18
VLAN für jedes Gerät bei SOHOs
Moin,
nachdem sich bei einem SOHO-Neukunden ein Trojaner von einem PC durch 4 weitere PCs durchgefressen hat, die Sicherheit von IoT-Geräte, Druckern, Kameras, etc, eher gruselig ist, würde es doch Sinn machen jedem Gerät ein eigenes VLAN zu spenden. Das Äquivalent zu WLAN Isolation als LAN Isolation.
Zumindest von der Sicherheit.
Zielgruppe: SOHO, nicht mehr als 30 Netzwerkgeräte
Zugriffsrechte rein auf IPs und Ports, MAC-Adressen oder Switch-Ports. Keine Inhaltsfilterung.
Die Performance bei Zugriffen von PCs auf Server oder NAS wird ein Problem werden, aber sonst.
L2-Switch und VLAN-fähige-Firewall dazwischen.
Oder L3-Switch damit das ganze schneller wird.
Warum also nicht?
Stefan
nachdem sich bei einem SOHO-Neukunden ein Trojaner von einem PC durch 4 weitere PCs durchgefressen hat, die Sicherheit von IoT-Geräte, Druckern, Kameras, etc, eher gruselig ist, würde es doch Sinn machen jedem Gerät ein eigenes VLAN zu spenden. Das Äquivalent zu WLAN Isolation als LAN Isolation.
Zumindest von der Sicherheit.
Zielgruppe: SOHO, nicht mehr als 30 Netzwerkgeräte
Zugriffsrechte rein auf IPs und Ports, MAC-Adressen oder Switch-Ports. Keine Inhaltsfilterung.
Die Performance bei Zugriffen von PCs auf Server oder NAS wird ein Problem werden, aber sonst.
L2-Switch und VLAN-fähige-Firewall dazwischen.
Oder L3-Switch damit das ganze schneller wird.
Warum also nicht?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 394019
Url: https://administrator.de/contentid/394019
Printed on: April 19, 2024 at 23:04 o'clock
18 Comments
Latest comment
Hallo Stefan,
sicherlich sinnvoll, nur
a) wer zahlt das
b) wer zahlt das Troubleshooting
c) wie regelst du die Zugriffe, wenn du mal kurz vom PC auf X Zugreifen willst?
Sieht für mich nicht ganz durchdacht aus, bessere wäre hier gewesen eine klarere Rechtestruktur.
VG
sicherlich sinnvoll, nur
a) wer zahlt das
b) wer zahlt das Troubleshooting
c) wie regelst du die Zugriffe, wenn du mal kurz vom PC auf X Zugreifen willst?
Sieht für mich nicht ganz durchdacht aus, bessere wäre hier gewesen eine klarere Rechtestruktur.
VG
Verwaltungsaufwand?
Eigenes VLAN für jedes Gerät heißt eigenes IP-Netz für jeden. Alle die miteinander kommunuzieren wollen/sollen, müssen über eine Firewall mut passenden Regeln. Wenn man nur routet, kann man sich die VLANs sparen.
Da das aber ein erheblicher Aufwand ist, wird das entweder teuer oder der Kunde schaltet alles auf "Durchzug".
Das funktioniert also nur dann, wenn die Kisten möglichst wenig untereinander und nur mit Server reden.
lks
Moin,
Der Kunde. Eigentlich ist es mir egal was es kostet. Es ist ja nicht mein Geld.
Wenn ich den Vorschlag gemacht habe und dem Kunden ist es zu teuer, habe ich meine Schuldigkeit getan.
Und im 2. Schritt kann man dann schauen ob man es günstiger hinbekommen kann.
Bestimmte Ports am Switch sind für bestimmte Geräte mit vorkonfigurierten Zugriffen.
Andere Ports sind frei, aber im VLAN eingesperrt.
Zugriffe gibt es für die PCs auf Drucker, Server und Internet. Fertig.
Hätte den Viren-Neu-Kunden geholfen wo der Trojaner die PCs ohne die allerneuesten Windows Updates befallen hat.
Stefan
Der Kunde. Eigentlich ist es mir egal was es kostet. Es ist ja nicht mein Geld.
