Umstellung auf vLans

[Bob.Dig]

@Twostone Nope, denn TE wollte ja nur, dass gewisse Geräte nicht auf andere gewisse Geräte zugreifen können, dafür reicht mMn einfach ein portbasiertes VLAN. Wirklich was einrichten muss man da auch nicht, außer wie unter #12 beschrieben, es bleibt wie gesagt bei einem einzigen L3(?)-Netz der Fritzbox, nur dass manche Ports halt nicht mit manch anderen Ports kommunizieren können. Das alles spielt sich nur in dem einen "blauen" Switch ab.

 

[JNS-K]

Es ist noch nicht einmal ein wirkliches (Router/Switch) vLAN notwendig, denn wenn es nicht allzu viele Rechner sind, kann man auch den Drucker in ein eigenen Netzbereich verpflanzen und allen Rechnern, die auf den Drucker zugreifen sollen, eine zusätzliche statische IP-Adresse (manuell) aus dem Druckerbereich geben. Ist halt aufwändig, sobald es mehrere Rechner werden, da nicht automatisch einrichtbar ohne vLAN … aber solange es nur ein paar Rechner betrifft, wäre es die einfachste und kostengünstigste Lösung, die keine kostenintensive Hardwareanforderungen (die Fritz box würde reichen) stellt.

Und nur als Info, man kann sämtliche Bereiche auch ohne spezialisierte Hardware trennen, nur erfordert dies viel Handarbeit, da dies auf jedem Client einzurichten wäre. Du musst effektiv die Clients entsprechend ihren Anforderungen gruppieren und in einen entsprechenden IP-Bereich packen, denen Du über entsprechende Gateways Zugriff gewährst. Mit der passenden Hardware erweiterst Du nicht die Funktion, sondern reduzierst nur Deinen Aufwand und erhöhst damit Deinen Komfort.

Allerdings würde ich trotz allem die Vorgaben der DsVGO nicht ignorieren wollen…

 

[Skysnake]

Das erklärst du mir mal bitte wie das mit zweitem IP Satz gehen soll

 

[JNS-K]

@Skysnake Eine gute Anleitung findest Du z.B. dort: Multihoming

 

[Bob.Dig]

aber solange es nur ein paar Rechner betrifft, wäre es die einfachste und kostengünstigste Lösung, die keine kostenintensive Hardwareanforderungen (die Fritz box würde reichen) stellt.

Selbst wenn das irgendwie ginge, wäre das wohl nicht gerade sicher. Der vom TE genannte Switch ist meiner Meinung nach noch zu teuer, sofern man auf POE verzichten wollte. Schon ein Switch für 30 EUR könnte das dargestellte leisten. Vielleicht ging es ja dem TE genau darum...

 

[JNS-K]

Nun das Problem ist auch den Switch kann man austricksen, man muss sich als Angreifer nur eine passende MAC Adresse geben und schon ist man im vLAN drinnen. Daher ist das aus sicherheitstechnischer Sicht nur ein Placebo. Wenn es wirklich um Sicherheit gehen sollte, hilft nur Verschlüsselung und dann sollte man IP-Sec aktivieren. Dann braucht man aber auch keinen speziellen Switch ... erhöht halt nur den Komfort.

 

[Twostone]

Nun das Problem ist auch den Switch kann man austricksen, man muss sich als Angreifer nur eine passende MAC Adresse geben und schon ist man im vLAN drinnen.

Bei portbasiertem vLAN spielt die MAC-Adresse keine Rolle.

 

[JNS-K]

In dem Sinne zwar richtig, aber dann kann man es sich auch gleich sparen, denn einstöpseln und man ist im Netz. Daher aktiviert man meistens auch gleich die Port Security und dann ist die Mac wieder entscheidend.

Bei der Wunschkonstellation des TE wäre mein Angriffspunkt das vLAN1 mit dem Drucker, da dieses vLAN mit allen anderen verbunden ist.

Die vLANs kann man höchstens als Teil einer Sicherheitsstrategie betrachten, denn es ist eher eine Organisationshilfe, aber nicht als Sicherheitslösung allein. Denn wie der Name schon sagt, es ist ein virtueller Aufsatz auf eine physische Verbindung und diese physische Verbindung ist das Problem. Allerdings in Kombination mit IPsec kann man das dann als relativ sicher bezeichnen.

 

[Bob.Dig]

Allerdings in Kombination mit IPsec kann man das dann als relativ sicher bezeichnen.

Was ist, wenn der Switch verschlossen und nicht zugänglich ist?

 

[JNS-K]

Der Switch ist nicht so wirklich das Problem, ich würde am Drucker selbst bzw. an der Verkabelung dahin an- bzw. abgreifen. Als Beispiel: Mit einem Rechner der 2 Netzwerkkarten hat, die Mac & IP des Druckers übenehmen, damit es nicht auffällt, die Druckaufträge durchschleusen und schon hast Du einen Trojaner im Netzwerk und kannst diesen für weitere Angriffe nutzen.

Verwendest Du allerdings IPsec kannst Du genauso angreifen, nur hilft Dir das dann nichts, denn ohne das passende Zertifikat siehst Du nur verschlüsselten Traffic, kannst auch nicht die Funktion übernehmen, Angriffe sind auch kaum möglich, da kein Rechner im Netz mit Dir "redet".

 

[Skysnake]

@Skysnake Eine gute Anleitung findest Du z.B. dort: Multihoming

Du missverstehst mich. Das man mehrere IPs vergeben kann ist klar, aber das bringt ja nichts wenn die im selben Netz sind. Wer im selben Netz ist kann sich sehen. Ich sehe daher nicht wie du damit das genannte Problem der Isolation angehen willst.

@ topic.

Ich hatte das schon mal an anderer Stelle gesagt. Man kann snmp traps generieren, wenn ein Kabel abgesteckt wird und den Port sperren. Manche Switche können das wohl auch schon von Haus aus. Wird also ein Kabel gezogen oder die Gegenstelle komplett vom Netz getrennt, dann ist der Port gesperrt.

 

[JNS-K]

Wir scheinen irgendwie aneinander vorbei zu reden. Für mich gibt es keine Sicherheit, wenn es eine physische Verbindung in alle Netze gibt, egal welche virtuellen Netzwerke es in diesem Netz sonst so geben kann. Eine echte Isolation gibt es nur wenn man die Netze wirklich physisch trennt oder man diese durch eine effektive Verschlüsselung separiert.

Mein Ansatz kam deshalb, weil der TE vLANs aufspannen wollte um eine gewise Sicherheit zu generieren, die aber in der Realität bei echten Angreifern nicht mal der Erwähnung wert wären.

vLANs sind effektiv nur ein Organisationstool, aber kein Sicherheitsfeature und nur in Kombination mit anderen Securitytools wie IPsec überhaupt erwähnenswert.

Da der TE sich aber Hardware anschaffen wollte, die diese Placebo Sicherheit bieten sollen, wollte ich diesen darauf hinweisen, dass die Sicherheit nicht wirklich gegeben ist und man diese auch ohne spezielle Hardware realisieren kann und es keine wirkliche Sicherheit bietet und daher in die Kategorie Placebo zu verschieben ist.

Effektive Netzwerksicherheit kann man sich fast nie einfach einkaufen, sondern man sollte sich diese auf seinen speziellen Anwendungszweck anpassen lassen und in den seltensten Fällen gibt es etwas von der "Stange".

Und seit der DsVGO ist es oftmals günstiger, sich einen echten Spezialisten für sein Netz einzukaufen, als die möglichen Strafen, die teilweise richtig horrend werden können, zahlen zu müssen und man im Anschluss trotzdem den "gleichen" Spezialisten einkaufen muss um weitere Strafen nach der DsVGO zu vermeiden.

Und da die Begriffe wie Feuchtlabor auf einen kommerziellen Einsatz hindeuten würde ich auch die möglichen Strafen nicht ignorieren wollen, ich bin mir jetzt nicht ganz sicher, aber die maximale Strafe liegt bei 2 oder 4 Prozent des weltweiten Umsatzes und das können dann, je nach Firma, auch Mrd. Beträge sein.

 

[Skysnake]

Wir scheinen irgendwie aneinander vorbei zu reden. Für mich gibt es keine Sicherheit, wenn es eine physische Verbindung in alle Netze gibt, egal welche virtuellen Netzwerke es in diesem Netz sonst so geben kann. Eine echte Isolation gibt es nur wenn man die Netze wirklich physisch trennt oder man diese durch eine effektive Verschlüsselung separiert.

Ähm nein, wir missverstehen uns nicht, du vermischst dann aber Dinge die nichts miteinander zu tun haben und kommt dann zu einem Ergebnis das so nicht valide ist.

1. Egal ob du VLANs oder physische Netze hast. Wenn du den physischen Zugriff nicht regulierst/überwacht, dann hast du ein Problem.
2. IPSEC und sonstige Verschlüsselung kannst du nicht einfach mal so machen und selbst wenn, dann Schützt du die Daten aber nicht das Netz und die Clients vor Angriffen auf die eigentlichen Devices.

Man muss sich immer klarmachen vor was will man sich schützen.

Egal ob physisches Netz oder VLANs. Wenn du ein Kabel abziehen kannst, dann sind alle Netze auf diesem Port offen.

Ein VLAN das aber auf einem Port nicht da ist, auf das hast du auch keinen Zugriff. Gibt es bei einem unserer Kunden z.b. auch so. Da ist ein Teilnetz per VLANs gelöst und alle Komponenten mit diesem VLAN haben eine weitere Zugangskontrolle. Ob das jetzt über VLAN oder ein dediziertes LAN geht ist egal. So lange du keinen Admin Zugriff auf die Switche bekommst oder die einen BUG haben, sehen sich die Netze nicht.

Bleibt am Ende also das Problem mit dem physischen umstecken, das man halt nicht immer ausschließen kann. Nen Rechner in nem Büro oder Labor kann man eben auch mal kurz vom Netz trennen und ein anderes Device dazwischen klemmen. Dann hast du halt ein Problem, weil jemand deinen traffic lesen kann.

Aber das ist halt die Frage ob das überhaupt ein Problem ist. Die Antwort darauf hat aber genaunichts mit VLANs zu tun. Es macht schlicht keinen Unterschied in der Bewertung.

