VLAN-Konfiguration und Netzwerksicherheit: Ein vollständiger Leitfaden

Informatec Digital » Ressourcen » VLAN-Konfiguration und Netzwerksicherheit: Ein vollständiger Leitfaden

Wenn Sie ein Unternehmensnetzwerk verwalten, wissen Sie, dass es wichtig ist, es zum Laufen zu bringen. Alles funktioniert schnell und sicher. Gleichzeitig ist es keine leichte Aufgabe. Mit dem Wachstum von Teams, Diensten und Anwendungen treten überall Übertragungsprobleme, Engpässe und Sicherheitsprobleme auf.

Eines der wirksamsten Mittel, um Ordnung in dieses Chaos zu bringen, ist... VLAN (Virtuelles LAN)Gut konzipiert und konfiguriert ermöglichen sie die Segmentierung des Netzwerks, die Reduzierung unnötigen Datenverkehrs, die Isolierung von Abteilungen und den Schutz kritischer Dienste... schlecht geplant können sie jedoch zu einem Sicherheitssieb oder einem administrativen Albtraum werden.

Was genau ist ein VLAN und warum ist es für die Sicherheit wichtig?

Ein VLAN ist im Wesentlichen ein unabhängiges Logiknetzwerk Die Geräte befinden sich auf derselben physischen Infrastruktur: denselben Switches, derselben Verkabelung, denselben WLAN-Zugangspunkten. Auf logischer Ebene verhalten sich die Geräte in einem VLAN so, als befänden sie sich in einem separaten LAN, selbst wenn sie auf verschiedene Etagen oder Gebäude verteilt sind.

Dies ermöglicht es einer Gruppe von PCs, Servern, IP-Telefonen, Druckern oder IP-Kameras, ein Netzwerk zu bilden. eigene Broadcast-DomäneVon anderen Gruppen isoliert. Broadcast- und Multicast-Pakete bleiben innerhalb ihres VLANs, anstatt das gesamte Netzwerk zu überfluten, was die Leistung verbessert und die Kontrolle darüber erleichtert, wer wen sehen kann.

In Geschäftsumgebungen ist es üblich, VLANs zu erstellen für Abteilungen (Buchhaltung, Ingenieurwesen, Marketing)Um den Datenverkehr für Management, Sprache, Gäste, IoT oder sogar ein dediziertes Backup-VLAN zu trennen. Jedes VLAN hat seine eigenen Routing-, Sicherheits- und QoS-Regeln.

Darüber hinaus sind VLANs ein wichtiger Bestandteil von Strategien für Segmentierung und Zero TrustNetzwerke gelten nicht mehr als „völlig zuverlässig“, und Angriffsflächen werden definiert. Ein Ausfall oder eine Infektion in einem VLAN sollte nicht zum Zusammenbruch der gesamten Organisation führen.

Grundlegende Konzepte: Zugangsports, Trunks und natives VLAN

Um die VLAN-Konfiguration und -Sicherheit vollständig zu verstehen, müssen drei Schlüsselkonzepte absolut klar sein: Zugangsports, Trunk-Ports und natives VLANWenn Sie diese drei Konzepte beherrschen, fügt sich alles andere viel besser zusammen.

Un Zugangsport Es handelt sich um einen Switch-Port, der den Datenverkehr von einem einzelnen VLAN zu einem Endgerät leitet: einem PC, Drucker, einer IP-Kamera, einem Telefon usw. Der Datenverkehr fließt vom Switch zu diesem Gerät. Kein Label 802.1Q (ungetaggt). Intern weiß der Switch, zu welchem ​​VLAN er gehört, aber die Geräte erkennen das Tag nicht.

Un Trunk-Port Es handelt sich um eine Verbindung zwischen Netzwerkgeräten (Switch-Switch, Switch-Router, Switch-AP), über die Daten übertragen werden. mehrere VLANs gleichzeitigIn diesem Fall tragen die Frames das 802.1Q-Tag, das angibt, zu welchem ​​VLAN sie gehören. Dadurch können VLANs innerhalb der Topologie erweitert und mehrere logische Netzwerke über dieselbe physische Verbindung geroutet werden.

