vlan – Ilja Schlak InfoSec Blog

Switche sichern – IT-Sicherheit im Netzwerk

Ilja Schlak — Wed, 23 Oct 2019 13:10:45 +0000

Switche sichern – IT-Sicherheit im Netzwerk. Grundlagen

Es gibt eine ganze Reihe von Maßnahmen, die weder teuer, noch kompliziert, dafür aber sehr wirkungsvoll für die Sicherheit Ihres Netzwerkes sind. In diesem Beitrag geht es um das Thema “Switche sichern IT-Sicherheit” im Netzwerk und zwar um konkrete Vorgehen, die uns helfen die Switche zu sichern und somit das Netzwerk vor Angriffen zu schützen.

Einfache und wirksame Maßnahmen

Physisch sichern

Die wohl rudimentärste, einfachste und zugleich recht wirkungsvolle Maßnahme ist das physische sichern der Geräte. Wenn sich der Switch in einem verschlossenen Schrank im wiederum abgeschlossenem Serverraum befindet, ist das Manipulieren vor Ort schon einmal sehr erschwert.

Praktischer Tipp von itech-systems:

In einer Infrastruktur mit mehreren Geräten, sollte man darauf achten, dass die Netzwerk-/Serverschränke gut belüftet sind. Am besten sollte der gesamte Serverraum klimatisiert sein. Ist es jedoch nicht der Fall, vermeidet man Überhitzung der Hardware indem man aktive Lüfter in den Schrank einbaut.

Passwortschutz zur Erhöhung der IT-Sicherheit

Als aller erstes sollte man das Standardpasswort ändern. Schließlich möchte man dem Angreifer keinen Gefallen tun. Das werkseitig vom Hersteller vergebene Passwort, sollte umgehend geändert werden.

Hier gelten die üblichen Kennwortrichtlinien, die man in Produktivumgebungen einsetzt.

Ports deaktivieren

Portbasierte VLANs

Werden auf einem Switch nicht alle Ports benutzt, so sollten die unbenutzten, freien Ports deaktiviert werden.

Paketbasierte VLANs

In virtualisierten Netzwerkumgebungen (VLANs) kommt es durchaus vor, dass am Switch nicht alle Ports belegt sind. Daher ist es ratsam für die unbenutzten Ports ein eigenes VLAN zu erstellen. Die ungenutzten Ports werden anschließend diesem VLAN zugewiesen. Das verhindert wiederum den Missbrauch der unbenutzten Ports und erhöht somit die IT-Sicherheit.

Praktischer Tipp – “physisches Blockieren”

Wenn es klar ist, dass bestimmte Ports für eine längere Zeit nicht in Nutzung sind, könnte man sie mit einem RJ45 Stecker blockieren.

Das Verkürzen der Rastklemme lässt den Stecker nur mit erhöhtem Aufwand entfernen und kostet dem Angreifer dadurch mehr Zeit. Auch wenn es sich um nur wenige Sekunden handelt, könnte es manchmal entscheidend sein.

MAC-Flooding verhindern

Durch das überladen des Arbeitsspeichers eines Switches, kann der Angreifer den Switch zu einem HUB herunterstufen. Ein HUB leitet die Pakete unkontrolliert weiter und ermöglicht dem Hacker müheloses abfangen der Pakete.

Seitens der Hersteller gibt es die Möglichkeit die Switche gegen solche Angriffe zu sichern. Die Aktivierung solcher Schutzfunktionen ist oft eine gute Option, um sich gegen MAC-Fooding zu schützen.

Broadcast-Storm-Control

Herstellerunabhängig gibt es die Möglichkeit die Broadcasts zu dämmen. Bei einem ARP-Angriff, bei dem Tausende ARP-Anfragen pro Sekunde an den Switch gesendet werden, wird die zulässige Anzahl der Anfragen reduziert. Dadurch minimiert sich die Wahrscheinlichkeit, dass die Netzwerkkomponenten überladen werden.

Einsatz von leistungsfähigen Geräten mit Loop-Erkennung

Leistungsfähige Switche erkennen mittlerweile Netzwerkschleifen – Loop-Erkennung – und verhindern hierdurch gedingte APR-Storms. Dies geschieht auf dem Layer 2 des OSI-Modells.

