VLAN - KnowHow erbeten

fdiskc2000

fdiskc2000

Enthusiast
Thread Starter
Mitglied seit
30.05.2007
Beiträge
2.230
Moin,

also prinzipiell habe ich verstanden wofür VLAN´s da sind: Netzwerke quasi am Switch zu separieren, als wären sie auch physisch getrennt.
Ok, so kann ein "Angreifer" nicht aus dem einen Netz ins andere einfallen.

Trotzdem gibt es in den Layer2+/Layer3 Switchen die Möglichkeit VLAN´s miteinander zu verbinden. Ok, kann Sinn machen, aber ist dadurch nicht einem potentiellen "Angreifer" wieder die Tür geöffnet?

Ich möchte das einfach gerne etwas mehr verstehen, um zu begreifen ob und wie es bei mir im Netzwerk sinnvoll wäre.

Und erreiche ich nicht mit unterschiedlichen Netzwerk Bereich/IP´s das gleiche?
Netzwerk_Home.jpg

Wäre super, wenn mir hier jemand etwas Aufklärung geben könnte, oder aber Links/Literatur wo man das besser erklärt. Was ich bisher im Netz gefunden habe sind Guides zur Einrichtung etc, die gehen aber kaum auf das "warum" ein dabei.

Vielen Dank für Eure Zeit und Hilfe.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
fdiskc2000 schrieb:
Und erreiche ich nicht mit unterschiedlichen Netzwerk Bereich/IP´s das gleiche?
Zum Vergrößern anklicken....
VLANs separieren nicht nur sicherheitstechnisch, sondern auch z.B. Broadcast-technisch: wenn in einem VLAN ein Broadcaststurm ausbricht, ist das zweite davon nicht berührt. Des weiteren müsste man, wenn man z.B. PC-Netzwerk und Netzwerk für VoIP-Telefonie über die selbe physikalische Hardware laufen lassen will, in einem der beiden Netzwerke sklavisch statische IP-Adressen verwenden. Mit VLANs kann man in beiden Netzwerken einen DHCP-Server haben, die sich eben nicht untereinander stören.
 
Vlan ist eine Layer 2 Trennung,IP ist Trennung auf Layer 3 des OSI-Modells...der Wikipedia Artikel zu VLANs ist sehr gut,kann ich nur empfehlen.

Vlans werden ebenso benutzt um Broadcasts einzudämmen,und wie du schon erwähnt hast um Netze voneinander zu trennen... in Firmen zB: Vlan 10 Management,Vlan 25 alle Server,Vlan 100 Mitarbeiter(Vlan 110 HRM,Vlan 120 Verkauf etc.) Vlan 300-310 Voice VLANs... mit den dazugehörigen IP-Bereichen... zusätzlich kann man mit Radius-Clients (Switchen) anhand der Mac Adresse des Endgerätes oder einem Zertifikat automatisch VLANs zuweisen (Nutzer zieht mit Telefon und APC in anderes Büro,kann sofort weiter arbeiten)

Das waren nur ein paar Anwendungen dafür,der Rest würde den Rahmen sprengen...lies zusätzlich noch die RFCs dafür...hat noch niemanden dümmer gemacht :-)


Sent from my iPhone using Tapatalk Pro
 
Grundsätzlich hast du es schon richtig verstanden: Durch die Trennung, die VLAN's ermöglichen, kann zusätzliche Barriere für den Angreifer geschaffen werden, denn wie bei physikalischen Netzwerk muss man erst an den betreffenden Switch (oder auch mehrere) ran um in ein anderes VLAN, in dem sich möglicherweise das "Opfer" befindet, zu gelangen. Dies ist, wie die Vorredner bereits ausgeführt haben, nicht der einzige Zweck.
Grundsätzlich geht es bei IT-"Security" um die Verringerung der Angriffsflächen. Dies kann man erreichen indem man die Systeme in Bereiche auftrennt und diese dann durch überwachte Netzübergänge (zB Firewall), die lediglich Datenverkehr durchlässt, welches bestimmten Regeln entspricht, absichert. An dieser Stelle setzt man heutzutage mit VLAN’s an.
Folgendes wäre für dein Netzwerk denkbar, wobei dies natürlich für den Heimgebraucht eher weniger gedacht ist:
• VLAN x : Clients
• VLAN y: Server
• VLAN z: Geräte, die nicht nach außen kommunizieren müssen/sollen (hier beim DHCP zum Beispiel kein Gateway eintragen oder entsprechende Regel an Netzübergang hinterlegen).
• VLAN za: Gästenetz.( Hier kann man den LAN-Port 4 der FB nutzen und in ein VLAN verpacken, welches dann auf den eventuell vorhandenen AP's ausgestrahlt wird)

