Sicherheit in VLANs

Sicherheit in VLANs ist entscheidend, um das Netzwerk vor Angriffen zu schützen und unbefugten Zugriff auf sensible Daten zu verhindern. VLANs bieten bereits eine gewisse Isolierung, doch zusätzliche Sicherheitsmaßnahmen sind notwendig, um potenzielle Schwachstellen zu schließen.

VLAN-Hopping-Angriffe und Schutzmaßnahmen

VLAN-Hopping ist ein Angriff, bei dem ein Angreifer versucht, auf Datenverkehr in anderen VLANs zuzugreifen. Dies kann durch zwei Hauptmethoden erreicht werden: Switch-Spoofing und Double-Tagging.

1. Switch-Spoofing:

   • Der Angreifer konfiguriert sein Gerät als Trunk-Port und versucht, VLAN-Tags zu manipulieren, um Zugriff auf mehrere VLANs zu erhalten.
   • Schutzmaßnahmen:
     • Deaktivieren Sie nicht benötigte Trunk-Ports.
     • Konfigurieren Sie Trunk-Ports explizit und erlauben Sie nur die notwendigen VLANs.
     • Verwenden Sie „Dynamic Trunking Protocol (DTP)“ auf Access-Ports.

2. Double-Tagging:

   • Der Angreifer fügt zwei VLAN-Tags zu einem Ethernet-Frame hinzu. Der erste Switch entfernt das erste Tag und sendet den Frame weiter, wodurch der Frame im zweiten VLAN ankommt.
   • Schutzmaßnahmen:
     • Verwenden Sie nicht das Native VLAN für Benutzerdaten.
     • Setzen Sie das Native VLAN auf eine ungenutzte VLAN-ID.
     • Aktivieren Sie „VLAN Access Control Lists (VACLs)“, um unerwünschten Verkehr zu filtern.

Private VLANs (PVLANs)

Private VLANs (PVLANs) bieten eine zusätzliche Isolationsschicht innerhalb eines VLANs. PVLANs ermöglichen die Trennung von Geräten, selbst wenn sie sich im selben VLAN befinden, wodurch die Sicherheit erhöht wird.

PVLAN-Typen:

• Primary VLAN: Das Haupt-VLAN, in dem alle PVLANs existieren.
• Isolated VLAN: Geräte in diesem VLAN können nur mit dem Primary VLAN kommunizieren, aber nicht untereinander.
• Community VLAN: Geräte in diesem VLAN können miteinander und mit dem Primary VLAN kommunizieren, aber nicht mit Geräten in anderen Community VLANs oder Isolated VLANs.

Anwendungsfälle:

• Gastnetzwerke, in denen Gäste auf das Internet zugreifen können, aber keine Verbindung zu anderen Geräten haben.
• Hosting-Umgebungen, in denen Kunden-VMs isoliert sind.

Implementierung von Access Control Lists (ACLs)

Access Control Lists (ACLs) sind essenziell für die Kontrolle des Datenverkehrs und den Schutz vor unerlaubtem Zugriff. ACLs definieren Regeln, die den erlaubten und verweigerten Datenverkehr spezifizieren.

Port-Security

Port-Security verhindert unbefugte Geräteverbindungen zu Switch-Ports. Es begrenzt die Anzahl der MAC-Adressen, die einem Port zugewiesen werden können, und bietet Maßnahmen bei Verstößen.