VLANs zijn bedoeld om de netwerk performance te verbeteren, niet als security.

Bij goed gebruik van VLAN's kan netwerk performance verbeteren, doordat het de mogelijkheid biedt om verkeer in banen te leiden. Het tegenovergestelde bereiken is net zo goed mogelijk, dus VLAN's implementeren is geen garantie voor prestatie verbeteringen en ook zeker niet de enige reden om ze te gebruiken. De meest voor de hand liggende reden voor het gebruiken van VLAN's is efficienter gebruik van hardware bij het scheiden van netwerken en dat heeft dus wel degelijk een relatie met security. De mate van security wordt echter door de layer3 apparaten bepaald die de netwerken koppelen.

VLANs gebruik je om broadcast domains te verkleinen. Dat je ook makkelijk verkeer kunt scheiden is een tweede maar dat is niet het hoofdzakelijke doel.

Dit is dus een foute aanname.

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml

OFFTOPIC:

Het schijnt nogal belangrijk om meerdere broadcast domains te hebben las ik onlangs.
In plaats van VLAN's aan te maken, heb ik een batchbestand gemaakt welke door elke PC geladen wordt bij de aanlog.
In het batchbestand wordt geregeld dat de macadressen van alle servers / printers / en de gateway, statisch in de ARP tabel komen te staan. ( arp -s xxx.xxx.xxx.xxx yy-yy-yy-yy-yy-yy )

Op de servers heb ik de ARP cache time-out op 3600 seconden gezet.

Ik heb nog geen 40 broadcasts per minuut...

Ik moet er wel bij zeggen dat voordat ik hier aan begon op heel veel printers het IPX protocol uit heb moeten zetten, want die staat meestal standaard aan en dat veroorzaakt ook broadcasts.

Wat ik in de eerder gegeven commentaren mis, is dat er wel degelijk een beveilingsaspect aan het gebruik van VLAN's zit.
Door het scheiden van verschillende soorten communicatie, printer VLAN en netwerk VLAN bijvoorbeeld. Voorkom je dat de 1 de ander besmet met ongerechtigheden.

Neemt niet weg dat in jouw geval een VLAN alleen beslist onvoldoende is.

@sirdice

Weer aan het discussiëren omwille van het discussiëren? Als VLAN's totaal geen relatie hebben met security is het wat vreemd dat je een link plaatst naar "VLAN Security White Paper".

Je opmerking kan ik ook omdraaien door het scheiden van netwerken ontstaan kleinere broadcast domains. Afhankelijk van het doel dat je voor ogen hebt zal de ene of de andere de hoofdzakelijke insteek zijn, dat jij maar een enkel doel hebt bij het gebruik van VLAN's moet je zelf weten. De motivatie van een ander om VLAN's op een bepaalde manier in te zetten is daarmee geen foute aanname maar een keuze, die niet ontkracht gaat worden met een Cisco document.

@marcel
Zoals bewezen door SirDice is de materie te complex om in enkele kreten het geheel te kunnen overzien. Je doet er goed aan om de situatie die er is in kaart te brengen om daarmee onderzoek te kunnen doen naar de gebruikte technologieën. Of de situatie die je hebt veilig is hangt af van alle gebruikte elementen in de infrastructuur.

Ik heb daar naar gelinkt omdat de gevaren van VLAN "security" er in vermeld staan. Bedenk ook dat een klein foutje in de configuratie kan beteken dat de gehele beveiling onderuit gaat. En we weten allemaal dat een foutje in een klein hoekje kan zitten. Tevens, en dit blijkt ook uit het gelinkte document, komt er nog behoorlijk wat bij kijken om VLANs veilig te gebruiken (en dat is iets anders dan VLANs omwille van veiligheid gebruiken). Kortom, gebruik geen VLANs voor security. Je kunt het gebruiken als toevoeging aan de beveiliging van je netwerk maar gebruik het alsjeblieft nooit als enige onderdeel van je beveiliging.

Waar het vooral om gaat is hoe de communicatie TUSSEN de VLAN's geregeld is. Is dat gerouteerd, zit er een firewall tussen e.d.
De VLAN's scheiden het verkeer op logisch niveau. Meer niet.

Best practice is om internet en intern LAN fysiek te scheiden. Ik ben het helemaal mee eens met sirdice. Er is niet voor niets een heel whitepaper geschreven over VLAN's en hun slechte veiligheid en hoe men dit kan omzeilen. Als ik het verhaal van Marcel lees dan verwacht ik dat er een switch uit de doos is gehaald, aangezet en alleen een apart vlan is gecreerd op de internet port van de switch zonder enige beveiligings maatregelen. Het verbaasd me ook dat Marcel zo uitgebreid verteld hoe het in mekaar steekt. Waar werk je eigenlijk Marcel?

Vlans hebben verschillende doeleinden en ja, je kunt er gedeeltes van je netwerk mee scheiden dus dat zou je kunnen zien als "security".

Echter, om verschillende vlans met elkaar te laten communiceren is er een layer3 device nodig. Ik neem dan ook even aan dat de internet koppeling op zo'n device aangesloten is. Zo ja, dan bieden vlans geen goede security. Ik neem dan ook aan dat er gebruik word gemaakt van bv access-lists?
Maar hoe het ook zit... ik ben van mening dat een koppeling naar het internet te aller tijden door een firewall gescheiden moet worden van je interne netwerk. En niet door access-lists of vlans welke een "schijnveiligheid" geven.

Bedankt voor jullie reacties!!
Ik vind ook dat er bij een internettoegang voor een netwerk er een firewall tussen moet zitten. Nu heb je dus het interne netwerk (Wat de uitwijklocatie is) en het internet op 1 switch. Enige onderscheid tussen het lan en het internet is dat ze in een apart Vlan zitten. Ik ga nog uitzoeken hoe het geregeld is TUSSEN deze Vlans en of het een layer 2 of 3 switch is. Als het dus een layer2 switch is dan is er geen connectie tussen de 2 Vlans mogelijk? En is er op die manier sprake van (onvoldoende) security.
Als het een layer3 switch is is er wel connectie mogelijk mbv accesslists? Ik ga er van het weekend kijken wat voor type switch het is en hoe de config er precies uit ziet.
Nogmaals bedankt voor jullie info

Sorrie, de vorige reactie heb ik anoniem geplaatst (was niet ingelogd).
Nog een aanvulling: Ik ga adviseren om het geheel in kaart te brengen en dan kijken wat de zere plekken zijn.
Advies zal waarschijnlijk zijn een firewall tussen het internet en de internet Vlan op de switch. Dat hoeft ook niet zoveel te kosten.
Ik werk trouwens bij een uitgeverij in Utrecht. Er wordt daar nu voor het eerst gebruik gemaakt van een uitwijklocatie, eerst was er niets behalve eeen backuptape.

De white paper link van SirDice heeft alleen betrekking op Cisco Catalyst switches.

"The security of VLAN technology has proven to be far more reliable than its detractors had hoped for and only user misconfiguration or improper use of features have been pointed out as ways to undermine its robustness. "

Dus als je van de Cisco-school bent dan weet je dat VLAN's een wezenlijk onderdeel kan zijn van security. Met de nadruk op "onderdeel"....

Er zijn echter ook mensen die daar anders over denken. Moeten zij weten.

In antwoord op je vraag (als ik de situatie goed begrijp) het volgende:

Die twee VLANS scheiden het Netwerkverkeer tussen Internet en jullie LAN. Prima, niks mis mee

maarrrrr.......................

...... aan het eind van die Internet verbinding, wat gebeurt er dan ???
Daar komt dus ongefilterd Internetverkeer op "iets" uit en dat is natuurlijk niet zo fijn !!

1. Als dat 1 standalone PC' tje is met een Firewall progje zonder connectie met je LAN dan is dat nog te overzien.

2. Als dat een device is dat routeert zonder Access List (laag 3 dus - Router , Layer3 Switch, PC met 2 NIC's die routeert) dan ben je link bezig.

Dat is even in vogelvlucht het dilemma.

Thasaidon legt dit in algemene zin goed uit echter het gevaar van VLANS wordt erg overdreven.
VLANS zijn best wel veilig maar er moet aan een paar randvoorwaarden worden voldaan. o.a. Goede Access List, goede Configuratie, Up to date IOS en monitoring van de Devices (dwz als er een verbinding in je Netwerk tijdelijk onderbroken wordt moet je daar direct een waarschuwing van krijgen)
Je netwerk apparatuur moet goed geconfigureerd worden maar dat geldt natuurlijk ook voor een Firewall
Ik ken diverse manieren om de Security van VLANS onderuit te trekken maar er zijn natuurlijk ook weer tegen maatregelen voor.

Kent iemand de yerisina tool???

http://www.yersinia.net/

Juist wel, want dat is 1 van de gevaren met VLAN's. Zolang je alle poorten "tagged" verkeer aanbiedt is de kans op fouten niet zo groot. Maar als je een situatie hebt waarbij het ene VLAN untagged op poort A zit en het andere untagged op poort B, dan hang je de VLAN's onbeveiligd aan elkaar zodra je op enigerlei manier, zonder firewall, die poorten koppelt. Een router beveiligt het nog enigszins als je geen routering tussen die gebruikte IP ranges aangeeft. Maar als je er toevallig een switch tussen hangt, dan zijn ze gewoon weer gekoppeld.

Afhankelijk van de gebruikte switches kan het gebeuren dat je een broadcast storm krijgt, spanning tree actief wordt en een poort deactiveert, of zelfs gewoon verkeer van het ene VLAN naar het andere doorlaat.

Een punt van aandacht is ook de gebruikte IP range van dat interne netwerk. Als je daar private IP adressen gebruikt (wat je waarschijnlijk wel doet), kun je aan je provider vragen of hij enige bescherming heeft aangebracht in zijn router/firewall tegen misbruik van private IP adressen.

Peter

Zolang je niet het vlan met ID 1 gebruikt als default VLAN en ingres 802.q in q blokkeert zijn ze nog best redlijk veilig die vlans.

Zie ook deze presentatie van Marco Figueroa (o.a. gepresenteerd op The last HOPE): http://www.mafcorp.net/site_flash/VLANs%20Layer%202%20Attacks%20Presentation.ppt

Greatz,
MyShell