Egal ob VLAN oder physisches Netz. Wenn du gegen physischen Zugriff dich schützen willst musst du erkennen wenn eine Kabel ausgestreckt wird und den Port sofort Down nehmen. In dem Fall kam der Angreifer machen was er will, er kommt nicht mehr ins Netz. Wenn dann jemand hin geht und eben physisch überprüft was Sache ist bevor der Port wiederum gesetzt wird, dann wars das mit dem physischen Zugriff. Ist aber ziemlich ätzend das auch zu machen.

Mit IPSEC schützt du halt deine Verbindung aber nicht dein Netz. Kleiner aber relevanter Unterschied.

Gegen nen Broadcast storm hilft dir IPSEC zum Beispiel rein gar nichts. Genau wie gegen Angriffe per designte Datenpakete, die bei manchen Netzwerkstacks zu Fehlern führen können.

Ich sage nicht das IPSEC nutzlos ist. Ganz im Gegenteil, aber genau wie bei VLANs bedenken wofür es gedacht ist und wo die Grenzen liegen.

 

[JNS-K]

Ähm nein, wir missverstehen uns nicht, du vermischst dann aber Dinge die nichts miteinander zu tun haben und kommt dann zu einem Ergebnis das so nicht valide ist.

1. Egal ob du VLANs oder physische Netze hast. Wenn du den physischen Zugriff nicht regulierst/überwacht, dann hast du ein Problem.

Genau das ist ja das Problem, den physischen Zugriff kannst Du nur in zugangsbeschränkten Bereichen annähernd regulieren, aber auch da nicht zu 100%, bei den meisten Firmen usw. geht das schlicht und ergreifend nicht.

2. IPSEC und sonstige Verschlüsselung kannst du nicht einfach mal so machen und selbst wenn, dann Schützt du die Daten aber nicht das Netz und die Clients vor Angriffen auf die eigentlichen Devices.

Wenn man weiß wie, ist das nicht viel schwerer als ne normale Netzwerkverbindung bzw. VPN einzurichten. In den meisten Fällen ist das Netz egal, sondern nur die Daten wichtig. Ein nicht funktionierendes Netz ist ärgerlich, geklaute Daten eine Katastrophe.

Man muss sich immer klarmachen vor was will man sich schützen.

Normalerweise, primär der Datenschutz, sekundär ein funktionierendes Netzwerk.

Egal ob physisches Netz oder VLANs. Wenn du ein Kabel abziehen kannst, dann sind alle Netze auf diesem Port offen.

Falsch, mit IPSec ist zwar der Port offen, aber die Daten gesichert und der Angriff effektiv nutzlos. Allerdings gebe ich Dir recht, gegen DDos Angriffe hilft es nicht, aber eine DDos Quelle im eigenen Netz lässt sich schnell und einfach lokalisieren und entspechend schnell beseitigen.

Ein VLAN das aber auf einem Port nicht da ist, auf das hast du auch keinen Zugriff. Gibt es bei einem unserer Kunden z.b. auch so. Da ist ein Teilnetz per VLANs gelöst und alle Komponenten mit diesem VLAN haben eine weitere Zugangskontrolle.

Ein vLAN bedeutet immer, dass es ein gemeinsames Netzwerk welches nicht physisch getrennt ist, geben muss, auf dem dieses vLAN aufbaut und damit ist es angreifbar.

Als Angreifer versucht man natürlich in das Netzwerk einzudringen, welches die meisten Interconnections hat und die wenigsten Kontrollen, typischerweise ist es das Druckernetzwerk. Welche Zugangskontrolle soll es denn auf Netzwerkebene geben? Effektiv keine? Zumindest ist mir keine bekannt.

Das die einzelnen Server und ggf. Clients noch gesichert sein können kein Frage, aber was gibt es auf Netzwerkebene und was hilft diese gegen 0 Day Exployds? Ohne eine Transportverschlüsselung ist der Traffic mitlesbar, ggf. bearbeitbar und witzigerweise sind derzeit Deine Daten die ins Internet fließen besser geschützt, als die Daten im eigenen Netzwerk, da inzwischen fast jede bedeutende Website SSL unterstützt, aber der meiste Traffic im internen Netz nicht verschlüsselt wird.

Ob das jetzt über VLAN oder ein dediziertes LAN geht ist egal. So lange du keinen Admin Zugriff auf die Switche bekommst oder die einen BUG haben, sehen sich die Netze nicht.

Ist in dem Sinne zwar richtig, aber wie schon vorher gesagt, gibt es oftmals vLANs die über sehr viele Inerconnections verfügen und diese sind das Ziel und man(n) kann sich von einem vLAN in das nächste vorarbeiten und dafür braucht man keine Adminrechte, hilfreich wären diese natürlich.

Bleibt am Ende also das Problem mit dem physischen umstecken, das man halt nicht immer ausschließen kann. Nen Rechner in nem Büro oder Labor kann man eben auch mal kurz vom Netz trennen und ein anderes Device dazwischen klemmen. Dann hast du halt ein Problem, weil jemand deinen traffic lesen kann.

Das Problem ist nicht nur das dieser Traffic mitlesbar ist, sondern das man einen Trojaner im eigenen Netz hat, dieser zu weiteren Angriffen auf das interne Netz genutzt werden kann und dass dieser quasi unsichtbar ist. Denn die meisten Firmen sind relativ gut geschützt, was Angriffe aus dem Internet betrifft, aber auf Angriffe aus dem internen Netz meistens so gut wie garnicht.