PS: "Devolo 650MBit (real ca. 2500Mbit)" müsste mal korrigiert werden.

Wichtige Begriffe für dieses Thema wären u.a. Grenznetz, Internes Netz und Bastion Host.
 
Zuletzt bearbeitet:
Erstmal vielen Dank an Euch für Eure Antworten. Diese zeigen mir, dass ich grundsätzlich schon verstanden habe was man erreichen kann. Ich glaube mein Unverständnis liegt im Bereich "routing" zwischen den VLAN´s.
Vielleicht auch, weil meine TP-Links ja "nur" Layer2+ sind? Evtl. sieht das bei einem Layer3-Switch noch anders/erweitert aus.
Die Frage ist: wenn ich Netze trenne, mache ich dann die Trennung nicht mit der Verbindung von VLAN´s wieder zunichte? Eine totale Trennung ist ja nur bedingt sinnvoll.

Im Beispiel von @Tchacker müssen ja doch alle Abteilungen die in VLAN´s unterteilt sind auf den zentralen ERP-Server/-Landschaft zugreifen.

Bei Dir @testm: müssen die Clients aus VLAN x ja auch auf die Server in VLAN y zugreifen können.

Im TP-Link erzeuge ich Interfaces je Netzwerkbereich/VLAN und stelle so wieder eine Verbindung dazwischen her. Macht es das dann nicht wieder auf (laienhaft formuliert)?

testm schrieb:
PS: "Devolo 650MBit (real ca. 2500Mbit)" müsste mal korrigiert werden.
Zum Vergrößern anklicken....

Ja ein Tippfehler, wird aber eh dahingehend korrigiert, dass die Tage dort ein LAN-Kabel eingezogen wird ;) Die 250MBit sind offensichtlich auch nur schön gerechnet und reichen nicht für den 100/40 DSL Anschluss.
 
fdiskc2000 schrieb:
Die Frage ist: wenn ich Netze trenne, mache ich dann die Trennung nicht mit der Verbindung von VLAN´s wieder zunichte? Eine totale Trennung ist ja nur bedingt sinnvoll.

Im Beispiel von @Tchacker müssen ja doch alle Abteilungen die in VLAN´s unterteilt sind auf den zentralen ERP-Server/-Landschaft zugreifen.

Bei Dir @testm: müssen die Clients aus VLAN x ja auch auf die Server in VLAN y zugreifen können.

Im TP-Link erzeuge ich Interfaces je Netzwerkbereich/VLAN und stelle so wieder eine Verbindung dazwischen her. Macht es das dann nicht wieder auf (laienhaft formuliert)?
Zum Vergrößern anklicken....

Wenn du zwei Netze wieder 1:1 Routest hast du Sicherheitstechnisch keinen Zugewinn, das ist richtig. Allerdings macht es wie von anderen bereits geschrieben nicht nur Sinn Netze aufgrund von Sicherheit zu trennen. Wenn du allerdings zwei getrennte Netze hast ist auch eine Zugriffsbeschränkung durch Firewall oder eine ACL möglich. Das z.B. Abteilung XY nur zwischen 8 - 16 Uhr auf ERP-Server/-Landschaft zugreifen darf oder ähnliches.
 
