VLAN - Diverse Fragen

Guten Abend,

ich habe ein paar Fragen zum Thema VLAN und hoffe ein paar Experten können diese beantworten ;-) face-wink

1) Access Points sind dem Management VLAN zugeordnet. Da diese aber kein VLAN Tagging am Management Port unterstützen, liegen diese auf dem Switch untagged an. Wie verhindere ich, dass jemand an der Netzwerkdose den Access Point absteckt, sich mit seinem Gerät dort anschließt und dann auf mein Management VLAN zugreift? Oder denke ich hier zu weit?

2) Nehmen wir an wir nutzen ein Class-A Netz --> VLAN 100 = 10.40.100.0/24 und VLAN200 = 10.40.200.0/24
Kann ich als Reverse Lookup Zone im DNS Server einfach die 40.10 anlegen? oder muss ich für jedes VLAN eine eigene anlegen? Was hat das für Vor-/Nachteile?

Gruß Manu

Content-Key: 1119759968

Url: https://administrator.de/contentid/1119759968

Ausgedruckt am: 21.09.2021 um 15:09 Uhr

Mitglied: BirdyB
BirdyB 04.08.2021 um 05:00:20 Uhr
Goto Top
Moin,
1) Dafür sollte man den Port entsprechend absichern. Je nach Sicherheitsbedürfnis zumindest per MAC-Filter oder mit anderen Mechanismen(802.1x)
2) Netzwerkklassen gibt es schon seit den 90ern nicht mehr. Ausserdem hat DNS nichts mit VLAN zu tun. Für die VLANs ist es also Wurst, was du auf deinem DNS-Server konfigurierst. Da könnte man mit etwas Nachdenken auch selbst drauf kommen.
VG
Mitglied: Benandi
Benandi 04.08.2021 um 06:27:22 Uhr
Goto Top
Guten ähm... Morgen :) face-smile

Vorab eine Art "Disclaimer":
Ohne nähere Angaben zur Hardware und Konfiguration nehme ich erstmal eine "einfache" Umgebung an. Wenn bei dir Besonderheiten in Verwendung sind, kann ich also durchaus daneben greifen. Zusätzlich habe ich beruflich primär mit Cisco, Fortinet sowie Microsoft Windows zu tun und gehe bei spezifischen Aspekten eher herstellerlastig ran.

Kurz zur ersten Frage: Ja, AP abstecken und dann im VLAN Unfug treiben ist laut vorliegenden Informationen definitiv möglich.
Kurz zur zweiten Frage: Theoretisch kannst du mit "10.in-addr.arpa" als Reverse Lookup Zone glücklich werden. Kommt aber stark drauf an.

Lange Fassung:
Wie viel Aufwand du betreiben willst, kannst und darfst, musst du selber wissen.

1) Access Points sind dem Management VLAN zugeordnet. Da diese aber kein VLAN Tagging am Management Port unterstützen, liegen diese auf dem Switch untagged an. [...]
Ist häufig so. Zumindest, was das Managementinterface angeht.
Unterstützen sie Multi-SSID oder können pro SSID je eine VLAN-ID zuordnen?