La Natives VLAN Dies ist das VLAN, das für ungetaggten Datenverkehr auf einer 802.1Q-Verbindung verwendet wird. Jeder Frame, der ohne Tag an einen Trunk-Port gelangt, wird diesem nativen VLAN zugewiesen. Standardmäßig ist dies auf vielen Geräten VLAN 1, und hier beginnen die Sicherheitsprobleme, wenn diese Konfiguration nicht geändert wird.

Netzwerkarchitektur und -design mit VLANs

In mittleren und großen Netzwerken ist die Verwendung von einem/einer/einem dreischichtige TopologieKern-, Verteilungs- und Zugriffsschicht. Jede Schicht hat eine Funktion, und ihre Kombination mit VLANs ist von erheblicher praktischer Bedeutung.

Die Zugriffsschicht besteht aus den Schaltern, die Sie verbinden die Nutzer direkt. und Endgeräte. Diese verfügen über die meisten Zugriffspunkte und sind der Ort, an dem die meisten Benutzer-, Sprach-, IoT- usw. VLANs definiert sind. Hier erfordern die Portzuweisung und gute physische Sicherheitsvorkehrungen (um sicherzustellen, dass niemand einfach Kabel anschließen kann) die größte Aufmerksamkeit.

Die Verteilungsschicht enthält die Schalter, die Sie bündeln den Datenverkehr von mehreren Zugriffsschaltern.In der Regel ist dies der Punkt, an dem das Routing zwischen VLANs erfolgt, feinere ACLs angewendet werden, Glasfaserverbindungen terminiert werden, Verbindungen (EtherChannel) hinzugefügt werden und fortgeschrittenere Richtlinien (QoS, Storm Control usw.) angewendet werden.

Die Kernschicht enthält die Verteilungsverbindungen und das Gateway zum Internet oder zu externen Netzwerken. In sehr großen Netzwerken ist es üblich, dass Der Kern ist ausschließlich für das Hochgeschwindigkeitsschalten zuständig.mit sehr wenigen zusätzlichen Funktionen, um Latenz und Komplexität zu reduzieren.

Bei der Planung eines Netzwerks mit VLANs ist es ratsam, zunächst Folgendes zu definieren: welche logischen Gruppen werden benötigt (nach Funktion, Kritikalität, Vertrauensgrad usw.) und dann in ein gut geplantes IP-Schema (Subnetze, Masken, VLSM, dynamische und statische Bereiche) und in eine klare Zuordnung von Ports auf jedem Switch einzubringen.

VLAN-Typen und gängige Anwendungen

Der am weitesten verbreitete Standard für die Kennzeichnung von Rahmen in Stammverbindungen ist IEEE 802.1QEs fügt dem Ethernet-Header 4 Bytes mit der VLAN-ID und anderen Feldern hinzu, sodass der Switch genau weiß, zu welchem ​​VLAN jeder Frame gehört, ohne den gesamten Frame einzukapseln.

Wenn VLANs mit 802.1Q auf Switches konfiguriert werden, kann jeder Port als markiert werden markiert oder ungetaggt für ein bestimmtes VLAN. Ein Port kann in mehreren VLANs getaggt sein (typisch für einen Trunk), aber nur in einem davon ungetaggt (demjenigen, den das Endgerät sieht, wenn es sich um einen Access-Port handelt).

Neben den „normalen“ VLANs auf Basis von 802.1Q gibt es weitere Modalitäten, die in Unternehmensumgebungen weit verbreitet sind: Portbasierte VLANs, MAC-basierte VLANs, Management-VLANs, Kontroll-VLANs, benutzerdefinierte native VLANs, Hybrid-VLANs oder sogar VXLANs in Rechenzentrums- und Cloud-Umgebungen, wo Millionen logischer Netzwerke benötigt werden. Es lohnt sich auch, Technologien wie … in Betracht zu ziehen. 802.1X und dynamische VLANs für die Zuteilung und erweiterte Sicherheit.

