NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Sicherheit

Doch wie sieht es mit der Sicherheit von VLANs aus? Die hängt hauptsächlich von einer sauberen Konfiguration ab:

  • Nicht belegte Switch-Ports soll man einem ungenutzten VLAN zuordnen und deaktivieren.
  • Aktive Switch-Ports, an denen Endgeräte angeschlossen sind, werden entweder nur einem Untagged VLAN zugeordnet oder nur jenen Tagged VLANs, die wirklich nötig sind. Keinesfalls werden Endgeräte an Switch-Ports angeschlossen, die als Trunk konfiguriert sind. Ein Angreifer könnte sonst von einem solchen Endgerät aus mit allen VLANs kommunizieren.
  • Die Unterstützung von dynamischen VLAN Konfigurationen per Multiple VLAN Registration Protocol (MVRP) oder früher GARP VLAN Registration Protocol ist in kleinen und mittleren Umgebungen selten erforderlich. Falls der Switch diese Protokolle unterstützt, werden sie daher deaktiviert.
  • Das Standard VLAN mit der VLAN-ID 1 wird ausschließlich zur Konfiguration verwendet und der Switch mit einem sicheren Passwort geschützt.

Neben diesen Sicherheitsmaßnahmen bieten viele Switches Einstellungen für erhöhte Netzwerksicherheit. Beispiele sind Switch-Port Security zur Eingrenzung von erlaubten MAC-Adressen an einem Port oder Ingress Filtering zum Verwerfen von Tagged Frames, deren VLAN IDs nicht zu den VLANs gehören, die auf einem Port konfiguriert sind. Ein Blick in das Handbuch lohnt. (jcb)

Infos

  1. Media Access Control (MAC) Bridges and Virtual Bridge Local Area Networks http://standards.ieee.org/getieee802/download/802.1Q-2011.pdf

Der Autor

Werner Fischer ist seit 2005 Technology Specialist bei der Thomas-Krenn.AG und Chefredakteur des Thomas Krenn Wikis. Seine Schwerpunkte sind Hardware-Monitoring, Virtualisierung, I/O-Performance und Hochverfügbarkeit.

comments powered by Disqus
Mehr zum Thema

Netzwerke mit VLANs segmentieren

Die Virtualisierung von Netzwerken steht für sehr unterschiedliche Ansätze auf Software- und Hardware-Ebene, um Netzwerkressourcen unabhängig von der physischen Schicht in logische Einheiten aufzuteilen oder zusammenzufassen. In der Regel geht es dabei auch um die Umsetzung von Sicherheitskonzepten. Wir zeigen, was technisch hinter VLANs steckt.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020