VLAN (k)ein Sicherheitsfeature?

Mitglied: hpylori

hpylori (Level 1) - Jetzt verbinden

21.07.2017 um 07:25 Uhr, 1785 Aufrufe, 6 Kommentare

Guten Tag,

hab da mal eine kurze Verständnisfrage bezüglich VLAN.

Man liest immer wieder dass dies als Sicherheitsfeature verstanden wird,
zB. auch um ungewollte Geräte draußen zu halten.

Aber nach meinem Verständnis kann ja quasi jeder bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.
Somit kommt man erst nicht um Lösungen wie 802.1x oä. herum.

Demnach wäre ein portbasiertes VLAN sogar "sicherer" weil "fremde" Pakete gar nicht bis zur Dose kommen - nicht?

Verstehe ich da was falsch oder stimmt das schon so im Groben und Ganzen?

Was ist eigentlich von IPsec im lokalen Netzwerk zu halten?
Sprich "einfach" als Alternative den ganzen Traffic zu verschlüsseln anstatt zu regeln wer "mitspielen" darf und wer nicht?

Danke und Grüße
hpylori
Mitglied: 108012
21.07.2017 um 08:02 Uhr
Moin Moin,

also zu aller erst einmal wäre es schick wenn man sich darauf einigen könnte, dass Sicherheit immer Mehrstufig zu verstehen ist!
Also man macht nicht das Eine oder das Andere und ist dann sicher! Man fängt in der Regel von hinten an und behauptet erst einmal,
das man zu 100% unsicher ist! Dann teilt man sein Netzwerk ein und besorgt sich etwas zur Sicherung des WANs oder für die Schnittstelle
hin zum Internet. Dann ist man mit einem SPI/NAT Router 5% sicherer und mit einer Firewall 10% sicherer und mit einer UTM oder NG-Firewall
kommt man schon auf 15% weniger Unsicherheit. Nach der strukturierten Netzaufteilung wären dann Broadcastdomänen an der Reihe denn
damit steht und fällt dann eben alles, bzw. man versucht sie so klein wie möglich zu halten, ist aber auch einen Sache seitens der Performance
der Switche, wenn die richtig viel können und auch noch stark genug sind kann man damit schon viel machen! So nun zu Deinen VLANs und
dem Rest. Man kann dann die Switche stapeln und VLANs anlegen und für diese dann Switch ACLs erstellen ebenso wie man MacSec für
das gesamte Netzwerk einschalten kann. Damit ist man dann schon etwas besser aufgestellt.

Wer dann noch zwei Server hat rundet alles noch ein wenig besser ab, ein DC/AD Server auf dem dann die LDAP Rolle und die RadiusServer
Rolle installiert werden für Kabel gebundene (LAN) und Kabel lose (WLAN) Geräte ist dann schon bei 50% Sicherheit angekommen. Und mit
GPOs zusätzlich ist man dann schon gut dabei.

Wer will kann auch einen WLAN Controller und damit ein Captive Portal für WLAN Gäste einrichten dann kann man auch nach Roiuge WLAN APs
scannen und ist sicherlich noch ein wenig besser aufgestellt.

Wer jetzt noch einen Snort Server und diverse Snort Sensoren im Netzwerk platziert ist zusammen mit einer Host basierenden IDS/IPS
Lösung wie OSSec noch besser beraten und kann im Netzwerk und auf den Hosts (PC,Server,SAN/NAS,...) alles scannen und kontrollieren.

Regelmäßige Backups und das auch noch verschlüsselt sind 100 mal mehr Wert als alles andere.

Man liest immer wieder dass dies als Sicherheitsfeature verstanden wird,
zB. auch um ungewollte Geräte draußen zu halten.
Naja, man möchte wohl eher nicht das alle Mitarbeiter an den PCs der anderen Mitarbeiter herum fummeln und auch nicht an all
den Servern die vorhanden sind, verständlich oder?

Aber nach meinem Verständnis kann ja quasi jeder bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.
Somit kommt man erst nicht um Lösungen wie 802.1x oä. herum.
Man kann Switch ACLs benutzen und zusammen mit MacSec ist das schon ganz ordentlich. LDAP und Radius Server Rolle oder
gar ein FreeRadius 3.0 und ein OpenLDAP auf einem Linux Server (RaspBerry PI 3.0) sind auch voll und ganz in Ordnung.

Demnach wäre ein portbasiertes VLAN sogar "sicherer" weil "fremde" Pakete gar nicht bis zur Dose kommen - nicht?
Was ist schon sicher!? Wenn dort ein DC/AD mit der LDAP Rolle am werkeln sind und die restlichen Switch Ports zu den
Netzwerkdosen stillgelegt sind, kann dort gar keiner etwas neu einstecken was dann im Netzwerk unterwegs ist. Oder
Aber Switche mit einer mehrfachen Radius Auth. pro Port sind auch nicht übel gar keine Frage.

