manu87
Goto Top

VLAN - Diverse Fragen

Guten Abend,

ich habe ein paar Fragen zum Thema VLAN und hoffe ein paar Experten können diese beantworten face-wink

1) Access Points sind dem Management VLAN zugeordnet. Da diese aber kein VLAN Tagging am Management Port unterstützen, liegen diese auf dem Switch untagged an. Wie verhindere ich, dass jemand an der Netzwerkdose den Access Point absteckt, sich mit seinem Gerät dort anschließt und dann auf mein Management VLAN zugreift? Oder denke ich hier zu weit?

2) Nehmen wir an wir nutzen ein Class-A Netz --> VLAN 100 = 10.40.100.0/24 und VLAN200 = 10.40.200.0/24
Kann ich als Reverse Lookup Zone im DNS Server einfach die 40.10 anlegen? oder muss ich für jedes VLAN eine eigene anlegen? Was hat das für Vor-/Nachteile?

Gruß Manu

Content-Key: 1119759968

Url: https://administrator.de/contentid/1119759968

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: BirdyB
BirdyB 04.08.2021 um 05:00:20 Uhr
Goto Top
Moin,
1) Dafür sollte man den Port entsprechend absichern. Je nach Sicherheitsbedürfnis zumindest per MAC-Filter oder mit anderen Mechanismen(802.1x)
2) Netzwerkklassen gibt es schon seit den 90ern nicht mehr. Ausserdem hat DNS nichts mit VLAN zu tun. Für die VLANs ist es also Wurst, was du auf deinem DNS-Server konfigurierst. Da könnte man mit etwas Nachdenken auch selbst drauf kommen.
VG
Mitglied: Benandi
Benandi 04.08.2021 um 06:27:22 Uhr
Goto Top
Guten ähm... Morgen face-smile

Vorab eine Art "Disclaimer":
Ohne nähere Angaben zur Hardware und Konfiguration nehme ich erstmal eine "einfache" Umgebung an. Wenn bei dir Besonderheiten in Verwendung sind, kann ich also durchaus daneben greifen. Zusätzlich habe ich beruflich primär mit Cisco, Fortinet sowie Microsoft Windows zu tun und gehe bei spezifischen Aspekten eher herstellerlastig ran.

Kurz zur ersten Frage: Ja, AP abstecken und dann im VLAN Unfug treiben ist laut vorliegenden Informationen definitiv möglich.
Kurz zur zweiten Frage: Theoretisch kannst du mit "10.in-addr.arpa" als Reverse Lookup Zone glücklich werden. Kommt aber stark drauf an.

Lange Fassung:
Wie viel Aufwand du betreiben willst, kannst und darfst, musst du selber wissen.

1) Access Points sind dem Management VLAN zugeordnet. Da diese aber kein VLAN Tagging am Management Port unterstützen, liegen diese auf dem Switch untagged an. [...]
Ist häufig so. Zumindest, was das Managementinterface angeht.
Unterstützen sie Multi-SSID oder können pro SSID je eine VLAN-ID zuordnen?

