hpylori
Goto Top

VLAN (k)ein Sicherheitsfeature?

Guten Tag,

hab da mal eine kurze Verständnisfrage bezüglich VLAN.

Man liest immer wieder dass dies als Sicherheitsfeature verstanden wird,
zB. auch um ungewollte Geräte draußen zu halten.

Aber nach meinem Verständnis kann ja quasi jeder bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.
Somit kommt man erst nicht um Lösungen wie 802.1x oä. herum.

Demnach wäre ein portbasiertes VLAN sogar "sicherer" weil "fremde" Pakete gar nicht bis zur Dose kommen - nicht?

Verstehe ich da was falsch oder stimmt das schon so im Groben und Ganzen?

Was ist eigentlich von IPsec im lokalen Netzwerk zu halten?
Sprich "einfach" als Alternative den ganzen Traffic zu verschlüsseln anstatt zu regeln wer "mitspielen" darf und wer nicht?

Danke und Grüße
hpylori

Content-Key: 344091

Url: https://administrator.de/contentid/344091

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: 108012
108012 21.07.2017 um 08:02:34 Uhr
Goto Top
Moin Moin,

also zu aller erst einmal wäre es schick wenn man sich darauf einigen könnte, dass Sicherheit immer Mehrstufig zu verstehen ist!
Also man macht nicht das Eine oder das Andere und ist dann sicher! Man fängt in der Regel von hinten an und behauptet erst einmal,
das man zu 100% unsicher ist! Dann teilt man sein Netzwerk ein und besorgt sich etwas zur Sicherung des WANs oder für die Schnittstelle
hin zum Internet. Dann ist man mit einem SPI/NAT Router 5% sicherer und mit einer Firewall 10% sicherer und mit einer UTM oder NG-Firewall
kommt man schon auf 15% weniger Unsicherheit. Nach der strukturierten Netzaufteilung wären dann Broadcastdomänen an der Reihe denn
damit steht und fällt dann eben alles, bzw. man versucht sie so klein wie möglich zu halten, ist aber auch einen Sache seitens der Performance
der Switche, wenn die richtig viel können und auch noch stark genug sind kann man damit schon viel machen! So nun zu Deinen VLANs und
dem Rest. Man kann dann die Switche stapeln und VLANs anlegen und für diese dann Switch ACLs erstellen ebenso wie man MacSec für
das gesamte Netzwerk einschalten kann. Damit ist man dann schon etwas besser aufgestellt.

Wer dann noch zwei Server hat rundet alles noch ein wenig besser ab, ein DC/AD Server auf dem dann die LDAP Rolle und die RadiusServer
Rolle installiert werden für Kabel gebundene (LAN) und Kabel lose (WLAN) Geräte ist dann schon bei 50% Sicherheit angekommen. Und mit
GPOs zusätzlich ist man dann schon gut dabei.

Wer will kann auch einen WLAN Controller und damit ein Captive Portal für WLAN Gäste einrichten dann kann man auch nach Roiuge WLAN APs
scannen und ist sicherlich noch ein wenig besser aufgestellt.

Wer jetzt noch einen Snort Server und diverse Snort Sensoren im Netzwerk platziert ist zusammen mit einer Host basierenden IDS/IPS
Lösung wie OSSec noch besser beraten und kann im Netzwerk und auf den Hosts (PC,Server,SAN/NAS,...) alles scannen und kontrollieren.

Regelmäßige Backups und das auch noch verschlüsselt sind 100 mal mehr Wert als alles andere.

Man liest immer wieder dass dies als Sicherheitsfeature verstanden wird,
zB. auch um ungewollte Geräte draußen zu halten.
Naja, man möchte wohl eher nicht das alle Mitarbeiter an den PCs der anderen Mitarbeiter herum fummeln und auch nicht an all
den Servern die vorhanden sind, verständlich oder?

Aber nach meinem Verständnis kann ja quasi jeder bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.
Somit kommt man erst nicht um Lösungen wie 802.1x oä. herum.
Man kann Switch ACLs benutzen und zusammen mit MacSec ist das schon ganz ordentlich. LDAP und Radius Server Rolle oder
gar ein FreeRadius 3.0 und ein OpenLDAP auf einem Linux Server (RaspBerry PI 3.0) sind auch voll und ganz in Ordnung.

Demnach wäre ein portbasiertes VLAN sogar "sicherer" weil "fremde" Pakete gar nicht bis zur Dose kommen - nicht?
Was ist schon sicher!? Wenn dort ein DC/AD mit der LDAP Rolle am werkeln sind und die restlichen Switch Ports zu den
Netzwerkdosen stillgelegt sind, kann dort gar keiner etwas neu einstecken was dann im Netzwerk unterwegs ist. Oder
Aber Switche mit einer mehrfachen Radius Auth. pro Port sind auch nicht übel gar keine Frage.

Verstehe ich da was falsch oder stimmt das schon so im Groben und Ganzen?
Man überschätzt VLANs eventuell, aber das sie ein probates Mittel zur Abgrentzung und besseren Verwaltung, oder gar Fehlersuche
sind will ich gar nicht bestreiten. Nur wenn ich in einem VLAN bin und versuche dann in ein anderes VLAN zu kommen, kann es sein
das der Snort Sensor das mitbekommt und dann bin ich dran, denn der gibt dann Alarm!

Was ist eigentlich von IPsec im lokalen Netzwerk zu halten?
Gar nichts. Dazu nimmt man heute MacSec und/oder Radius Server mit Zertifikaten und Verschlüsselung!

Sprich "einfach" als Alternative den ganzen Traffic zu verschlüsseln anstatt zu regeln wer "mitspielen" darf und wer nicht?
Ich denke hier liegst Du selber etwas daneben, denn bei den meisten KMU (SMB) Switchen geht die gesamte
Netzwerkperformance mitunter so in den Keller dass man das gar nicht erst wieder versuchten wird. Allerdings mit geeigneten
Switchen die stark genug sind kann man das schon realisieren.

Warum ich soweit ausgeholt habe, ist folgendes, oft benutzen Leute ein oder zwei Sachen und denken dann sie sind sicher,
bzw. Ihre Netzwerk ist es, das stimmt aber so nicht ganz und die Scheuklappen einmal ablegen ist ja auch nicht so schlimm.

Gruß
dobby
Mitglied: sk
sk 21.07.2017 aktualisiert um 09:09:15 Uhr
Goto Top
Zitat von @hpylori:
Man liest immer wieder dass dies als Sicherheitsfeature verstanden wird,
zB. auch um ungewollte Geräte draußen zu halten.

Lese ich in dieser Kausalität zum ersten Mal.


Aber nach meinem Verständnis kann ja quasi jeder bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.

Jain.
VLAN-Tags akzeptiert man normalerweise nur auf Infrastrukturports, welche nicht so ohne weiteres zugänglich sein sollten. Also z.B. Verbindungen wie Switch-zu-Switch, Switch-zu-Router und Switch-zu-Servervirtualisierung.
Besondere Beachtung, Bewertung und verantwortliche Konfiguration bedürfen hingegen die oftmals leicht zugänglichen Ports zu MSSID-Accesspoints.
Auf reinen Accessports wird hingegen üblicherweise per Ingressfiltering ein mögliches VLAN-Hobbing unterbunden.


Was ist eigentlich von IPsec im lokalen Netzwerk zu halten?
Sprich "einfach" als Alternative den ganzen Traffic zu verschlüsseln anstatt zu regeln wer "mitspielen" darf und wer nicht?

Davon halte ich sehr viel. Zumindest wenn damit die Ende-zu-Ende-Verschlüsselung zwischen allen Hosts im LAN gemeint ist. Zumal IPSec nicht nur Verschlüsselung, sondern auch Authentifizierung und Integritätsprüfung leistet. In einer Windows-AD-Umgebung ist das auch mit Bordmitteln umsetzbar. Weder Einrichtung noch Betrieb sind jedoch trivial. Das Problem sind zudem die zwangsweise nötigen Ausnahmen.
Mitglied: LordGurke
LordGurke 21.07.2017 aktualisiert um 11:27:09 Uhr
Goto Top
Optimalerweise akzeptiert der Switch nur solche Tags, welche für den Port erlaubt wurden.
Wenn ich also einen Port habe dem die Tags 5,6,7 erlaubt sind und ich Pakete mit Tag 38 dahin schicke, werden die vom Ingress-Filter des Switches aufgegessen und nicht geforwarded.
Umgekehrt bekommst du auch keinen Traffic aus VLAN 38 auf diesem Port.

In dem Zusammenhang wird manchmal aus Unwissenheit Unfug mit der PVID getrieben, wodurch es dann aufgrund eines solchen Konfigurationsfehlera möglich sein kann, Pakete in das VLAN mit der auf dem Switchport konfigurierten PVID zu senden (aber nicht daraus zu erhalten).

