VLAN als sichere Netztrennung

[Joachim87]

Hallo,

aus welchen konkreten Gründen ist es aus Sicherheitssicht problematisch VLAN bei zwei komplett getrennten Netzen/Internetanschlüssen zu nutzen? Das man ein Netz für Mitarbeiter/Studenten hat und ein anderes Netz für z.B. den Betrieb.

Da die Datenpakete für VLAN getaggt sind, sollte es da vermutlich schon so "Spielereien" geben, dass ein Angreifer evtl. mit den IDs rumspielt und dadurch irgendwas machen kann. Was dann in so Sachen wie "Double Tagging" mündet? Da das Netz nicht physisch getrennt ist und es hier mögliche Sicherheitslücken gibt, sollte man von VLAN für solche Anwendungsfälle eher Abstand nehmen?

Grüße

 

[arvan]

Da würde ich eher auf getrennte Subnetze setzen.

 

[cbtaste420]

Verstehe die Frage nicht. Was willst Du erreichen?
VLANs sind kein Problem, wenn sie richtig eingesetzt werden.
Switche erlauben VLANs auf Access-Ports und Trunk-Ports zu verteilen.
Access-Ports nutzen kein Tagging, somit ist ein Ausbruch nicht möglich. Tags werden intern vom Switch hinzugefügt bzw. entfernt.

 

[Nilson]

Ich versteh die Frage auch nicht so wirklich.
So wie ich sie verstehe, liest sie sich so: "das Schloss könnte geknackt werden, soll ich daher die Tür weglassen?"

VLANs zerlegen ein physikalisches Netzwerk in zwei oder mehr virtuelle. Ja das potentiell unsicher als zwei oder mehr getrennte physikalische Netzwerke, aber die Kosten übersteigen dann doch oft den Nutzen (deutlich).

 

[Nero FX]

Wenn man ein getrenntes Netz aufbauen kann sollte man es machen, aber VLAN Tagging ist wirtschaftlicher.
richtig realisiert und konfiguriert ist es auch sicher. Wenn die Switches natürlich offen sind wars das mit VLAN als Sicherheit.

 

[Piktogramm]

Hallo,

aus welchen konkreten Gründen ist es aus Sicherheitssicht problematisch VLAN bei zwei komplett getrennten Netzen/Internetanschlüssen zu nutzen? Das man ein Netz für Mitarbeiter/Studenten hat und ein anderes Netz für z.B. den Betrieb.
[...]

Solang Computer einen Internetzugang haben und/oder Nutzer im Userspace beliebig[1] Programme ausführen können, ist jede interne Vernetzung der Computer als ebenso unsicher anzusehen wie das Internet an sich. Die größte Gefahr ist, dass bei Nutzung logischer Trennung von Netzen Irgendwer annimmt getrennte Netz würden irgendwas in Sachen Sicherheit bewirken und folglich notwendige Sicherheitsvorkehrungen unterlassen.

[1]Zum Erfüllen von "beliebig" reicht ein Browser, der Javascript von Webseiten ausführt.

 

[gaym0r]

Da würde ich eher auf getrennte Subnetze setzen.

Was willst du damit überhaupt aussagen? Anstatt zwei verschiedene VLANs, einfach zwei unterschiedliche Subnetze in der gleichen L2-Domain? Und das soll dann weshalb besser sein?

 

[Raijin]

Da die Datenpakete für VLAN getaggt sind, sollte es da vermutlich schon so "Spielereien" geben, dass ein Angreifer evtl. mit den IDs rumspielt und dadurch irgendwas machen kann.

Jein. Du wirfst hier tagged und untagged ein wenig durcheinander bzw. deren Einsatzzweck.

Man muss klar unterscheiden zwischen Access-Ports und Trunk-Ports. An Access-Ports werden Endgeräte angeschlossen, während an Trunk-Ports Geräte der Infrastruktur angeschlossen werden, VLAN-Switches, VLAN-APs, etc.

Access-Ports sind mit untagged VLANs konfiguriert. Das heißt, dass sie nach außen hin, also für das angeschlossene Endgerät, stinknormale LAN-Ports sind. Das Gerät bekommt dabei überhaupt überhaupt nicht mit, dass es sich in einem VLAN befindet, weil aus diesem Port schlicht und ergreifend keine VLAN-IDs rauskommen. Ein Access Ports verhält sich dem Gerät gegenüber also wie ein Port ohne VLAN.