La Verwaltungs-VLAN Es dient ausschließlich dem administrativen Zugriff auf Switches, Router, Access Points, Firewalls und Überwachungssysteme. Typischerweise verfügt es über ein eigenes IP-Subnetz und strenge Zugriffskontrolllisten (ACLs), die den Zugriff darauf regeln. Die Verwaltung von Geräten im selben VLAN wie Benutzer ist keine gute Idee.

Der Aufruf VLAN steuern Es ist für den internen Netzwerkprotokollverkehr vorgesehen: STP, Routing-Protokolle, CDP, LLDP, VTP usw. Die Trennung dieses Datenverkehrs vom Daten- oder Verwaltungsdatenverkehr reduziert Störungen, verbessert die Stabilität und ermöglicht die Anwendung spezifischer Sicherheitsmaßnahmen.

VLAN 1, natives VLAN und warum sie ein Sicherheitsproblem darstellen

Bei den meisten Switches ist VLAN 1 vorkonfiguriert. als Standard- und natives VLAN auf allen Ports. Das bedeutet, dass, wenn keine Änderungen vorgenommen werden, der gesamte ungetaggte Datenverkehr, der in einen Trunk gelangt, in VLAN 1 platziert wird und alle Ports Teil davon sind.

Das Problem ist, dass jeder halbwegs versierte Angreifer das weiß. VLAN 1 ist eines der Hauptziele für Angriffe. VLAN-Hopping-Angriffe, Switch-Spoofing und andere Erfindungen, die Standardkonfigurationen ausnutzen, um sich in andere VLANs einzuschleichen.

Bei einem Switch-Spoofing-Angriff beispielsweise verbindet der Angreifer sein Gerät mit einem Port, an dem DTP im dynamischen Modus aktiv ist, und eine Trunk-Verbindung aushandeln Mit dem Switch erhält man Zugriff auf mehrere VLANs, die niemals einen Host erreichen sollten.

Bei einem Double-Tagging-Angriff werden zwei 802.1Q-Tags im selben Frame vermischt. Dabei wird die Tatsache ausgenutzt, dass das native VLAN ungetaggt übertragen wird, um über einen schlecht gesicherten Trunk von einem VLAN zu einem anderen zu springen.

Daher sind die aktuellen Sicherheitsempfehlungen eindeutig: Verwenden Sie VLAN 1 nicht für BenutzerLassen Sie es nicht als natives VLAN auf Trunks, geben Sie ihm keine Management-IP-Adresse und isolieren oder filtern Sie es nach Möglichkeit, damit es keinen Produktionsdatenverkehr überträgt.

Bewährte Verfahren für Hafenplanung und -zuweisung

Eine der wichtigsten Entscheidungen bei der Konfiguration von VLANs ist Wie werden Switch-Ports zugewiesen? für jedes VLAN und was mit ungenutzten Ports geschehen soll. Es mag trivial erscheinen, aber sowohl die Leistung als auch die Sicherheit hängen davon ab.

Es ist immer ratsam, die Zugangsports offen zu lassen. ein einzelnes VLAN als ungetaggt (des betreffenden Benutzers oder Geräts) und die übrigen als ausgeschlossen markieren. Dadurch wird verhindert, dass die Schnittstelle VLANs erkennt, die ihr nicht zugeordnet sind, selbst wenn versehentlich Einstellungen geändert werden.

Bei Trunk-Verbindungen wird empfohlen, die Konfiguration explizit vorzunehmen. welche VLANs sind zulässig (z. B. switchport trunk allowed vlan 10, 20, 99) anstatt alle VLANs im Netzwerk durchzuleiten. Jeder Trunk sollte nur die tatsächlich benötigten VLANs übertragen.

Bei ungenutzten Anschlüssen ist es am sichersten, Schalten Sie sie aus (herunterfahren)Weisen Sie sie einem separaten VLAN ohne Gateway oder DHCP zu und stellen Sie sicher, dass sie nicht als Trunk-VLAN gekennzeichnet sind und DTP nicht aktiviert ist. Dadurch wird verhindert, dass jemand ein Gerät anschließt und plötzlich im Produktivnetzwerk erscheint.

