VDSL 1-NIC Router via VLANs - Unsinn oder brauchbar?

Hallo,
ich habe hier eine Easybox 803 (mit OpenWRT) und ein Speedport 300HS VDSL Modem. Die Easybox kann offiziell mit einem VDSL Modem nachgerüstet werden (siehe Bild). Dazu wird das VDSL Modem an den LAN Port angeschlossen und der alte ADSL Port bleibt unbenutzt. Jetzt frage ich mich, wie sinnvoll das ist, bzw. ob davon abzuraten ist, da, soweit ich weiß, ein ordentlicher Router die Protokolle (PPPoE <> TCP/UDP) sauber trennen sollte, mit mehreren NICs. Auch im Netz finde ich eher abwertende Meinungen dazu, besonders weil man immer "Snoopen/Sniffen" kann, bin aber etwas irritiert, da Vodafone selbst solche Lösungen anbietet und auch nicht genau verstehe, warum das Sniffen ein Problem darstellen sollte. Werden die VLANs nicht sauber getrennt, so dass die TCP Pakete gar nicht erst an den PPPoE Port ausgegeben werden (ist doch ein Switch und kein HUB)?

Du schreibst etwas wirr....
Womit genau hast du bei dem oben genannten Aufbau ein Problem?

VLan1 soll das interne Netz sein, VLan7 das VDSL Modem. Die Frage ist, ob das sicher ist, bzw. ob VLan7 nicht die Daten von VLan1 sniffen kann, also das interne Netz nicht wirklich nach außen abgesichert ist. Das vermeintlich typische Problem eines 1-NIC Routers (1-Port, One-Armed-Router). LAN und WAN befinden sich an ein und demselben NIC, nur halt an unterschiedlichen VLans. Dessen Implementierung und Sicherheitsrelevanz stelle ich zur Debatte.

Einige Leute behaupten, dass man davon unbedingt die Finger lassen sollte. Andere wiederum sagen statische VLans (Port VLans) wären sicher. Ich weiß aber nicht, was hier zutrifft. Meine jetzige Konfiguration sieht so aus. Ich hätte darüber gerne eine zweite Meinung.



Nach obiger Konfiguration fallen mir zwei mögliche Angriffsszenarien ein:
1) Der Angreifer auf Port5 tagged seine Pakete mit VLan1 und versucht Zugriff auf Port2 zu bekommen, was nach meinem Verständnis durch den Switch geblockt werden sollte, da VLan1 Port5 "aus" ist.
2) Die Pakete von Port2 sind (aus welchen Gründen auch immer) an Port 5 (VLan7) sichtbar (sniffable).

Die Frage ist, ob diese Konfiguration konzeptionell richtig, im Sinne des Erfinders ist und ob eine funktionierende Firewall zwischen den Ports besteht. Weiter wäre interessant, ob generell Sicherheitsbedenken bei solchen VLans bestehen. Vielleicht gilt die Implementierung von VLans generell nicht als sicher oder es hat in der Praxis schon vermehrt Sicherheitsvorfälle bei VLanlösungen gegeben.

Aaaaah, jetzt verstehe ich was du meinst.

Mal angenommen der Switch ist "dumm", leitet also alle Pakete anhand deren MAC weiter.
Ich als Angreifer müsste mich dann im Netz deines Anbieters befinden, die IP Adresse eines deiner Geräte kennen und könnte dann theoretisch auf die Geräte in dem privaten Netz zugreifen. Ein etwas schlauerer ISP merkt das sofort, aber wer weiß heutzutage mit dem die unter einer Decke stecken....

Das funktioniert allerdings nur, solange der Switch dumm ist. Normalerweise nimmt ein VLAN-fähiger Switch nur solche getaggten Pakete an, die auch für ihn vorgesehen sind. Ist das der Fall, kannst du die Konfiguration als sicher betrachten. Das Problem ist hier, dass du im Prinzip bis auf die Hardware runter musst um dort zu schauen, ob die Konfiguration, die du im UI einstellst auch wirklich so umgesetzt wird. Alternativ reicht auch ein vollständiger Systemzugriff auf den Router. Dann könntest du auch testen ob der VLAN Switch macht, was er soll.

ICH würde dem ganzen nicht vertrauen. Ein ordentlicher Router ohne schnickschnack kostet 100€. Dafür würde ich mein Netz nicht geswitcht mit dem Internet verbinden.

xiflite schrieb:

Alternativ reicht auch ein vollständiger Systemzugriff auf den Router. Dann könntest du auch testen ob der VLAN Switch macht, was er soll.

Zum Vergrößern anklicken....

Wie genau? Eth0.7 (im promiscuous mode?) mit tcpdump abhören? Sollte man das nicht besser von außen machen (mit einem zweiten Rechner an Port5)?

xiflite schrieb:

ICH würde dem ganzen nicht vertrauen. Ein ordentlicher Router ohne schnickschnack kostet 100€. Dafür würde ich mein Netz nicht geswitcht mit dem Internet verbinden.

Zum Vergrößern anklicken....

Ich könnte zumindest einen Pentest drüber laufen lassen. Was nimmt man für sowas? Ist OpenVAS geeignet?

Uridium schrieb:

Wie genau? Eth0.7 (im promiscuous mode?) mit tcpdump abhören? Sollte man das nicht besser von außen machen (mit einem zweiten Rechner an Port5)?

Zum Vergrößern anklicken....

Du konfigurierst ihn so, wie du ihn benutzen willst. Dann schickst du auf dem Port, an dem das Modem hängt Pakete rein, die mit dem VLAN Tag des internen Netzes versehen sind. Arbeitet der Switch korrekt, sollten diese Pakete nicht im System ankommen. Dafür nimmst du dann tcpdump. Gleiches Spiel auch für die interne Seite des Switches.

Uridium schrieb:

Ich könnte zumindest einen Pentest drüber laufen lassen. Was nimmt man für sowas? Ist OpenVAS geeignet?

Zum Vergrößern anklicken....

Ich verstehe nicht ganz, warum du mich da zitierst. Mir erschließt sich da kein Zusammenhang.
Wenn ich einen PenTest durchführen wollen würde, dann kann man sicherlich mal mit OpenVAS probieren, aber nichts ist besser als eine ganze Menge Erfahrung und eine geschulte Hand....

Was ich sagen wollte: Router mit 3 dedizierten NICs und Vollzugriff auf das System ist schon für 100€ zu haben - da würde ich das Risiko hier nicht eingehen.

Denn: Du darfst nicht vergessen, dass du hier nur das Offensichtliche austestest. Es ist und bleibt ein Switch. Du kannst von außen z.B. immer noch via MAC-Flooding den Switch so beeinflussen, dass er sich wie ein Hub verhält. Das machen gute VLAN Switches eigentlich nicht, aber ich denke nicht, dass dies auch auf Consumerprodukte zutrifft.