Als Virtual Local Area Network (VLAN) wird ein logisches Netzwerk bezeichnet, das auf einer unteren Ebene des Netzwerk-Stacks realisiert wird. Mehrere VLANs können Pakete über dieselbe physische Netzwerkleitung senden, ohne dass sie sich auf der Ebene von Hardware-Adressen (beispielsweise Ethernet) sehen oder beeinflussen. Mit dieser Technik ist es möglich, dass selbst Broadcasts innerhalb eines VLANs verbleiben und keine unerwünschten Nebeneffekte erzeugen. Gerade mit der zunehmenden Virtualisierung der Infrastrukturen hat die Bedeutung von virtuellen Netzwerken stetig zugenommen. Dies sowohl aus Gründen der Performance wie auch aufgrund der Sicherheit, weil sich so verschiedene Dienste und Anwendungsebenen auf OSI-Layer 2 trennen lassen.
Zum Beispiel sollte in einer virtualisierten Serverumgebung das Hostsystem, also der eigentliche Hypervisor, aus Sicherheitsgründen immer von den genutzten virtuellen Maschinen getrennt werden. So kann eingegrenzt werden, wer genau das Hostsystem verwalten darf. Zusätzlich können Sie so verschiedene virtuelle Maschinen je nach Verwendung voneinander abtrennen.
Planung und Aufbau von VLANs
Zum Aufbau von VLANs sind Switches erforderlich, die VLAN unterstützen. Dabei gibt es verschiedene Varianten und Begriffe:
– Bei einem portbasierten VLAN werden die einzelnen Anschlüsse eines Switches (Ports) bestimmten VLANs zugeteilt.
– Bei einem Tagged VLAN erhalten die Ethernet-Pakete eine zusätzliche Markierung, die angibt, zu welchem VLAN sie gehören.
– Ein statisches VLAN (Port- oder Tag-basiert) wird über eine Konfiguration fest eingestellt.
– Bei einem dynamischen VLAN wird anhand von Merkmalen der Pakete entschieden, zu welchem VLAN diese gehören.
Zu Beginn werden wie bei allen Netzwerkplanungen die VLANs und die dazugehörigen Subnetze geplant und dokumentiert. Dokumentation ist bekanntlich auch ein Aspekt der Qualitätssicherung und damit Bestandteil aktiver Informationssicherheit.
Achtet bei der Planung auf eine überlappungsfreie Anordnung der virtuellen Netzwerke, damit sie keine Konflikte verursachen. Nur so könnt ihr beispielsweise bei Tagged VLANs verhindern, dass sich Subnetze »sehen« können, obwohl sie in unterschiedlichen VLANs angeordnet sind. Dies ist aber unerwünscht. VLANs sollen nur über die Routingfunktionalität, also über Layer 3, miteinander verbunden werden.
Denkt auch daran, dass die Subnetzplanung im Kontext des gesamten Unternehmens und damit in Bezug auf alle Firmenstandorte erstellt werden muss. Vor allem bei der späteren Einrichtung von Site-to-Site-VPN mittels IPSec-verschlüsselter Verbindung ist es hilfreich, wenn ein dokumentierter und systematischer Ansatz vorliegt, damit ihr den Aufwand für die weiteren Netzwerkplanungen in Grenzen halten könnt.
Die Namenskonvention
Zusätzlich zur Definition der verschiedenen Subnetze ist bei der Planung immer auf eine verständliche Namenskonvention zu achten, dies hilft bei einer späteren Fehlersuche. Eine mögliche Hilfestellung bietet es, eine sichtbare Verbindung zwischen der VLAN-ID, also dem VLAN-Tag, und dem IP-Subnetz herzustellen.
Am Beispiel erläutert heißt dies: Habt ihr ein VLAN mit der VLAN-ID 10 definiert, dann wählt ein IP-Subnetz 192.168.10.0/24 oder – wenn ihr mehr IPs benötigt – 10.10.0.0/23.
Das native VLAN
Normalerweise ist das native VLAN auf der VLAN-ID 1 festgelegt und immer ungetaggt. Es dient dazu, einfache ungemanagte Switches trotzdem mit einem VLAN-fähigen Managed Switch verbinden zu können. Daher funktioniert in einem einfachen Netzwerk ein Managed Switch auch ohne weitere Konfiguration. Ihr solltet das VLAN 1 also in der Planung nie für Tagged VLANs verwenden.