Wenn ich den Vorschlag gemacht habe und dem Kunden ist es zu teuer, habe ich meine Schuldigkeit getan.
Und im 2. Schritt kann man dann schauen ob man es günstiger hinbekommen kann.
b) wer zahlt das Troubleshooting
Gibt's nicht.Bestimmte Ports am Switch sind für bestimmte Geräte mit vorkonfigurierten Zugriffen.
Andere Ports sind frei, aber im VLAN eingesperrt.
c) wie regelst du die Zugriffe, wenn du mal kurz vom PC auf X Zugreifen willst?
Kommt eigentlich nie vor.Zugriffe gibt es für die PCs auf Drucker, Server und Internet. Fertig.
Sieht für mich nicht ganz durchdacht aus, bessere wäre hier gewesen eine klarere Rechtestruktur.
Es ist eine Ebene über der Rechtestruktur.Hätte den Viren-Neu-Kunden geholfen wo der Trojaner die PCs ohne die allerneuesten Windows Updates befallen hat.
Stefan
Hallo,
Stefan
Zitat von @Lochkartenstanzer:
Das funktioniert also nur dann, wenn die Kisten möglichst wenig untereinander und nur mit Server reden.
Ja, das ist bei den meisten SOHO-Kunden die ich kenne der Fall.Das funktioniert also nur dann, wenn die Kisten möglichst wenig untereinander und nur mit Server reden.
Stefan
Zitat von @StefanKittel:
Hallo,
Stefan
Hallo,
Zitat von @Lochkartenstanzer:
Das funktioniert also nur dann, wenn die Kisten möglichst wenig untereinander und nur mit Server reden.
Ja, das ist bei den meisten SOHO-Kunden die ich kenne der Fall.Das funktioniert also nur dann, wenn die Kisten möglichst wenig untereinander und nur mit Server reden.
Stefan
Also, Leute, die sich CAMs, Drucker etc ins Netz hängen wollen nicht auf die jeweils anderen PCs zugreifen? Du hast komische Kundschaft, wenn ich das mal so sagen darf.
Wie gesagt, du machst den Port für's Drucken, für die NAS usw auf und schon hast du wieder das gleiche Problem.
Wenn du also auf einem fachlichen Niveau die Idee zur Diskussion stellen willst, geben wir dir die Antwort:
a) wird keiner Bezahlen
b) der Aufwand ist für anderes sinnvoller
c) ist es nichtmal sicherer, eher im Gegenteil.
Moin,
mir würde da noch Client isolation auf den Access Switchen einfallen.
Kurz drüber nachgedacht ist das nicht mal schwer durch ACLs zu realisieren.
Wenn das eine Option ist kann ich auch ein Beispiel liefern.
Vlans für die normale Netztrennung macht Sinn. Alles andere dann über ein Regelwerk.
Gruß
Spirit
mir würde da noch Client isolation auf den Access Switchen einfallen.
Kurz drüber nachgedacht ist das nicht mal schwer durch ACLs zu realisieren.
Wenn das eine Option ist kann ich auch ein Beispiel liefern.
Vlans für die normale Netztrennung macht Sinn. Alles andere dann über ein Regelwerk.
Gruß
Spirit
Moin,
grundsätzlich bin ich ja bei Dir, diverse Geräte zu separieren, aber ich würde gerade bei SoHo's anders trennen:
z.B.PC's / Server / Drucker / IoT-Geräte /VOIP (das ist für die meisten schon übertrieben).
Wenn es bei dem Kunden zu einem Trojanerbefall gekommen ist, würde ich eher auf eine gute Endpoint-Protection setzen und entsprechende Schulungen (brain.exe sensibilisieren).
In Deinem Beispiel würde das Regelwerk in der Firewall derart komplex, dass man selber wahrscheinlich keinen Überblick mehr nach 3 Monaten hat.
Just my 2 Cents
Looser
grundsätzlich bin ich ja bei Dir, diverse Geräte zu separieren, aber ich würde gerade bei SoHo's anders trennen:
z.B.PC's / Server / Drucker / IoT-Geräte /VOIP (das ist für die meisten schon übertrieben).