In Umgebungen mit einer sehr hohen Anzahl an Ports ist eine gute Dokumentation ratsam. Was wird an welche Schnittstelle angeschlossen?Beschriften Sie die Kabel und halten Sie Ihre Diagramme auf dem neuesten Stand. Viele VLAN-Verbindungsprobleme entstehen schlichtweg dadurch, dass Kabel ohne aktualisierte Dokumentation verlegt wurden; Verdrahtungsanleitung Es hilft, Fehler zu vermeiden.

„Nicht-Exit“-VLANs und ungenutzte Ports

Eine einfache und sehr effektive Technik zum Schutz freier Häfen besteht darin, einen „Kein Ausgang“-VLANDas heißt, ein VLAN ohne DHCP, ohne Routing und ohne Dienste, in das alle nicht verwendeten Zugriffsports eingefügt werden.

Die Idee dahinter ist, dass selbst wenn jemand ein Gerät an einen dieser Ports anschließt, dieser Host keine IP-Adresse erhält, kein Gateway hat, keine anderen Geräte erreichen kann und sein Datenverkehr vollständig isoliert bleibt. Es ist eine Art Netzwerk-Schwebezustand.

In vielen Umgebungen wird eine wiedererkennbare Kennung verwendet, wie zum Beispiel VLAN 777, 999 oder 4094Zu diesem Zweck ist der Switch so konfiguriert, dass die übrigen VLANs von diesen Ports ausgeschlossen werden, für dieses VLAN ist keine Layer-3-Schnittstelle definiert und es wird auf keinem Router angekündigt.

Zusätzlich wird empfohlen, DTP an den Zugriffsports aller Switches zu deaktivieren. Switchport nicht verhandelndamit sie niemals versuchen, durch Verhandlungen mit dem Nachbarn automatisch zu Hauptleitungen zu werden.

VLANs für Sprache, Daten und spezielle Geräte

In Netzwerken, in denen es IP-Telefonie und SprachverkehrÜblicherweise wird der Sprachverkehr in einem separaten VLAN vom PC-Verkehr getrennt. Dies hat zwei Gründe: Anforderungen an die Dienstqualität und Sicherheit.

Sprachdaten reagieren sehr empfindlich auf Latenz, Jitter und Paketverluste. Werden sie unkontrolliert mit umfangreichen Downloads, Videostreaming oder Datensicherungen vermischt, verschlechtert sich die Gesprächsqualität rapide. Durch die Trennung der Sprachübertragung in ein separates VLAN lässt sich genau dies vermeiden. Priorisieren Sie es mit QoS und präzisere Richtlinien umsetzen.

Darüber hinaus verfügen IP-Telefone typischerweise über eigene VLAN-Tagging-Funktionen (802.1Q): Sie werden mit dem PC kaskadiert, der Port zum Netzwerk fungiert als Trunk (getaggte Sprache, ungetaggte Daten) und der Port zum PC als Zugangsport. Dies erfordert etwas feinere Portkonfigurationen um Sicherheitslücken zu vermeiden.

Es ist außerdem eine gute Idee, die [unklaren] in spezifische VLANs aufzuteilen. IoT-Geräte, Hausautomation, IP-Kameras, Fernseher, intelligente Steckdosenetc. Bei diesen Geräten handelt es sich oft um Geräte mit einem niedrigen Sicherheitsniveau und schlecht gewarteter Firmware. Es wird daher empfohlen, sie nicht im selben logischen Netzwerk wie Management-PCs oder kritische Server zu betreiben.

In der WLAN-Welt ermöglichen die meisten professionellen Zugangspunkte die Zuordnung von Geräten. Eine SSID für jedes VLANAuf diese Weise wird die Segmentierung des kabelgebundenen Netzwerks auf das drahtlose Netzwerk ausgedehnt: Management-VLAN, Unternehmens-VLAN, IoT-VLAN, Gast-VLAN, jedes mit seiner eigenen SSID und seinen eigenen Regeln.

Routing zwischen VLANs, ACLs und Firewalls

VLANs sind konstruktionsbedingt Sie nehmen einander auf Ebene 2 nicht wahr.Sollen Geräte in verschiedenen VLANs miteinander kommunizieren, ist Layer 3 erforderlich: Inter-VLAN-Routing. Dies wird üblicherweise auf einem Router, einer Firewall oder einem Layer-3-Switch realisiert.

