Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WAN durch LAN mittels VLAN durchschleifen - wie sicher ist es?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Netzwerkovski

Netzwerkovski (Level 1) - Jetzt verbinden

20.03.2013 um 12:17 Uhr, 3243 Aufrufe, 17 Kommentare, 1 Danke

Hi,

die Idee ist ein bestehendes Netzwerk um einen weiteren WAN Zugang zu erweitern - zwecks backup/redundanz bzw. Performanceerhöhung.
Vom Router Konfiguration her ist alles i.O. - problem ist das die potenzielle Backupleitung in einem anderen Gebäudeteil "rauskommt" und es keine direkte Verbindung zum Router/Firewall möglich gibt. Die Gebäudeteile sind mit einer Glasfaser verbunden, sprich simples "durchpatchen" des WAN zum Router ist nicht möglich.
Vorweg: Das beste weg wäre es den WAN Zugangspunkt an den Router legen zu lassen - ganz klar - doch diese simple Methode schließen wir mal aus

Wer dem ganzen nicht folgen kann, die Grafik zeigts:

Das ganze grafisch:
0786b1c1cd4e6e8844a5382d23727e91 - Klicke auf das Bild, um es zu vergrößern

Die Schnappsidee ist: den backupWAN, der an einem Switch rauskommt, mittels VLAN zum Router "durchschleifen".

d.h. man erstelle ein neuen VLAN (im Beispiel "VLAN D" = durchschleif) und führe es so durch das vorhandene Netzwerk ("VLAN N" = normal).
im VLAN D wären nur der WAN Port und der Port der zum Router führt, sonst wird es mittels Tagging zwischen den Switchen übertragen.

Die Probleme die sich mir stellen:
Rein Technisch müsste es ja so gehen - aber ist es ein Sicherheitstechnisches Himmelfahrtskommando?

Im Einzelnen:
Ein Switch wäre das erste Gerät am WAN - was ist davon zu halten? Eine Mangement IP würde ich nur fürs VLAN-N vergeben
Grundsätzlich würden WAN Pakete, zwar mit einem eigenen VLAN Tag, durch Geräte laufen an denen auch das LAN hängt.
Wie "sicher" ist das ganze? Kann ein Angreifen potentiell aus dem VLAN-D ausbrechen und ins VLAN-N wechseln, noch bevor die Pakete den Router/Firewall erreichen?

Also ich habe bei dem ganzen ein mulmiges Gefühl und würde es spontant so auf keinen Fall einsetzen - aber was ist theoretisch davon zu halten?



Mitglied: MrNetman
20.03.2013 um 12:32 Uhr
Hi Blaschikowski des Netzwerks,

das Modem muss aber physikalisch an die richtige Stelle. Danach ist es Ethernet und es dir damit möglich, das durchzuschleifen. Also ist das zwar WAN, aber transparent.

Zum Angriffsszenario:
Da der erste Switchport schon das VLAN Tag anhängt wird erst am Router / der Firewall wieder ein übliches Ehternet Paket daraus. Und wenn dieses VLAN manuell nur auf den benötigten Switches vorkommt, ist es leidlich sicher.
Ja selbstverständlich soll keine Zugang zum Switch passieren. Die Mangementadressen sind vermutlich innerhalb des Netzes und nicht ausserhalb mit einer gültigen Internet-IP.
Der Angreifer muss einem MAC-overflow / Buffer Overflow auch manipulierte Pakete erzeugen. Allerdings sieht er auch die Switch-MAC und damit den Hersteller. CDP oder LLDP muss deaktiviert sein.

Ein zweiter Router an dieser Stelle wäre wohl sicherer.

Gruß
Netman
Bitte warten ..
Mitglied: Deepsys
20.03.2013 um 13:11 Uhr
Hi,

Zitat von Netzwerkovski:
Die Gebäudeteile sind mit einer Glasfaser verbunden, sprich simples "durchpatchen" des WAN zum Router ist nicht > möglich.
Ähm, ist das wirklich nur eine Faser, oder eher zwei Fasern?
Bei zwei Fasern könntest du Bidirektionale SFP-Module nehmen, die brauchen nur eine Faser für Senden/Empfangen, da sie auch verschiedenen Wellenlängen senden.

Wäre das eine Idee?

VG
Deepsys
Bitte warten ..
Mitglied: Dobby
20.03.2013 um 13:11 Uhr
Hallo,

1. Also bei der Stelle Backup WAN (Internet) (Links in Deiner Zeichnung Bild) ist kein Router oder Firewall
zu sehen das würde ich einmal schnell ändern! So verlockend es auch sein mag, aber Sicherheit geht vor!

2. Ich weiß nicht ob die ganze Sache räumlich auch so getrennt ist, aber wäre hier evtl. eine Dual WAN Firewall
oder ein Dual WAN fähiger Router nicht die Problemlösung, die alles mit einem Schlag erledigt?