Wenn es bei dem Kunden zu einem Trojanerbefall gekommen ist, würde ich eher auf eine gute Endpoint-Protection setzen und entsprechende Schulungen (brain.exe sensibilisieren).
In Deinem Beispiel würde das Regelwerk in der Firewall derart komplex, dass man selber wahrscheinlich keinen Überblick mehr nach 3 Monaten hat.
Just my 2 Cents
Looser
Zitat von @falscher-sperrstatus:
Also, Leute, die sich CAMs, Drucker etc ins Netz hängen wollen nicht auf die jeweils anderen PCs zugreifen?
Ja, dafür gibt es ja nun den ServerAlso, Leute, die sich CAMs, Drucker etc ins Netz hängen wollen nicht auf die jeweils anderen PCs zugreifen?
Du hast komische Kundschaft, wenn ich das mal so sagen darf.
Wir hier im Norden waren schon immer anders 
Wie gesagt, du machst den Port für's Drucken, für die NAS usw auf und schon hast du wieder das gleiche Problem.
Warum sollte das so sein?Vorweg: Alle Geräte haben Zugriff auf das Internet.
Dies Thema nehme ich hier mal aus.
Server: Zugriff auf das NAS (für Datensicherung)
NAS: Kein Zugriff auf nix
Drucker1-3: Kein Zugriff auf nix
PCs1-6: Zugriff auf die Drucker und Server
Die Geräte identifiziere ich über die Switch-Ports.
Vor Ort fasst diese Kabel sowieso Niemand an.
Das funktioniert so natürlich nur bei kleinen SOHO-Kunden.
Bei einem Kunden mit 200 PCs braucht man das so nicht probieren.
Aber ob ich bei einem Kunden 10 Abteilungs-VLANs und 3 Server-VLANs einrichte oder 10 PC-VLANs und 1 Server-VLAN.... Wo ist der Unterschied?
a) wird keiner Bezahlen
Ja, aber schauen wir mal. Sicherheit kostet immer Geldb) der Aufwand ist für anderes sinnvoller
Das kann seinBei dem Virenkunden war es eine gefälschte Mail mit PDF-Rechnung.
- Durch das bezahlte Antispam-System durch
- Absender ein bekannter Kunde und richtiger Ansprechpartner (vermutlich wurde dort ein PC mit Adressbuch und Mails gehackt)
- Text in gutem Deutsch ohne Tippfehler
- Windows Updates zuletzt am Patchday installiert
- Aktuelle Endpoint-Protection
- UAC aktiv und keine Admin-Rechte für den Benutzer
- Zero Day Exploit
Was fehlt?
c) ist es nichtmal sicherer, eher im Gegenteil.
Das sehe ich andersSiehe Liste Oben
Eine typische Seperation für die Sicherheit durch VLAN ist ja nach Abteilungen.
Bei diesem Kunden sind in den Abteilungen und Räumen aber immer nur 1-2 PCs.
Dann kann man es ja auch pro PC machen.
Knackpunkte die ich sehe:
- Geschwindigkeit wenn alle Zugriffe durch den Router laufen (wenn ohne L3)
- Aufwand bei der Konfiguration und Pflege bei Änderungen vor Ort
- Kosten
Darauf läuft es ja hinhaus.
Dieser Kunde verwendet Cisco SG200
Kurz drüber nachgedacht ist das nicht mal schwer durch ACLs zu realisieren.
Das wäre eine AlternativeDieser Kunde verwendet Cisco SG200
Wenn das eine Option ist kann ich auch ein Beispiel liefern.
Gerne
Dann konfiguriere erst die Regeln, welche erlaubt sind.
Anschließend blockierst du die Kommunikation zu dem Netz, in dem der Client selbst ist.
Cisco hatte ich schon Jahre nicht mehr auf dem Tisch und kann dir da nicht helfen.
Anschließend blockierst du die Kommunikation zu dem Netz, in dem der Client selbst ist.
Cisco hatte ich schon Jahre nicht mehr auf dem Tisch und kann dir da nicht helfen.
Das Äquivalent zu WLAN Isolation als LAN Isolation.
Das bedeutet aber NICHT ein VLAN pro Endgerät, das wäre auch ziemlicher Blödsinn und macht niemand so.Die Funktion nennt sich Private VLAN oder auch isolated VLAN auf einem Switch mit der sowas umzusetzen ist.