Trunk-Ports wiederum beinhalten tagged VLANs. Dort und nur dort kommen Datenpakete inkl. VLAN-ID raus. An diesen Ports werden aber nur Geräte der Infrastruktur angeschlossen, die eben ganz bewusst alle VLANs sehen sollen, um sie beispielsweise weiterzuverteilen (Switches/APs) oder ggfs Dienste anbieten sollen (zB Server),

Unbefugte haben daher nur wenige Möglichkeiten, in andere VLANs einzudringen:

1) Physischer Zugriff auf einen Access-Port des anderen VLANs
2) Physischer Zugriff auf einen Trunk-Port mit den entsprechenden VLAN-IDs
3) Administrativer Zugriff auf den VLAN-Switch (per Passwort oder per Hack)


Sofern also die Trunk-Ports vor physischem Zugriff geschützt sind - zB abgeschlossene Räume, Schränke, etc. - kann ein Student, der seinen Laptop an eine LAN-Dose anklemmt, die an einem Access-Port für das Studentennetz hängt, hat besagter Student gar keine Möglichkeit, sich in ein falsches VLAN einzuklinken, weil dieses VLAN an dem Port gar nicht existiert.

Gegen physische Zugriffe kann Port Security am Switch helfen, die einen Port offline nimmt, wenn an diesem ein fremdes Gerät erkannt wird. Darüber hinaus gibt es mit 802.1x bzw. RADIUS auch die Möglichkeit, Geräte zu authentifizieren und sie erst nach erfolgreicher Anmeldung dem richtigen VLAN zuweisen, dynamisch. Hier kann man nachlesen wie es funktioniert. Dennoch ist und bleibt der physische Zugriff der größte Angriffsvektor. Wo man nicht rankommt, kann man auch keinen Unfug anstellen.

 

[Piktogramm]

zB abgeschlossene Räume, Schränke, etc. - kann ein Student, der seinen Laptop an eine LAN-Dose anklemmt, die an einem Access-Port für das Studentennetz hängt, hat besagter Student gar keine Möglichkeit, sich in ein falsches VLAN einzuklinken, weil dieses VLAN an dem Port gar nicht existiert.

Was an der Realität komplett vorbeigeht.
Es kann sich nicht darauf verlassen werden, dass immer alle Räume perfekt abgeschlossen sind. Dazu gibt es Studenten die aufgrund ihres Status sowieso Zugang haben (Hiwis, studentische Interessenvertretung, ...). Selbst für komplett Externe würde ich das nicht ausschließen. Dazu sind die meisten Unis, Hochschulen, Firmen zu chao.. ähhh dynamisch im Betriebsablauf.

Vlans sind an der Stelle eine praktische Hilfe um halbwegs den Überblick halten zu können. Belastbare Sicherheit bringts nicht.

 

[gaym0r]

@Piktogramm in welcher uni sind denn Verteilerräume und -Schränke unabgeschlossen?

 

[Raijin]

Was an der Realität komplett vorbeigeht.

Was nichts an der Tatsache ändert, dass physische Zugangskontrolle die wirksamste aller Maßnahmen ist - und nichts anderes habe ich geschrieben. Abgesehen davon habe ich erklärt wie VLANs funktionieren, weil @Joachim87 VLANs als Technologie in Zweifel gezogen hat. Besteht aber physischer Zugriff, spielt es keine Rolle ob die Netzwerke mit autarker Infrastruktur aufgebaut sind, mit VLANs oder mit Rauchzeichen und Buschtrommeln arbeiten. Wenn in der Wand eine Doppeldose steckt, auf der links "Mitarbeiter" und rechts "Studenten" steht, ist es einerlei ob dahinter zwei autarke Switches stecken oder ein VLAN-Switch.

Vlans sind an der Stelle eine praktische Hilfe um halbwegs den Überblick halten zu können. Belastbare Sicherheit bringts nicht.

VLANs sind im Grunde genommen sowieso keine Sicherheitsfunktion, sondern dienen der Wiederverwendbarkeit der Infrastruktur. Ohne VLANs müsste man jedes einzelne Netzwerk mit eigenen Kabeln, Switches und Access Points verteilen. Selbst eine Authentifizierung mittels RADIUS-Server bietet nur relative Sicherheit, da der Datenverkehr als solcher nicht gesondert verschlüsselt wird. Mit Zugriff auf den Switch kann man sich auch hier einklinken.

---

Wenn nicht auszuschließen ist, dass sich jemand unbefugt an Kabeln, Dosen und Switches zu schaffen macht, bleibt eigentlich nur die Verschlüsselung des Datenverkehrs selbst, zB mit Hilfe von lokalen VPNs. Damit ließe sich das physische Netzwerk als solches sogar als offenes Gastnetzwerk betreiben und je nach Befugnis des Anwenders verbindet er sich mit einem lokalen VPN-Server, der ihm die entsprechenden Ressourcen und Netzwerke zur Verfügung stellt.

Letztendlich umfasst Netzwerksicherheit stets einen bunten Strauß an Maßnahmen, die jeweils verschiedene Angriffsvektoren abdecken müssen. Auch lokale VPNs sind als alleiniger Schutz nicht wirksam, da die Clients selbst ein Angriffsziel sein können, um beispielsweise Zertifikate und VPN-Profile abzugreifen - zB wenn ein unachtsamer Nutzer seinen Laptop in Abwesenheit nicht sperrt oder wenn auch auf öffentlich nutzbaren Geräten Zertifikate rumfliegen, die nicht entsprechend geschützt abgelegt sind. Authentifizierungen, Port Security, Firewalls und VPNs sowie nach Möglichkeit abgeschlossene Netzwerkschränke und Technikräume gehen daher Hand in Hand und werden je nach Bedarf entsprechend eingesetzt.

