ComputerBase Menü
Aktuelles

Netzwerkkomponenten mit VLANS absichern - was ist sinnvoll?

A

Asisito

Cadet 2nd Year
Registriert
Aug. 2020
Beiträge
16
Guten Abend allerseits,

ich hätte gerne gewusst, ob es eine Best Practice gibt, wie man Geräte im Netzwerk, wie Workstations, Servern, NAS-Geräten und Peripherie, absichert. Die hängen aktuell an einem Cisco SG250 L2/L3 Switch. Ich habe da von den unterschiedlichsten Lösungen gelesen, alles in seperate VLANS, nur WS und Server in ein VLAN, die Drucker an einen seperaten Printserver und diesen in ein anderes VLAN etc. Und das Routing dann entweder via Inter-VLAN-Routing oder via separatem Router. Und nun bin ich da irgendwie ziemlich unsicher, welchen Weg ich gehen soll.

Als Beispiel: ich habe zwei Netzwerkdrucker von Brother bei mir im Heimnetz. Sie sind direkt über die IPs erreichbar, es gibt ein Subnetz. Aufwändige Passwörter sind vergeben, und die Firmware ist aktuell. Sie hängen an besagtem Cisco-Switch, ich würde sie in ein eigenes VLAN verbannen und über eine ACL regeln, wer wie darauf zugreifen darf. Dem Drucker-VLAN würde ich natürlich den Internetzugang sperren. Macht das so Sinn?

Danke an alle, die etwas Licht ins Dunkel bringen.

Grüße
Asisito
 
Privatbereich? wenn ja, dann Druckern feste IPs vergeben und das Gateway / DNS weglassen, schon kommen die nicht mehr ins Internet.

Dann brauchste den ganzen Kram von wegen VLANs nicht,
 
  • Gefällt mir
Reaktionen: Elli1995
Da gibt es kein Allheilmittel und die eine perfekte Lösung. Es gibt diverse Konzepte und Ansätze aber man muss in der jeweiligen Situation gucken ob warum und wieso ggf. VLANs Sinn machen oder nicht. Was will man erreichen, sprich welche Vorteile hätte man durch so eine Segmentierung? Welche Verbesserungen treten ein oder welchen Gewinn aus Sicht der IT-Security hätte man, den du ohne VLANs und Firewalls oder ACLs zwischen den VLANs nicht hättest?

@PHuV Drucker gehören angezündet, nieder geknüppelt und international geächtet^^. Wenn das nicht gewollt ist, hat es Gründe, Drucker weg zu sperren. Da wäre z.B. ein weit streuendes Monitoring würde sonst Drucker beschäftigen (Quelle) oder Müll druckende Drucker, die im vorbeigehen von einem Vulnerability Scanner gescannt werden (been there, done that^^) oder weil es z.B. für Berechtigungen oder Abrechnungszwecke es tatsächlich einen oder mehrere Druckserver gibt und nur diese direkt mit den Druckern dann kommunizieren sollen oder weil die Kisten einfach ein stinkender Würfel voller Gülle sind wenn man sich aus Versehen mal mit deren "Sicherheit" befasst. Nette Master-Arbeit aus 2016/2017 von der RUB dazu: https://www.nds.ruhr-uni-bochum.de/media/ei/arbeiten/2017/01/30/exploiting-printers.pdf
 
Zuletzt bearbeitet: (Zahlendreher in Jahreszahl der verlinkten Masterarbeit)
  • Gefällt mir
Reaktionen: Evil E-Lex, Raijin, xexex und 3 andere
PHuV schrieb:
Äh, und wie sinnvoll ist es, Drucker in Subnetze zu verbannen?
Zum Vergrößern anklicken....
Kommt auf die Drucker an, es gibt heutzutage welche mit Cloudprinting, da will man ja nicht wirklich im Fall der Fälle ein trojanisches Pferd im Netzwerk haben.

Als Privatkunde? Naja....
 
@Asisito Mir erschließt sich nicht ganz, ob es um theoretische Konzepte der Absicherung geht, wenn Du Server, Workstations und Co erwähnst oder um die konkrete Absicherung Deiner "zwei Netzwerkdrucker [...] im Heimnetz".
Im zweiten Fall wie von @Sebbi beschrieben ohne Gateway und die Sache ist gegessen.
Im Fall 1: Kommt auf die konkrete Netzwerkstruktur der Firma an, Konzepte gibt es einige.
 