@fdiskc2000: Die Netzübergänge sind in Form einer Firewall oder/und einer ACL auszuführen ("innere Router"), wie auch rayze bereits geschrieben hat.
Hierzu solltest du dich vielleicht mit pfsense o.ä. befassen.
So weißt du im Falle von einem Client, welcher auf einen Server zugreift, was der Zielport und die Ziel-IP-Adresse sowie das Protokoll ist. Damit kannst du spezifizieren welches Verhalten erlaubt ist (~whitelist).
 
Ok, also wird eben nicht 1:1 zwischen VLAN´s geroutet sondern nur dediziert die benötigten Dienste/Ports, das macht für mich eher Sinn.
Oha, das klingt nach einem Thema, dass man gut planen sollte und nicht wie üblich in einer Nachtschicht einrichtet. :-)

pfsense wäre gleichzusetzen mit der SOPHOS UTM? Die habe ich hier schon in einer Test VM installiert.
 
fdiskc2000 schrieb:
Im TP-Link erzeuge ich Interfaces je Netzwerkbereich/VLAN und stelle so wieder eine Verbindung dazwischen her. Macht es das dann nicht wieder auf (laienhaft formuliert)?
Zum Vergrößern anklicken....

Naja, ich denke du unterliegst hier nur einem Verständnis Problem... Du "verbindest" die VLANs ja nicht. Es bleiben zwei verschiedene Bereiche. Nur weil da ein Interface pro VLAN drin ist, sind die nicht gleich direkt verbunden. Was an Paketen durch soll/darf oder nicht, steuerst du, wie schon genannt wurde, idR mit ACLs/Firewalls. Das muss nicht zwangsweise gerouteter Traffic sein (also von IP Netz A in VLAN 1 zu B in VLAN 2 und umgekehrt) - das kann auch eine "L2 Firewall" sein - die einfach alles was am einen Interface rein kommt ans andere weiter gibt, WENN das Ziel bildlich gesehen hinter ihr liegt (und entsprechend dropt, wenn die Regeln es vorsehen) - sowas könnte bspw. ein transparenter Proxy sein, der einfach nur zwischen deiner Frizbox und dem ersten Switch klemmt. Jedes Datenpaket zur FB oder von der FB MUSS dann da durch und wird entsprechend geregelt. Transparent - also ohne Clients zu konfigurieren.

Bildlich gesehen ist das wie ein PC mit zwei Netzwerkkarten, jeweile eine auf Switch A und die andere auf Switch B. Selbst wenn du Switch A) vergewohlwurzelst - auf Switch B) wird nur das ankommen, was der PC in der Mitte überhaupt durchlässt. Und gewisse Pakete kommen da einfach nicht durch - und sollen das auch gar nicht.
Lass da mal wen auf Switch A nen Loop stecken - dann steht der Betrieb von Switch A - B macht aber munter weiter ;)



Weiter gibt es noch so Features wie privat VLANs. Damit erreichst du bspw. dass selbst IN der formal gleichen L2 Domain die Kommunikation gesteuert werden kann. Bspw. dass du verbietest, dass sich die Clients untereinander überhaupt "sehen" - jegliche Kommunikation könnte unterbunden werden und einzig und allein darf der Client bspw. zur Gateway IP kommunizieren.
Sowas wäre bspw. für eine DMZ denkbar - DMZ ist gut und schön, da Netze getrennt werden - aber wenn da mehrere Systeme drin stehen, unterliegen diese wieder dem Risiko DMZ intern - für jedes System ein eigenes Netz/VLAN bauen ist Aufwand und kostet Zeit. Private VLANs können hier helfen - alle im selben IP Netz - aber keiner sieht sich untereinander.
In einem Gästenetz ist sowas bspw. auch sinnig ;) Vor allem im öffentlichen Bereich... (Hotels bspw.)
 
Ja, UTM wäre auch eine Möglichkeit, wobei ich kein Fan davon bin, da die UTM doch an Ecken und Enden limitiert ist.
 
Und wenn du willst kannst du,wenn du keine ACLs oder Firewalls verwenden willst,immer noch per VRF auf Layer 3 trennen.


Sent from my iPhone using Tapatalk Pro
 
testm schrieb:
Ja, UTM wäre auch eine Möglichkeit, wobei ich kein Fan davon bin, da die UTM doch an Ecken und Enden limitiert ist.
Zum Vergrößern anklicken....