[...] Wie verhindere ich, dass jemand an der Netzwerkdose den Access Point absteckt, [...]
Wirklich verhindern wirst du es nur, wenn wenn da keiner dran kommt, alles verplombt und unter scharfe Bewachung gestellt wird. Total realitätsfern also. Was bleibt? Stichwort "Technische und organisatorische Maßnahmen"
- Rack abschließen, Serverraum abschließen, ggf. Zugangskontrolle
- "Abschließbare" Steckverbindungen gibt es auch, aber ich habe keine Erfahrung damit. Die Konzepte variieren teils stark und es gibt viele Anbieter. Mal braucht man spezielle Buchsen (exemplarisch Delock) oder "Reparatur-Clips" (wieder Delock) oder oder oder... Hier stellt sich vor dem Einsatz die Frage nach der Widerstandsfähigkeit / Manipulationssicherheit.
- APs und Netzwerkdosen vergittern -> Metall und Funk mögen sich bloß nicht besonders
- APs und Netzwerkdosen hinter Kunststoffblenden / - kästen verstecken -> erschwert nur die Lokalisierung. Sobald der Eindringlich checkt, dass "Kunststoffkasten" und "hohe Feldstärke" in enger Verbindung zueinander stehen...
- Anbringung der APs und Netzwerkdosen an schwer erreichbaren Stellen -> nicht jeder Eindringlich hat eine Leiter parat
- Anbringung der APs und Netzwerkdosen in gut einsehbaren und frequentierten Bereichen -> Mitarbeiter sprechen Fremde an, die das "heilige WLAN" sabotieren und dabei auch noch gesehen werden können ;)
- Monitoring der APs und Switchinterfaces hinsichtlich Status -> Nachteil: Abfrageintervall muss ziemlich kurz sein und erhöht die Netzwerklast -> bei Alarm nachgucken (lassen) -> auch nachträglich kann man Rückschlüsse ziehen und (sofern vorhanden) Videomaterial der Überwachungskameras auswerten
- Nutzung der herstellerspezifischen "diebstahlsicheren" Montageplatten / Halterungen für die APs -> je nach Hersteller und Modell wird dabei auch der Zugriff auf die RJ45-Buchse stark erschwert oder unterbunden. (Hatte ich mal bei Ruckus APs: konfiguriert, angeklemmt und auf den Tisch gelegt, weil das Projektmanagement samt Terminierung... ausbaufähig ist. Damit die Halterungen nicht flöten gehen, habe ich sie direkt aufgesteckt. Zwei Wochen später ruft jemand vom Facility Management an und fragt, wie er "denn den ### bitte montieren soll, wenn da nix abgeht".)

[...] sich mit seinem Gerät dort anschließt [...]
Ganz klar: keine RJ45-Buchsen verbauen, sondern TERA. GG45 und ARJ45 sind abwärtskompatibel zu RJ45. Natürlich ist diese Maßnahme auch etwas realitätsfern und nur für die Strecke der Verlegekabel anwendbar. Die APs sowie Switche haben wieder RJ45-Buchsen und der Eindringling würde dann dort ansetzen, wenn er dran kommt. Der ganze Aufwand für die vermeintliche Sicherheit ist damit für die Katz.

[...] und dann auf mein Management VLAN zugreift?
Da kann man auch einiges tun. Was konkret, hängt wieder von der Hardware und Konfiguration sowie teilweise den Örtlichkeiten ab. Da gehe ich erstmal nicht ins Detail.
- Switchinterface bei Zustandswechsel automatisch deaktivieren (lassen)
- 802.1x-Authentifizierung basierend auf Zertifikaten scharf schalten
- Je nach Struktur des Unternehmens und Niederlassungsanzahl kann man ggf. auch mit Firewallregeln oder ACLs auf Switchebene arbeiten.
- Separates VLAN nur für die APs. Ein Eindringling müsste sich dann erstmal weiter vortasten. Zusätzlich kann man Traffic mit Firewallregeln oder ACLs auf das absolute Minimum begrenzen. Kombiniert mit irgendwas Richtung "Layer 7 Firewalling", "NGFW", "DPI", etc. + Alarmmeldung bei Auffälligkeiten hat man jedenfalls schon mal was an der Hand, um reagieren zu können.
- Alles Denkbare, was Richtung "Zero Trust", "Intend Based" und dergleichen geht... Das sprengt an dieser Stelle aber definitiv den Rahmen.
-- Sofern im Einsatz und ordentlich ein- / angebunden: Endpoint Management / Control ("Security Fabric" bei Fortinet)
- Hilft nicht bei MAC Address Spoofing:
-- DHCP im Management VLAN (oder falls möglich: dediziert pro Switchinterface) abschalten oder mit DHCP-Reservierungen arbeiten und alle unbekannten MAC-Adressen abweisen -> kein wirkliches Sicherheitsfeature und kann sich mit dem Deployment der APs beißen
-- "Sticky MAC Address" (Benamung Cisco) auf dem Switchinterface konfigurieren. Ggf. kommt zusätzlich auch noch der Konfigurationsblock "port security" (Benamung Cisco) in Betracht.
-- 802.1x-Authentifizierung basierend auf MAC-Adresse / "MAB" (Benamung Cisco) aktivieren


