Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VLAN-Sicherheit: tagged avahi-Server ein Risiko?

Mitglied: natuerlich

natuerlich (Level 1) - Jetzt verbinden

01.12.2019 um 04:10 Uhr, 389 Aufrufe, 9 Kommentare

Hallo,

Frage zum Thema VLAN und Sicherheit. Landscape:
  • Mikrotik-Router --> WAN | 5 VLAN | FW ... das übliche
  • dahinter tagged Switche und AP
  • in einzelnen VLAN untagged dedizierte Server (ubuntu server LTS)
  • Damit sauberer Segementierung und nur einzelne Durchstiche via FW des MT

Fragestellung:
  • Bedarf für übergeifenden Bonjour/mDNS-Service --> Lösungshyothese: avahi
  • Bisher ohne Erfahruing zu avahi; nach meinem Verständnis muss der avahi-Server in jedem relevanten VLAN sein, damit es funktioniert wegen Hop-Limit=1.
  • Der avahi-Server müsste also tagged angebunden werden mit entsprechender Anzahl Interfaces , damit Bonjour refelektieren kann in die VLANs, richtig?
  • Bisher waren meine Server alle untagged und damit sauber getrennt, der MT sorgte für Trennung und Sicherheit. Abseits der Router/Switch habe ich an Clients/Servern noch keinerlei praktische VLAN-Erfahrung. Technisch sicher alles machbar/installierbar. Aber...
  • Frage: Wenn ich eine avahi-Server tagged einbinde: Reiße ich mir damit hinter meiner FW ein Sicherheitsloch auf und gefährde die VLAN-Trennung des MT? Wenn auf dem avahi-Server keine FW installiert wird: Sind die Interfcaes/VLAN im ubuntu-default alle verbunden (=Risiko) oder im Default verlässlich getrennt?
  • Falls problematisch: Wie kann ich auf dem avahi-Server jedweden inter-VLAN-Verkehr verhindern, der über Bonjour hinaus geht?

Danke!
Mitglied: voucher
LÖSUNG 01.12.2019, aktualisiert um 10:52 Uhr
Moin.
Zitat von natuerlich:
Fragestellung:
  • Bedarf für übergeifenden Bonjour/mDNS-Service --> Lösungshyothese: avahi
Check.
* Bisher ohne Erfahruing zu avahi; nach meinem Verständnis muss der avahi-Server in jedem relevanten VLAN sein, damit es funktioniert wegen Hop-Limit=1.
Check, mit einem Bein in jeder Layer-2 Domain.
* Der avahi-Server müsste also tagged angebunden werden mit entsprechender Anzahl Interfaces , damit Bonjour refelektieren kann in die VLANs, richtig?
Check.
* Bisher waren meine Server alle untagged und damit sauber getrennt, der MT sorgte für Trennung und Sicherheit. Abseits der Router/Switch habe ich an Clients/Servern noch keinerlei praktische VLAN-Erfahrung. Technisch sicher alles machbar/installierbar. Aber...
  • Frage: Wenn ich eine avahi-Server tagged einbinde: Reiße ich mir damit hinter meiner FW ein Sicherheitsloch auf und gefährde die VLAN-Trennung des MT? Wenn auf dem avahi-Server keine FW installiert wird: Sind die Interfcaes/VLAN im ubuntu-default alle verbunden (=Risiko) oder im Default verlässlich getrennt?
Mach dir erst mal klar was mDNS überhaupt ist.
https://en.m.wikipedia.org/wiki/Multicast_DNS
Primär ist es dafür da FQDNs und IP-Adressen, Dienste über Multicast-Pakete (Broadcasts) in Erfahrung zu bringen.
Dazu schickt ein Client/Server/Gerät ein Multicast-Paket an die Adresse 224.0.0.251, genutzte Ports 5353 UDP.
Darin enthalten FQDN, IP, RR(Resource Record) usw.
Diese Pakete dienen zum Austausch von Address und Dienstinformationen, die Clients und Serverdienste nutzen können, aber nicht müssen. Dabei dient der AVAHI als Reflector, er leitet also alles was mDNS Pakete betrifft an alle seine konfigurierten Interfaces und deren Layer-2 Broadcast-Domains.
Routen tut er gar nichts er verteilt nur die Broadcasts, damit die Clients wissen wo sie einen Dienst/Gerät finden können.
Ergo: Es gelten weiterhin die Firewall-Regeln des Mikrotik zwischen den VLANs, denn die Clients erhalten ja erst mal nur die DNS-Information wo ein Bonjour-Gerät zu finden ist. Der eigentliche Verbindungsaufbau zwischen den Geräten findet ja dann separat übers Routing und den Mikrotik statt und nicht über den AVAHI (der ist ja nur ein Proxy der mitlauscht und reflektiert), und hier gelten weiterhin deine Firewall-Regeln zwischen deinen VLANs.

Fazit: Jedes VLAN das du an den AVAHI anbindest bekommt alle mDNS Multicast-Broadcasts (224.0.0.251) der anderen VLANs sofern in der mDNS-Anfrage nicht das Flag aktiviert ist das die Antwort über eine Unicast-Antwort stattfinden soll. D.h. heißt also im Klartext das man in jedem VLAN quasi in Erfahrung bringen kann welche Bonjour-Hosts es in den anderen Netzen gibt, die sind ja nötig wenn du Bonjour Netzübergreifend arbeiten willst. Hieße dann aber auch das ein Angreifer wenn er sein eigenes mDNS Paket erstellt und ein Client dieses Ziel via Bonjour benutzt (sofern es die Firewall erlaubt mit der entsprechenden IP zu reden) es potentiell zu Datenabfluss oder durch Sicherheitslücken in Produkten kommen könnte. Aber durch entsprechendes Einschränken der Kommunikations zwischen den Hosts in den VLANs kannst du dem schon mal einen größeren Riegel vorschieben.
Der durch mDNS zusätzlich entstehende Broadcast-Traffic in allen VLANs sollte man natürlich auch im Blick behalten.

Natürlich sollte man auf dem AVAHI Server sicherstellen das jegliches Routing über seine Interfaces generell verboten ist, das ist ja auch nicht nötig denn das Reflektieren übernimmt ja der AVAHI Daemon.

Der AVAHI selbst reflektiert nur mDNS Broadcasts, mit deaktiviertem Routing auf dem Proxy kommt da sonst nichts weiter. Natürlich gelten wie für jeden Server seine eigene Firewall für seine eigenen Dienste unabhängig vom Routing, d.h. Updates zeitig einpflegen und nur die Dienste in seiner Firewall freigeben die er selbst anbietet!

Hth.

v.
Bitte warten ..
Mitglied: natuerlich
01.12.2019, aktualisiert um 11:25 Uhr
Vielen Dank schon mal, voucher!

Auch danke für Deine Einschätzung zur Sicherheit durch avahi selber. Dazu war meine Frage aber wohl unglücklich formuliert, denn in avahi selber habe ich auch keine reales Risiko gesehen. Aber in Deiner Antwort dazu steckten trotzdem ein paar neue Infos für mich...

Meine Frage zielt eher darauf ab: Ich habe bislang noch nie auf einem Server selber (abseits Router/Switch) mit VLAN hantiert. Da dies für avahi erforderlich ist: Welches Risiko mache ich mir mit dem Server selber auf? Mal angenommen: Neues Blech, pures Ubuntu Server LTS und nur avahi drauf. Avahi ist kein Risiko, aber der Server selber? Sind im Default die VLAN durchlässig oder abgeschottet? Ich habe auf Servern mich noch nie um die FW gekümmert, weil es nicht erforderlich war (da Aufgabe des MT). Muss ich das jetzt tun, wenn ich vlan auf einem Server nutze mit 5 Interfaces zu meinen 5 VLAN? Oder kann ich unbesorgt sein, dass solange ich nichts aktiv öffne, alles gut ist?
Bitte warten ..
Mitglied: voucher
LÖSUNG 01.12.2019, aktualisiert um 11:50 Uhr
Zitat von natuerlich:
Meine Frage zielt eher darauf ab: Ich habe bislang noch nie auf einem Server selber (abseits Router/Switch) mit VLAN hantiert. Da dies für avahi erforderlich ist: Welches Risiko mache ich mir mit dem Server selber auf? Mal angenommen: Neues Blech, pures Ubuntu Server LTS und nur avahi drauf. Avahi ist kein Risiko, aber der Server selber? Sind im Default die VLAN durchlässig oder abgeschottet?
Per Default ist das Forwarding deaktiviert, bedeutet Packet-Forwarding zwischen den VLANs kann nicht stattfinden.

Ich habe auf Servern mich noch nie um die FW gekümmert, weil es nicht erforderlich war (da Aufgabe des MT).
Das ist ein Trugschluss, denk nur mal daran das wenn ein Device im Netz infiziert ist und deine Hosts im LAN alle keine Firewall aktiviert haben und auf diesen in deren Diensten eine Sicherheitslücke steckt diese alle zu Zombies mutieren. Eine grundlegende Device-Firewall gehört deswegen auf jedes Gerät.

Muss ich das jetzt tun, wenn ich vlan auf einem Server nutze mit 5 Interfaces zu meinen 5 VLAN?
Es gilt immer das Prinzip, traue keinem, also auch deinem Netz erst mal nicht grundsätzlich unbeschränkt, denn Angriffe kommen nicht nur von Außen sondern vielfach von innen!

Oder kann ich unbesorgt sein, dass solange ich nichts aktiv öffne, alles gut ist?
Schau dir unsere Krankenhäuser in DE an, viele haben sich in Sicherheit gewogen und nichts getan, und plötzlich macht es Peng und sie hatten den Salat.Deswegen: Vorsorge ist immer besser als Nachsorge!
Also, Basisfirewall auf dem AVAHI und nur die Dienste durchlassen die dieser auch tatsächlich nutzt, und du kannst besser schlafen ;). Ubuntu hat mit ufw ja entsprechend einfach zu nutzendes Interface dafür, ansonsten geht's auch mit iptables.

Also Basis-Firewall-Kenntnisse solten immer vorhanden sein, wenn nicht würde ich mir jetzt aber Sorgen um deinen Mikrotik machen }:‑)

Ciao.
Bitte warten ..
Mitglied: aqui
LÖSUNG 01.12.2019, aktualisiert um 13:35 Uhr
Bedarf für übergeifenden Bonjour/mDNS-Service --> Lösungshyothese: avahi
Guckst du hier:
https://administrator.de/wissen/netzwerk-management-server-raspberry-pi- ...
Da steht wie es geht.
Richtige Netzwerk Hardware bietet zudem oft im Setup auch ein mDNS Gateway in der Konfig an wo man diese Dienste auf der Infrastruktur selber konfigurieren kann !
Bisher ohne Erfahruing zu avahi; nach meinem Verständnis muss der avahi-Server in jedem relevanten VLAN sein, damit es funktioniert wegen Hop-Limit=1.
Ja, das liegt daran das mDNS eine Local Link Multicast Adresse benutzt 224.0.0.251 (UDP 5353). Local Link Multicasts haben immer fest eine TTL von 1, können also nicht geroutet werden über Router.
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Lesen und verstehen...!
Der avahi-Server müsste also tagged angebunden werden mit entsprechender Anzahl Interfaces , damit Bonjour refelektieren kann in die VLANs, richtig?
Ja, es sei denn dein Switch oder WLAN AP bietet von sich aus eine mDNS Gateway Funktion im Setup wie z.B. Ruckus und andere Hersteller auch auf ihren Komponenten.
ruck - Klicke auf das Bild, um es zu vergrößern
Bisher waren meine Server alle untagged und damit sauber getrennt, der MT sorgte für Trennung und Sicherheit. Abseits der Router/Switch habe ich an Clients/Servern noch keinerlei praktische VLAN-Erfahrung. Technisch sicher alles machbar/installierbar. Aber...
Ja, das ist kinderleicht und in 5 Minuten auf dem MT eingerichtet ! Siehe hier:
https://administrator.de/wissen/netzwerk-management-server-raspberry-pi- ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Und auch hier:
https://forum.mikrotik.com/viewtopic.php?t=84155
Frage: Wenn ich eine avahi-Server tagged einbinde: Reiße ich mir damit hinter meiner FW ein Sicherheitsloch auf und gefährde die VLAN-Trennung des MT?
Nein !
Du reisst da nichts auf. Allerdings nur unter einer wichtigen Bedingung !!!
IPv4 und v6 Forwarding darf NICHT aktiviert sein auf dem RasPi !!!
Sprich also das Kommando #net.ipv4.ip_forward=1 in der Datei /etc/sysctl.conf MUSS ein # vor dem Kommand haben ! Ebenso sein Pendant bei IPv6. Das macht dann wasserdicht das der RasPi/Ubuntu NICHT routet zwischen seinen Interfaces !!!
Falls problematisch: Wie kann ich auf dem avahi-Server jedweden inter-VLAN-Verkehr verhindern, der über Bonjour hinaus geht?
Siehe oben ! IP Forwarding ABSCHALTEN !
Bitte warten ..
Mitglied: natuerlich
01.12.2019, aktualisiert um 14:24 Uhr
Vieln Dank, Ihr Zwei!

Für die FW im MirkoTik sehe ich mich gut gerüstet und ist sehr restriktiv. Zum MT habe ich wenig Sorgen und auch zu meinen FW-Einstellunge darauf... Folge einem Schalen-Prinzp von sehr kleinem innernen Segement mit kritischen Daten bis außen zu den beiden risikoreichsten iot (darf gar nichts außer einzelne whiteist-Regeln) und Gast (darf fast nichts, nur WAN und nur wenige Ports). Aber genau daher kamen meine Sorgen, ob ich mir mit einem avahi-Server nicht hinten herum ein Loch aufreiße, nur weil ich Geräte im inneren VLAN per bonjur im äußeren VLAN (der grauselige iot-Krams) bekannt machen möchte (hier ganz konkreter Anwendungsfall: Airplay 2).

Fazit aus Euren Antworten für mich:
  • Grundsätzlich kein grundsätzliches Sicherheistrisiko (natürlich mit dem üblichen Maßgaben: regelmäßige Update, Hirn nicht abschalten, Kein Backup, kein Mitleid,...)
  • MUSS: IP-Forwarding prüfen, ob es aus abgeschaltet ist für IPv4/v6 --> da muss ich mal schauen, wie ich es auf einem Bleche prüfe, werde dazu aber sicher selber was finden. Raspi ist nicht so meines, alle Server x86/amd64...
  • Ratschlag für mich neu: Auf jedem Server FW. Hmmmm..das hatte ich bislang gar nicht auf dem Schirm, weil ich da den MT als zentrale Lsöung sah, die ich gut beherrsche. Ich verstehe den Angriffsvektor auch nicht so ganz. Wenn mir jemand auf einen Server in meinem mittleren Segment kommt...wie soll er auf meinen inneres Segement am MT vorbei. Bei dem neuen avahi-Server hat mich ja genau das Risiko umgetrieben (und sehe auch de Bedarf der FW nicht wegen avahi, sondern den 5 Interfaces zu meinen Segementen), aber bei einem Server, der durch den Port verlässlich in einem Segement steckt?
Mit den FW auf den Servern habe ich mich nie beschäftigt, aber offenbar sollte ich das... eine Basis-FW unter Ubuntu-Server ufw muss ich mir mal anschauen.
Aqui habe ich aber so verstanden, dass es dazu nicht wirklich einen Bedarf gibt, sofern IP-FW unterbunden. 2 Meinungen...das verunsichert mich zugegeben etwas...
Bitte warten ..
Mitglied: aqui
01.12.2019, aktualisiert um 14:30 Uhr
Raspi ist nicht so meines,
War auch rein nur als Beispiel für alle unixoiden OS gedacht...
Auf jedem Server FW.
Kann man machen wenn man zum Gürtel auch noch den Hosenträger will. Muss man aber nicht wenn der Rest wasserdicht ist.
Du solltest die zentrale MT Firewall belassen, denn wenn du dir jetzt zig FW Baustellen aufmachst wie willst du das managen später ?!
Stelle sicher da immer wasserdicht das Forwarding deaktiviert ist dann ist das hinreichend sicher. Wie man Server richtig absichert weisst du ja hoffentlich ?!
Bitte warten ..
Mitglied: voucher
01.12.2019, aktualisiert um 14:35 Uhr
Ich verstehe den Angriffsvektor auch nicht so ganz. Wenn mir jemand auf einen Server in meinem mittleren Segment kommt...wie soll er auf meinen inneres Segement am MT vorbei.
Ich dachte dabei ja eher an Viren Trojaner &Co die sich ein Client einfängt. Die sind dann schon drin .
Die Zeiten in denen man intern aus Bequemlichkeit alles offen stehen lässt sind schon lange vorbei.
Bitte warten ..
Mitglied: natuerlich
01.12.2019 um 16:57 Uhr
noch mal vielen Dank. Jetzt liegt der Ball bei mir - werde es wohl tatsächlich mal mit einem kleinen Raspi versuchen nur dafür - und Erfahrungen sammeln. Mit Euren Hinweisen kann ich es jetzt erheblich besser einordnen.
Bitte warten ..
Mitglied: aqui
01.12.2019 um 20:13 Uhr
werde es wohl tatsächlich mal mit einem kleinen Raspi versuchen
Zum Testen ist das der richtige Weg !
Viel Erfolg !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Management VLAN - tagged oder untagged, VLAN-Hopping

Frage von stephan902LAN, WAN, Wireless3 Kommentare

Hallo, bei mir ist das Management VLAN von den anderen VLANs aus nicht erreichbar. Allerdings ist bei mir das ...

Netzwerkmanagement

VLAN - Hilfe benötigt. Tagged, Untagged, defaut VLAN

Frage von BigChris1337Netzwerkmanagement14 Kommentare

Hallo, ich versuche mich in das Thema VLAN einzuarbeiten und dachte ich hätte es so halbwegs verstanden. Als ich ...

Windows Netzwerk

Tagged VLAN - Zuweisung am Client

gelöst Frage von xbast1xWindows Netzwerk14 Kommentare

Hallo zusammen, Vorweg: VLAN ist für mich ziemliches Neuland. ich habe viel recherchiert aber auf eine entscheidende Frage habe ...

Switche und Hubs

Brocade ICX7250 LAG und tagged VLAN

gelöst Frage von Philipp711Switche und Hubs11 Kommentare

Hallo Leute, hätte eine kurze Frage zur Konfiguration eines Brocade ICX7250. Zur Erhöhung der Ausfallsicherheit und verbesserung der Performance ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

Firewall
Suche Hardware
Frage von snowflockeFirewall15 Kommentare

Ich habe derzeit eine Virtualisierte OpnSense im Einsatz und soweit funktioniert die auch wie sie soll, allerdings ist das ...