Sofern dein Switch dieses Feature supportet wäre das der richtige Weg !
1
Moin !
ich könnte mir vorstellen, das Ganze Port-basiert zu gestalten auf einem Switch, der das unterstützt.
Dort würde ich dann Portgruppen bilden, so wie die Ports auch harwareoptisch gruppiert sind und bei Erfordernis einzelne Ports.
Port 1 = Router
Port 2 = Management-Port (für den Admin; nicht dauerhaft genutzt)
Port 3 bis 4 = NAS, Server, sonstige gemeinsame Resourcen
Port 5 bis 8 = TV's, Receiver, etc.
Port 9 bis xx = Geräte jeweils Einzelports oder auch gruppiert
Den Geräten wird erlaubt den Router zu nutzen und Netzwerkspeicher, aber nicht die Mediengeräte und nicht die anderen Geräte. RDP muss dann ggf. über den TeamViewer oder Any Desk laufen
Die Mediengeräte sind getrennt und können ggf. auf ein NAS zugreifen - falls offline streamen genutzt werden soll ansonsten wird keine Verbindung zugelassen.
Als Doku klebt ein Screenshot der Frontseite auf oder unter dem Gerät mit entsprechender Beschriftung oder mit einem Hinweis auf ein Dokument auf dem NAS.
Gruß
ich könnte mir vorstellen, das Ganze Port-basiert zu gestalten auf einem Switch, der das unterstützt.
Dort würde ich dann Portgruppen bilden, so wie die Ports auch harwareoptisch gruppiert sind und bei Erfordernis einzelne Ports.
Port 1 = Router
Port 2 = Management-Port (für den Admin; nicht dauerhaft genutzt)
Port 3 bis 4 = NAS, Server, sonstige gemeinsame Resourcen
Port 5 bis 8 = TV's, Receiver, etc.
Port 9 bis xx = Geräte jeweils Einzelports oder auch gruppiert
Den Geräten wird erlaubt den Router zu nutzen und Netzwerkspeicher, aber nicht die Mediengeräte und nicht die anderen Geräte. RDP muss dann ggf. über den TeamViewer oder Any Desk laufen
Die Mediengeräte sind getrennt und können ggf. auf ein NAS zugreifen - falls offline streamen genutzt werden soll ansonsten wird keine Verbindung zugelassen.
Als Doku klebt ein Screenshot der Frontseite auf oder unter dem Gerät mit entsprechender Beschriftung oder mit einem Hinweis auf ein Dokument auf dem NAS.
Gruß
Eben... Private VLANs mit Layer 3. Wie oben schon beschrieben und kann jeder bessere L3 Switch.
Hallo,
ich verstehe das ganze schon, würde dem Kunden aber eher Raten eine ordentliche Firewall zu kaufen und auf eine ordentliche Endpointprotection zu setzen.
Als günstige Firewall kann man hier bestimmt Sophos in den Raum werfen (besser wäre natürlich eine kleine Palo Alto aber halt auch deutlich teurer), damit kann man das Netz des Kunden ordentlich segmentieren und hat hier bereits erste Barrieren für diesen Form von Angriffen.
Das Netz über VLANs zu segmentieren ist sicherlich sinnvoll, allerdings sehe ich hier keinen Vorteil für die Verbreitung eines Trojaners/Ransomware etc. Da z.B. wenn das Client Netz befahlen ist immer noch eine Verbindung zum Server aufgebaut werden kann.
Deshalb wäre hier eine Firewall am besten mit application und thread Erkennung die erste Wahl.
Als Endpointprotection würde ich dem Kunden Cylance ans Herz legen, da die Erkennungsrate sehr gut ist und für fast alle Betriebssysteme verfügbar ist und nicht über Signaturen funktioniert.
Viele Grüße
Hammy
ich verstehe das ganze schon, würde dem Kunden aber eher Raten eine ordentliche Firewall zu kaufen und auf eine ordentliche Endpointprotection zu setzen.