2) [...] Kann ich als Reverse Lookup Zone im DNS Server einfach die 40.10 anlegen?
Kommt ganz stark auf die Umgebung an. Ohne etwas über selbige zu wissen, würde ich prinzipiell für alle drei privaten IP-Netze aus RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) sowie Loopback (127.0.0.0/8) die Reverse Lookup Zonen ("127.in-addr.arpa", "10.in-addr.arpa", usw. ) anlegen, um in Zukunft nicht nochmal ran zu müssen (oder eben nur genau das, was auch wirklich im Einsatz ist und dann bei Bedarf nachsteuern). Ausnahme: Es ist vorab bekannt, dass bestimmte Bereiche von der Registrierung ausgeschlossen werden müssen.
Bei DNS ist die wichtigste Frage vorab: Microsoft Active Directory im Einsatz?

[...] oder muss ich für jedes VLAN eine eigene anlegen? [...]
Das geht doch gar nicht. Du meinst wohl eher IP-Netze :p

Was hat das für Vor-/Nachteile?
Uff... Wie schon erwähnt, kommt es ganz stark auf die Umgebung an. Einerseits geht es um ggf. vorhandene Active Directory Zonen. Andererseits werden Aspekte wie Berechtigungen, Anzahl und Zugehörigkeit vorhandener DNS-Server, Replikation, DynDNS, etc. darüber entscheiden, ob sich überhaupt Vor- oder Nachteile ergeben und wenn ja, was dann welcher Sparte zugerechnet werden kann.

Infoschnipsel:
"Class A" bezeichnet ein Netz der Größe /8; in deinem Fall also das private Netz 10.0.0.0/8. Seit es CIDR (und damit VLSM) gibt, ergibt diese Benamung nach Netzklassen einfach keinen Sinn mehr, lässt sich aber nur schwer ausrotten und sorgt für Stolpersteine in der Kommunikation.
VLAN arbeitet auf Layer 2 und IP auf Layer 3. Theoretisch könnte man also in unterschiedlichen VLAN-IDs das gleiche IP-Netz betreiben. Da Netzwerke aber tendenziell auf Konnektivität konzipiert werden, schießt man sich spätestens beim Routing höllisch ins Knie. Daher ist dein Ansatz, unterschiedliche VLAN-IDs mit unterschiedlichen IP-Netzen zu betreiben, gut. Außerdem korrelieren VLAN-ID und Subnetz -> grundsätzlich löblich face-smile

Grüße,
Benandi (der nun doch viel länger als ursprünglich geplant an dem Text getippt hat und nun ins Bett geht)
Mitglied: aqui
aqui 04.08.2021 aktualisiert um 11:35:52 Uhr
Goto Top
1.)
Das verhinderst du indem du eine 802.1x Port Authentisierung am Switchport machst
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die andere Option ist wen du ein Controller basiertes WLAN nutzt das du an solchen öffentlich zugänglichen Ports ein tunneled WLAN einsetz statt sog. Local Terminaton. Bei einem tunneled WLAN tunnelt der AP den gesamten WLAN Traffic über eine GRE oder SSH Tunnel an denController wo er dann ausgekoppelt wird.
Beide Optionen sichern so offen zugängliche LAN Ports ab vor Fremdzugriff.
2.)
Vorweg: „Klassen“ gibt es schon seit über 25 Jahren mit der Einführung von CIDR nicht mehr in der IP Adressierung. Hier lebst du also noch im tiefsten IT Neandertal !! face-sad
Den Rest haben die Kollegen oben schon beantwortet bzw. Beantwortet das hiesige VLAN Tutorial
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern