VLAN Sicherheitsaspekt
Hallo,
ich möchte per VLAN ein Netz segementieren und gleichzeitig erreichen, daß die Segmente sicher voneinander getrennt sind. VLAN nach 802.1q passiert auf Layer 2, die Ethernetframes werden
praktisch von der Hardware (Switchport beim Port-basierten VLAN) manipuliert um die VLAN ID hinzuzufügen. Gibt es Bedenken oder Möglichkeiten, daß eine Software (Trojaner, ev Rootkit) diese
VLAN IDs unbemerkt manipuliert ? Kann so ein Konstrukt als "sicher" eingestuft werden ? Sind eventuelle Möglichkeiten, zwischen 2 VLANs eine ungeplante Verbindung herzustellen, bekannt?
Danke schonmal,
Gruß wolfgang
ich möchte per VLAN ein Netz segementieren und gleichzeitig erreichen, daß die Segmente sicher voneinander getrennt sind. VLAN nach 802.1q passiert auf Layer 2, die Ethernetframes werden
praktisch von der Hardware (Switchport beim Port-basierten VLAN) manipuliert um die VLAN ID hinzuzufügen. Gibt es Bedenken oder Möglichkeiten, daß eine Software (Trojaner, ev Rootkit) diese
VLAN IDs unbemerkt manipuliert ? Kann so ein Konstrukt als "sicher" eingestuft werden ? Sind eventuelle Möglichkeiten, zwischen 2 VLANs eine ungeplante Verbindung herzustellen, bekannt?
Danke schonmal,
Gruß wolfgang
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148134
Url: https://administrator.de/forum/vlan-sicherheitsaspekt-148134.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
der Suchbegriff für dich sollte "inter vlan hopping" sein
http://www.searchnetworking.de/themenbereiche/design/virtualisierung/ar ...
brammer
der Suchbegriff für dich sollte "inter vlan hopping" sein
http://www.searchnetworking.de/themenbereiche/design/virtualisierung/ar ...
brammer
Moin,
die Frage ist immer: Wie sicher soll es sein? Denn natürlich könnte ein gezielter Angriff die VLAN-ID manipulieren (notfalls über den Admin-Account indem der Angreiffer vorm PC sitzt und das Admin-PW zurücksetzt) -> dafür könntest du dann z.B. per RADIUS die MAC-Adresse prüfen und gucken ob die in das VLAN gehört. Wenn nein - Paket verwerfen... Aber für nen normalen 08/15-Büro-Betrieb ist das schon oversized.
Und dann ist die Sicherheit eben nicht durch einen Punkt gewährleistet... Es bringt dir wenig wenn du zwar alles schön per VLAN trennst - aber z.B. jemand an ein ungesichertes Netzwerkkabel kommt und sich so auf nen anderes / allgemeines VLAN steckt bzw. du sogar nen WLAN offen hast usw...
die Frage ist immer: Wie sicher soll es sein? Denn natürlich könnte ein gezielter Angriff die VLAN-ID manipulieren (notfalls über den Admin-Account indem der Angreiffer vorm PC sitzt und das Admin-PW zurücksetzt) -> dafür könntest du dann z.B. per RADIUS die MAC-Adresse prüfen und gucken ob die in das VLAN gehört. Wenn nein - Paket verwerfen... Aber für nen normalen 08/15-Büro-Betrieb ist das schon oversized.
Und dann ist die Sicherheit eben nicht durch einen Punkt gewährleistet... Es bringt dir wenig wenn du zwar alles schön per VLAN trennst - aber z.B. jemand an ein ungesichertes Netzwerkkabel kommt und sich so auf nen anderes / allgemeines VLAN steckt bzw. du sogar nen WLAN offen hast usw...
Auf dem Switch selber ist das so gut wie ausgeschlossen. Das Problem ist hier wie immer der Faktor Mensch. D.h. du solltest deine Ports mit entsprechenden Markierungen oder farbigen Kabeln versehen, das niemand hier Ports verwechseln kann oder falsch steckt.
Diese Gefahr eine ungeplanten Verbindung durch einen Humanoiden ist erheblich höher.
Der Switch selber trennt zu 99,9% die VLANs absolut sicher !
Diese Gefahr eine ungeplanten Verbindung durch einen Humanoiden ist erheblich höher.
Der Switch selber trennt zu 99,9% die VLANs absolut sicher !
Hallo,
wir verwenden dafür zwei gespiegelt line core Router RB1000U ( http://routerboard.com/pricelist.php?showProduct=58 )
das ist nicht nur sehr schnell sondern auch 100% sicher.
Wir trennen damit Server, LAN (Clients), WLAN, Internet etc. die jeweils in einem eigenen VLAN arbeiten.
Es werden nur zugelassene Verbindungen (IP) geroutet.
Eine ungeplante Verbindung zweier VLAN´s kann 100% ausgeschlossen werden.
wir verwenden dafür zwei gespiegelt line core Router RB1000U ( http://routerboard.com/pricelist.php?showProduct=58 )
das ist nicht nur sehr schnell sondern auch 100% sicher.
Wir trennen damit Server, LAN (Clients), WLAN, Internet etc. die jeweils in einem eigenen VLAN arbeiten.
Es werden nur zugelassene Verbindungen (IP) geroutet.
Eine ungeplante Verbindung zweier VLAN´s kann 100% ausgeschlossen werden.
Hallo,
wenn du das Sicherheitsrisiko nur danach beurteilst ob ein Angreifer über eine interne LAN Dose VLAN Hopping machen könnte ist das aber nur ein kleiner Aspekt dieses relativ kleinen Risikos.
Je nach Switch kannst du an jedem Port konfigurieren wieviel MAC Adressen er akzeptieren darf, es gibt Dosen an denen nur ein Gerät auftauchen darf (Server, Drucker feste Client Rechner) und es gibt ein paar wenige Dosen an denen mehrere MAC Adressen auftauchen dürfen (iinsbesondere Sculungsräume und Besprechungsräume) aber auch das ist konfigurierbar.
Außerdem sollten generell alle Dosen die keine feste Nutzung haben deaktiviert sein.
brammer
wenn du das Sicherheitsrisiko nur danach beurteilst ob ein Angreifer über eine interne LAN Dose VLAN Hopping machen könnte ist das aber nur ein kleiner Aspekt dieses relativ kleinen Risikos.
Je nach Switch kannst du an jedem Port konfigurieren wieviel MAC Adressen er akzeptieren darf, es gibt Dosen an denen nur ein Gerät auftauchen darf (Server, Drucker feste Client Rechner) und es gibt ein paar wenige Dosen an denen mehrere MAC Adressen auftauchen dürfen (iinsbesondere Sculungsräume und Besprechungsräume) aber auch das ist konfigurierbar.
Außerdem sollten generell alle Dosen die keine feste Nutzung haben deaktiviert sein.
brammer