Es gibt zwei Hauptmuster. Das erste besteht darin, ein/e zu verwenden. Router oder Firewall mit 802.1Q-Unterstützung Der Router ist an einen Switch-Trunk angeschlossen. Er erstellt Subinterfaces (eines pro VLAN), weist ihnen IP-Adressen zu und fungiert als Gateway. FirewallDarüber hinaus gelten genaue Regeln darüber, wer mit wem sprechen darf.

Das zweite Muster besteht darin, ein/eine/einen ... Layer-3-Managed-Switch Auf der Verteilungs- oder Kernschicht werden VLAN-Schnittstellen (SVIs) erstellt, die als Gateways für jedes Subnetz fungieren. Der Switch selbst übernimmt das interne Routing und die zugehörigen ACLs und entlastet so den Edge-Router.

In beiden Fällen ist es unerlässlich, diese Routenführung zu begleiten mit Zugriffskontrolllisten (ACLs) oder Firewall-Regeln Streng. Das Vorhandensein eines IP-Pfads zwischen VLANs bedeutet nicht, dass der gesamte Datenverkehr zugelassen werden sollte. Die Filterung muss anhand von Quelle, Ziel, Ports, Protokollen und Verbindungsrichtung erfolgen.

Ein typisches Beispiel: Das Gast-VLAN kann nur auf das Internet zugreifen, das IoT-VLAN kann nur mit bestimmten Servern kommunizieren (wie NTP, Syslog oder einem MQTT-Broker), das Studenten-VLAN kann nicht auf das Management-VLAN zugreifen, das Backup-VLAN initiiert nur Verbindungen zum Backup-Server usw.

VLAN-Verwaltungsprotokolle: VTP und andere

In großen Netzwerken mit vielen Switches ist die manuelle Erstellung von VLANs auf jedem Gerät unpraktisch und fehleranfällig. Deshalb werden Protokolle wie VTP (VLAN-Trunking-Protokoll) in der Cisco-Welt, die eine zentrale Verteilung der VLAN-Liste ermöglichen.

VTP definiert drei Betriebsmodi in einem Switch: Server, Client und transparentServer können VLANs erstellen, umbenennen oder löschen und diese Informationen an Clients innerhalb derselben Domäne senden. Clients empfangen und übernehmen die Änderungen, verändern sie aber nicht. Transparente Server verarbeiten die VLAN-Datenbank nicht; sie leiten die Informationen lediglich weiter.

Diese Protokolle vereinfachen das Leben zwar erheblich, haben aber auch ihre Nachteile: Ein Fehler in einem Server-Switch, ein schlecht verwaltetes VTP-Passwort oder ein alter Switch, der mit einer veralteten Datenbank wieder in das Netzwerk eingeführt wird, können Probleme verursachen. um die VLAN-Konfiguration vollständig zu zerstören in der gesamten Organisation.

Daher wird in vielen aktuellen Designs der VTP-Modus bevorzugt. transparent oder es einfach nicht nutzen, sondern VLANs mit Tools verwalten Automatisierung (Ansible, Templates, zentralisierte Controller usw.) oder mit einem statischeren und kontrollierteren Design.

Erweiterte Sicherheit: VACL, PVLAN und Angriffsabwehr

Mit zunehmender Netzwerkgröße und steigender Kritikalität stoßen VLANs allein an ihre Grenzen. Um den Datenverkehr innerhalb eines VLANs feiner zu steuern, können andere Methoden eingesetzt werden. VACL (VLAN-ACL oder VLAN-Zuordnungen)die es ermöglichen, den Datenverkehr auf VLAN-Ebene zu filtern oder umzuleiten, nicht nur auf bestimmten Schnittstellen.

VACLs werden durch die Definition von VACLs konfiguriert. VLAN-Zugriffskarten Sie verwenden IP- oder MAC-Zugriffslisten und legen fest, was mit übereinstimmendem Datenverkehr geschehen soll: ihn durchlassen, blockieren, an einen Überwachungsport senden, umleiten… Anschließend werden sie global auf ein oder mehrere VLANs auf dem Switch angewendet.

