19.04.2023

TCP/IP VLAN einrichten

VLAN
Beispiel

Download: dsniff ettercap

dsniff ist ein Passwort-Sniffer, der verschiedene Protokolle wie Telnet, FTP, SMTP, POP, IMAP, HTTP, CVS, SMB und viele andere beherrscht. Im Gegensatz zu Sniffer-Programmen wie Ethereal werden nicht sämtliche Netzpakete aufgezeichnet, sondern nur jene, die Informationen über Benutzer und Passwörter enthalten.

macof (ist in dsniff enthalten) überflutet das lokale Netzwerk mit zufälligen MAC-Adressen. Damit soll erreicht werden, dass der Switch versagt und wie ein normaler Hub arbeitet, was die Möglichkeiten für den Einsatz von Programmen wie dsniff verbessert.

ARP-Spoofing es werden ARP-Pakete mit IP-Adressen fremder Rechner, aber der eigenen MAC-Adresse verschickt.

Seitenanfang

VLAN Beschreibung

Mit der Einteilung des Netzwerkes in VLANs, kann man eine logische Trennung des Netzwerkes in Arbeitsgruppen erreichen, dadurch schaft man mehr Sicherheit, da nur Rechner einer Gruppe untereinander Zugriff haben (nur die Rechner im gleichen VLAN).

Vorraussetzung für ein VLAN ist ein managementbarer Switch und VLAN fähige Netzwerkkarten z.B. von Intel Pro 100/1000

VLAN ist nach IEEE 802.1Q standardisiert. Es werden in einem Ethernet-Frame vier zusätzliche Bytes eingefügt, die ersten beiden sind für den Tag-Protocol Identifier, die restlichen beiden für Tag-Control Information, diese setzen sich aus drei Bits für die Priorität "Class of Service" COS, einen Bit für "Canonical Format Indicator" CFI und zwölf Bits für die "VLAN-ID" VID zusammen.

Ein VLAN Switch benutzt die VID um zu entscheiden, an welchen Port er Pakete weiterleiten darf. Empfängt er ein normales Ethernet-Paket, markiert er es mit einem Tag, der die VID des jeweiligen Portes enthält, von dem das Paket kamm. Von Geräten an speziellen Tagged-Ports, akzeptiert der Switch auch bereits markierte Pakete. Man sollte bei der Konfiguration des Switches aufpassen, an welchem Port man Tagged-Pakete zuläst, da man mit diesem markierten Paketen Zugriff auf alle definierten VLAN bekommt.

Es gibt zwei Arten von VLANs

Bei einem untagged VLAN braucht das angeschlossene Gerät keine VLAN Unterstützung, man muss dem Switch Port nur die PVID des untagged VLANs zuweisen, das das Netzwerkgerät automatisch dem VLAN zugeordnet wird.
z.B. am Switch Port ist untagged VLAN30 konfiguriert, die PVID ist am Switch Port auf 30 gesetzt. Am angeschlossenen PC braucht nichts weiter konfiguriert werden, er ist automatisch im VLAN30.

Bei einem tagged VLAN muss das angeschlossene Gerät eine Unterstützung für VLAN haben.
z.B. Am Switch ist ein tagged VLAN 50 am Port konfiguriert. Wenn der PC auch im VLAN 50 sein soll, muss auf dem PC eine virtuelle Netzwerkkarte mit der VLANID 50 erstellt werde. Unter Linux und MacOS ist das vom BetriebsSystem her ohne weiteres möglich, unter Windows muss es die Netzwerkkarte unterstützen, bei Intel NICs ist es meist möglich mit den Treibern von Intel.

Seitenanfang

Beispiel

Anforderungen: nur die Rechner die im selben VLAN sind, sollen sich unterhalten können, alle Rechner sollen Zugriff auf den Router bekommen.