@Asisito : VLANs als solche sind an sich kein Sicherheitsfeature, sondern einfach nur die virtuelle Nutzung bestehender physischer Infrastruktur. Ein 24er Switch, der streng genommen aus zB 3x 8er Switches besteht oder das LAN-Kabel, das 5-in-1 Kabel ist, etc. Die Sicherheit kommt letztendlich durch die Firewall zwischen den Netzwerken und die kann zwischen physischen LANs wie auch virtuellen LANs (=VLANs) sitzen.

Wie sinnvoll es ist, das heimische Netzwerk in viele kleine Teilnetzwerke - ob virtuell oder physisch - aufzuteilen, hängt nicht zu letzt auch vom Anwendungsfall und teilweise auch den Fähigkeiten der Geräte ab. IoT lässt sich beispielsweise nur schwierig kapseln, weil häufig mit Broadcasts gearbeitet wird, die nun mal nur innerhalb des lokalen (V)LANs funktionieren. Bei anderen Geräten kann es passieren, dass die internen Zugriffsregeln des Geräts nur einen Zugriff aus dem eigenen Subnetz erlauben.

Fakt ist, dass ein komplexes Netzwerk mit mehreren Subnetzen auf zahlreiche (V)LANs einen recht hohen Verwaltungsaufwand bedeuten und somit auch ein gewisses KnowHow erfordern. Das heißt auch, dass man weiß wie man Verbindungsprobleme debuggen bzw. mit Traces, Paketsniffer, ggfs auch Mirror-Ports und/oder LAN-Taps wie zB dem ThrowingStar umgehen kann. Wie sicher das ganze am Ende ist, ist daher sehr relativ bzw. steht und fällt mit den Fähigkeiten des Administrators.


Nicht zuletzt muss man auch die Bedrohungssituation realistisch einschätzen. In einem Heimnetzwerk sind die Bedrohungen überschaubar bzw. sie kommen primär aus anderen Richtungen. Die größten Sicherheitsprobleme im Heimnetzwerk entstehen durch Downloads von unsicheren Quellen, das Öffnen von unbekannten Anhängen in eMails oder durch Portweiterleitungen auf unsachgemäß gesicherte Dienste. Auch gerne genommen: Nachbar hat gerade kein Internet und bekommt Zugang zum WLAN und weil der Router kein Gast-WLAN hat oder es nicht aktiviert ist, bekommt er eben den WLAN-Schlüssel für das Hauptnetzwerk.

Das "Nach-Hause-Telefonieren" vieler Geräte lässt sich auch durch andere Maßnahmen verhindern, Gateway weglassen oder falsch einstellen wäre die simpelste, Firewall-Regeln im Router wären die sicherste Methode.


Je nachdem wie viel Erfahrung du im Umgang mit VLANs, Firewalls, etc hast, solltest du wirklich vorsichtig anfangen und nicht aus dem Stand ein halbes Dutzend VLANs bauen. Halte dich an das KISS-Prinzip, Keep It Simpe, Stupid. So viele VLANs wie nötig, aber so wenige wie möglich. So kann es beispielsweise schon ausreichen, wenn du eine DMZ baust und da alle potentiell gefährdeten Geräte reinpackst. Das wäre gewissermaßen ein 2- bzw. 3-Subnetz-Netzwerk mit Haupt- und DMZ-Netzwerk und optional noch ein Gast-Netzwerk.



Was Drucker angeht: Drucker sind klassische Angriffsvektoren beim Hacken eines Netzwerks, weil sie nicht selten Sicherheitslücken aufweisen.
 
  • Gefällt mir
Reaktionen: PHuV und snaxilian
Raijin schrieb:
Das "Nach-Hause-Telefonieren" vieler Geräte lässt sich auch durch andere Maßnahmen verhindern, Gateway weglassen oder falsch einstellen wäre die simpelste, Firewall-Regeln im Router wären die sicherste Methode.
Zum Vergrößern anklicken....
Hier sei der Hinweis erlaubt, dass das manuelle/absichtliche weg lassen des DNS oder Gateways bei vielen Anwendern/Hobbyadmins und auch manch vermeintlichem beruflichen Admin sehr häufig nur bei IPv4 erledigt wird und IPv6 viele einfach vergessen, gerade weil es angeblich neu ist (IPv6 ist so alt, das dürfte schon seit 1-2 Jahren legal Alkohol trinken in den USA...) und/oder weil es sich in kleinen/privaten Umgebungen selbst konfiguriert ohne großen Eingriff des Anwenders oder Admins.
Da viele Systeme inzwischen v6 ggü. v4 bevorzugen, reichen reine IPv4 Blockaden oder Maßnahmen nicht immer unbedingt aus.
 
  • Gefällt mir
Reaktionen: Skysnake, Asisito und Raijin
Sehr guter Einwand!

Das gilt im übrigen auch für Firewalls. "Total sicher" konfigurierte VPS, die zwar durchaus respektable IPv4-Regeln haben, aber dafür bei IPv6 auf ACCEPT ALL stehen.
 
Vielen Dank für eure Antworten! Bezüglich des Netzwerks: Ich spiele in einer Band, und unser Probenraum ist momentan nicht genutzt. Zum Probenraum gehören noch zwei weitere Räume, und wir dachten uns, dass wir dort ein kleines Netzwerk einrichten können, um dort gemeinsam Promo, Social Media Zeugs etc. zu machen. Dazu gehören auch zwei Drucker. Das ganze ist oberirdisch und war früher mal ein Bürokomplex. Das haben wir heute eingerichtet.

Nun haben wir auf jedem unserer zwei Tische einen Cisco SG250-08 Managed Switch, daran hängen die Rechner und je ein Drucker. Von beiden Switchen geht je ein Trunk zu einem SG300-10, und an dem hängt eine OpnSense Appliance, die ins Internet führt. Die LAN IP der Sense ist auf unseren Rechnern als Gateway eingetragen.

Die Rechner sind in Vlan 10, die Drucker sollen in VLAN 100.
  • Layer 3 im SG250 auf 2 Ports aktiviert
  • IP-Adressen + Subnetze eingerichtet
Rechner sind im Bereich 192.168.10.0/28
Drucker sind im Bereich 172.10.100.0/29
und es funktioniert soweit auch, jedoch nur, wenn ich als Gateway die IP des Ports eintrage.

Aber die OpnSense ist ja mein Gateway. Muss ich über die gehen? Freie Interfaces sind vorhanden.

Ich fühl mich als hätte ich einen Knoten in der Denke :)
Danke für alle Tipps!!
 
Asisito schrieb:
Rechner sind im Bereich 192.168.10.0/28
Drucker sind im Bereich 172.10.100.0/29
Zum Vergrößern anklicken....
Was soll die unnötige Spielerei mit den Subnetzmasken? Das Subnetz für die PCs geht von 10.1 bis 10.14 und das Subnetz der Drucker von 100.1 bis 100.6.

Das ist zwar in der Theorie gut kalkuliert, in der Praxis aber weitestgehend irrelevant. Wenn man im Umgang mit anderen Subnetzmasken nicht so bewandert ist, stellt das zudem eine potentielle Fehlerquelle dar. Unter /24 würde ich nur gehen, wenn ich handfeste Gründe dafür habe.

Abgesehen davon befindet sich das Subnetz der Drucker außerhalb der Spezifikation der privaten IP-Bereiche nach RFC1918. Konkret: Der 172er Bereich der privaten IPs geht von 172.16.0.0 bis 172.31.255.255. Bitte korrigiere das, weil schlimmstenfalls ein Teil des Internets nicht erreichbar ist.


Asisito schrieb:
es funktioniert soweit auch, jedoch nur, wenn ich als Gateway die IP des Ports eintrage.
Zum Vergrößern anklicken....
Welchen Port? Wenn du damit die IP des L3-Switches meinst, dann bedeutet das, dass der Switch dann Inter-VLAN-Routing betreibt und als Gateway dient. Willst du stattdessen über die OPNsense routen, muss diese auf dem Trunk zum Switch je VLAN-Interface eine IP aus dem dazugehörigen Subnetz bekommen. Anschließend muss die Firewall so konfiguriert werden, dass ein Zugriff zwischen den VLANs erlaubt wird. Die Geräte in den VLANs müsse als Gateway dann die IP der OPNsense bekommen.
 
  • Gefällt mir
Reaktionen: Asisito
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

KillerCow
Interface mit VLANs und gleichzeitig als member einer Bridge?
Antworten
2
Aufrufe
367
KillerCow
KillerCow
H
Extra Fritzbox Netze HINTER VLANs (Zugangsart "Anderer Internetanbieter) - (smart) managed Switch
Antworten
10
Aufrufe
731
norKoeri
N
M
Netzwerk mit VLAN Switch wie wo Haken?
Antworten
19
Aufrufe
1.281
Martin1979
M
TheManneken
UniFi Guest Access mit VLANs, nach DHCP Offer keine Verbindung
Antworten
7
Aufrufe
2.950
TheManneken
TheManneken
A
VLAN Segmentierung Best Practices?
Antworten
19
Aufrufe
1.849
qiller
Q
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz