voodoopupp
Goto Top

Verständnisfrage VLAN und Virus Sicherheit

Hallo,

bin neu hier und natürlich wie alle habe ich dann gleich mal eine Frage:
beschäftige mich gerade ein klein wenig mit dem Thema VLAN.

Dabei stellt sich mir aber immer noch eine Frage, die ich leider nicht so recht beantworten kann bzw. für die ich keine wirklich gute Seite finde, auf der das er- bzw. geklärt wird:
kann das Nutzen von verschiedenen VLANs dabei helfen, die Ausbreitung eine Virus im Netzwerk zu verhinden?
Also wenn die VLANs komplett voneinander getrennt sind und keine Freigaben oder sonstiges vorliegen?

Also wenn sich z.B. ein PC im VLAN "Lager" einen Virus einfängt, kann sich dieser natürlich über alle "Lager" PCs verbreiten.
Aber was ist dann z.B. mit dem PCs im VLAN "Büro"? Sind diese dann davor geschützt, oder können diese ebenso kompromittiert werden?

Danke schonmal vielmals für eure Antworten!

Viele Grüße
Voodoopupp

Content-ID: 357947

Url: https://administrator.de/forum/verstaendnisfrage-vlan-und-virus-sicherheit-357947.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Pjordorf
Lösung Pjordorf 12.12.2017 um 19:59:36 Uhr
Goto Top
Hallo,

Zitat von @Voodoopupp:
oder können diese ebenso kompromittiert werden?
Je nach Virus können die , aber dazu ist auf jeden fall eine möglichkeit von nöten damit die in das andere Netz kommen. Haben die VLANs keine kommunikationswege etabliert geht es nicht. Nur was nützen VLANs wenn die Rechner alle dort Isoliert sind? Irgendwie sollten die Rechner in den VLANs auch Daten austauschen können, oder nicht?

Gruß,
Peter
maretz
Lösung maretz 13.12.2017 um 06:48:09 Uhr
Goto Top
Moin,

das VLAN selbst schützt erst mal gar nicht - sondern nur das was du daraus machst... Denn wenn du einen Switch mit VLAN-Fähigkeiten hast nutzt du auch immer eines (und sei es das default-VLAN mit allen Ports drin). Wenn du jetzt dir 100 VLANs generierst, die schön abschottest und dann aber dein Admin-Vlan überall Dauerzugriff hat dann ist das natürlich nur solange sicher wie in deinem Admin-VLAN nix blödes passiert.

Wo es aber natürlich sinnvoll ist: Wenn du z.B. öffentliche Bereiche hast diese schon mal so zu packen das die nicht an dein normales Arbeitsnetzwerk kommen. Selbst der beste Hacker vorm Herren kann nix machen wenn sein Port am Switch endet und ggf. sogar dann automatisch auf Shut steht. Wenn du Bereiche wie dein Lager hast in dem die Jungs ggf. gerne mal spielen und dir ihre Privategeräte ans Netz hängen wäre das ebenfalls ein Part den ich ggf. abtrennen würde - damit ein Virus dort gar keine Verbindung zum normeln Büro-Netzwerk hat.

Von daher: Eigentlich soll es nicht wirklich vor Viren schützen - da du normalerweise aus deinem Office- und Arbeitsnetzen die Server usw. eh erreichbar hast. Es soll lediglich die Arbeitsgruppen etwas teilen und die Zugriffe besser verwalten. So hast du oft auch ein VLAN für die Infrastruktur. In das brauchen aber die Lager- und Büroleute eher nicht rein, da die keinen Switch oder Drucker usw. verwalten sollen/müssen. Dabei ist der Virus sekundär, der Spieltrieb der Menschen ist da eher das Problem ;)
magicteddy
Lösung magicteddy 13.12.2017 um 07:23:29 Uhr
Goto Top
Moin,

machs dir doch einfach, plastische Vorstellung: Betrachte jedes VLan wie einen eigenen Switch und damit Netz.
Gibt es keine Verbindung gibt es keine Ausbreitung, gibt es eine Verbindung ist eine Ausbreitung, je nach Infektionsweg, möglich.
Angenommen der Virus verbreitet sich über eine Schwachstelle auf Port xyz, Du läßt aber nur eine Verbindung auf Port abc zu ist alles paletti, er kommt nicht rein.

Den Mensch als Wirt via USB Stick oder anderem Datenträger lasse ich jetzt mal außen vor face-wink

-teddy
Voodoopupp
Voodoopupp 13.12.2017 um 13:08:20 Uhr
Goto Top
Zitat von @Pjordorf:
Je nach Virus können die , aber dazu ist auf jeden fall eine möglichkeit von nöten damit die in das andere Netz kommen. Haben die VLANs keine kommunikationswege etabliert geht es nicht. Nur was nützen VLANs wenn die Rechner alle dort Isoliert sind? Irgendwie sollten die Rechner in den VLANs auch Daten austauschen können, oder nicht?

okay, grundsätzlich habe ich das verstanden. Genau daran dachte ich aber eben, da bei uns die Abteilungen meines Erachtens nicht kommunizieren müssen. Die Rechner selbst aus den unterschiedlichen Abteilungen müssen eigentlich nur aufs NAS oder aber ins Internet.


Zitat von @maretz:
... Wenn du Bereiche wie dein Lager hast in dem die Jungs ggf. gerne mal spielen und dir ihre Privategeräte ans Netz hängen wäre das ebenfalls ein Part den ich ggf. abtrennen würde - damit ein Virus dort gar keine Verbindung zum normeln Büro-Netzwerk hat...


Ich skizziere mal kurz, wie es aktuell bei uns ist:
unsere Warenwirtschaft wird im Lager zum Versand benutzt, daraus erfolgt direkt der Rechnungsdruck in PDF Form und wird aufs NAS abgespeichert. Die Warenwirtschaft läuft extern beim Anbieter auf deren Servern, sprich die Programme sind zwar vor Ort, die Datenbank läuft aber extern.

Das Büro kann ebenso auf das eben genannte NAS zugreifen, da hier die Rechnungen natürlich auch hin und wieder notwendig sind.
Ansonsten muss das Büro aber auf nichts vom Lager zugreifen. Es sei denn (aktuell) per Remote Desktop, um mal in Easylog was rauszusuchen! (was sich in Zukunft aber auch gerne noch etwas verbessern lässt)

Darum geht es mir:
Kann ich unter diesen Umständen das Lager nicht einfach komplett abtrennen, das NAS separieren und dann das Büro ebenso? Oder habe ich da einen Denkfehler, weil das NAS evtl. ein Problem darstellen könnte?

Da wir in den nächsten Monaten einen Umzug in ein neues Firmengebäude vor uns haben, möchte ich dann natürlich dort die Infrastruktur sinnvoll unterteilen und eben auch so sicher und funktionell wie möglich machen (dafür würde ich aber gerne ein eigenständiges Thema draus machen).

Freue mich auf eure Antworten, damit ich wieder etwas schlauer werde face-smile

Grüße
Voodoopupp
Voodoopupp
Voodoopupp 17.12.2017 um 10:35:57 Uhr
Goto Top
Hätte vielleicht noch jemand eine Meinung zu meinem letzten Punkt in Bezug auf die Trennung der VLANs und dem NAS?

Würde mich freuen, wenn ich den Punkt abhaken könnte und mich dem nächsten Problem widmen könnte :D