Erstellen eines sicheren VLANs

Um ein sicheres VLAN (Virtual Local Area Network) zu erstellen, müssen mehrere Schritte und Best Practices beachtet werden, um Netzwerksicherheit, Segmentierung und Zugriffskontrolle zu gewährleisten. Hier ist eine Anleitung:

1. Planung und Design

Netzwerksegmentierung: Teile das Netzwerk in logische VLANs auf, basierend auf Funktionen, Abteilungen oder Sicherheitsanforderungen (z. B. Gäste-VLAN, Server-VLAN, Mitarbeiter-VLAN).
VLAN-Nummerierung: Verwende klare, dokumentierte VLAN-IDs (z. B. VLAN 10 für Mitarbeiter, VLAN 20 für Gäste). Vermeide VLAN 1 (Standard-VLAN), da es oft unsicher ist.
IP-Adressschema: Weise jedem VLAN ein eigenes Subnetz zu, um den Datenverkehr zu isolieren (z. B. 192.168.10.0/24 für VLAN 10).

2. Switch-Konfiguration

VLANs erstellen

Konfiguriere VLANs auf dem Switch (Beispiel für einen Cisco-Switch):

configure terminal
vlan 10
 name MITARBEITER
vlan 20
 name GÄSTE
exit

Access-Ports zuweisen

Weise Ports den entsprechenden VLANs zu und aktiviere den Access-Modus:

interface gigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
exit

Trunk-Ports konfigurieren

Für Verbindungen zwischen Switches oder zu Routern, konfiguriere Trunk-Ports und erlaube nur benötigte VLANs:

interface gigabitEthernet0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20
exit

VLAN 1 deaktivieren

Entferne alle Ports aus VLAN 1 und deaktiviere es, wenn möglich:

no vlan 1

3. Sicherheitsmaßnahmen

Port-Sicherheit

Begrenze die Anzahl der MAC-Adressen pro Port, um unbefugtes Einstecken von Geräten zu verhindern:

interface gigabitEthernet0/1
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation shutdown
 switchport port-security mac-address sticky
exit

Private VLANs (PVLANs)

Nutze PVLANs, um Geräte innerhalb eines VLANs voneinander zu isolieren (z. B. in Gäste-WLANs).

802.1X-Authentifizierung

Implementiere 802.1X, um Geräte und Benutzer vor dem Zugriff auf das VLAN zu authentifizieren.

DHCP-Snooping

Aktiviere DHCP-Snooping, um Rogue-DHCP-Server zu verhindern:

ip dhcp snooping
ip dhcp snooping vlan 10,20
interface gigabitEthernet0/24
 ip dhcp snooping trust
exit

ARP-Inspektion

Aktiviere Dynamic ARP Inspection (DAI), um ARP-Spoofing-Angriffe zu verhindern:

ip arp inspection vlan 10,20

4. Inter-VLAN-Routing

Router-on-a-Stick oder Layer-3-Switch

Konfiguriere Inter-VLAN-Routing nur für notwendigen Datenverkehr:

interface gigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
interface gigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

Access Control Lists (ACLs)

Setze ACLs ein, um den Datenverkehr zwischen VLANs zu kontrollieren:

access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 deny ip any any
interface vlan 10
 ip access-group 101 in
exit

5. Firewall und Monitoring

Firewall-Regeln: Setze eine Firewall zwischen VLANs, um den Datenverkehr weiter zu filtern.
Logging und Monitoring: Aktiviere Syslog und SNMP, um verdächtige Aktivitäten zu überwachen:

logging 192.168.1.100
snmp-server community secure RO

Regelmäßige Audits: Überprüfe regelmäßig die Konfiguration und Logs auf Schwachstellen.

6. Best Practices

Dokumentation: Dokumentiere VLAN-IDs, Subnetze, Ports und Sicherheitsregeln.
Passwörter und Zugriff: Sichere Switches mit starken Passwörtern und SSH:

line vty 0 4
 transport input ssh
exit

Firmware-Updates: Halte die Firmware von Switches und Routern aktuell.
Physikalische Sicherheit: Schütze den Zugriff auf Netzwerkgeräte vor unbefugten Personen.

7. Tests und Validierung

Teste die Konnektivität innerhalb und zwischen VLANs.
Überprüfe Sicherheitsmaßnahmen wie Port-Sicherheit und ACLs durch simulierte Angriffe.
Stelle sicher, dass unerwünschter Datenverkehr blockiert wird.

Durch diese Schritte wird ein sicheres VLAN aufgebaut, das Netzwerksicherheit und Effizienz gewährleistet.