Diese Maßnahme erhöht die IT-Sicherheit im Netzwerk ohne, dass der Administrator ständig und penibel darauf achten muss, dass es keine Schleifen gibt. In größeren Netzwerke ist es nahezu unmöglich alle Geräte zu überwachen. Daher hilft es die Loop-Erkennung zu aktivieren.

ARP-Poisoning durch Port-Security verhindern

ARP-Poisoning: der Angreifer schickt unzählige ARP-Pakete und verhindert damit die Aktualisierung des ARP-Caches. (Weitere Ausführungen folgen in der Kategorie Cybersecurity. Einfach auf die Meta-Tags klicken oder die Suchfunktion der Website benutzen).

Um das “Vergiften” zu verhindern, vermindert man die Anzahl zulässiger MAC-Einträge pro Port. Wird diese Anzahl überschritten, wird der Port einfach blockiert. Hier bedarf es jedoch gewisser Abwägung, ob diese Maßnahme sinnvoll ist und die zulässige bzw. erforderliche Kommunikation im Netzwerk nicht verhindert.

Einsatz des RADIUS-Servers

Der Einsatz des RADIUS-Servers macht hier natürlich Sinn und erhöht die IT-Sicherheit im Unternehmen. Der Switch dient hierbei als Authenticator, der den Client “Supplicant” am RADIUS-Server “Authentifizierungsserver” überprüft.

Betriebssystem aktualisieren

Nach der Herstellung der Geräte durchlaufen diese oftmals einen längeren Weg zum entgültigen Einsatzort. In dieser Zeit erscheinen erfahrungsgemäß neue Firmware Versionen. Daher ist es zu empfehlen, auch neu erworbene Geräte vor dem Einsatz im Netzwerk auf Aktualisierungen zu überprüfen.

Aktualisierungen, Updates, Upgrades der Firmware helfen die Sicherheitslücken zu schließen und die IT-Sicherheit somit zu erhöhen.

Autotrunking-Modi deaktivieren

Deaktivierung der Autotrunking-Modi hilft die sogenannten VLAN Hopping Angriffe zu verhindern. Natürlich ist es immer vom Einzelfall abhängig, ob unter bestimmten Umständen und je nach Einsatz der Autotrunking-Modus doch aktiv sein müsste. Doch diese Entscheidung sollte immer bewusst und überlegt sein und nicht, weil man auf die Standardeinstellungen des Herstellers vertraut hat.

Switche sichern IT-Sicherheit: Die Gefährdungslage

Die Sicherheit von IT-Systemen ist heutzutage essenziell für Unternehmen und Organisationen. Eine wesentliche Rolle spielen dabei Router und Switches, die das Herzstück eines jeden Netzwerks bilden. Das Bundesamt für Sicherheit in der Informationstechnik (Das BSI) hat in seinem Baustein NET 3.1 eine Reihe von Bedrohungen und Schwachstellen für Router und Switches identifiziert, die wir uns genauer ansehen sollten, um die IT-Sicherheit zu gewährleisten. Im Folgenden wird die Gefährdungslage für Router und Switche angelehnt an den BSI-Baustein NET 3.1 geschildert.

DDoS-Angriffe und ihre Auswirkungen

Distributed Denial of Service (DDoS) Angriffe können Router und Switches lahmlegen, indem sie diese mit einer Flut von Anfragen überlasten. Das Ergebnis sind unter Umständen nicht mehr verfügbare Dienste oder sogar ein kompletter Netzwerkausfall. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, sind geeignete Schutzmechanismen erforderlich, die solche Angriffe erkennen und abwehren können.

Manipulation von Routern und Switches

Wenn Angreifer unberechtigten Zugriff auf Router oder Switches erhalten, können sie diese manipulieren und Netzverkehr abfangen oder verändern. Eine sichere Konfiguration und der Einsatz von Authentifizierungs- und Zugriffskontrollmechanismen sind daher unerlässlich.

Fehlerhafte Konfiguration und Planung

Ein weiteres Risiko besteht in der fehlerhaften Konfiguration oder Planung vom Einsatz der Router und Switche. Um die IT-Sicherheit zu gewährleisten, sollten die Geräte nicht mit unsicheren Werkseinstellungen betrieben werden. Eine sorgfältige Planung und Anpassung der Konfiguration ist erforderlich, um Switche zu sichern und die IT-Sicherheit zu gewährleisten.