[...] Wie verhindere ich, dass jemand an der Netzwerkdose den Access Point absteckt, [...]
Wirklich verhindern wirst du es nur, wenn wenn da keiner dran kommt, alles verplombt und unter scharfe Bewachung gestellt wird. Total realitätsfern also. Was bleibt? Stichwort "Technische und organisatorische Maßnahmen"
- Rack abschließen, Serverraum abschließen, ggf. Zugangskontrolle
- "Abschließbare" Steckverbindungen gibt es auch, aber ich habe keine Erfahrung damit. Die Konzepte variieren teils stark und es gibt viele Anbieter. Mal braucht man spezielle Buchsen (exemplarisch Delock) oder "Reparatur-Clips" (wieder Delock) oder oder oder... Hier stellt sich vor dem Einsatz die Frage nach der Widerstandsfähigkeit / Manipulationssicherheit.
- APs und Netzwerkdosen vergittern -> Metall und Funk mögen sich bloß nicht besonders
- APs und Netzwerkdosen hinter Kunststoffblenden / - kästen verstecken -> erschwert nur die Lokalisierung. Sobald der Eindringlich checkt, dass "Kunststoffkasten" und "hohe Feldstärke" in enger Verbindung zueinander stehen...
- Anbringung der APs und Netzwerkdosen an schwer erreichbaren Stellen -> nicht jeder Eindringlich hat eine Leiter parat
- Anbringung der APs und Netzwerkdosen in gut einsehbaren und frequentierten Bereichen -> Mitarbeiter sprechen Fremde an, die das "heilige WLAN" sabotieren und dabei auch noch gesehen werden können ;)
- Monitoring der APs und Switchinterfaces hinsichtlich Status -> Nachteil: Abfrageintervall muss ziemlich kurz sein und erhöht die Netzwerklast -> bei Alarm nachgucken (lassen) -> auch nachträglich kann man Rückschlüsse ziehen und (sofern vorhanden) Videomaterial der Überwachungskameras auswerten
- Nutzung der herstellerspezifischen "diebstahlsicheren" Montageplatten / Halterungen für die APs -> je nach Hersteller und Modell wird dabei auch der Zugriff auf die RJ45-Buchse stark erschwert oder unterbunden. (Hatte ich mal bei Ruckus APs: konfiguriert, angeklemmt und auf den Tisch gelegt, weil das Projektmanagement samt Terminierung... ausbaufähig ist. Damit die Halterungen nicht flöten gehen, habe ich sie direkt aufgesteckt. Zwei Wochen später ruft jemand vom Facility Management an und fragt, wie er "denn den Scheiß bitte montieren soll, wenn da nix abgeht".)

[...] sich mit seinem Gerät dort anschließt [...]
Ganz klar: keine RJ45-Buchsen verbauen, sondern TERA. GG45 und ARJ45 sind abwärtskompatibel zu RJ45. Natürlich ist diese Maßnahme auch etwas realitätsfern und nur für die Strecke der Verlegekabel anwendbar. Die APs sowie Switche haben wieder RJ45-Buchsen und der Eindringling würde dann dort ansetzen, wenn er dran kommt. Der ganze Aufwand für die vermeintliche Sicherheit ist damit für die Katz.

[...] und dann auf mein Management VLAN zugreift?
Da kann man auch einiges tun. Was konkret, hängt wieder von der Hardware und Konfiguration sowie teilweise den Örtlichkeiten ab. Da gehe ich erstmal nicht ins Detail.
- Switchinterface bei Zustandswechsel automatisch deaktivieren (lassen)
- 802.1x-Authentifizierung basierend auf Zertifikaten scharf schalten
- Je nach Struktur des Unternehmens und Niederlassungsanzahl kann man ggf. auch mit Firewallregeln oder ACLs auf Switchebene arbeiten.
- Separates VLAN nur für die APs. Ein Eindringling müsste sich dann erstmal weiter vortasten. Zusätzlich kann man Traffic mit Firewallregeln oder ACLs auf das absolute Minimum begrenzen. Kombiniert mit irgendwas Richtung "Layer 7 Firewalling", "NGFW", "DPI", etc. + Alarmmeldung bei Auffälligkeiten hat man jedenfalls schon mal was an der Hand, um reagieren zu können.
- Alles Denkbare, was Richtung "Zero Trust", "Intend Based" und dergleichen geht... Das sprengt an dieser Stelle aber definitiv den Rahmen.
-- Sofern im Einsatz und ordentlich ein- / angebunden: Endpoint Management / Control ("Security Fabric" bei Fortinet)
- Hilft nicht bei MAC Address Spoofing:
-- DHCP im Management VLAN (oder falls möglich: dediziert pro Switchinterface) abschalten oder mit DHCP-Reservierungen arbeiten und alle unbekannten MAC-Adressen abweisen -> kein wirkliches Sicherheitsfeature und kann sich mit dem Deployment der APs beißen
-- "Sticky MAC Address" (Benamung Cisco) auf dem Switchinterface konfigurieren. Ggf. kommt zusätzlich auch noch der Konfigurationsblock "port security" (Benamung Cisco) in Betracht.
-- 802.1x-Authentifizierung basierend auf MAC-Adresse / "MAB" (Benamung Cisco) aktivieren