Aber das ist halt die Frage ob das überhaupt ein Problem ist. Die Antwort darauf hat aber genaunichts mit VLANs zu tun. Es macht schlicht keinen Unterschied in der Bewertung.

Es ist ein rießen Problem, wenn man sich durch die Einrichtung von vLANs, auf der sicheren Seite wähnt und sich es schlußendlich doch als Trugschluß herausstellt.

Egal ob VLAN oder physisches Netz. Wenn du gegen physischen Zugriff dich schützen willst musst du erkennen wenn eine Kabel ausgestreckt wird und den Port sofort Down nehmen. In dem Fall kam der Angreifer machen was er will, er kommt nicht mehr ins Netz.

Witzigerweise haben wir das versucht, es war eine Niete, denn sogut wie jedes Gerät schaltet den Netzwerkport bei einem Neustart offline. Somit hat man mindestens 1x im Monat ein nicht funktionsähiges Netzwerk und es bietet mind. 1x im Monat einen unüberprüfbaren Angriffspunkt.

In meinem Fall wären es über 10.000 Anwender, denen man beibringen müsste unter keinen Umständen den Rechner, Drucker usw. auszuschalten oder neu zu starten.

Wenn dann jemand hin geht und eben physisch überprüft was Sache ist bevor der Port wiederum gesetzt wird, dann wars das mit dem physischen Zugriff. Ist aber ziemlich ätzend das auch zu machen.

Nicht wirklich, zumindest in der realen Welt. In meiner Firma sind knapp 3.000 km lokal an einem Standort (ca. 5qkm) verlegt worden, würde man die Standorte in der City noch mitzählen käme man locker auf 8.000 km an Netzwerkkabeln und die zu überprüfen ... viel Spaß und schon 1 cm unüberwacht reicht für einen erfolgreichen Angriff.

Mit IPSEC schützt du halt deine Verbindung aber nicht dein Netz. Kleiner aber relevanter Unterschied.

Vollkommen richtig, einmal die größte mögliche Katastrophe oder nur ein relativ kleines Ärgernis.

Gegen nen Broadcast storm hilft dir IPSEC zum Beispiel rein gar nichts. Genau wie gegen Angriffe per designte Datenpakete, die bei manchen Netzwerkstacks zu Fehlern führen können.

Sicher aber das sind gegenüber einem Datenleak noch nicht einmal Peanuts.

Ich sage nicht das IPSEC nutzlos ist. Ganz im Gegenteil, aber genau wie bei VLANs bedenken wofür es gedacht ist und wo die Grenzen liegen.

Genau das ist das Problem, vLANs ohne weiterführende Sicherheitsmaßnahmen sind es noch nicht einmal Wert den Begriff Placebo zu führen, denn sie sind schlicht und ergreifend ein Organistationstool ohne jegliche Sicherheitsmaßnahme, denn schon eine einfache MAC bzw. IP Übernahme reichen um den angeblichen Sicherheitseffekt ad absurdum zu führen. Erst in Kombination mit anderen Sicherheitstools wie IPsec kann man es für eine Netzwerksicherheit sinnvoll erachten.

Ganz im Gegensatz zu IPsec, denn dieses ist auch ohne vLANs ein wirklich effektives Sicherheitstool, denn mir ist bisher noch kein erfolgreicher Angriff bekannt.

 

[Skysnake]

Wenn man weiß wie, ist das nicht viel schwerer als ne normale Netzwerkverbindung bzw. VPN einzurichten. In den meisten Fällen ist das Netz egal, sondern nur die Daten wichtig. Ein nicht funktionierend

Bei dir ist das Netz egal, bei vielen anderen ist es auch nicht so wichtig wie die Daten, aber auch ein kaputtes Netz kann schon katastrophale Auswirkungen haben.

Die Anforderungen können da schon diverse sein.

Normalerweise, primär der Datenschutz, sekundär ein funktionierendes Netzwerk

Siehe oben meistens aber beides kann sehr schlimm sein.

Wenn du z.b. nen High Frequency Trader fragst, sind die Daten die über Netz XY gehen auch weniger wichtig als das die Daten ankommen.

Klar wenn sich jemand Wissen verschafft kann es denen das Geschäft kaputt machen, wenn die Daten aber zu spät oder gar nicht ankommen kann es die auch binnen Minuten oder Stunden den Kopf kosten.

Falsch, mit IPSec ist zwar der Port offen, aber die Daten gesichert und der Angriff effektiv nutzlos. Allerdings gebe ich Dir recht, gegen DDos Angriffe hilft es nicht, aber eine DDos Quelle im eigenen Netz lässt sich schnell und einfach lokalisieren und entspechend schnell beseitigen.

Ne, der Zugriff ist nicht nutzlos. Wie du schon sagst, es gibt Zero day exploits. Daher will man sein Netz segmentieren und zu angemessenen Kosten schützen. Genau das ist halt aber ein Punkt. Angemessen .klar kann ich alles extra Verkabeln mit dedizierter Hardware das ist aber am Ende dann irgendwann auch teuer und bringt fast keinen Mehrwert in vielen Fällen

Ein vLAN bedeutet immer, dass es ein gemeinsames Netzwerk welches nicht physisch getrennt ist, geben muss, auf dem dieses vLAN aufbaut und damit ist es angreifbar.

