tsunami
Goto Top

VLANS Grundsätzliches

Hallo zusammen,
ich beschäftige mich derzeit intensiver mkt Netzwerken. Aktuell hänge ich etwas beim Thema VLANS.
VLANS sind logische Netzwerke und können per Port oder Token definiert werden.
Heißt für mich:
Beim einem 24 Switch sind zB Port 1-5 VLAN 1 (zb Drucker), 6-9 VLAN 2 (Server), 10-20 VLAN 3 (Clients) und 21-24 VLAN 4 (WLAN-Geräte).
Die IP-Adressen bleiben gleich, oder haben die verschiedenen Segmente unterschiedliche Adressbereiche?

Alternativ haben die Geräte zB 192.168.7.1-1 - 192.168.7.5-1 (VL1), 192.168.7.6-2 (VL2) - 192.168.7.9-2 (VL2), usw.
Soweit Korrekt?

Wie bekomme ich dann die Kommunikation hin? Passiert das dann im Switch? Oder mache ich es in der Firewall? ES muss ja zB die kommunikation Client (VLAN 3) ins VLAN 2 (Server) gesichert sein.
mfG
tsunami

Content-ID: 1186899739

Url: https://administrator.de/contentid/1186899739

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

Visucius
Visucius 23.08.2021 aktualisiert um 15:57:37 Uhr
Goto Top
Ne. Die „logische Netzwerke“ haben erstmal eigene Bereiche und bei Bedarf jeweils nen eigenen DHCP. Dh 192.168.7.0 und 192.168.8.0
tsunami
tsunami 23.08.2021 um 16:28:26 Uhr
Goto Top
Hm,
bislang hatte ich mit VLANS nichts zu tun. Bei 50 Geräten lohnt es nicht. Gibt es irgendwo eine Anleitung?
Hatte was bei Wikipedia gefunden, da gings um die Theorie. Bei Ionos nur grundsätzlich was ein VLAN für Laien. ist. Bei Ip Inside nur drumherum.

Das heißt ich bräuchte bei zB 4 VLANS 4 DHCP Server? Macht das der Switch? Aktuell habe ich eine Test Firewall, die verteilt die IPs statisch per Mac.
Oder kann ich da auch sagen:
Mac 1: 23 02 32 3e -> 192.168.7.1
Mac 1: 23 02 32 4e -> 192.168.7.2
Mac 1: 23 02 32 5e -> 192.168.8.1
Mac 1: 23 02 12 5d -> 192.168.8.2
...
Cloudrakete
Cloudrakete 23.08.2021 um 17:07:02 Uhr
Goto Top
Zitat von @tsunami:

Hm,
bislang hatte ich mit VLANS nichts zu tun. Bei 50 Geräten lohnt es nicht. Gibt es irgendwo eine Anleitung?
Hatte was bei Wikipedia gefunden, da gings um die Theorie. Bei Ionos nur grundsätzlich was ein VLAN für Laien. ist. Bei Ip Inside nur drumherum.

Das heißt ich bräuchte bei zB 4 VLANS 4 DHCP Server? Macht das der Switch? Aktuell habe ich eine Test Firewall, die verteilt die IPs statisch per Mac.
Oder kann ich da auch sagen:
Mac 1: 23 02 32 3e -> 192.168.7.1
Mac 1: 23 02 32 4e -> 192.168.7.2
Mac 1: 23 02 32 5e -> 192.168.8.1
Mac 1: 23 02 12 5d -> 192.168.8.2
...

Such mal nach IP-Helper Address face-smile
Ich glaube wenn Du dir das Thema selbst anschaust, verstehst du das hinterher besser deswegen hier nur der "Hint"
tikayevent
tikayevent 23.08.2021 um 17:14:42 Uhr
Goto Top
@Cloudrakete: Der herstellerneutrale Begriff lautet DHCP-Relay.