2) [...] Kann ich als Reverse Lookup Zone im DNS Server einfach die 40.10 anlegen?
Kommt ganz stark auf die Umgebung an. Ohne etwas über selbige zu wissen, würde ich prinzipiell für alle drei privaten IP-Netze aus RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) sowie Loopback (127.0.0.0/8) die Reverse Lookup Zonen ("127.in-addr.arpa", "10.in-addr.arpa", usw. ) anlegen, um in Zukunft nicht nochmal ran zu müssen (oder eben nur genau das, was auch wirklich im Einsatz ist und dann bei Bedarf nachsteuern). Ausnahme: Es ist vorab bekannt, dass bestimmte Bereiche von der Registrierung ausgeschlossen werden müssen.
Bei DNS ist die wichtigste Frage vorab: Microsoft Active Directory im Einsatz?

[...] oder muss ich für jedes VLAN eine eigene anlegen? [...]
Das geht doch gar nicht. Du meinst wohl eher IP-Netze :p

Was hat das für Vor-/Nachteile?
Uff... Wie schon erwähnt, kommt es ganz stark auf die Umgebung an. Einerseits geht es um ggf. vorhandene Active Directory Zonen. Andererseits werden Aspekte wie Berechtigungen, Anzahl und Zugehörigkeit vorhandener DNS-Server, Replikation, DynDNS, etc. darüber entscheiden, ob sich überhaupt Vor- oder Nachteile ergeben und wenn ja, was dann welcher Sparte zugerechnet werden kann.

Infoschnipsel:
"Class A" bezeichnet ein Netz der Größe /8; in deinem Fall also das private Netz 10.0.0.0/8. Seit es CIDR (und damit VLSM) gibt, ergibt diese Benamung nach Netzklassen einfach keinen Sinn mehr, lässt sich aber nur schwer ausrotten und sorgt für Stolpersteine in der Kommunikation.
VLAN arbeitet auf Layer 2 und IP auf Layer 3. Theoretisch könnte man also in unterschiedlichen VLAN-IDs das gleiche IP-Netz betreiben. Da Netzwerke aber tendenziell auf Konnektivität konzipiert werden, schießt man sich spätestens beim Routing höllisch ins Knie. Daher ist dein Ansatz, unterschiedliche VLAN-IDs mit unterschiedlichen IP-Netzen zu betreiben, gut. Außerdem korrelieren VLAN-ID und Subnetz -> grundsätzlich löblich :) face-smile

Grüße,
Benandi (der nun doch viel länger als ursprünglich geplant an dem Text getippt hat und nun ins Bett geht)
Mitglied: aqui
aqui 04.08.2021 aktualisiert um 11:35:52 Uhr
Goto Top
1.)
Das verhinderst du indem du eine 802.1x Port Authentisierung am Switchport machst
https://administrator.de/tutorial/netzwerk-zugangskontrolle-mit-802-1x-u ...
Die andere Option ist wen du ein Controller basiertes WLAN nutzt das du an solchen öffentlich zugänglichen Ports ein tunneled WLAN einsetz statt sog. Local Terminaton. Bei einem tunneled WLAN tunnelt der AP den gesamten WLAN Traffic über eine GRE oder SSH Tunnel an denController wo er dann ausgekoppelt wird.
Beide Optionen sichern so offen zugängliche LAN Ports ab vor Fremdzugriff.
2.)
Vorweg: „Klassen“ gibt es schon seit über 25 Jahren mit der Einführung von CIDR nicht mehr in der IP Adressierung. Hier lebst du also noch im tiefsten IT Neandertal !! :-( face-sad
Den Rest haben die Kollegen oben schon beantwortet bzw. Beantwortet das hiesige VLAN Tutorial
https://administrator.de/tutorial/vlan-installation-und-routing-mit-pfse ...
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 21 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...