Kurz: VLANs können sinnvoll voneinander getrennt werden und wenn der Switch vernünftig konfiguriert ist kann selbst auf Tagged Ports zu Traffic in die erlaubten VLANs geschickt werden.
Ein Restrisiko (Konfigurationsfehler, Firmware-Bug) bleibt natürlich — das hast du auf einem Router oder einer Firewall aber auch.

N.B.: Auf solchen tagged Ports sollte ohnehin immer die Liste der VLANs eingeschränkt werden. Denn Traffic, welchen ich dahinter ohnehin nicht brauchen kann, muss man nicht durch das Kabel leiten und Bandbreite dafür verbrauchen.
Mitglied: Pjordorf
Pjordorf 21.07.2017 um 12:08:50 Uhr
Goto Top
Hallo,

Zitat von @hpylori:
Aber nach meinem Verständnis kann ja quasi jeder
Deine Benutzer in dein Netz sollen eben nicht selbst die VLANs ändern dürfen. Ein benutzer der Admin Rechte kann dein ganzes Konzept killen. Weiter sollen auch die Switche unte Verscluß sein und nicht genutzte Ports sind eben totgelegt (Switch Konfiguration) oder auch nicht zugänglich sowie die Ports die in den Büros / Produktion liegen sind eben bei nicht benutzung tot. Dann kann und sollte für jeden Port eben nur ein bekanntes Endgerät erlaubt sein. Andere unbekannte Geräte dürfen gar nicht erst ins Netz kommen usw. Und wenn du dann von Sicherheit und VLANs redest siehts schon anders aus. Wer ein Großraum Büro hat, die netzwerkInfrastruktur in einer ecke liegt oder für jeden zugänglich ist, wo jeder Szecken kann was er möchte, die benutzer teilweise gar Adminrechte haben, dein Netz auf unbekannte Geräte nicht reagiert - dann solltest du hier nicht das Wort Sicherheit ins Spiel bringen.

Ein Sicherheitsgurt allein ist kein allheilmittel vor Verletzungen, trägt aber seinen Teil dazu bei in dem Gesamtkonzept Sicherheit eines Autos.

bei einem tagged VLAN die entsprechende ID eingeben und ist dann im Netz.
Soll ein benutzer gar nicht erst dürfen - aber das ist auch Teil deines Sicherheitskonzepts. Es reicht als Sicherheitskonzept heute nicht mehr das die Putzfrau den Stromstecker nicht ziehen kann face-smile

Gruß,
Peter
Mitglied: Herbrich19
Herbrich19 23.07.2017 um 19:43:32 Uhr
Goto Top
Hallo,

Ich sehe VLAN als Teil eines Sicherheitsfeatures. Man muss natürlich die Packete die Zwischen den VLANs gehen regulieren können. Also andere gesagt man braucht zum VLAN eine Firewall die am besten auch noch die Protokolle verstehen und regulieren kann.

Also kein Direktes Routing sondern halt Proxy Server. So kann man sehr granular regeln was von VLAN1 ins VLAN2 darf und so weiter, Das VLAN ist nur eine Komponente die man also in sein Sicherheitskonzept einfügen kann. Aber alleine VLANs zu benutzen bringt nur mehr Peformance weil die Broadcast Domäne reduziert wird aber mehr auch nicht wen jeder von jeden VLAN auf jede IP über jeden Port zugreifen kann.

Und Portbasierende VLAN,s sind nicht sicherer als ein richtig konfiguriertes Tagged VLAN. Ich meine an der Datendose liegt ja kein Trunk an (außer natürlich für W-LAN Access Points.

Gruß an die IT-Welt,
J Herbrich
Mitglied: 108012
108012 23.07.2017 um 21:01:41 Uhr
Goto Top
Ich sehe VLAN als Teil eines Sicherheitsfeatures. Man muss natürlich die Packete die Zwischen den VLANs gehen regulieren können.
- VLANs selber trennen und teilen auf bzw. man trennt damit und teilt auf
- ACLs regulieren die Pakete und lenken den Datenstrom wer darf was von wo nach wo
- Und mittels MacSec sichert man den gesamten Datenverkehr im Unternehmen ab was auch die VLANs mit einbezieht.
Und alles was aus dem LAN in die DMZ oder über das WAN geht ist Sache der Firewall, UTM oder des Routers.

Gruß
Dobby