Es ist nicht zwingend, aber stark empfohlen: 1 VLAN = 1 IP-Netz. Wenn man es nicht einhält, dann verbaut man sich die Kommunikation zwischen den Netzen. Es gibt Szenarien, da können sich mehrere VLANs auch ein IP-Netz teilen, aber das sind Spezialfälle und wird meist in Verbindung mit einer transparenten Firewall eingesetzt, also ein sehr seltener Fall.
LauneBaer
LauneBaer 23.08.2021 um 17:19:57 Uhr
Goto Top
Servus,

fange doch mal damit an. (immer schön zum nächsten Teil klicken)

Grüße
aqui
aqui 23.08.2021 aktualisiert um 17:48:00 Uhr
Goto Top
Wie bekomme ich dann die Kommunikation hin?
Einfach mal die Suchfunktion benutzen ! face-wink
Zu dem oben genannten Link sollte auch die "VLAN Schnellschulung" helfen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet

Je nachdem ob du Layer 2 VLAN Switches (kein Routing möglich) oder Layer 3 VLAN Switches (mit Routing) dein eigen nennst.
Mit reinen Layer 2 VLAN Switches benötigst du IMMER einen externen und VLAN fähigen Router oder Firewall.
Dieses Foren Tutorial erklärt dir alle Details plus Realisierung zu so einem Konzept. Außerdem enthält es noch Hinweise zu guten Tutorials und YouTube Filmchen zum Thema VLAN:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Bist du glücklicher Besitzer eines Layer 3 fähigen VLAN Switches dann benötigst du natürlich keinen externen Router, denn das erledigt dann auch gleich der Switch selber. Guckst du hier für eine detailierte Lösung:
Verständnissproblem Routing mit SG300-28

DAS sind deinen beiden Optionen die du hast die Kommunikation zw. den VLAN IP Segmenten schnell und einfach zu realisieren.
tsunami
tsunami 24.08.2021 um 08:20:41 Uhr
Goto Top
Danke!
NordicMike
NordicMike 24.08.2021 um 08:53:36 Uhr
Goto Top
Damit es schneller geht:

VLANs sind erst einmal komplett getrennte Netzwerke, sie sehen sich gegenseitig nicht - als ob du mehrere Switche übereinander stellst und sie nicht miteinander verbinden würdest.

Man kann zwischen zwei oder mehreren Netzen untereinander verbinden / routen.

Das Routing passiert entweder in einem Router oder in einem Layer3 fähigen Switch. Der Router ist ein Flaschenhals, aber einfacher zu konfigurieren, ein Layer 3 Switch ist extrem schnell, aber man sollte geübt sein um ihn zu konfigurieren.

Damit der Router zwischen den Netzen unterscheiden kann, sollten die Netzwerke unterschiedliche IP Bereiche haben. Damit auch mehrere Rechner in einem Netz sein können sollte ein IP Bereich etwas größer sein, als wie oben vorgeschlagen eine IP Nummer pro VLAN. Deswegen ist ein üblicher Vorschlag:

VLAN 1: 192.168.1.0-255 mit einer Netzwerkmaske von 255.255.255.0
VLAN 2: 192.168.2.0-255 mit einer Netzwerkmaske von 255.255.255.0
VLAN 3: 192.168.3.0-255 mit einer Netzwerkmaske von 255.255.255.0
...

Jeder dieser Netzwerke benötigt einen eigenen DHCP und DNS Server, da sie schlecht die DHCP Anfrage in einem anderen Netzwerk / VLAN stellen können, wo sie keine Antwort bekommen werden - sie haben ja keine Verbindung dorthin. Ebenfalls benötigt jeder dieser Netzwerke eine eigene Gateway ins Internet und in die anderen Netzwerke - üblicher Weise mit der ersten verfügbaren IP im jeweiligen Netz 192.168.x.1.