Verstehe ich da was falsch oder stimmt das schon so im Groben und Ganzen?
Man überschätzt VLANs eventuell, aber das sie ein probates Mittel zur Abgrentzung und besseren Verwaltung, oder gar Fehlersuche
sind will ich gar nicht bestreiten. Nur wenn ich in einem VLAN bin und versuche dann in ein anderes VLAN zu kommen, kann es sein
das der Snort Sensor das mitbekommt und dann bin ich dran, denn der gibt dann Alarm!

Was ist eigentlich von IPsec im lokalen Netzwerk zu halten?
Gar nichts. Dazu nimmt man heute MacSec und/oder Radius Server mit Zertifikaten und Verschlüsselung!

Sprich "einfach" als Alternative den ganzen Traffic zu verschlüsseln anstatt zu regeln wer "mitspielen" darf und wer nicht?
Ich denke hier liegst Du selber etwas daneben, denn bei den meisten KMU (SMB) Switchen geht die gesamte
Netzwerkperformance mitunter so in den Keller dass man das gar nicht erst wieder versuchten wird. Allerdings mit geeigneten
Switchen die stark genug sind kann man das schon realisieren.

Warum ich soweit ausgeholt habe, ist folgendes, oft benutzen Leute ein oder zwei Sachen und denken dann sie sind sicher,
bzw. Ihre Netzwerk ist es, das stimmt aber so nicht ganz und die Scheuklappen einmal ablegen ist ja auch nicht so schlimm.

Gruß
dobby
Bitte warten ..
Mitglied: sk
21.07.2017, aktualisiert um 09:09 Uhr
Zitat von hpylori:
Man liest immer wieder dass dies als Sicherheitsfeature verstanden wird,
zB. auch um ungewollte Geräte draußen zu halten.

Lese ich in dieser Kausalität zum ersten Mal.


Aber nach meinem Verständnis kann ja quasi jeder bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.

Jain.
VLAN-Tags akzeptiert man normalerweise nur auf Infrastrukturports, welche nicht so ohne weiteres zugänglich sein sollten. Also z.B. Verbindungen wie Switch-zu-Switch, Switch-zu-Router und Switch-zu-Servervirtualisierung.
Besondere Beachtung, Bewertung und verantwortliche Konfiguration bedürfen hingegen die oftmals leicht zugänglichen Ports zu MSSID-Accesspoints.
Auf reinen Accessports wird hingegen üblicherweise per Ingressfiltering ein mögliches VLAN-Hobbing unterbunden.


Was ist eigentlich von IPsec im lokalen Netzwerk zu halten?
Sprich "einfach" als Alternative den ganzen Traffic zu verschlüsseln anstatt zu regeln wer "mitspielen" darf und wer nicht?

Davon halte ich sehr viel. Zumindest wenn damit die Ende-zu-Ende-Verschlüsselung zwischen allen Hosts im LAN gemeint ist. Zumal IPSec nicht nur Verschlüsselung, sondern auch Authentifizierung und Integritätsprüfung leistet. In einer Windows-AD-Umgebung ist das auch mit Bordmitteln umsetzbar. Weder Einrichtung noch Betrieb sind jedoch trivial. Das Problem sind zudem die zwangsweise nötigen Ausnahmen.
Bitte warten ..
Mitglied: LordGurke
21.07.2017, aktualisiert um 11:27 Uhr
Optimalerweise akzeptiert der Switch nur solche Tags, welche für den Port erlaubt wurden.
Wenn ich also einen Port habe dem die Tags 5,6,7 erlaubt sind und ich Pakete mit Tag 38 dahin schicke, werden die vom Ingress-Filter des Switches aufgegessen und nicht geforwarded.
Umgekehrt bekommst du auch keinen Traffic aus VLAN 38 auf diesem Port.

In dem Zusammenhang wird manchmal aus Unwissenheit Unfug mit der PVID getrieben, wodurch es dann aufgrund eines solchen Konfigurationsfehlera möglich sein kann, Pakete in das VLAN mit der auf dem Switchport konfigurierten PVID zu senden (aber nicht daraus zu erhalten).

Kurz: VLANs können sinnvoll voneinander getrennt werden und wenn der Switch vernünftig konfiguriert ist kann selbst auf Tagged Ports zu Traffic in die erlaubten VLANs geschickt werden.
Ein Restrisiko (Konfigurationsfehler, Firmware-Bug) bleibt natürlich — das hast du auf einem Router oder einer Firewall aber auch.