Das Management-VLAN
Eure Netzwerkgeräte wollen später auch sicher verwaltet werden können. Daher besteht die Möglichkeit, die Konfiguration der Geräte auf ein spezifisches VLAN, das sogenannte Management-VLAN, zu beschränken. So kann nur an definierten Ports und in einem definierten IP-Subnetz mit den Netzwerkgeräten wie Switches, Routern, Firewall, NAS usw. direkt kommuniziert werden.
Planung der VLAN-Trunks
Bei virtuellen Netzen ist die Planung der VLAN-Trunks besonders wichtig, da dort die Möglichkeit des VLAN-Taggings aktiv genutzt werden muss, um verschiedene VLANs und somit auch IP-Subnetze über eine physische Verbindung zu führen. Wichtig ist hierbei die klare Abgrenzung des Begriffs Trunk, da diese Bezeichnung auch auf Layer 1 für die Link Aggregation genutzt wird. Bei der Link Aggregation werden allerdings nicht logische, sondern physische Einheiten, namentlich mehrere Kabel, zu einer logischen Verbindung zusammengeführt. Es geht beim Trunking also um die Zusammenführung und hier im Kontext von VLAN explizit um die Zusammenführung mehrerer virtueller Netze über eine physische Verbindung, die selbst eben vielfach auch als Bündelung mehrerer Kabelstränge, also als Link Aggregation zur Erhöhung der Übertragungskapazität konfiguriert wird.
Um dies zu bewerkstelligen, wurde der eigentliche Ethernet-Header um vier Byte erweitert, die für die VLAN-Informationen genutzt werden können. Dies bedeutet dann auch, dass die genutzten Netzwerkkomponenten, die auf Layer 2 des OSIReferenzmodells operieren, den Standard IEEE 802.1Q kennen müssen, da sonst durch das Einfügen der VLAN-Informationen im Tag der gesandte Frame eine Überlänge aufweisen würde und somit für ein nicht konformes Gerät nicht lesbar wäre und verworfen würde. Überall, wo sich also Verbindungen im Netzwerk befinden, bei denen mehrere VLANs über dieselbe Leitung geführt werden müssen, ist ein VLAN-Trunk nötig.
Dies ist in der Regel der Fall bei:
1. allen Uplinks zu weiteren Switches (z.B. zu Access-Switches)
2. allen Access Points für die verschiedenen getrennten WLAN-Netze
3. allen Verbindungen zur Firewall oder zum Router
Planung der Sicherheit bei VLANs im Allgemeinen
Für die Sicherheitsplanung in Bezug auf VLANs können an dieser Stelle verschiedene Gründe angeführt werden. Wichtig ist, dass ein Netzwerkdesign die Sicherheitsanforderung gemäß Ihrer Risikoeinstufung berücksichtigt. Wir weisen an dieser Stelle auch in der Praxis immer wieder auf den großen Nutzen der Trennung von Systemen hin. Gerade in Zeiten von sich mehrenden Kryptotrojanern, gezielten Angriffen auf Infrastrukturen, dem All-IP-Thema, das die Nutzung von TCP/IP für jegliche Kommunikation (vom Internet zum TV bis zur Telefonie und der Bedienung der Haussteuerung) propagiert, ist die klare Trennung von Netzwerken eine Grundvoraussetzung für ein sicheres digitales Leben. Zukünftig wird dieses Thema sicherlich bis in die Privathaushalte vordringen müssen, um einen angemessenen Schutz bei der Umsetzung des Internets der Dinge (IoT) zu gewährleisten. Ansonsten macht ihr es gewieften Hackern viel zu einfach, die gesamten Technologien über ein logisches Netz mit einem Zugriff ins Netz manipulieren zu können. Dann wird möglicherweise nicht nur der Computer verschlüsselt, sondern eventuell ohne Zahlung der Erpressungssumme die heimische Heizung durch einen Hackerangriff irreparabel beschädigt.
Dieser Artikel ist ein Auszug aus dem Buch „CompTIA Security+“ von Markus Kammermann und Mathias Gut. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.