Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Sicherheitsaspekt

Frage Sicherheit

Mitglied: moebelwachs

moebelwachs (Level 1) - Jetzt verbinden

02.08.2010 um 14:27 Uhr, 7004 Aufrufe, 7 Kommentare

Hallo,

ich möchte per VLAN ein Netz segementieren und gleichzeitig erreichen, daß die Segmente sicher voneinander getrennt sind. VLAN nach 802.1q passiert auf Layer 2, die Ethernetframes werden
praktisch von der Hardware (Switchport beim Port-basierten VLAN) manipuliert um die VLAN ID hinzuzufügen. Gibt es Bedenken oder Möglichkeiten, daß eine Software (Trojaner, ev Rootkit) diese
VLAN IDs unbemerkt manipuliert ? Kann so ein Konstrukt als "sicher" eingestuft werden ? Sind eventuelle Möglichkeiten, zwischen 2 VLANs eine ungeplante Verbindung herzustellen, bekannt?

Danke schonmal,
Gruß wolfgang
Mitglied: brammer
02.08.2010 um 14:56 Uhr
Hallo,

der Suchbegriff für dich sollte "inter vlan hopping" sein

http://www.searchnetworking.de/themenbereiche/design/virtualisierung/ar ...

brammer
Bitte warten ..
Mitglied: maretz
02.08.2010 um 14:58 Uhr
Moin,

die Frage ist immer: Wie sicher soll es sein? Denn natürlich könnte ein gezielter Angriff die VLAN-ID manipulieren (notfalls über den Admin-Account indem der Angreiffer vorm PC sitzt und das Admin-PW zurücksetzt) -> dafür könntest du dann z.B. per RADIUS die MAC-Adresse prüfen und gucken ob die in das VLAN gehört. Wenn nein - Paket verwerfen... Aber für nen normalen 08/15-Büro-Betrieb ist das schon oversized.

Und dann ist die Sicherheit eben nicht durch einen Punkt gewährleistet... Es bringt dir wenig wenn du zwar alles schön per VLAN trennst - aber z.B. jemand an ein ungesichertes Netzwerkkabel kommt und sich so auf nen anderes / allgemeines VLAN steckt bzw. du sogar nen WLAN offen hast usw...
Bitte warten ..
Mitglied: aqui
02.08.2010 um 16:54 Uhr
Auf dem Switch selber ist das so gut wie ausgeschlossen. Das Problem ist hier wie immer der Faktor Mensch. D.h. du solltest deine Ports mit entsprechenden Markierungen oder farbigen Kabeln versehen, das niemand hier Ports verwechseln kann oder falsch steckt.
Diese Gefahr eine ungeplanten Verbindung durch einen Humanoiden ist erheblich höher.
Der Switch selber trennt zu 99,9% die VLANs absolut sicher !
Bitte warten ..
Mitglied: Ninja-AUT
02.08.2010 um 17:21 Uhr
Hallo,

wir verwenden dafür zwei gespiegelt line core Router RB1000U ( http://routerboard.com/pricelist.php?showProduct=58 )
das ist nicht nur sehr schnell sondern auch 100% sicher.

Wir trennen damit Server, LAN (Clients), WLAN, Internet etc. die jeweils in einem eigenen VLAN arbeiten.
Es werden nur zugelassene Verbindungen (IP) geroutet.

Eine ungeplante Verbindung zweier VLAN´s kann 100% ausgeschlossen werden.
Bitte warten ..
Mitglied: dog
02.08.2010 um 21:12 Uhr
Bei MT muss man aber vorsichtig sein, wenn man das Switch-Chip-VLAN-Feature benutzt, da die Standard-Einstellung "fallback" nicht sicher ist.
Bitte warten ..
Mitglied: moebelwachs
02.08.2010 um 22:28 Uhr
Danke für eure gesammelten Antworten, ich sehe daß es bis auf einige "exotische" Konstellationen kein wirkliches Securityproblem gibt,
was durch den Artikel über die LAN Virtualisierung auch deutlich wird.
Es ging mir rein um die Frage, ob ein Angreifer ein korrekt konfiguriertes, portbasiertes VLAN überwinden kann, wenn er zugriff auf eine LAN Dose hat, die
an solch einem Switch resp. Netz angeschlossen ist, wenn ich das nachträglich noch so definieren darf.
Voraussetzung dafür ist , wie immer halt, profundes Wissen über Theorie und und die Umsetzung und Anpassung an das konkrete Netz.
Wie gsagt, herzlichen Dank,
schöne Grüße
wolfgang
Bitte warten ..
Mitglied: brammer
03.08.2010 um 08:51 Uhr
Hallo,

wenn du das Sicherheitsrisiko nur danach beurteilst ob ein Angreifer über eine interne LAN Dose VLAN Hopping machen könnte ist das aber nur ein kleiner Aspekt dieses relativ kleinen Risikos.
Je nach Switch kannst du an jedem Port konfigurieren wieviel MAC Adressen er akzeptieren darf, es gibt Dosen an denen nur ein Gerät auftauchen darf (Server, Drucker feste Client Rechner) und es gibt ein paar wenige Dosen an denen mehrere MAC Adressen auftauchen dürfen (iinsbesondere Sculungsräume und Besprechungsräume) aber auch das ist konfigurierbar.
Außerdem sollten generell alle Dosen die keine feste Nutzung haben deaktiviert sein.

brammer
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Management VLAN - tagged oder untagged, VLAN-Hopping (3)

Frage von stephan902 zum Thema LAN, WAN, Wireless ...

Netzwerke
VLAN Tagging (5)

Frage von DerNoob89 zum Thema Netzwerke ...

Netzwerkgrundlagen
gelöst Verständnisfrage zu vLAN (65)

Frage von SarekHL zum Thema Netzwerkgrundlagen ...

Router & Routing
Chromecast in anderem VLAN (1)

Frage von gansa28 zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

(1)

Information von BassFishFox zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Exchange Server
gelöst Proxy Server Settings Cloud + EWS (17)

Frage von SomebodyToLove zum Thema Exchange Server ...

Windows Server
PDF Editor für den Einsatz auf Terminal Servern (16)

Frage von kwame501 zum Thema Windows Server ...

Windows Installation
Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen (14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...