N.B.: Auf solchen tagged Ports sollte ohnehin immer die Liste der VLANs eingeschränkt werden. Denn Traffic, welchen ich dahinter ohnehin nicht brauchen kann, muss man nicht durch das Kabel leiten und Bandbreite dafür verbrauchen.
Bitte warten ..
Mitglied: Pjordorf
21.07.2017 um 12:08 Uhr
Hallo,

Zitat von hpylori:
Aber nach meinem Verständnis kann ja quasi jeder
Deine Benutzer in dein Netz sollen eben nicht selbst die VLANs ändern dürfen. Ein benutzer der Admin Rechte kann dein ganzes Konzept killen. Weiter sollen auch die Switche unte Verscluß sein und nicht genutzte Ports sind eben totgelegt (Switch Konfiguration) oder auch nicht zugänglich sowie die Ports die in den Büros / Produktion liegen sind eben bei nicht benutzung tot. Dann kann und sollte für jeden Port eben nur ein bekanntes Endgerät erlaubt sein. Andere unbekannte Geräte dürfen gar nicht erst ins Netz kommen usw. Und wenn du dann von Sicherheit und VLANs redest siehts schon anders aus. Wer ein Großraum Büro hat, die netzwerkInfrastruktur in einer ecke liegt oder für jeden zugänglich ist, wo jeder Szecken kann was er möchte, die benutzer teilweise gar Adminrechte haben, dein Netz auf unbekannte Geräte nicht reagiert - dann solltest du hier nicht das Wort Sicherheit ins Spiel bringen.

Ein Sicherheitsgurt allein ist kein allheilmittel vor Verletzungen, trägt aber seinen Teil dazu bei in dem Gesamtkonzept Sicherheit eines Autos.

bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.
Soll ein benutzer gar nicht erst dürfen - aber das ist auch Teil deines Sicherheitskonzepts. Es reicht als Sicherheitskonzept heute nicht mehr das die Putzfrau den Stromstecker nicht ziehen kann

Gruß,
Peter
Bitte warten ..
Mitglied: Herbrich19
23.07.2017 um 19:43 Uhr
Hallo,

Ich sehe VLAN als Teil eines Sicherheitsfeatures. Man muss natürlich die Packete die Zwischen den VLANs gehen regulieren können. Also andere gesagt man braucht zum VLAN eine Firewall die am besten auch noch die Protokolle verstehen und regulieren kann.

Also kein Direktes Routing sondern halt Proxy Server. So kann man sehr granular regeln was von VLAN1 ins VLAN2 darf und so weiter, Das VLAN ist nur eine Komponente die man also in sein Sicherheitskonzept einfügen kann. Aber alleine VLANs zu benutzen bringt nur mehr Peformance weil die Broadcast Domäne reduziert wird aber mehr auch nicht wen jeder von jeden VLAN auf jede IP über jeden Port zugreifen kann.

Und Portbasierende VLAN,s sind nicht sicherer als ein richtig konfiguriertes Tagged VLAN. Ich meine an der Datendose liegt ja kein Trunk an (außer natürlich für W-LAN Access Points.

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: 108012
23.07.2017 um 21:01 Uhr
Ich sehe VLAN als Teil eines Sicherheitsfeatures. Man muss natürlich die Packete die Zwischen den VLANs gehen regulieren können.
- VLANs selber trennen und teilen auf bzw. man trennt damit und teilt auf
- ACLs regulieren die Pakete und lenken den Datenstrom wer darf was von wo nach wo
- Und mittels MacSec sichert man den gesamten Datenverkehr im Unternehmen ab was auch die VLANs mit einbezieht.
Und alles was aus dem LAN in die DMZ oder über das WAN geht ist Sache der Firewall, UTM oder des Routers.

Gruß
Dobby
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
gelöst KodaCHFrageRouter & Routing15 Kommentare

Guten Morgen Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht. OpenVPN (Kostenlose Version): Hier habe ...

Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server14 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware13 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer11 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore9 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless9 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Ähnliche Inhalte
Netzwerkmanagement
VLAN - vom Default vLan ins vLAN 10
gelöst DaPeddaFrageNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Router & Routing

Miktrotik VLAN - trunk shared (Uplink Internet VLAN + Internal VLAN)

gelöst siouxmeFrageRouter & Routing17 Kommentare

Hallo Ich habe jedes auffindbare Turorial gelesen, komme aber nicht dahinter wie ich meinen Usecase abbilden kann. Darunter natürlich ...

Netzwerkgrundlagen

VLAN Struktur - Switches in welches VLAN

ITF02FrageNetzwerkgrundlagen4 Kommentare

Hallo zusammen, ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch ...

Netzwerke

VLAN-Konfiguration

Markus220FrageNetzwerke4 Kommentare

Hallo zusammen, ich bin derzeit ein bisschen am Ausprobieren und noch etwas neu auf dem Gebiet, weshalb ich hoffe, ...

Netzwerke

VLAN Tagging

DerNoob89FrageNetzwerke5 Kommentare

Hallo zusammen, ich habe aktuell folgendes Problem und bin mir nicht sicher wie es zu lösen ist. Scenario : ...

Router & Routing

Vlan Multicast

gelöst JuliAugustFrageRouter & Routing7 Kommentare

Hallo Forum, ich arbeite mich aktuell in das Thema "Heimnetz in VLANs unterteilen" ein und habe mir hierzu einen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT