes passiert.
Wo es aber natürlich sinnvoll ist: Wenn du z.B. öffentliche Bereiche hast diese schon mal so zu packen das die nicht an dein normales Arbeitsnetzwerk kommen. Selbst der beste Hacker vorm Herren kann nix machen wenn sein Port am Switch endet und ggf. sogar dann automatisch auf Shut steht. Wenn du Bereiche wie dein Lager hast in dem die Jungs ggf. gerne mal spielen und dir ihre Privategeräte ans Netz hängen wäre das ebenfalls ein Part den ich ggf. abtrennen würde - damit ein Virus dort gar keine Verbindung zum normeln Büro-Netzwerk hat.
Von daher: Eigentlich soll es nicht wirklich vor Viren schützen - da du normalerweise aus deinem Office- und Arbeitsnetzen die Server usw. eh erreichbar hast. Es soll lediglich die Arbeitsgruppen etwas teilen und die Zugriffe besser verwalten. So hast du oft auch ein VLAN für die Infrastruktur. In das brauchen aber die Lager- und Büroleute eher nicht rein, da die keinen Switch oder Drucker usw. verwalten sollen/müssen. Dabei ist der Virus sekundär, der Spieltrieb der Menschen ist da eher das Problem ;)
Moin,
machs dir doch einfach, plastische Vorstellung: Betrachte jedes VLan wie einen eigenen Switch und damit Netz.
Gibt es keine Verbindung gibt es keine Ausbreitung, gibt es eine Verbindung ist eine Ausbreitung, je nach Infektionsweg, möglich.
Angenommen der Virus verbreitet sich über eine Schwachstelle auf Port xyz, Du läßt aber nur eine Verbindung auf Port abc zu ist alles paletti, er kommt nicht rein.
Den Mensch als Wirt via USB Stick oder anderem Datenträger lasse ich jetzt mal außen vor
-teddy
machs dir doch einfach, plastische Vorstellung: Betrachte jedes VLan wie einen eigenen Switch und damit Netz.
Gibt es keine Verbindung gibt es keine Ausbreitung, gibt es eine Verbindung ist eine Ausbreitung, je nach Infektionsweg, möglich.
Angenommen der Virus verbreitet sich über eine Schwachstelle auf Port xyz, Du läßt aber nur eine Verbindung auf Port abc zu ist alles paletti, er kommt nicht rein.
Den Mensch als Wirt via USB Stick oder anderem Datenträger lasse ich jetzt mal außen vor
-teddy