Sollte der Router oder die Firewall auf jeden Fall haben:
- Dual WAN GB LAN Ports
- Failover fähig
- VLAN fähig

Wäre zusätzlich noch interessant: (um auch einmal später umstellen zu können)
- NAT und/oder Firewall Regeln
- DMZ Port (frei wählbar)
- Laod Balancing (Policy based Routing oder Session based Routing)

Gruß
Dobby
Bitte warten ..
Mitglied: Netzwerkovski
20.03.2013, aktualisiert um 13:19 Uhr
@Deepsys:
wäre denkbar, aber ich bräuchte eben zwei "Medienwandler" dann:
WAN(elektrisch) <> Ethernet/Optisch Wandler <> Glasfaser (optisch) <> Optisch/Ethernet Wandler <> Router (elektrisch)
Bitte warten ..
Mitglied: Netzwerkovski
20.03.2013 um 13:20 Uhr
@D.o.b.b.y:
Das ist ja der gag an der Sache!
Ich "tunnele" den WAN durch das LAN per VLAN bis zum Router - der selbstverständlich zwei WAN Ports hat
Bitte warten ..
Mitglied: Netzwerkovski
20.03.2013 um 13:25 Uhr
@MrNetman:
Was passiert wenn ich kein Modem hinstelle? Welches Protokoll wird auf der WAN Seite gesprochen (es ist ein normaler ADSL) - Sinds "AMT Zellen"?
Würden der Layer3 AMT-Inhalt dann nicht einfach als Payload im Layer 2 Ethernet des Switches (mit dem VLAN TAG) weitergegeben durchs Netzwerk bis die am Router "abgeladen" würden?

Beim Management würde im VLAN D einfach keine Mangement IP vergeben - so müsste der Switch ja nur über seine private IP aus dem VLAN N erreichbar sein.

Also LLDP würde ich gern anlassen da der Switch über die Hersteller Management Software sichtbar sein sollte, zwecks überwachung. Kann man LLDP auf einzelne VLANs beschränken? Hab mich damit noch nicht so befasst
Bitte warten ..
Mitglied: Deepsys
20.03.2013 um 13:32 Uhr
Zitat von Netzwerkovski:
wäre denkbar, aber ich bräuchte eben zwei "Medienwandler" dann:
WAN(elektrisch) <> Ethernet/Optisch Wandler <> Glasfaser (optisch) <> Optisch/Ethernet Wandler <> Router
(elektrisch)
Ja, aber dann hättest du absolut kein Sicherheitsproblem (jedenfalls nicht auf dem Kabel).
Bitte warten ..
Mitglied: Netzwerkovski
20.03.2013 um 13:41 Uhr
Klar, das Stimmt - eigenes physikalisches Kabel ist die beste Trennung.
Bitte warten ..
Mitglied: MrNetman
20.03.2013 um 14:03 Uhr
Was passiert wenn ich kein Modem hinstelle?
Das Ethernet ist ein serielles Protokoll. Via Fast Ethernet wird es dreiwertig codiert. Via Gigabit wird es fünfwertig auf 4 parallelen Leitung codiert. Via Glasfaser ist es immer seriell. DSL hat viele, viele kleine analoge Träger, die alle einzeln codiert werden.
==> Ohne Modem geht nichts.
Bitte warten ..
Mitglied: Dobby
20.03.2013 um 15:01 Uhr
Zitat von Netzwerkovski:
@D.o.b.b.y:
Das ist ja der gag an der Sache!
Ich "tunnele" den WAN durch das LAN per VLAN bis zum Router - der selbstverständlich zwei WAN Ports hat

Jo das ist ein Gag, so sehe ich das auch!
Ein ungefilterter WAN Anschluss an ein LAN ist und bleibt gefährlich, nur meine Meinung.

WAN(elektrisch) <> Ethernet/Optisch Wandler <> Glasfaser (optisch) <> Optisch/Ethernet Wandler <> Router
(elektrisch)

Ein GBit/s fähiger Medienwandler ist für 40 € zuhaben und ergo zwei davon für 80 €.
Zusammen mit einem Dual WAN Router wäre das meiner Meinung nach ok, aber so wie Du
Dir das vorstellst würde ich das persönlich strickt ablehnen.

Gruß
Dobby
Bitte warten ..
Mitglied: Netzwerkovski
20.03.2013 um 16:35 Uhr
Ich habe es ja so auch nicht implementiert - war bisher nur ein Gedankenspiel - daher ja auch die ursprüngliche Frage:
Wie sicher ist ein "VLAN Tunnel" bis zum Router durch das LAN?

Zu den Medienwandlern: hättest du mir einen Link wo ich solche Teile für 40€ bestellen könnte?
Bitte warten ..
Mitglied: Dobby
20.03.2013, aktualisiert um 21:14 Uhr
Hallo,

Wie sicher ist ein "VLAN Tunnel" bis zum Router durch das LAN?
Ein Tunnel ist wie eine Wurst und hat daher auch immer zwei Enden!
Das auf der rechten Seite in Deiner Grafik ein steht, der einen Tunnel aufbauen kann, sehe ich,
nur wo steht das "Gerät" auf der linken Seite Deiner Grafik? Ich meine ein Tunnel kommt ja nicht
so angeflogen, oder?