Als günstige Firewall kann man hier bestimmt Sophos in den Raum werfen (besser wäre natürlich eine kleine Palo Alto aber halt auch deutlich teurer), damit kann man das Netz des Kunden ordentlich segmentieren und hat hier bereits erste Barrieren für diesen Form von Angriffen.
Das Netz über VLANs zu segmentieren ist sicherlich sinnvoll, allerdings sehe ich hier keinen Vorteil für die Verbreitung eines Trojaners/Ransomware etc. Da z.B. wenn das Client Netz befahlen ist immer noch eine Verbindung zum Server aufgebaut werden kann.
Deshalb wäre hier eine Firewall am besten mit application und thread Erkennung die erste Wahl.
Als Endpointprotection würde ich dem Kunden Cylance ans Herz legen, da die Erkennungsrate sehr gut ist und für fast alle Betriebssysteme verfügbar ist und nicht über Signaturen funktioniert.
Viele Grüße
Hammy
Client infiziert Server/Nas/legt vervirte Dateien ab, Hurra.
Du willst mir nicht weiss machen, dass eine VLAN Trennung auf Abteilungsebene in Hinsicht auf Kostenstruktur und Aufwand zu Sicherheitsgewinn gleich ist einem Single-Device VLAN? Aber ich hätte da noch einen Tipp für dich: Jew. Separater Internetanschluss. Wenn du je PC nur je Jahr 4h auf das Konzept verschwendest mit Setup,Wartung und Co ist ein 20€ Anschluss schon günstiger.
Du willst mir nicht weiss machen, dass eine VLAN Trennung auf Abteilungsebene in Hinsicht auf Kostenstruktur und Aufwand zu Sicherheitsgewinn gleich ist einem Single-Device VLAN? Aber ich hätte da noch einen Tipp für dich: Jew. Separater Internetanschluss. Wenn du je PC nur je Jahr 4h auf das Konzept verschwendest mit Setup,Wartung und Co ist ein 20€ Anschluss schon günstiger.
Zitat von @aqui:
Eben... Private VLANs mit Layer 3. Wie oben schon beschrieben und kann jeder bessere L3 Switch.
Eben... Private VLANs mit Layer 3. Wie oben schon beschrieben und kann jeder bessere L3 Switch.
Jo stimmt, das hatte ich nicht mehr auf dem Schirm.
Hallo,
stimmt. PLAN passt hier viel besser als VLAN.
Das hatte ich nicht auf dem Schirm obwohl man so etwas ja mal gelernt hat.
Es irgendwie setzt es Niemand ein.
Ziel soll es ja sein, das Geräte die nicht miteinander reden sollen, das auch nicht tun oder tun können.
Also keiner kann im Netz auf nix zugreifen und man erlaubt nur was benötigt wird.
Ob der Aufwand und der effektive Sicherheitsmehrwert verhältnismäßig für einen bestimmten Kunden ist, muss jeder selber entscheiden.
Das Performanceproblem wird man mit einem L3 Switch ja los.
Danke, die Diskussion hat mir weitergeholfen.
Stefan
stimmt. PLAN passt hier viel besser als VLAN.
Das hatte ich nicht auf dem Schirm obwohl man so etwas ja mal gelernt hat.
Es irgendwie setzt es Niemand ein.
Ziel soll es ja sein, das Geräte die nicht miteinander reden sollen, das auch nicht tun oder tun können.
Also keiner kann im Netz auf nix zugreifen und man erlaubt nur was benötigt wird.
Ob der Aufwand und der effektive Sicherheitsmehrwert verhältnismäßig für einen bestimmten Kunden ist, muss jeder selber entscheiden.
Das Performanceproblem wird man mit einem L3 Switch ja los.
Danke, die Diskussion hat mir weitergeholfen.
Stefan
Es irgendwie setzt es Niemand ein.
Bahnhof ?Was soll dieser Satz uns sagen ??
In deinem Umfeld setzt es ggf. niemand ein, was eher zeigt das du dich in kleinen und nicht Sicherheits relevanten Netzen rumtummelst. PVLAN ist ein must have in vielen Netzen !
Ziel soll es ja sein, das Geräte die nicht miteinander reden sollen
Genau DAS machen PVLANs ! 
Switches mit PVLAN Support gehören schon (fast) zum Standard...
