Next: 9.5 Bewertung
Up: 9.4 Abgrenzung der VLAN-Szenarien
Previous: 9.4.3 Mehrere VLANs pro
Neben dem administrativen Aufwand beim Einsatz von VLANs ist die Sicherheit, die durch die eingesetzte Technik gegeben ist, auch eine wichtige Anforderung, die erfüllt sein muß. Unter Sicherheit versteht man hier die Zugangssicherheit zu fremden Netzen/VLANs und Abhörsicherheit von fremden Daten.
Bei den portbasierten VLANs ist zu bedenken, daß jede Station, die an einem Port angeschlossen ist, immer automatisch dem entsprechenden VLAN angehört. Beim Einsatz von mobilen Systemen (Laptops) kann diese Technik eine gewisse Sicherheitslücke aufweisen, da nicht berechtige VLAN-Teilnehmer durch einfaches anschließen des Laptops an eine Dose automatisch in dem virtuellen Netz sind, die durch den Port des Switches definiert ist. Aber wenn bestimmte Randbedingungen erfüllt sind, können auch die niedrigen Sicherheitsmechanismen überwunden werden.
Folgende Randbedingungen müssen erfüllt sein:
- Zutritt zu den Räumen mit VLAN-Anschlußdosen darf nur berechtigten Personen gegeben sein.
- Zusätzliche Authentifikation des VLAN-Benutzers (Passwort) ist sinnvoll.
- Jedes VLAN hat einen Netzverantwortlichen, der als einziger berechtigt ist, Änderungen vorzunehmen.
- Der Netzverantwortliche muß eine genaue Liste führen, welche Teilnehmer Zugang zu den aktiven Ports haben und diese Berechtigung auch regelmäßig überprüfen. Dies kann eventuell mit Hilfe geeigneter Netzmanagement-Tools automatisiert werden.
Durch Einhaltung dieser Randbedingungen können am Standort Oettingenstraße, durch der Einsatz von portbasierten VLANs, sichere Strukturen aufgebaut werden.
Bei den MAC-basierten VLANs entscheidet der Switch und nicht die Anschlußdose, zu welchem VLAN jeder empfangene Frame gehört. Anhand der MAC-Adresse wird entschieden, ob der Frame weitergeleitet wird oder nicht. Ein geübter Anwender kann sein Endgerät durch Umkonfiguration mit einer anderen MAC-Adresse ausrüsten und damit unmittelbar mit einem anderen VLAN kommunizieren. Auch hier müssen weitere Sicherheitsmechanismen eingeführt werden. Z.B. Änderungen werden sofort beim Netzverantwortlichen gemeldet. Neue, noch nicht konfigurierte MAC-Adressen werden automatisch einem ``Default VLAN''![[*]](http://www.nm.informatik.uni-muenchen.de/common/icons/latex2html-97.1/foot_motif.gif)
zugeordnet, oder sie werden abgewiesen. In beiden Fällen bekommt der Netzadministrator sofort eine Meldung. Die MAC-Adressen können nur durch den Austausch oder mit Hilfe einer zusätzlichen Adapterkarte verändert werden, die aber in der Regel von den Netzverantwortlichen ausgetauscht werden.
Ähnlich wie bei den MAC-basierten VLANs entscheidet bei den IP-basierten VLANs der Switch, zu welchem VLAN das IP-Paket gehört. DHCP als dynamisches Verfahren ermöglicht eine dynamische Adreßzuordnung. Somit kann zu jedem Zeitpunkt die aktuelle IP-Adreß-Tabelle ermittelt werden. Da die IP-Adressen sehr leicht verändert werden können, müssen hier besondere Vorsichtsmaßnahmen getroffen werden. Erstens darf ein Neueintrag nur vom Netzverantwortlichen selbst vorgenommen werden und zweitens sollte jede nicht genehmigte IP-Adresse, die über DHCP erfaßt wird, sofort vom System gemeldet und einem ``Default VLAN'' zugewiesen werden.
Next: 9.5 Bewertung
Up: 9.4 Abgrenzung der VLAN-Szenarien
Previous: 9.4.3 Mehrere VLANs pro
Copyright Munich Network Management Team