Ok, ich weiss nicht ob ich das Limit finden würde, aber dann wären da ja noch pfsense und opnsense. Letztes würde zumindest optisch bei mir gewinnen (jaja, das Auge isst mit).
Wäre opnsense dann besser zum einarbeiten als Sophos?

Was das Ding auch können soll wäre quasi ein reverse proxy, also eingehenden Traffic anhand des Domain-Aufrufs steuern. Aber das bekommen wohl alle hin, oder? Nur das ich mir jetzt nicht die falsche aussuche zum weiter Lernen :-)

Also Leute mir brummt der Kopf, aber danke für den vielen Input. Das hilft denke ich in die richtige Richtung weiter zu experimentieren.
 
Wäre opnsense dann besser zum einarbeiten als Sophos?
Zum Vergrößern anklicken....
Von Funktionsumfang ist opnsense an und für sich deutlich besser. Look & Feel ist Geschmackssache.
Nur das ich mir jetzt nicht die falsche aussuche zum weiter Lernen :-)
Zum Vergrößern anklicken....
Ich denke nicht, dass man sich "die Falsche" aussuchen kann, denn von der Logik sind alle ähnlich und Kenntnisse, die man von dem Nutzen einer der FW erlangt sollten bis auf wenige Ausnahmen auf Andere übertragbar sein.
 
fdiskc2000 schrieb:
Ok, also wird eben nicht 1:1 zwischen VLAN´s geroutet sondern nur dediziert die benötigten Dienste/Ports...
Zum Vergrößern anklicken....

Das kommt ganz auf die Umgebung an würde ich jetzt mal behaupten.

Durchaus macht es auch einfach wegen der Broadcasts Sinn Netze zu trennen, trotzdem aber eher ein flaches Netz zu haben. - Man muss nicht alles unnötig verkomplizieren.
Wenn man z.B. merkt, das die default /24er Netzmaske nicht mehr reicht, man aber aus diversen Gründen nicht einfach /22 machen kann, oder einfach nur einen 2ten Bereich braucht, kann man sehr wohl die Netze einfach 1:1 Routen. - Am Ende ist die Frage wer das ggf. besser kann, die kleine Firewall oder eben der größere Layer3-Switch, der über die Backplane mehr schaft, als der 1Gb-Port der Firewall.

Ggf. ist auch einfach wegen der "Ortung" der Systeme, also wo sie stehen Sinnvoll, VLANs zu verwenden. - Bei meinem vorherigen Arbeitgeber wurde z.B. seinerzeit von einem Externen Beratungshaus eine /22 Netzmaske etabliert - Am Ende waren nicht nur die 1022 Möglichen IPs zu wenig, es war auch garnicht klar, welches System wo zu finden ist, wo die Ursache für Probleme zu suchen ist, etc...
Wir haben dann mittels VLAN-Trennung und Routing 8 neue Netze etabliert - zumal vorallem das Voice-VLAN mit QoS priorität hatte. - desweiteren wurden nicht nur die Clients getrennt, sondern auch Dienste, so kamen alle Drucker in ein eigenes Netz inkl. Printserver - es gab nämlich Drucker, die technisch nicht in der Lage waren mit einem Gateway und damit einem anderen IP-Bereich zu sprechen (So Propritäres Zeug für die Produktion...)

Das Routing dieser Netze übernahm ein L3-Fähiger Coreswitch, der wiederum über ein Transfernetz mit der Firewall gesprochen hat, um eben Systeme wie Gastnetz und DMZ vom internen Netz zu trennen.
Das Routing über die Firewall wäre da nicht Zweckmässig gewesen, da diese nur über 100MBit Ports verfügte. - aber selbst mit Gigabit Ports macht das bei Handelsüblichen Systemen wenig Sinn, wenn der Core & Co. 10G können...

ACLs auf nem Switch sind dann auch nochmal möglich, machen es aber manchmal unnötig kompliziert (Fehlersuche...)
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
1K
Supaman
Supaman
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
2K
Speeddeamon
Speeddeamon
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh