Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sicherheit bei Trennung kritischer Netze durch VLANs

Frage Netzwerke Netzwerkmanagement

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

08.12.2009 um 10:42 Uhr, 5306 Aufrufe, 6 Kommentare, 1 Danke

Hallo,

ich nutze seit Jahren intensiv VLANs, um logische Netzte abzugrenzen, ohne einen unüberschaubaren "Wust" an Switchen zu benötigen.

Bisher habe ich nur verschiedene, lokale Subnetze getrennt. Jetzt würde es mir aber viel Arbeit ersparen, wenn ich auch die externen Internetverbindungen über die gleichen Switche zwischen den Routern verteilen könnte....


Wie seht ihr die Gefahr, wenn auf den gleichen Switchen:
- der interne VoIP-Verkehr
- sensible Daten der ERP
- ungefilterter Internetverkehr

läuft?

Vielen Dank für euere Hilfe

Phil
Mitglied: spacyfreak
08.12.2009 um 10:52 Uhr
Mach ich seit Jahren und sehe es deutlich unkritischer als manches andere.

Es gibt zwar Angriffsmöglichkeiten wie VLAN Hopping, doch das ist doch nur unter ganz bestimmten Umständen ausnutzebar, wenn überhaupt.
http://en.wikipedia.org/wiki/VLAN_hopping

Seh ich ähnlich unkritisch wie IP-Spoofing (gähn). Da könnt ja einer aus dem Internet sich eine Source-IP aus deinem eigenen Netz geben, was zur Folge hätte dass deine FW die Pakete reinlässt. Ja und dann? Die werden ja niemals zurückgeroutet zum Angreifer, wat soll er damit? Klar, eventuell bissl Denial of Service probieren (gähn), aber ich hab das in den letzten 200 Jahren nie erlebt. Mit so mancher "Sicherungsmaßnahme" macht man sich nur mehr Probleme als man ohne die Maßnahme gehabt hätte, von steigender Komplexität und Unübersichtlichkeit ganz zu schweigen.

Tipps

  • http/https abschalten (no ip http server)
  • ACLs für Management (line vty 0 15) anlegen (Management Zugriff nur aus klar definierten Netzen erlauben)
  • VLAN Allow Listen
  • Spanning-Tree loop guard
  • root bridges manuell festlegen
  • vtp mode transparent auf allen switches

Man sollte sich mehr auf die wahrscheinlicheren Risiken konzentrieren, als sich von theoretischen Möglichkeiten verwirren zu lassen.
Wie stehts z. B. um loop guard Konfiguration? Da kann ein kleiner Fehler oder Ausfall eines einzigen Switches das ganze Netz lahmlegen wenn man sich nicht vor Broadcast Stürmen schützt. Super GAU.
Bitte warten ..
Mitglied: dog
08.12.2009 um 10:53 Uhr
Ähm, wie meinen?

Welche Gefahr?
Die einzige Gefahr, die ich da sehe ist ein Traffic-Leak durch einen Softwarebug.
Das kann man jetzt entweder in Kauf nehmen oder hunderte von Kabeln ziehen.

Grüße

Max
Bitte warten ..
Mitglied: Supaman
08.12.2009 um 11:17 Uhr
fehlende redunanz - fällt DER switch aus, geht gar gar nichts mehr.
Bitte warten ..
Mitglied: 45877
08.12.2009 um 11:26 Uhr
Zitat von Supaman:
fehlende redunanz - fällt DER switch aus, geht gar gar nichts mehr.

Dann ruft wenigstens keiner an um sich zu beschweren, dass die ERP softwware nicht mehr geht...
Bitte warten ..
Mitglied: Der-Phil
08.12.2009 um 11:26 Uhr
Hallo,


danke für euere Hilfe!

Rednundanz ist kein Problem: Meine Switchinfrastruktur ist vollredundant. Das wird eher schlechter, wenn ich versuche eine Zweite dazu zu stellen....

Dann werde ich mal anfangen mit der Konfiguration.

Phil
Bitte warten ..
Mitglied: aqui
09.12.2009 um 15:15 Uhr
Nimm halt etwas roten Nagellack und markiere die Ports der heissen VLANs, damit keiner was falsch stecken kann.
Das ist das einzige Problem worüber sich ggf. diskutieren lässt.
Ansonsten ist das gängige Praxis wie spacyfreak absolut richtig bemerkt !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Verschiedene VLANS mit OpenVPN - Trennung der Netze - PFSense
Frage von Marco-83Router & Routing

Guten Abend zusammen, ich stehe gerade vor einem kleinen Problem, wo sich so gerade ein leichter Knoten im Kopf ...

LAN, WAN, Wireless
VLAN Trennung sicher?
gelöst Frage von mksadmLAN, WAN, Wireless5 Kommentare

Hallo liebe Gemeinde, ich habe eine Frage zu Vlan. Nehmen wir 2 Vlan-Netze: NetzA / NetzB Diese beiden Netze ...

Netzwerkmanagement
Hyper-V - VLAN - BACKUP-Trennung
gelöst Frage von AlexPfNetzwerkmanagement3 Kommentare

Hallo Leute, stehe vor einem kleinen Problem. Ich bin gerade dabei ein Netzwerk einzurichten und möchte das Backup (NAS) ...

Router & Routing
Verständnisfrage VLAN und Virus Sicherheit
gelöst Frage von VoodoopuppRouter & Routing5 Kommentare

Hallo, bin neu hier und natürlich wie alle habe ich dann gleich mal eine Frage: beschäftige mich gerade ein ...

Neue Wissensbeiträge
Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 39 MinutenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 2 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 5 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 11 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

E-Business
Bankgeheimnis abgeschafft - wie kann ich mich wehren?
Frage von honeybeeE-Business13 Kommentare

Hallo, ich nehme Bezug auf diesen Artikel: Als ich das gelesen habe, wurde mir schlecht Es geht ja niemanden ...