 

[Piktogramm]

Was nichts an der Tatsache ändert, dass physische Zugangskontrolle die wirksamste aller Maßnahmen ist

Wirksamste Maßnahme in Bezug auf was? Sicherheit kann es nicht sein.
Zum einen sind Unis und Vergleichbares öffentliche Gebäude. Physischer Zugangsschutz gegen bösartige Akteure ist damit quasi ausgeschlossen und sich da auf "es wird schon immer alles gescheit abgeschlossen werden" ist kein tragfähiges Sicherungskonzept.
Zudem ein erhebliches Problem sowieso "Bad Actors" in Form eigener Angestellter ist.

Insofern ist alles an Text Imho vergeudete Mühe außer dem hier:

VLANs sind im Grunde genommen sowieso keine Sicherheitsfunktion, sondern dienen der Wiederverwendbarkeit der Infrastruktur.

@Piktogramm in welcher uni sind denn Verteilerräume und -Schränke unabgeschlossen?

Gelegentlich sind die auch mal verschlossen. Über alle Zugangspunkte dauerhaft perfekt gesichert zu sein, sodass ein physischer Pentest bestanden werden könnte ist bei öffentlichen Einrichtungen aber großteils illusorisch.
Ganz abgesehen, dass es wie beschrieben sowieso ne depperte Idee ist Vlans als wirksame Sicherungsmaßnahme anzusehen.

 

[Raijin]

"es wird schon immer alles gescheit abgeschlossen werden" ist kein tragfähiges Sicherungskonzept.

Das hat auch niemand behauptet, ganz im Gegenteil. Verdreh bitte keine Tatsachen, nur um deinen Punkt zu machen. Ich habe oben mehrere Maßnahmen angesprochen, die zwar auch keinen Anspruch auf Vollständigkeit erheben, aber ebenfalls Teil eines Sicherheitskonzepts sind bzw. je nach Anwendungsfall zumindest sein können. Nichts davon kann als alleinige Maßnahme allumfassende Sicherheit gewährleisten, die gibt es sowieso nicht. Nur weil physische Zugangsbeschränkungen insbesondere in öffentlichen Bereichen nicht einfach umzusetzen sind, heißt das im Umkehrschluss aber noch lange nicht, dass verschlossene Türen nutzlos sind.

Gelegentlich sind die auch mal verschlossen. Über alle Zugangspunkte dauerhaft perfekt gesichert zu sein, sodass ein physischer Pentest bestanden werden könnte ist bei öffentlichen Einrichtungen aber großteils illusorisch.

Natürlich laufen in öffentlichen Gebäuden allerhand Menschen rum und Unbefugte fallen erstmal nicht auf. Wenn sicherheitsrelevante Bereiche wie Serverräume, Unterverteilungen und andere technische Anlagen unverschlossen sind, ist das allerdings ein grundsätzliches Versagen der Sicherheitsverantwortlichen. Kommt das regelmäßig vor oder ist sogar üblich, kann man davon ausgehen, dass das gesamte Sicherheitskonzept fehlgeschlagen ist und unverschlossene Türen nur eines von vielen Sicherheitsrisiken darstellen.

Klar ist auch, dass alle Sicherheitsmaßnahmen mit entsprechendem Aufwand ausgehebelt werden können. Verschlossene Türen können schlicht und ergreifend aufgebrochen oder zB per Tailgating umgangen werden. Ist gar ein Mitarbeiter mit entsprechenden Berechtigungen (physisch wie elektronisch) kompromittiert (oder er ist selbst der Bösewicht), sieht es sowieso düster aus.

Soll man deswegen von vornherein die Flinte ins Korn werfen?

Ganz abgesehen, dass es wie beschrieben sowieso ne depperte Idee ist Vlans als wirksame Sicherungsmaßnahme anzusehen.

Da sind wir uns abgesehen von der Ausdrucksweise einig. Genau das war ja auch die Frage von @Joachim87, die nun hinreichend beantwortet sein sollte.

 

[norKoeri]

@Joachim87 wie cbtaste420 schon schrieb, kannst Du Deine Frage etwas ausholen bzw. nochmals anders formulieren? VLANs sind lediglich Virtuelle LANs, also mehrere LANs auf einem LAN-Kabel. Sie bieten keinerlei Benutzer-Authentifizierung. Diese muss anders erfolgen, also zum Beispiel über einen WLAN-Access-Point der (a) mehrere SSIDs anbietet und/oder WPA-Enterprise. Oder über die bereits erwähnte Port-basierte Zugangskontrolle 802.1X. Beides klingt kompliziert, ist aber sogar mit Open-Source-Software schnell eingerichtet und aufgebaut – wenn man Erfahrung hat, in weniger als einer Stunde.