Diese 3 Gateways, können auch von einem einzigen Router versorgt werden. Diese 3 DHCP Server können ebenfalls von diesem einem Router gemacht werden. Ebenso die DNS Server. Dieser Router muss dafür zu jedem Netzwerk / VLAN Kontakt haben, also eine Netzwerkkarte / Schnittstelle in jedes VLAN - in diesem Beispiel also 3 Schnittstellen. Damit man keine 3 Kabel ziehen muss und am Switch keine 3 Ports mit jeweils einem konfigurierten VLAN belegt, kann dieser Router VLAN fähig sein und es werden alle 3 Netzwerke über ein Netzwerkkabel gesendet (VLAN Tagging). Eine Fritzbox fällt damit schon einmal aus ;c)

Das erst einmal für den Anfang zum verdauen.
tsunami
tsunami 24.08.2021 um 10:57:22 Uhr
Goto Top
Hm, grundsätzlich ist es etwas klarer geworden. Die StepbyStep Site ist echt gut. Wie man es macht, Schritt für Schritt.
Aber trotzdem ist der Grundsatz-Groschen nicht gefallen.

Auf der genannten Seite wird als Beispiel ein Netz mit 5 VLANS genommen.
1x die Switche, dann 3 Abteilungen, dann Server, Drucker und Firewall.
1, bzw. 2 Ports werden jeweils quasi als Gateway ins andere VLAn definiert. Über ACL definiere ich Regeln à la permit und deny.
Also deny VLAN Abteilung 1 nach VLAN Abteilung 2. Permit Alles was nicht vorher verboten ist. Soweit klar. Ein Auszug aus der Seite:

ACL für das VLAN 102
rule 1 deny ip source any destination 172.16.3.0 0.0.0.255
rule 2 deny ip source any destination 172.16.4.0 0.0.0.255
[rule 3 permit ip source any destination any << NICHT noetig beim 4500G, da dies per default passiert]

Das bedeutet doch verbiete Ziele 172.16.3.0 und 172.16.4.0. Erlaube alle Ziele die bislang nicht verboten sind. Also Datenpaket von zB 172.16.2.1 an 172.16.3.1 ablehnen, Datenpaket von 172.16.2.1 an 172.16.4.1 ablehnen, Datenpaket von 172.16.2.1 an 172.16.100.1 zulassen First hit und Abbruch der Abarbeitung der ACL.. Dann habe ich das Datenpaket von 172.16.100.1 an 172.16.4.1. Das ist erlaubt und das ungewollte Datenpaket ist doch da wo es nicht hin soll, weil zB der Server natürlich Datenpakete an den Client schicken können soll. Halt mit Umweg.

Natürlich müssen die Clients aus den Abteilungen Zugriff auf den Drucker, Server und Internet haben?
Das bedeutet doch, dass ein evtl. Wurm nicht direkt von den Clients in Abteilung 1 auf die Clients in Abteilung 2 zugreifen kann, aber dann geht er doch den Umweg über das Server/Drucker/Switch VLAN, da dort doch die Regel ANY definiert ist.
Ich stelle mir das gerade wie einen Knast vor. Abteilung 1 (Einbrecher), Abteilung 2 (Räuber).

Die Einbrecher dürfen nicht zu den Räubern. Aber alle müssen zum Speisesaal, den Duschen und den Toiletten.
Das bedeutet doch, dass der Einbrecher, welche zum Räuber will, dann einfach in den Speisesaal geht und von da aus zu den Räubern?

Dann müsste doch in den Switchen eine Art Paketfilterung stattfinden, welches Paket von VLAN Server an VLAN Abteilung 1 geht. Analog müsste man sicherstellen, das vom Speisesaal nur die Einbrecher zurück in den Block Einbrecher gehen und nicht doch ein Räuber in den Block Einbrecher. Oder geht das über den Token? So dass ich genau weiß, woher das Paket kommt und auch dahin zurück darf? Aber das geht auch nicht, weil das Paket ja zB durchaus in andere Segmente können muss. ZB RDP durch den Admin oder eine Simple Email. VLAN Abteilung 1 nach VLAN Server nach VLAN Switch nach VLAN Firewall Internet