VLAN1 - Webserver
VLAN2 - Produktionsrechner
VLAN3 - Verwaltung
VLAN4 - WLAN Accesspoint und Notebooks
VLAN5 - Router Internetanbindung

Rechner VLAN ID Netzwerk IP Router IP Client IP
Webserver VID10 192.168.10.0/24 192.168.10.1 192.168.10.2 - 254
Produktionsrechner VID20 192.168.20.0/24 192.168.20.1 192.168.20.2 - 254
Verwaltung VID30 192.168.30.0/24 192.168.30.1 192.168.30.2 - 254
WLAN Accesspoint und Notebooks VID40 192.168.40.0/24 192.168.40.1 192.168.40.2 - 254
Router Internetanbindung VID50 192.168.50.0/24 192.168.50.1 DSL Netzwerk Schnittstelle 192.168.50.2

der Router bekommt auf der Netzwerkschnittstelle 5 VIDs zugeteielt und aus jedem Netzwerk eine IP zugeteilet unter der er erreichbar ist. Der Switch wird im Beispiel so konfiguriert, das nur der Port des Routers im Tagged - Modus läuft, alle anderen Ports werden auf Untagged gesetzt. Ports die nicht benutzt werden, werden deaktiviert oder einem unbenutzten VLAN zugeordnet. Durch die Einteilung der VLAN, benötigt der INET-Router nur eine Netzwerkkarte, der alle VLANs zugeordnet sind. Bei der Vergabe der VID 1 kann es manchmal zu problemen mit bestimmten Switches kommen, am besten man beginnt mit der VID ab 2

Windows VLAN NIC:
zur VLAN Unterstützung der Intel NIC benötigt man die Treiber (pro2kxp.exe), die man in ein Verzeichnis entpackt, dann das Multiple-Language-Pack (p2kxpla.exe) und diese in das gleiche Verzeichnis entpacken wie die Treiber, danach die Installation durch starten der setup.exe durchführen. Im Gerätemanager | Netzwerkkarte | Eigenschaften erscheint dann die Einstellmöglichkeit für die VLANs.

Linux VLAN NIC:
unter Linux wird die VLAN unterstützung durch den Kernel ermöglicht, Kernelmodul kompilieren unter Device Drivers | Networking support | Networking options | 802.1Q VLAN Support aktivieren. Ein modprobe 8021q lädt das Modul, unter Debian kann man noch das Paket VLAN installieren, zur Verwaltung der virtuellen Schnittstellen.

vconfig add eth0 10
ifconfig eth0.10 192.168.10.1
vconfig add eth0 20
ifconfig eth0.20 192.168.20.1
vconfig add eth0 30
ifconfig eth0.30 192.168.30.1
vconfig add eth0 40
ifconfig eth0.40 192.168.40.1
vconfig add eth0 50
ifconfig eth0.50 192.168.50.1

mit vconfig erstellt man eine virtuelle Schnittsstelle, der dann mit ifconfig eine IP-Adresse zugewiesen wird. Im Beispiel ist die Konfiguration des Routers zu sehen, er hat IP Adressen aus jeden Netzwerk. Es muss aber darauf geachtet werden, das der Router nicht zwischen den VLANs routet, da das in dem Beispiel nicht gewünscht ist und die Sicherheit des VLANs aufheben würde.

Firewall Regeln für den DSL Zugang des Routers

iptables -P FORWARD DROP
iptables -A FORWARD -o eth0.50 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0.50 -j MASQUERADE

Routing für den DSL Zugang aktivieren

echo "1" > /proc/sys/net/ipv4/ip_forward

default Route setzen

route add default gw 192.168.50.2

DHCP Konfiguration

subnet 192.168.10.0 netmask 255.255.255.0 {
 range 192.168.10.2 192.168.10.254;
 option routers 192.168.10.1;
}
subnet 192.168.20.0 netmask 255.255.255.0 {
 range 192.168.20.2 192.168.20.254;
 option routers 192.168.20.1;
}
...