Jaein. Wenn auf den Ports ein VLAN nicht verfügbar ist, dann kommst du da auch über den Port nicht dran. Ein Management Netz so zu realisieren, das z.b. nur auf den Uplinks sichtbar ist, hat schon seine Vorteile.

Auch wenn man z.b. einzelne Räum3me in eigene VLANs packt kann das praktisch sein. Aber klar VLANs können maximal den Schutz bieten den eine dedizierte Verkabelung bringt. Nicht mehr aber auch nicht wirklich weniger.

Als Angreifer versucht man natürlich in das Netzwerk einzudringen, welches die meisten Interconnections hat und die wenigsten Kontrollen, typischerweise ist es das Druckernetzwerk. Welche Zugangskontrolle soll es denn auf Netzwerkebene geben? Effektiv keine? Zumindest ist mir keine bekannt.

Naja, du hast die VLANs ja auf nem Port. Ein VLAN das nicht auf nem Port da ist kann derjenige auch nicht benutzen so lange er nicht den Switch unter Kontrolle hat. Eine derartige Unterteilung macht schon öfters Sinn. Die Zugangskontrolle muss natürlich gewährleistet sein.

Wie bei uns in Rechenzentren ist das such gegeben.

Ist in dem Sinne zwar richtig, aber wie schon vorher gesagt, gibt es oftmals vLANs die über sehr viele Inerconnections verfügen und diese sind das Ziel und man(n) kann sich von einem vLAN in das nächste vorarbeiten und dafür braucht man keine Adminrechte, hilfreich wären diese natürlich.

Es ist ein rießen Problem, wenn man sich durch die Einrichtung von vLANs, auf der sicheren Seite wähnt und sich es schlußendlich doch als Trugschluß herausstellt.

Naja, was heißt in Sicherheit wähnt? VLANs können halt nur das was sie können. Wer das nicht weiß hat ein ganz generelles Problem.

Witzigerweise haben wir das versucht, es war eine Niete, denn sogut wie jedes Gerät schaltet den Netzwerkport bei einem Neustart offline. Somit hat man mindestens 1x im Monat ein nicht funktionsähiges Netzwerk und es bietet mind. 1x im Monat einen unüberprüfbaren Angriffspunkt

Meinst du das link down/up cycle, das beim Booten passiert? Das bezieht sich doch "nur" auf den Link Layer. Soweit ich das Feature verstanden hatte, können manche Switche wohl aber auch erkennen ob ein Kabel auf zwei Seiten gesteckt ist. Ganz unabhängig davon ob ein Link besteht. Quasi wie bei dem Kabeltester den einige Switche auch haben.

Allein auf nen Link Down zu gehen ist natürlich ziemlich eingeschränkt. Das geht wenn überhaupt nur für Server etc die 24/7 laufen.

In meinem Fall wären es über 10.000 Anwender, denen man beibringen müsste unter keinen Umständen den Rechner, Drucker usw. auszuschalten oder neu zu starten

Ja für normale Nutzerrechner ist das ziemlich ungeeignet. Da hat man dann aber eh auch seine eigenen Probleme.

Nicht wirklich, zumindest in der realen Welt. In meiner Firma sind knapp 3.000 km lokal an einem Standort (ca. 5qkm) verlegt worden,

Naja, das ist eher schön nen WAN. Das würde ich jetzt nicht mit dem Fall zu vergleichen. In der Größehat man ja eh auch schon einiges an Hardware im Einsatz, was den Einsatz von VLANs unnötig macht.

Aber da kennst du dann ja sicherlich auch die Probleme, wenn man offline Systeme betreiben muss oder KRITIS. Da muss man sich aber auf einem ganz anderem Niveau bewegen als hier nötig. Am Ende muss es ja immer nur angemessen sein was man macht.

Ich empfehle dazu auch immer mal gerne das Studium vom BSI Grundschutz. Da sieht man dann ziemlich deutlich auch, das es da kein Schwarz Weiß gibt.

würde man die Standorte in der City noch mitzählen käme man locker auf 8.000 km an Netzwerkkabeln und die zu überprüfen ... viel Spaß und schon 1 cm unüberwacht reicht für einen erfolgreichen Angriff.

Ja, das geht nicht. Wenn du so ein Netz hastmuss dir abernatürlivh klar sein, dass das nicht geht und du eben wie ihr auf VPN usw setzen für die Verbindung zwischen den Standorten. Aber je nachdem auch innerhalb muss einem klar sein das einer was tun kann. Stichwort Innentäter und dann wird es ja pervers, was die Szenarien angeht gegen die man sich schützen will/muss. Das bedeutet dann ja auch vor allem minotoring und Änderungssicheres Logging und Change Management, weil man ja selbst bei nem Admin als Täter verhindern muss, dass der bei vollem Zugriff die Spuren verwischt. Gibt es alles. Aber wird halt immer komplexer/aufwändiger.

Lustigerweise musste ich mich die letzten 6 Monate auch damit beschäftigen wie man ein System/Cluster betreibt damit er gegen zero day exploits gewappnet ist.

Vollkommen richtig, einmal die größte mögliche Katastrophe oder nur ein relativ kleines Ärgernis.

Bei euch vielleicht.

Gibt auch Fälle bei denen einige Stunden Netzausfall schon inakzeptabel sind. Ich sag jetzt mal KRITIS. Da sind die Daten teils recht wertlos, das Netz an sich ist aber sehr sehr wichtig.

Sicher aber das sind gegenüber einem Datenleak noch nicht einmal Peanuts.

Wie gesagt, oft ja, aber nicht immer.

Wenn es wie oben z.b. wohl um eine Bildungseinrichtung geht sind die Daten an sich wohl recht wertlos. Das Netz muss aber laufen.

Genau das ist das Problem, vLANs ohne weiterführende Sicherheitsmaßnahmen sind es noch nicht einmal Wert den Begriff Placebo zu führen, denn sie sind schlicht und ergreifend ein Organistationstool ohne jegliche Sicherheitsmaßnahme, denn schon eine einfache MAC bzw. IP Übernahme reichen um den angeblichen Sicherheitseffekt ad absurdum zu führen. Erst in Kombination mit anderen Sicherheitstools wie IPsec kann man es für eine Netzwerksicherheit sinnvoll erachten.

Wie gesagt, es kann was es kann. Nicht mehr und nicht weniger. Die dicke Panzertür bringt dir auch nichts wenn daneben das Fenster offen steht...

Ganz im Gegensatz zu IPsec, denn dieses ist auch ohne vLANs ein wirklich effektives Sicherheitstool, denn mir ist bisher noch kein erfolgreicher Angriff bekannt.

Aber auch nur, wenn du an anderer Stelle eben nicht alles Sperangel weit offen stehen hast.

Das ist halt was man bei Security beachten muss. Die Kette ist nur so stark wie ihr schwächstes Glied. Das dir das klar ist würde ich sogar erwarten vielen aber leider nicht....

Ps: wir driften aber ziemlich ab von dem was für den Fragesteller relevant ist. Meiner Meinung nach den BSI Grundschutz abarbeiten, dann ist auch klar was gemacht werden muss oder auch nicht. Man ist dann zumindest mal ziemlich auf der sicheren Seite, was anbelangt das einem einer nen Strick draußen dreht. Also zumindest so lange man das richtig gemacht hat....

 

[JNS-K]

Bei dir ist das Netz egal, bei vielen anderen ist es auch nicht so wichtig wie die Daten, aber auch ein kaputtes Netz kann schon katastrophale Auswirkungen haben.

Die Anforderungen können da schon diverse sein.

Für die meisten, mich selbst eingeschlossen, ist die Datensicherheit das primäre Ziel, die Verfügbarkeit eher weniger, solange diese generell geben ist. Aber ja, es gibt auch welche, denen die Daten nicht so wichtig sind, sondern nur deren Verfügbarkeit ... Politiker z.B ;-).

Wenn du z.b. nen High Frequency Trader fragst, sind die Daten die über Netz XY gehen auch weniger wichtig als das die Daten ankommen.

Auch nicht so ganz, die Datenübertragung mag für diesen eine höhere Priorität haben, als die Datensicherheit, aber auch dieser würde sich bedanken, wenn ein Konkurent ihm die Aufträge wegschnappt bzw. er muss diese noch nicht einmal wegschnappen, teurer machen reicht schon ...

Klar wenn sich jemand Wissen verschafft kann es denen das Geschäft kaputt machen, wenn die Daten aber zu spät oder gar nicht ankommen kann es die auch binnen Minuten oder Stunden den Kopf kosten.

Leider aber genauso, wenn ein Angreifer dieses Geschäft eine Millisekunde vorher macht ... weil er weiß was das Opfer kaufen bzw. verkaufen möchte.

Ne, der Zugriff ist nicht nutzlos. Wie du schon sagst, es gibt Zero day exploits. Daher will man sein Netz segmentieren und zu angemessenen Kosten schützen. Genau das ist halt aber ein Punkt. Angemessen .klar kann ich alles extra Verkabeln mit dedizierter Hardware das ist aber am Ende dann irgendwann auch teuer und bringt fast keinen Mehrwert in vielen Fällen

Ich möchte unter keinen Umständen behaupten das vLANS sinnlos sind, sie sind ein sehr sinnvoles Tool um große Netze erst möglich und verwaltbar zu machen, aber halt nur als Organistationstool und nicht als Sicherheitsmaßnahme.

Wir nutzen bei uns selbstverständlich sehr viele vLANs , ansonsten bekäme man mehr als 6.000 Rechner + Drucker und Telefone auch nicht verwaltet.

Jaein. Wenn auf den Ports ein VLAN nicht verfügbar ist, dann kommst du da auch über den Port nicht dran. Ein Management Netz so zu realisieren, das z.b. nur auf den Uplinks sichtbar ist, hat schon seine Vorteile.

Ebenfalls ein jein zurück, ein vLAN zu haben bedeutet nichts anderes als das man eine phyisische Verbindung hat, die man in logische Segmente unterteilt. Unsichtbar sind die, nur für die Teilnehmer welche sich regulär verhalten.