Der Broadcast wird weniger. Aber wo jetzt die Sicherheit erhöht wird, verstehe ich nicht
aqui
aqui 24.08.2021 aktualisiert um 11:06:47 Uhr
Goto Top
Du übersiehst das Router oder Firewall nur auf Layer 3 bzw. Layer 4 (Regelwerk) arbeiten.
Es ist NICHT Aufgabe von Routern oder Firewalls in den Content zu sehen der über ihr Netz übertragen wird.
Für sowas gibt es IDS und IPS Systeme am Netz oder Firewalls mit Deep Paket Inspection die sowas aktiv und sicher verhindern. Die schliessen dann den Räuber weg wenn sie ihn erkennen.
Wenn Lieschen Müller ihren USB Stick von zuhause mitbringt mit dem versteckten Ransom Trojaner an Bord und ihn in den Firmenrechner einsteckt kannst du das so erstmal auch nicht verhindern. Nicht anders ist das mit dem Netz wenn man nur auf eine simple Basiskonfig sieht und nicht über den Horizont.
Deine Argumentation ist eher eine Security Argumentation denn eine Infrastruktur Argumentation. Du redest also über Äpfel und Birnen und da liegt dein eigentlicher Fehler.
tsunami
tsunami 24.08.2021 um 11:21:22 Uhr
Goto Top
@aqui. Ich möchte die Funktionsweise und den Sinn von VLANs verstehen. Broadcast OK. Das ist der Infrastrukturpart.
Ausfallsicherheit etc. Das ist klar.
Mir geht es um die Sicherheit
Mittels VLAN soll doch verhindert werden, dass jemand zB einen USB-Stick einsteckt und der uU darauf befindliche Wurm sich übers ganze Netzwerk verteilt. Oder einer zieht nen Drucker aus und steckt da seinen Läppi ein. Aber gerade Drucker müssen natürlich Antworten an die anderen Clients senden.
Und genau da müsste dann doch eine Unterscheidung stattfinden, ob aus dem Drucker VLAN Druckdaten kommen oder irgendwelche anderen Daten,
tikayevent
tikayevent 24.08.2021 um 11:27:34 Uhr
Goto Top
VLANs teilen den Switch einfach nur in mehrere Switches auf. Es ist, vom Umstand der Möglichkeiten des VLAN-Trunking abgesehen, kein Unterschied, ob man einen Switch mit drei VLANs hat oder drei getrennte Switches.

Desweiteren müssen Drucker keine Antworten an Clients schicken, da zwischen Client und Drucker ein Druckserver sein sollte. Nur der Druckserver darf in das VLAN mit den Druckern greifen, kein Client oder wer auch sonst. Aus dem Drucker-VLAN darf auch keine ausgehende Kommunikation möglich sein, mit Ausnahme des Druckservers.

Die Sicherheit beim VLAN-Einsatz kommt nicht durch die VLANs selbst, sondern durch die Trennung auf Layer2 und Absonderung der Netzwerke auf den höheren Layern. Und das kann man auch ohne VLANs schaffen durch getrennte Hardware.

Damit sind VLANs alleine keine Sicherheitsfunktion.
LauneBaer
LauneBaer 24.08.2021 um 11:30:00 Uhr
Goto Top
Zitat von @tsunami:
Mittels VLAN soll doch verhindert werden, dass jemand zB einen USB-Stick einsteckt und der uU darauf befindliche Wurm sich übers ganze Netzwerk verteilt. Oder einer zieht nen Drucker aus und steckt da seinen Läppi ein. Aber gerade Drucker müssen natürlich Antworten an die anderen Clients senden.