Zu den Medienwandlern: hättest du mir einen Link wo ich solche Teile für 40€ bestellen könnte?
Könntest Du einmal vorher sagen welche Geschwindigkeit die können sollen?
- 10/100? oder
- 10/100/1000?
- Welche Faser liegt denn an?
- Welche Wellenlänge?

Und zum Schluss hat der Router denn einen zweiten WAN Eingang?

Gruß
Dobby
Bitte warten ..
Mitglied: Netzwerkovski
21.03.2013 um 09:56 Uhr
Der "Tunnel" wird mit dem VLAN "D" realisiert, und die einzigen Ports die Untagged dem VLAN D angehören sind:
- Der Port der zum backupWAN geht (linker Switch)
- Der Port an dem der Router hängt
Ansonsten werden die Pakete mittels Tagging zwischen den Switches ausgetauscht

Zum Medienwandler:
1000BASE-SX auf der LWL seite, sind OM2 G50/125 Fasern

Und der Router hat einen zweiten WAN Port
Bitte warten ..
Mitglied: MrNetman
21.03.2013, aktualisiert um 10:19 Uhr
OM2 G50/125 erlaubt Gigabit (SX) bis 550m.
Bei 10Gigabit/s sind es noch 84m ohne zusätzliche Massnahmen.
Zusätzliche Maßnahmen wären LX Transmitter für eine andere Wellenlänge oder spezielle Startfasern oder optisches Multiplexing (LX4).
Für viele diese Dinge benötigt es keine externen Medienkonverter mehr. Die Anschlüsse passen direkt als GBIC oder SFP in den Switch.

Also Reserven sind da
lg
Netman
Bitte warten ..
Mitglied: Netzwerkovski
21.03.2013, aktualisiert um 10:38 Uhr
Bandbreite ist auch nicht das Problem - nur wenn der Switch als Medienwandler dient ist es ja so das auf dem Switch eben das normale VLAN (in dem das LAN drin ist) läuft und parallel dazu das D VLAN (in dem das WAN durchläuft).

Das war ja die Kernfrage: Wie sicher ist es?

Quasi wie Castor Atommüll Transport durch eine Großstadt - "sollte" sicher sein :D
Bitte warten ..
Mitglied: MrNetman
21.03.2013 um 11:46 Uhr
Naja,
Beim Castor-Transport ist die Presse immer informiert, wo der Transport läuft. Im VLAN weiß nur der Admin wo der Weg durch läuft. -> Keine Anschläge, keine Demos.
Bitte warten ..
Mitglied: Dobby
23.03.2013 um 18:29 Uhr
Hallo netzwerkovski,

LWL Konverter (1 GBit/s)
Ok, ok da habe ich um 20 € daneben gelegen, sie kosten um die 60 €, aber neulich hier im Forum hat entweder
@brammer oder @Biber so einen Link gepostet unter dem ein LWL Konverter für 40 € zu haben war und da hatte
ich noch die Preise für im Kopf.

Alternativ könnte man noch den RB260GS mit einem MikroTik SFP-Sx Modul empfehlen! Sind zwar ca. ~80 €, aber da hast Du dann den SFP Transceiver
gleich mit dabei und wenn der Router zwei WAN Ports hat würde ich die auch nutzen wollen!

Das war ja die Kernfrage: Wie sicher ist es?
Na wie sicher ist es denn wenn man sein Netzwerk an das Internet anschließt und nicht einen
Router oder eine Firewall davor hängt? Ich meine SPI und NAT macht Dein Switch nicht, oder?

Quasi wie Castor Atommüll Transport durch eine Großstadt - "sollte" sicher sein :D
Ein Hochsicherheitstransport mit Deiner Lösung zu vergleichen ist doch wohl eher gewagt, finde ich zumindest.
Vergleich das bitte einmal lieber mit:
"Ich fahre in den Urlaub und lasse meine Wohnungstür in der zweiten Etage offen, denn man muss ja unten noch durch die Haustür und den Hausflur gehen."

Klar muss man noch durch die Haustür unten die zur Straße hin eigentlich abgeschlossen ist und in die zweite
Etage muss man auch noch gehen, aber dann.........

Gruß und schönes WE
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VLAN Trennung sicher? (5)

Frage von mksadm zum Thema LAN, WAN, Wireless ...

Monitoring
gelöst SNMP Monitoring eines LAN aus dem WAN - Best practice? (6)

Frage von chfran zum Thema Monitoring ...

LAN, WAN, Wireless
LAN (WAN) mit ständigen Unterbrechungen (10)

Frage von Brudschgo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...