Auch wenn man z.b. einzelne Räum3me in eigene VLANs packt kann das praktisch sein. Aber klar VLANs können maximal den Schutz bieten den eine dedizierte Verkabelung bringt. Nicht mehr aber auch nicht wirklich weniger.

Nein, diese Annahme ist vollkommen falsch, bei einer dedizierten Verkabelung hat man einfach keinerlei Chance einen Angriff durchzuführen, dagegen gibt es bei vLANs eine "unbeschränkte" physische Verkabelung, die nur logisch segmentiert wurde und da wo ein Kabel liegt ist auch ein Angriff denkbar.

Naja, du hast die VLANs ja auf nem Port. Ein VLAN das nicht auf nem Port da ist kann derjenige auch nicht benutzen so lange er nicht den Switch unter Kontrolle hat. Eine derartige Unterteilung macht schon öfters Sinn. Die Zugangskontrolle muss natürlich gewährleistet sein.

Wie schon gesagt, die meisten vLANs haben Interconnections. Aber ja, ein vLAN ohne diese ist relativ sicher, nur halt nicht der Realität entsprechend.

Naja, was heißt in Sicherheit wähnt? VLANs können halt nur das was sie können. Wer das nicht weiß hat ein ganz generelles Problem.

Naja, jeder der denkt, dass vLANs eine Sicherheitsmaßnahme (allein) sein könnte, hat dieses Problem.

Meinst du das link down/up cycle, das beim Booten passiert? Das bezieht sich doch "nur" auf den Link Layer. Soweit ich das Feature verstanden hatte, können manche Switche wohl aber auch erkennen ob ein Kabel auf zwei Seiten gesteckt ist. Ganz unabhängig davon ob ein Link besteht. Quasi wie bei dem Kabeltester den einige Switche auch haben.

Nein, funktioniert nicht, wir haben es getestet, so gut wie jeder Client und/oder Drucker schaltet den Port bei einem Reboot offline, andernfalls wären auch Netzwerkprobleme nicht durch einen Reboot zu lösen.

Allein auf nen Link Down zu gehen ist natürlich ziemlich eingeschränkt. Das geht wenn überhaupt nur für Server etc die 24/7 laufen.

ja, mit dier Methode könnte man maximal Server überwachen, aber bei Clientrechnern keine Chance.

Naja, das ist eher schön nen WAN. Das würde ich jetzt nicht mit dem Fall zu vergleichen. In der Größehat man ja eh auch schon einiges an Hardware im Einsatz, was den Einsatz von VLANs unnötig macht.

Ganz im Gegenteil, wir nutzen vLANs ohne Ende, denn nur durch diese, sind mehr als 255 Rechner in einem lokalen Netz/Standort überhaupt erst möglich. Allerdings betrachten wir diese nicht als Security sondern als Tool.

Aber da kennst du dann ja sicherlich auch die Probleme, wenn man offline Systeme betreiben muss oder KRITIS. Da muss man sich aber auf einem ganz anderem Niveau bewegen als hier nötig. Am Ende muss es ja immer nur angemessen sein was man macht.

Richtig, leider gehören wir zu den Unternehmen, die der Kritis Richtlinie unterliegen und die letzte Zerifizierung ist im September erst durchgelaufen. Allerdings die Ergebnisse haben wir noch nicht.

Ich empfehle dazu auch immer mal gerne das Studium vom BSI Grundschutz. Da sieht man dann ziemlich deutlich auch, das es da kein Schwarz Weiß gibt.

Die gibt es doch effektiv nie, denn wenn man sich auf der einen Seite sich Datenschutzkonform bewegt, hat man das Problem, das diese Vorgehensweise den Kritis Richtlinienen widerspricht.

Ja, das geht nicht. Wenn du so ein Netz hastmuss dir abernatürlivh klar sein, dass das nicht geht und du eben wie ihr auf VPN usw setzen für die Verbindung zwischen den Standorten.

Es geht nicht nur um die Verbindungen zwischen einzelnen Standorten, sondern auch um die SIcherheit an den Standorten selbst. Da wir teilweise auf die Netzwerktechnik aus den 80iger bzw. 90iger Jahren zurückgreifen müssen, sind die Server gegenüber dem internen Netz genauso bzw. sogar besser geschützt als aus dem Zugriff des Internets.

Aber je nachdem auch innerhalb muss einem klar sein das einer was tun kann. Stichwort Innentäter und dann wird es ja pervers, was die Szenarien angeht gegen die man sich schützen will/muss. Das bedeutet dann ja auch vor allem minotoring und Änderungssicheres Logging und Change Management, weil man ja selbst bei nem Admin als Täter verhindern muss, dass der bei vollem Zugriff die Spuren verwischt. Gibt es alles. Aber wird halt immer komplexer/aufwändiger.

Bei uns ist für wirliche relante Änderungen ein 6 Augen System nicht nur vorgeschrieben, sondern auch umgesetzt. Ohne das OK, von mindestens 2 von mir unabhängigen, bekomme ich keinerlei Richtlinie geändert.

Gibt auch Fälle bei denen einige Stunden Netzausfall schon inakzeptabel sind. Ich sag jetzt mal KRITIS. Da sind die Daten teils recht wertlos, das Netz an sich ist aber sehr sehr wichtig.