USB Stick verhindern -> USB Ports blocken
Statt Drucker Client an LAN Port hängen -> MAC Adressen blockieren bzw. nur "gute" durchlassen

Und genau da müsste dann doch eine Unterscheidung stattfinden, ob aus dem Drucker VLAN Druckdaten kommen oder irgendwelche anderen Daten,

Richtig, denn du blockst dann einfach sämtlichen Traffic (auf Router/Layer 3 Switch) aus dem Drucker VLAN, außer z.B. Port 9100.
aqui
aqui 24.08.2021 aktualisiert um 11:38:04 Uhr
Goto Top
Mir geht es um die Sicherheit
VLANs haben aber mit dem Thema Sicherheit per se erstmal nichts zu tun. VLANs sind eine Layer 2 Funktion die erstmal nur zum Segmentieren bzw. Trennung von L2 Broadcast Domains definiert ist. Nicht mehr und nicht weniger.
In wie weit man dann eine VLAN Infrastruktur gegen Missbrauch absichert ist eine weiterführende Frage.
Um mal bei deinem guten Beispiel mit dem Drucker zu bleiben regeln verantwortungsvolle Netzwerk Admins sowas immer mit einfacher 802.1x Port Authentisierung und dynamischen VLANs z.B. die man per Mausklick auf dem Switch aktiviert. In den meisten guten Firmennetzen ist das mittlerweile aus gutem Grund simpler Standard.
So lässt das Netz generell keinerlei fremde Geräte und auch Nutzer zu. Einfach mal einen Läppi statt des Druckers einstecken funktioniert dann nicht mehr. Als besondere Absicherung verteilt man mit 802.1x auch dynamische Accesslisten mit diesen Geräten und Usern die einen weiteren Level an Security einfügen.
Dazu kommt dann z.B. noch DHCP Snooping was den Gebrauch "wilder" DHCP Server verhindert usw. usw.
IDS/IPS Systeme komplettieren dann sowas am oberen Ende. Die checken mit Deep Packet Inspection oder Heuristiken den Traffic Content im Netz ab Layer 4 und höher und isolieren dann automatisch im V-Fall per SNMP befallene Endgeräte und kappen sie vom Netz.
Alles Add Ons die die Sicherheit in einem Netz wirklich wasserdicht machen. Als Unterbau setzen sie aber alle auf VLANs. Es ist also mehr ein Eco System als eine einzelne VLAN Funktion.
Genau das hast du vermutlich aus dem Fokus verloren bei der Beantwortung deiner Frage was VLANs eigentlich sind und was sie nur mit Zusatzfunktionen im Netz sind.
tsunami
tsunami 24.08.2021 um 11:54:33 Uhr
Goto Top
@LauneBaer
Richtig, denn du blockst dann einfach sämtlichen Traffic (auf Router/Layer 3 Switch) aus dem Drucker VLAN, außer z.B. Port 9100.

Es wurde gesagt, dass ich dann für jedes Segment eine Firewall brauche.
Ich kann dann wahrscheinlich ehr nicht sagen::
Regeln für Netzwerk 172.16.1.0
Regeln für Netzwerk 172.16.2.0
Regeln für Netzwerk 172.16.3.0

USB Ports blocken ist nen anderes Thema,

Mir geht es hier erstmal um die Verhinderung der Ausbreitung von Schadsoftware.

Habe ich ein großes Netz, klar. Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.

Wenn ich dann ein größeres Netzwerk habe mit was weiß ich 12 VLANS, würde es ja bedeuten, 12 Firewalls. Ergo rund 12k €!
LauneBaer
LauneBaer 24.08.2021 aktualisiert um 12:05:21 Uhr
Goto Top
Zitat von @tsunami:
Wenn ich dann ein größeres Netzwerk habe mit was weiß ich 12 VLANS, würde es ja bedeuten, 12 Firewalls. Ergo rund 12k €!

Falsch! Schau dir einfach mal diese Grafiken aus Aquis Tutorial an, das veranschaulicht das wunderbar.

Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.