Inkompatible Netzkomponenten und Angriffe auf das Netzwerk

Die Verwendung inkompatibler Netzkomponenten kann zu Ausfällen führen. Zudem sind Angriffe wie MAC-Flooding, Spanning-Tree-Angriffe und GARP-Attacken spezifische Bedrohungen, die die Funktion von Routern und Switches beeinträchtigen können. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, ist es wichtig, diese Angriffsmethoden zu verstehen und geeignete Gegenmaßnahnahmen zu ergreifen.

MAC-Flooding

MAC-Flooding ist ein Angriff, bei dem Angreifer viele Anfragen mit wechselnden Quell-MAC-Adressen an einen Switch senden. Das Ziel ist es, die Speicherkapazität des Switches für MAC-Adressen zu überlasten, sodass er Anfragen an alle IT-Systeme im Netz sendet. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, sollte man Sicherheitsfunktionen wie MAC-Adressfilterung oder Port-Sicherheit implementieren.

Spanning-Tree-Angriffe

Spanning-Tree-Angriffe zielen darauf ab, die Switches im Netzwerk dazu zu bringen, einen bösartigen Switch als Root Bridge anzusehen. Dies ermöglicht Angreifern, den Netzverkehr umzuleiten und Informationen abzufangen. Spanning-Tree-Schutzmechanismen wie BPDU-Guard oder Root-Guard schaffen hierbei Abhilfe.

GARP-Attacken

Bei Gratuitous-ARP (GARP)-Attacken senden Angreifer unaufgeforderte ARP-Antworten an Opfer oder alle IT-Systeme im selben Subnetz. Die gefälschten ARP-Antworten führen dazu, dass der Netzverkehr zum Angreifer statt zum eigentlichen Ziel geleitet wird. Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, sollte man Mechanismen wie Dynamic ARP Inspection (DAI) einsetzen, um solche Angriffe zu erkennen und zu verhindern.

Fazit: Switche sichern für eine bessere IT-Sicherheit

Um Switche zu sichern und die IT-Sicherheit zu gewährleisten, ist es wichtig, die verschiedenen Bedrohungen und Schwachstellen zu verstehen und geeignete Schutzmaßnahmen zu ergreifen. Eine Kombination aus sicherer Konfiguration, Zugriffskontrolle, Netzwerkplanung und dem Einsatz spezifischer Sicherheitsfunktionen kann dazu beitragen, Router und Switches vor Angriffen zu schützen und die IT-Sicherheit insgesamt zu verbessern. Der BSI Baustein NET 3.1 bietet dabei eine wertvolle Ressource.

Neben den BSI-Standards bietet die ISO/IEC 27001 eine Norm für die Planung, Umsetzung, Überwachung und Optimierung der Informationssicherheit. Neuste Änderungen in der ISO 27001:2022 sind hier im Blog erörtert.

Der Beitrag Switche sichern – IT-Sicherheit im Netzwerk erschien zuerst auf Ilja Schlak InfoSec Blog.

VLAN Virtuelle Netze

Ilja Schlak — Sun, 20 Oct 2019 16:36:26 +0000

VLAN – Virtual Local Area Network. Virtuelle Netze

In diesem Beitrag geht um das Thema VLAN – virtuelle Netze. In der Zeit der Virtualisierung lassen sich nicht nur Computer, Datenträger, sondern auch Netze visualisieren. Definitionen, Funktionsweise und grundlegende Begriffe werden in diesem Artikel angesprochen.

VLAN – Virtuelles Netz. Kurze Begriffsklärung

Definition

VLANs – Virtual Local Area Networks sind logische (virtuelle) Netze innerhalb eines physischen Netzwerkes. Jedes logische Teilnetz (VLAN) ist eine Broadcast-Domäne, die vom restlichen Netzwerk isoliert ist.

VLANs sind also logische bzw. virtuelle Netze, die die Infrastruktur – Verkabelung, Hardware, Switche, Hubs, Verstärker etc. – eines physischen Netzwerkes benutzen.

VLAN Virtuelle Netze – So funktioniert Virtual Local Area Network

Switche – Dreh- und Angelpunkte eines Netzwerks

Heutzutage gibt es in gewöhnlichen Netzwerken kaum noch eins zu eins Verbindungen. Die Datenpakete werden nicht von Client A gezielt zu Client B geschickt. Die Clients in einem Netzwerk sind eher als Mitglieder einer Broadcast-Domäne anzusehen. Jeder Client lauscht also ständig im Netz und empfängt nach und nach die für ihn bestimmten Datenpakete.