Für Fälle, in denen Sie Hosts innerhalb desselben Subnetzes isolieren möchten, gibt es die folgenden Möglichkeiten: Private VLANs (PVLANs)Es beginnt mit einem primären VLAN, in dem sich üblicherweise das Gateway befindet, und erstellt zugehörige sekundäre VLANs von zwei Typen: isolierte VLANs und Community-VLANs.

Sekundäre VLANs vom Typ isoliert Sie ermöglichen es jedem Host, nur das Gateway zu sehen, aber keine anderen Hosts, selbst wenn diese sich im selben isolierten sekundären VLAN befinden. Diese sind vom Typ community Sie ermöglichen es einer Gruppe von Hosts, sich untereinander und mit dem Gateway zu sehen, jedoch nicht andere Gruppen auf demselben primären Host.

Bezüglich spezifischer Angriffe ist es, zusätzlich zu den bereits erwähnten Punkten zu VLAN 1 und DTP, entscheidend, die folgenden Risiken zu minimieren: VLAN-Hopping durch doppelte KennzeichnungHierfür empfiehlt es sich, das native VLAN in ein VLAN umzuwandeln, das nicht mit Hosts verwendet wird, dieses native VLAN nach Möglichkeit aus den Trunks zu entfernen, DTP zu deaktivieren, die Ports explizit als Access oder Trunk zu definieren und Befehle zu verwenden, damit das native VLAN immer getaggt übertragen wird und ungetaggter Datenverkehr verworfen wird.

Diagnose und Wartung von Netzwerken mit VLANs

Die Einrichtung eines Netzwerks mit VLANs ist nur die halbe Miete; die andere Hälfte ist Warten Sie es und beheben Sie Störungen. Keine Panik! Typische VLAN-Verbindungsprobleme haben meist recht ähnliche Ursachen. Anleitungen und praktische Vorgehensweisen finden Sie in den entsprechenden Ressourcen. Netzwerkproblemdiagnose.

Zum einen gibt es physische Fehler: Kabel wurden von einem Port zum anderen verlegt, ohne die Dokumentation zu aktualisieren; Ports sind als Access konfiguriert, wo eigentlich ein Trunk konfiguriert sein sollte, oder umgekehrt; schlecht definierte redundante Verbindungen enden in Schleifen, wenn STP nicht richtig eingestellt ist.

Andererseits gibt es logische Fehler: VLANs werden auf einigen Switches erstellt, aber nicht auf anderen. Zulässige VLAN-Listen auf falsch konfigurierten TrunksDHCP-Bereiche, die nicht mit den Masken übereinstimmen, oder falsch eingestellte Gateways auf den Endgeräten.

Die wichtigsten Instrumente zur Diagnose sind die üblichen Befehle: show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, tracerouteetc. Die Kombination mit Datenverkehrsaufzeichnungen auf bestimmten Ports und einem guten Überwachungssystem ist sehr hilfreich.

Es ist außerdem ratsam, regelmäßig zu überprüfen ACLs, Firewall-Regeln, PVLAN, VACLs und Management-Konfiguration um sicherzustellen, dass nach Projektänderungen, Erweiterungen oder Migrationen keine Lücken entstanden sind.

Eine klare Dokumentation (VLAN-Schemata, IP-Bereiche, Portzuweisungen, Beschreibung der Inter-VLAN-Zugriffsrichtlinien) und eine sorgfältige Protokollierung der Änderungen sind fast genauso wichtig wie die Konfigurationsbefehle selbst.

Mit einer durchdachten Segmentierung, korrekt beschrifteten VLANs, umsichtigem nativem VLAN-Management, ACL-geschütztem Inter-VLAN-Routing und konsequenten Wartungspraktiken kann ein Unternehmensnetzwerk einen erheblichen Leistungssprung erzielen. Sicherheit, Leistung und Kontrolle ohne die gesamte physische Infrastruktur neu aufbauen zu müssen.