Das ist ja auch korrekt. Nur ist (wie oben schon gesagt) das Implementieren von VLAN's nur die Grundlage. Die Sicherheit kommt über die Firewallregeln.
aqui
aqui 24.08.2021 aktualisiert um 12:08:17 Uhr
Goto Top
Es wurde gesagt, dass ich dann für jedes Segment eine Firewall brauche.
Nein nicht zwingend...
Wenn es dir nur um sinnvolle Segmentierung und Reduzierung der Broad- und Multicast Last geht benötigst du erstmal nichts.
Willst du Traffic kontrollieren also wer darf was und wohin, denn benötigst du entweder Access Listen wie z.B. auf einem Layer 3 also Routing Fähigen VLAN Switch oder eben eine Firewall.
Man sollte aber immer auf dem Radar haben das ACLs nicht statefull sind im Gegensatz zu einer Firewall die damit höhere Sicherheit gibt.
Jetzt ist man aber wieder oben bei einem umfassenden Security Konzept was aufzustellen ist und wo VLANs nur ein Punkt ist.
Du zäumst wieder das Pferd vollkommen falsch auf und gehst planlos vor indem du versuchst dein gesamtes Security Konzept auf einfache VLANs zu reduzieren.
Vollkommen der falsche Weg. Du solltest erst ein Gesamtkonzept erstellen was ALLE Punkte definiert.
Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.
Zu Recht !! Allerdings kann das immer nur ein Wegpunkt zum Gesamtziel einer Security Infrastruktur sein. Das wurde dir oben ja schon mehrfach erklärt.
Wenn ich dann ein größeres Netzwerk habe mit was weiß ich 12 VLANS, würde es ja bedeuten, 12 Firewalls.
Das ist natürlich technischer Quatsch und weisst du auch selber. Firewalls supporten heute 802.3q Trunk Ports so das das auch eine 200 Euro Firewall leistet sofern man eine Layer 2 VLAN Infrastruktur hat. Das hiesige_VLAN_Tutorial erklärt dir das ja auch im Detail für eine L2 Infrastruktur !!
Bei so einer Anzahl von VLANs löst man das aber technisch besser mit einem Stack aus Layer 3 Core Switches.
Das ist der Unterschied Layer 2 oder Layer 3 VLAN Konzept wie dir oben auch schon erklärt wurde.
tsunami
tsunami 24.08.2021 um 12:15:03 Uhr
Goto Top
Dann müsste ich ja in der Firewall für verschiedene Segmente verschiedene Regeln machen...

Wenn die also im Segement 172.16.100.0 sitzt, kann die Verkehr im Segment 172.16.2.0 regulieren?
aqui
aqui 24.08.2021 aktualisiert um 12:26:24 Uhr
Goto Top
Dann müsste ich ja in der Firewall für verschiedene Segmente verschiedene Regeln machen...
Wie es ja schon seit Jahrzehneten auf Firewalls so üblich ist ! face-wink
Heute arbeitet man in der Regel aber immer mit Zonen basierten Firewalls die die Regeln Zonen basiert anwenden. Man kumuliert dann mehrere IP Segmente in Zonen und definiert die Regeln Zonen übergreifend, was das FW Management erheblich verinfacht. Sollte man als Netzwerker aber mittlerweile auch wissen... face-wink
tikayevent
tikayevent 24.08.2021 um 13:04:49 Uhr
Goto Top
Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.

Ich glaube, es wäre besser, wenn du dann direkt mal in die nächste Schulung hineingehst. Dir fehlt hier Grundlagenwissen, was du dir entweder selbst erarbeiten musst (nein, das Forum hier ist spezifische Fragen und nicht für Grundlagenwissen da) oder durch Schulungen. Allein das Basiswissen Netzwerk, was nötig ist, macht einen nicht unerheblichen Teil aus. Entsprechende systemspezifische Literatur hat über 2500 Seiten.

Das Konzept der Netzwerktrennung durch VLANs, Router und Firewalls gab es schon, als ich vor 15 Jahren im Bereich Netzwerke angefangen habe, gilt damit im Bereich der IT schon als essentiell.