Einführung in VLANs, Teil 1

VLANs und Sicherheit

VLANs stellen eine Methode zur Erweiterung der von Routern isolierten Bereiche auf die Switch-Struktur dar und schützen das Netzwerk gegen potenziell gefährliche Broadcasting-Probleme. Ferner sorgen VLANs dafür, dass alle Leistungsvorteile des Switchings beibehalten werden.

Sie erstellen diese geschützten Bereiche, indem Sie Switch-Ports bzw. Benutzern bestimmte VLAN-Gruppen zuweisen. Das ist sowohl innerhalb einzelner Switches als auch über mehrere verbundene Switches hinweg möglich. Broadcast-Datenverkehr innerhalb eines VLAN gelangt nicht aus diesem VLAN heraus. Abbildung 9 zeigt ein Beispiel für Broadcast-Domänen.

Umgekehrt erhalten benachbarte Ports den Broadcast-Datenverkehr nicht, der von anderen VLANs erzeugt wird. Diese Form der Konfiguration verringert den Broadcast-Gesamtdatenverkehr erheblich, gibt Bandbreite für echten Benutzerdatenverkehr frei und verringert die Gesamtanfälligkeit des Netzwerks gegenüber Broadcast-Stürmen. Abbildung 10 zeigt, wie ein Router als eine Art Firewall zwischen LANs agieren kann.

Ein Problem gemeinsam genutzter LANs besteht darin, dass ein Eindringen in solche Netzwerke vergleichsweise einfach ist. Wenn ein Angreifer eine physische Verbindung mit einem angeschlossenen Port herstellt, kann er auf den gesamten Datenverkehr im Segment sehen. Je größer die Gruppe, desto umfangreicher ist auch der potenzielle Zugriff.

Eine kostengünstige und leicht zu administrierende Erhöhung der Sicherheit ist die Segmentierung des Netzwerks in mehrere Broadcast-Gruppen. Dies ermöglicht dem Netzwerkmanager,

  • die Anzahl der Benutzer pro VLAN-Gruppe zu beschränken,

  • einem Benutzer, dessen Mitgliedschaft zum VLAN noch nicht durch die Managementanwendung (und damit durch den Netzwerkmanager) genehmigt wurde, den Eintritt in eine Gruppe zu verweigern,

  • alle nicht benutzten Ports als Low-Service-VLANs zu konfigurieren.

Die Umsetzung dieser Form der Segmentierung ist relativ unkompliziert. Switch-Ports werden basierend auf Zugriffsrechten der Anwendungen gruppiert. Eingeschränkte Anwendungen und Ressourcen werden normalerweise in einer gesicherten VLAN-Gruppe abgelegt. In diesem gesicherten VLAN schränkt der Switch oder Router den Zugriff auf die Gruppe ein. Einschränkungen können basierend auf Stationsadressen, Anwendungs- oder Protokolltypen konfiguriert werden. Ein Beispiel für VLAN-Sicherheit zeigt Abbildung 11.