In unserem Fall, ist die Datensicherheit trotzdem wichtiger als als das Netzwerk, aber trotz allem ist die Netzwerkverügbarkeit an keiner geringen Stelle.

Wenn es wie oben z.b. wohl um eine Bildungseinrichtung geht sind die Daten an sich wohl recht wertlos. Das Netz muss aber laufen.

Ist ebenfalls relativ zu betrachten, bei uns würde dies bedeuten, solange es Azubis von unserer Firma sein sollten, dass diese einen ziemlich intensiven Kontakt mit den internen Daten hätten, trozdem würde man einer Veröffentlichung nicht wirklich zustimmen können.

Wie gesagt, es kann was es kann. Nicht mehr und nicht weniger. Die dicke Panzertür bringt dir auch nichts wenn daneben das Fenster offen steht...

Vollkommen richtig. Aber als Verantwortlicher für die Daten, ist dem evtl. ein solches Fenster gerade recht ...

Aber auch nur, wenn du an anderer Stelle eben nicht alles Sperangel weit offen stehen hast.

Leider ist dies bei der Nutzung von vLANs allein, zwangsläufig der Fall...

Das ist halt was man bei Security beachten muss. Die Kette ist nur so stark wie ihr schwächstes Glied. Das dir das klar ist würde ich sogar erwarten vielen aber leider nicht....

Vollkommen richtig, und in dem Fall sind die vLANs der Schwachpunkt, denn diese haben keinerlei effektive Sicherheitsfeatures in Peto, sondern nur Placebos. was man allerdings nicht vergessen sollte, ist die Tatsache, das bei einem verschlüsseltem Netz nur die Eploids als wirksam zeigen, die den Netzwerkstack selbst angreifen, Allle anderen sind so ziemlich nutzlos, da keine gemeinsame Sprache existiert.

Ps: wir driften aber ziemlich ab von dem was für den Fragesteller relevant ist. Meiner Meinung nach den BSI Grundschutz abarbeiten, dann ist auch klar was gemacht werden muss oder auch nicht. Man ist dann zumindest mal ziemlich auf der sicheren Seite, was anbelangt das einem einer nen Strick draußen dreht. Also zumindest so lange man das richtig gemacht hat....

Ebenfalls vollkomen richtig, und das wir von den Angaben des TE mehr als abgewichen sind, geschenkt. Wichtig ist nur, das dieser aus der Diskussion mitnimmt, ist das vLANs kein Sicherheitsfeature sind und ohne begleitende Maßnahmen nicht der DsVGO entsprechen.

Aber was er mitnehmen sollte ist, das er sein internes Netz so gut wie möglich absichern sollte, dazu gehört IPsec einfach dazu, denn in der Beziehung ist die Richtlinie ziemlich schwammig formuliert, denn die besagt nur nach dem Stand der Technik. Imho, IPsec. Alles andere könnte utopischen Regress bei einem entsprechndem Kläger bedeuten.

 

[Skysnake]

Ja VLANs allein bringen nur bedingt etwas.

Z.b. kann dann halt kein Nutzer auf dem Server auf das BMC Netz zugreifen. Er sieht es halt nicht. Ok wenn er root ist kann er an den eigenen BMC ran, aber damit kann er nicht viel anfangen außer das Ding ausknipsen auf dem er ist. Da hat man dann aber schon ganz andere Probleme.

Bei externen Nutzern nimmt man dedicated BMC. Und selbst wenn er root wäre käme er nicht an das BMC Netz ran.

Naja, jeder der denkt, dass vLANs eine Sicherheitsmaßnahme (allein) sein könnte, hat dieses Problem.

Naja, siehe oben. Definiere allein. In nem eigenen Rechenzentrum mit Zugangskontrolle und entsprechendem Monitoring ist es schon ausreichend (nicht gegen Innentäter, aber da hilft eh wenig) um z.b. Fremdnutzer auf den Systemen nicht die Adminnetze zu zeigen. Wenn auf nem Port ein VLAN nicht vorhanden ist, kann sich selbst nen Rootuser eines Systems auf den Kopf stellen. Er kommt nicht an das andere Netz ran so lange er nicht schafft den Switch zu übernehmen. Und das ist oft völlig ausreichend. Ein dedizierte Switch statt den Switch per VLANs zu teilen bringt keine zusätzliche Sicherheit abgesehen von heftigwn Zero days auf den Switch, was ziemlich unwahrscheinlich ist.

Ganz im Gegenteil, wir nutzen vLANs ohne Ende, denn nur durch diese, sind mehr als 255 Rechner in einem lokalen Netz/Standort überhaupt erst möglich. Allerdings betrachten wir diese nicht als Security sondern als Tool

Ähm.../20 Subnetz? Damit bekommste 4k Clients in ein Netz. Haben wir mehrfach im Einsatz. Wenn man nen schönes offenes Netzlayout will kann man auch auf /16 gehen. Haben wir so auch mal gemacht, weil es frei war und wir so halt genug Platz hatten um auch bei nem Faktor 2 oder 3 größeren System noch alles so anordnen zu können das man aus den IPs direkt sieht um was es sich handelt. Bei Tausenden von IPs ist das schon einer Erleichterung.

Und nein, wir haben damit keine Probleme, sofern man den Arp Cache auf den Clients hoch stellt.