schwerpunkt - Midrange Magazin
schwerpunkt - Midrange Magazin
schwerpunkt - Midrange Magazin
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
2<br />
SCHWERPUNKT<br />
Schlüsselelement der VLAN-Sicherheit<br />
Authentifizierung<br />
Während der letzten zehn Jahre<br />
hat sich die VLAN-Technologie<br />
– vor allem die Bereiche Switching und<br />
Routing – stark weiter entwickelt. Doch<br />
während die Performance ständig verbessert<br />
sowie neue Features und Funktionalitäten<br />
hinzugefügt wurden, ist die<br />
Architektur im Hinblick auf das Thema<br />
Sicherheit weitgehend gleich geblieben.<br />
Lange Zeit beschränkte sich der<br />
Security-Aspekt auf die erprobte und<br />
immerhin schon seit den frühen 90er<br />
Jahren eingesetzte Access Control List<br />
(ACL) an zentralen Routern oder Firewalls.<br />
Damit hat man jedoch keine ausreichenden<br />
Kontrollmöglichkeiten, um<br />
den gegenwärtigen und zukünftigen<br />
Bedrohungen adäquat zu begegnen, da<br />
diese „zu spät“ eingreifen: Komplette<br />
VLAN/IP Subnetz-Bereiche sind intern<br />
ungeschützt.<br />
Verschiedene Ansätze<br />
ACL enthält lediglich die statische Information,<br />
ob einem Benutzer oder<br />
einer Benutzergruppe anhand der IP-<br />
Adresse eine bestimmte Zugriffsart<br />
durch den Router/die Firewall erlaubt<br />
(allow oder permit) oder verweigert<br />
(deny) wird. Bedenkt man die Breite<br />
der Geräte sowie die Anwendungen in<br />
einem VLAN – so wird deutlich, dass<br />
dieser Ansatz nicht geeignet ist, hinreichende<br />
Sicherheit herzustellen. Geräte<br />
können sich direkt innerhalb eines<br />
VLAN beeinflussen (zum Beispiel mit<br />
einem Virus infizieren oder eine Denial<br />
of Service-Attacke starten). Daher wird<br />
oft empfohlen, pro Gerätekategorie<br />
ein VLAN zu implementieren, was zur<br />
MIDRANGE MAgAZIN · 07/2007<br />
HOCHVERFÜgBARKEIT / IT-SICHERHEIT<br />
Virtuelle LANs (VLANs) haben sich in der Vergangenheit als praktikable Möglichkeit<br />
erwiesen, mehrere unabhängige – eben virtuelle – Netze innerhalb einer gemeinsamen<br />
Infrastruktur zu betreiben.<br />
Mikrosegmentierung und damit zu erheblich<br />
größeren Routing-Infrastrukturen<br />
führt. Außerdem wird dadurch das<br />
Problem der direkten Geräte-zu-Geräte-<br />
Kommunikation nicht unterbunden;<br />
auch die Mobilität der Endsysteme kann<br />
nicht außer Acht gelassen werden. Für<br />
die Durchführung oder die Änderung<br />
notwendiger Konfigurationen bedarf es<br />
eines großen zeitlichen und operativen<br />
Aufwands.<br />
Kein Schutz von innen<br />
Wie erwähnt lässt der traditionelle Ansatz<br />
mit ACL kaum Mobilität zu. So sind<br />
statische VLANs insofern sicher, als<br />
dass ein potentieller Angreifer hier physischen<br />
Zugang zum passenden VLAN<br />
haben muss, da die VLAN-Zuordnung<br />
fest am Switchport und damit an feste<br />
Netzwerkdosen gebunden ist (was aber<br />
heutzutage auch kein Problem mehr<br />
darstellt). ACL-Regeln können so einen<br />
Angriff von außen verhindern und davor<br />
schützen, dass sich Bedrohungen<br />
von einem virtuellen Netzwerk auf ein<br />
anderes übertragen; ein Schutz innerhalb<br />
eines VLAN ist hierdurch jedoch<br />
nicht gegeben. Innerhalb des VLAN<br />
können Devices immer noch miteinander<br />
kommunizieren – was beinhalten<br />
kann, dass sich dadurch beispielsweise<br />
Viren, Würmer und sonstige Malware<br />
verbreiten können.<br />
Traditioneller VLAN-Technologie<br />
mangelt es insgesamt an Flexibilität,<br />
auf gegenwärtige Bedrohungen rasch<br />
zu reagieren, da der administratorische<br />
Aufwand für eine End-to-End-Sicherheit<br />
sehr hoch ist. Markus Nispel ó<br />
CLICK TO<br />
www.midrange.de<br />
Den vollständigen Artikel finden Sie in<br />
unserer aktuellen Online-Ausgabe.<br />
Enterasys Networks gmbH, Frankfurt<br />
www.enterasys.com