VLAN: Virtuelles LAN

Seite 4: Wunschzettel

Wunschzettel

Ein passender Switch kostet zwischen 150 und 300 Euro und bringt meist 16 oder 24 Ports mit – für den Heimgebrauch sicher mehr als ausreichend. Achtung, einigen günstigen VLAN-Switches fehlen Konfigurationsoptionen, um wichtige Sicherheitslücken zu schließen (siehe Kasten VLAN Security) – von solchen Geräten sollte man zu Gunsten der Netzwerksicherheit die Finger lassen. Ein Blick in die meist online verfügbaren Handbücher zeigt, welche Einstellmöglichkeiten ein Switch bietet. Die Netzwerkkarte des Routers muss ebenfalls mit dem 802.1Q-Protokoll zurechtkommen. Für die meisten modernen 100-MBit-Karten stellt dies keine Hürde dar, ältere 10-MBit-Modelle scheiden hingegen aus. Da Windows XP die Behandlung von VLANs weitgehend dem Treiber überlässt, ist bei der Hardware-Auswahl ein wenig Recherche nötig. Gute Software-Unterstützung gibt es derzeit für Karten von Intel. Linux-Nutzer haben es deutlich leichter, denn dort kümmert sich der Kernel selbst um die virtuellen Netze, ein hardwarespezifischer Treiber ist nicht nötig. Da der Switch die VLAN-Tags wieder entfernt, bevor die Datenpakete bei den Client-PCs und dem WLAN-Access-Point ankommen, bestehen keine besonderen Anforderungen an deren Ethernet-Hardware.

Bild 4 [400 x 131 Pixel @ 20,5 KB] — Die VLAN-Tags verlängern den Ethernet-Frame um vier Byte. Daran kann sich ältere Hardware schon mal verschlucken.

Um das Netz möglichst flexibel zu halten, bietet sich Tag-basiertes VLAN nach IEEE 802.1Q an. Andere, teilweise proprietäre Verfahren der Switch-Hersteller, etwa Zuordnung der Zonen über nicht fälschungssichere MAC-Adressen, lohnen nur selten. Bei 802.1Q wählt man für jeden Port des Switches aus, ob dort bereits getaggte Pakete von 802.1Q-konformen PCs und anderen Switches eintreffen, oder ob der Switch die Pakete neu markieren soll. In diesem Fall erweitert er alle eingehenden Ethernet-Frames um eine VLAN-ID und entfernt diese bei ausgehenden wieder. Daraus ergeben sich zwei Vorteile: Die Integration älterer Hardware ist unproblematisch, da die überlangen Frames sie überhaupt nicht erreichen. Außerdem bleibt die Kontrolle über die Tag-Vergabe auf den Switch und einige ausgewählte vertrauenswürdige Rechner wie die Firewall beschränkt.

Drehkreuz

Wir haben für den Testaufbau einen 24-Port-Switch von Linksys (SRW224) verwendet. Zusätzlich zu den 100-MBit-Ports besitzt er zwei Gigabit-Links und kostet rund 230 Euro. Die Konfiguration erfolgt entweder über ein Web-Interface oder die serielle Konsole. ~~Leider stehen nicht alle Optionen auf jedem der beiden Frontends zur Verfügung – VLAN-Einstellungen sind nur per Weboberfläche möglich.~~ Besonders einfach sind die VLAN-Einstellungen per Web-Interface erreichbar. Auf welcher IP-Adresse der Switch lauscht, verrät das Handbuch, bei unserem Modell war es die 172.20.20.20.

Bild 5 [400 x 319 Pixel @ 31,1 KB] — Bei VLAN-Switches legt man für jeden Port fest, ob er getaggte Pakete entgegennehmen darf. Steht der Port auf untagged, so entfernt der Switch die VLAN-Markierungen ausgehender Pakete.

Bild 6 [400 x 304 Pixel @ 25,1 KB] — Der Linksys-Switch bietet auf der Konsole zwar keine Einstellmöglichkeiten für VLANs, dafür aber wichtige Sicherheitseinstellungen - ein ungesicherter Switch macht alle Sicherheitsanstrengungen auf höheren Ebenen zunichte.

Für die serielle Schnittstelle legt Linksys ein Nullmodemkabel bei. Ein geeignetes Terminalprogramm bringt Windows mit: Im Startmenü findet sich unter Zubehör/Kommunikation das HyperTerminal. Bei der Einstellung der Kommunikationsparameter hilft das Handbuch weiter. 19 200 Bit/s, acht Datenbits, ein Stoppbit und keine Parität (8N1). Steht die Verbindung, öffnet der Switch auf ein Enter-Zeichen hin seine Oberfläche und fragt nach Benutzernamen und Kennwort. Dieses sollte man dann auch als Erstes ändern, um möglichen Angreifern, die üblicherweise die ab Werk eingestellten Kennungen wissen, den Zugriff auf den Switch zu verwehren.

Bild 7 [696 x 553 Pixel @ 113,8 KB] — Die physikalische Schnittstelle eth0 darf keine IP-Adresse bekommen, denn sie versendet weiterhin ungetaggte Pakete – die Kommunikation erfolgt über die virtuellen Schnittstellen.

Aktiviert man VLAN nach 802.1Q, bekommen alle Ports die VLAN-ID (VID) 1 und den Modus untagged. Es ändert sich auf den ersten Blick also nichts, jedes Gerät kann weiterhin mit jedem anderen kommunizieren, und die überlangen Ethernet-Frames verlassen den Switch nicht.

Für das Beispielnetz bietet sich folgende Konfiguration an: Der Router an Port 1 darf als einziger 802.1Q-Frames senden und empfangen – daher bekommt er den Tagged-Modus. Alle anderen bleiben im Untagged-Betrieb. Ports, die nicht verwendet werden, deaktiviert man oder gibt ihnen eine unbenutzte VID. Angreifer können so nicht in andere Netze hineinhorchen. Die Zuordnung der VIDs auf die restlichen Ports zeigt die Tabelle. Der Tagged-Port, an dem der Router hängt, bekommt alle anderen VIDs zugewiesen. So kann er zwischen den Zonen vermitteln.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}