VLAN: Virtuelles LAN

Inhaltsverzeichnis

Selbst das heimische Netz braucht ein gewisses Maß an Sicherheit. Ungebetene WLAN-Gäste möchte man nicht jedes Paket im internen Netz sehen lassen. Die Viren- und Würmerschleuder der Kinder soll nicht gleich das ganze Netz erreichen – der Heimarbeitsplatz muss vor solchen Attacken geschützt sein. Eine DSL-Flatrate lädt dazu ein, sogar die eigene Webseite selbst zu hosten. Aber weiter als bis zum Webserver soll ein Besucher dann doch nicht vordringen.

VLANs bieten eine kostengünstige Alternative zur Einrichtung physikalisch getrennter Netze mit mehreren Switches. Ein gut konfigurierter VLAN-Switch verwaltet verschiedene Zonen und lässt jeden PC nur mit ausgewählten Partnern kommunizieren. Ist das Betriebssystem eines Rechners in der Lage, selbst mit VLAN-Informationen umzugehen, kann man über ein einziges Kabel zum Switch mehrere Netze erreichen.

Hubs und Switches verbinden in einem lokalen Netzwerk (Local Area Network, LAN) alle Rechner direkt miteinander. So kann zwar jedes Gerät mit den anderen kommunizieren, empfängt aber auch deren Rundsprüche. Ist dies aus Sicherheits- oder Performance-Gründen unerwünscht, unterteilt man das Netz in verschiedene Segmente.

Beim klassischen Ansatz bekommt jedes Subnetz einen eigenen Switch, und ein Router vermittelt zwischen den Bereichen. Jedes Subnetz hat einen eigenen IP-Adressraum und wenn nötig eigene Infrastruktur wie DHCP- oder Domainserver. Mit VLANs (Virtual Local Area Networks) geschieht diese Trennung nicht auf physikalischer, sondern logischer Ebene. Alle Ethernet-Pakete bekommen eine Markierung, die VLAN-Tags, anhand derer die Switches die Gruppenzugehörigkeit erkennen. Einzelne Rechner können auch mit mehreren Zonen kommunizieren.

Musterhaus

Die Vorteile von VLANs zeigt das Beispiel eines kleinen heimischen Netzes: Der Internet-Zugang über DSL soll allen Rechnern zur Verfügung stehen. Für den privaten Webauftritt und den Austausch von Dateien mit Freunden sorgt ein Server, dessen Dienste der Router über Port-Forwarding zugänglich macht. Den Familienmitgliedern stehen zum Surfen und Spielen zwei fest verkabelte PCs und ein Notebook zur Verfügung. Dieses überträgt seine Daten per WLAN ins Hausnetz. Besonderen Schutz erfordert der Heimarbeitsplatz (PC 3), der geschäftskritische Daten mit dem Arbeitgeber austauscht. Würmer und Viren, mit denen sich die anderen PCs eventuell infizieren, sollen ihm nichts anhaben können. Die IP-Adressen vergibt ein DHCP-Server auf dem Router.

Um den Webserver sicher zu betreiben, müsste er eigentlich in einer demilitarisierten Zone (DMZ) stehen. Dazu würde der Router eine eigene Netzwerkkarte benötigen. Ebenfalls problematisch ist die Anbindung des Access-Points, der alle Pakete aus dem WLAN an das LAN weiterreicht; er arbeitet standardmäßig als Bridge und spiegelt alle Pakete zwischen den beiden Netzen. So kann zwar das Notebook auf alle Freigaben der anderen Rechner zugreifen, ein Angreifer, der erfolgreich die WLAN-Verschlüsselung umgangen hat, aber auch. Außerdem erhält jeder Rechner alle Rundspruchpakete (Broadcasts); dadurch kann bei größeren Installationen ziemlich viel Last auftreten. Den Datenverkehr zwischen zwei Partnern hingegen sehen die anderen im Normalfall nicht, da der Switch für jeden Port eine eigene Collision-Domäne verwaltet; Hubs tun dies nicht. Mit bestimmten Angriffen wie ARP-Spoofing oder MAC-Flooding kann man aber auch einen Switch dazu bringen, Pakete an falsche Ports auszuliefern.