Switche fungieren hier als Basis für die Datenübermittlung und sind bildlich ausgedrückt Herzstücke eines Netzwerkes. Sie managen den Datenfluss zwischen den einzelnen Netzwerkteilnehmern.

Es gibt für jeden Anwender und jeden Einsatzzweck unterschiedlichste Switche. Von 15 Euro Heimanwender Switch bis hin zu teuren Profigeräten im sechsstelligen Bereich mit redundanten Bauteilen und professionellem Funktionsumfang.

Für die Virtualisierung eines Netzwerks braucht man intelligente, managebare VLAN-, bzw. Tagging-fähige Modelle.

Tipp von itech-systems.de

Ja, es gibt durchaus günstige, “dumme” Switche, die wohl in der Lage sind “tagged” Pakete weiterzuleiten. Trotzdem ist es ratsam in einem Netzwerk mit VLANs managed Switche einzusetzen.

Im Vergleich zu einem “normalen”, nicht “tagged”, Datenpaket, sind tagged Pakete um 4 Bytes länger. In solchen Fällen sieht ein nicht VLAN-fähiger Switch einen Fehler und verwirft diese – für ihn ungewöhnlich – große Pakete. Siehe ieee 802.1Q

Unterteilung des Netzwerks in mehrere Virtuelle Netze – VLAN Unterteilung

Durch die Konfiguration der Switche kann das Netzwerk in mehrere Netzsegmente – VLANs – unterteilt werden. Dadurch bekommt jedes logische Netz seine eigene Broadcast-Domäne. Sollte also ein Client eine Broadcast-Nachricht “los lassen”, so bekommen nur die Mitlieder der Broadcast-Domäne diese Nachricht.

Dadurch wird die Netzlast minimiert und die Bandbreite entlastet.

Vorteile von virtuellen Netzen

Welche Vorteile bringt nun der Einsatz von virtuellen Netzen?

Zum einen hilft der Einsatz von Virtuellen Netzen die Entlastung des physischen Netzes zu erreichen. Wenn es mehrere Broadcast-Domänen gibt, werden die Broadcasts genau durch diese Aufteilung verringert.

Zum anderen ermöglichen VLANs die Netze je nach Einsatzzweck zu unterteilen: Streaming-Anwendungen, Voice-over-IP, Datennetze etc. Insbesondere in der heutigen IT-Welt ist es von Bedeutung.

Weiterhin kann mithilfe der Virtuellen Netze das Netzwerk an die Organisationsstruktur des Unternehmens angepasst werden. Somit würden die einzelnen Bereiche (Marketing, Design, Vertrieb, etc.) ihre eigenen VLANs bekommen. Dadurch ist auch die Sicherheit erhöht: denn es kann vom VLAN1 auf die Daten des VLAN2 zugegriffen werden.

In der Praxis gibt es mehrere Arten, wie man die VLANs konfiguriert. Zwei VLAN Arten sind jedoch am meisten verbreitet: die portbasierten und die paketbasierten virtuellen Netze.

Weiterhin trifft man sehr oft die Mischform aus diesen Arten (siehe Bild 2). Schauen wir uns das an dieser Stelle genauer an.

VLAN Typen – Unterschiedliche Arten von Virtuellen Netzen

Portbasiertes VLAN

Diese VLAN Art ist hardwaregesteuert. Hier werden bestimmte Ports eines Switches dem dazu vorgesehenen virtuellen Netz (VLAN) zugewiesen. Beispielsweise wären Ports 1 bis 10 dem VLAN 1 zugewiesen und die Ports 11 bis 15 wären zum festen Bestandteil des VLANs 2. Die portbasierten VLANs können sich über mehrere Switche hinweg erstrecken. Es ist jedoch vonnöten, dass jedes VLAN mit einem dazu vorgesehen Kabel verbunden wird.

Praktischer Tipp von itech-systems

In einer komplexen Netzwerkinfrastruktur empfiehlt es sich jedem VLAN eine eigene Farbe zu zuweisen. Diese Farbgebung sollte konsequent durchgesetzt werden. Es erleichtert die Fehlersuche im einzelnen und die Netzwerkadministration im Allgemeinen.

Zum Beispiel bekommt die Abteilung Marketing die Farbe Gelb, Vertrieb die Farbe Schwarz, Forschung und Entwicklung die Farbe blau.

Diese VLAN Art ist einfach und wirksam, jedoch statisch. Sollten man nämlich im Laufe der Zeit die Ports umzustrukturieren oder anders administrieren, müsste man diese Konfiguration an jedem Switch anpassen. Dementgegen ist die Art von Virtuellen Netzen klar und übersichtlich.

Ein weiterer Punkt, der nicht vergessen werden sollte, ist nämlich die Tatsache, dass obwohl die VLANs sich ein physisches Netz teilen, nicht mit einander kommunizieren können. Für die Kommunikation zwischen den einzelnen Virtuellen Netzen muss ein Router eingesetzt werden. Dieser wird dann die Pakete von einem Virtual LAN zum anderen weiterleiten.

Bild 1: portbasiertes VLAN: zwei virtuelle Nezte

Portbasiertes VLAN

managed Switch mit zwei Virtuellen Netzen

Das Abbild zeigt einen managed Switch, bei dem 2 Ports (blaue Farbmarkierung) dem VLAN 1; und 3 Ports (grüne Farbmarkierung) dem VLAN 2 zugewiesen wurden. Somit bilden die beiden virtuellen Netze zwei unterschiedliche Broadcast-Domänen. Der Bandbreitenbedarf pro virtuelles Netz ist damit geringer, als wenn die Clients a-c im gleichen VLAN wären.

Nachteile und Vorteile der portbasierten VLANs

Zum wichtigsten Vorteil gehört die Einfachheit dieser Konfiguration. Für kleine Netzwerke mit klarer Infrastruktur und wenigen VLANs, wird es meistens ausreichend sein portbasierte virtuelle Netze einzusetzen.

Doch es sobald es zur Erweiterung der Infrastruktur kommt und der Switch über keine freien Ports mehr verfügt, erweist sich diese Methode als unflexibel. Es müssen nämlich neue Geräte angeschafft und konfiguriert werden.

Paketbasiertes VLAN – getaggtes Virtuelles Netz

Bei dieser VLAN Art kann ein Port mehreren virtuellen Netzen zugewiesen werden. Hierbei werden also nicht die Port dem VLAN zugewiesen, sondern die Datenpakete “getaggt” (tagged).

Dieses Tagging geschieht also im Datenpaket, im Ethernet-Frame. Das VLAN-Tag ist 4 Byte (32 Bits) groß und besteht aus dem TPID, PCP, DEI, und VID. An dieser Stelle etwas genauer:

VLAN-Tag

TPID: Tag Protocol Identifier, 2 Byte (16 Bit) lang und dient dazu dem Netzwerkteilnehmer zu signalisieren, dass es um ein getagtes Paket handelt. So wird dieser nicht als “fehlerhaft” verworfen.
PCP: Priority Code Point, 3 Bits lang und dient der Priorisierung (QoS)
DEI: Drop Eligible Indicator, 1 Bit langes Feld, das bestimmt, ob das Datenpaket im Falle einer Überlastung verworfen werden kann oder nicht.
VID: VLAN-Identifier, 12 Bit langes Feld, das die Framezugehörigkeit zu einem VLAN bestimmt. 12 Bit langes Feld für die VLAN-ID bedeuted, dass es insgesamt 4096 Zustände gibt. Somit stehen 4096 (2 hoch 12) verschieden Virtuelle Netze – VLANs – zur Verfügung.

Der VLAN-Tag befindet sich zwischen der Quell-MAC-Adresse und dem Type-Feld. Das zu wissen ist wichtig im Hinblick auf Fehleranalyse. Nach wie vor gibt es nämlich ältere Geräte, die übergroße Frames verwerfen und mit einem Datenpaket, das länger ist als 1522 Byte, nichts anfangen können. Doch mittlerweile verschwinden solche Geräte und sogar günstige Heimanwender Geräte (Switche, Drucker etc.) können die getagten Paket verarbeiten. Es sei aber trotzdem darauf hingewiesen, denn VLAN – virtuelle Netze sind mittlerweile aus den Netzwerken nicht mehr weg zu denken.

Bild 2: Tagged VLAN

Virtuelle Netze trunk, tagged VLAn

Paketbasiertes VLAN

Zurück zum Text

Dieses Abbild zeigt zwei managed Switche, die durch eine tagged Verbindung mit einander gekoppelt sind. Die Switche haben jeweils statisch an bestimmte VLANs (grüne und blaue Farbkennzeichnung) zugewiesene Ports.

Solch eine Mischform aus paket- und portbasierten Verbildungen ist am meisten verbreitet und ist häufig in Unternehmen diverser Größen aufzufinden.

Virtuelle Netze: Vorteile und Nachteile von VLANs

Performance

Durch den Einsatz von VLANs werden die Broadcasts eingedämmt. Das Netzwerk wird dadurch performanter, da jedes virtuelle Netz eine eigene Broadcast-Domäne darstellt. Die Netzlast wird schlicht und ergreifend effizienter verteilt und folgerichtig die Belastung der Bandbreite verringert.

Organisation

Wie oben bereits erwähnt, kann man mit Hilfe von VLANs die Unternehmensstruktur nachbilden. Jede Abteilung bekommt ein eigenes virtuelles Netz. Die Broadcasts gehen folgerichtig nur an die Teilnehmer, die es auch angeht. Die Abteilungen sind somit logisch von einander getrennt.

Anwendungsspezifische Unterteilung

Auch die Unterteilung nach Einsatzzweck macht durchaus Sinn: die VoIP-Telefonie ist getrennt vom Produktivnetz etc.

Sicherheit im VLAN – Virtuelle Netze und ihre Schwächen

Genau an dieser Stelle ist es wichtig die Risiken und Nachteile im Hinblick auf den Einsatz von VLANs hinzuweisen.

Dadurch, dass die Netze logisch von einander getrennt sind, kommt es auch der Sicherheit zugute. Es ist durchaus sinnvoll, dass die Bereiche mit sensiblen Daten – zusätzlich zu sonstigen Sicherheitsmechanismen – in ein eigenen virtuelles Netz ausgelagert werden.

Am einfachsten und sichersten ist die portbasierte Segmentierung. Hier müsste der potentielle Angreifer die Ports physisch umstecken. Das ist in vielen Unternehmen für Unbefugte schwierig, da die Netzwerk- bzw Serverschränke sich doch oft in gesicherten und abgeschlossenen Räumen befinden.

Switch-Jamming

Was ist Switch-Jamming? Bei dieser Angriffsart handelt es sich um das Überladen der Switche. Es werden unzählige Pakete mit unterschiedlichen MAC-Adressen generiert. Dieser Angriff wird so lange ausgeführt, bis der Speicher der angegriffenen Switche überladen wird. Sollte der Netzwerkadministrator den Fallback-Mechanismus des Switches nicht deaktiviert haben, wird aus dem Switch ein HUB. Das bedeutet, dass die Pakete einfach an alle Ports weitergeleitet werden. Jetzt ist es ein Leichtes die Datenpakete abzufangen.

Switch-Spoofing

Wie auf dem Bild 2 bereits gezeigt sind die Switche mit einer Trunk, einer tagged Verbindung mit einander verbunden. Über diese eine Leitung laufen also alle Daten von allen VLANs. Der Angreifer bringt den Switch dazu in den “Autotrunking-Mode” zu wechseln. Somit sendet der Manipulierte Switch die gesamten Daten an den Angreifen. Von diesen “Trunking-Modes” gibt es mehrere Arten. (Hierzu wird es mit Sicherheit noch mehr Beiträge geben). Es ist zu empfehlen, diese Modi zu deaktivieren und die Konfigurationen manuell vorzunehmen.

Double Tagging

Bei diesem Angriff werden an das Angriffsziel Frames mit zwei 802.1Q-Headern verschickt. Der erste Header ist der Header vom VLAN des Angreifers, der auch vom angegriffenen Switch akzeptiert werden sollte. Dadurch gelangt der zweite (double) Tag über das VLAN des Angreifers zum virtuellen Netz, welches angegriffen werden sollte.

Auch hier sollte man als Schutzmechanismus die Autotrunking-Modi deaktivieren.

Fazit – VLAN und Sicherheit

Wie man sieht, sollte auch mit VLANs stehts die Cyber Security Aspekte nicht außer Acht gelassen werden, denn die virtuellen Netze sind angreifbar.

Switche sichern

Einfache und wirksame Maßnahmen, die Sicherheit im switchbasierten Netzwerk erhöhen, sind in diesem Artikel beschrieben.

Der Beitrag VLAN Virtuelle Netze erschien zuerst auf Ilja Schlak InfoSec Blog.