VLAN - SUBNETTING (Vor- und Nachteile?)

[cardo]

Ich bin grad dabei so ein tolles Buch zu lesen:"Cisco Multilayer Switched Netzwerke"! (Und hab dazu einige Fragen...)

Um Kollisionsdomänen zu vermeiden kann man VLANs einrichten oder Subnetze.

Ich zitiere mal was aus dem Buch:

"Es gibt mehrere Möglichkeiten, eine Endämmung der Broadcasts in großen, geswitchten LANs zu realisieren.

Die erste ist, durch Router viele Subnetze zu erzeugen, wodurch auch der Verkehr aufgeteilt wird. LAN-Broadcasts gehen nicht durch Router.

Obwohl diese Methode die Broadcasts filtert, kann es bei traditionellen Routern zu Engpässen kommen, da sie jedes Datenpaket bearbeiten müssen.

Eine Layer-2-Brige oder ein Layer-2-Switch kann zu Beispiel 1.000.000 von Paketen pro Sekunde bearbeitden, während ein traditioneller Router nur Hunderte von tausend Paketen pro Sekunde bearbeitet. Dieser Unterschied in der Bearbeitungsgeschwindigkeit kann zu Engpässsen führen, wenn der Datenverkehr durch das Layer-3-Device zunimmt"

Das Wort "traditionell" hat mich dann doch stutzig gemacht. Und warum eigentlich Layer-2-Switch. Für VLANs benutze ich zumindest Layer-3-Switche.

Aber mit Layer-3-Switchen kann man doch auch Subnetze verbinden, oder?

Also müsste die Geschwindigkeit im Prinzip gleich groß sein...

Hat jmd Ahnung von euch was letzendlich besser ist bzw wo die Vorteile und Nachteile von VLANs und Subnetzen liegen?

[DennyB]

Niemand zwingt dich Layer3 Switches fuer VLANs zu benutzen (was auch nicht unbedingt soo viel Sinn machen wuerde). Du benoetigst lediglich ein Layer3 Device um *zwischen* VLANs zu routen.

Du wirst wahrscheinlich nicht (jedenfalls mittelgrosse bis kleine Unternehmen) im Access-Layer vernuenftige Layer3 Switches verteilen koennen, das wuerde ziemlich aufs Geld gehen und dir ohnehin nicht so viele Vorteile bringen. Aus diesem Grund werden dort meistens VLANs benut. Erstmal um die STP-Domains zu verringern, als auch um unnoetigten Traffic von den Distribution- oder Core-Switches (die sollten dann Layer3 sein) fernzuhalten. Ganz abgesehen davon, dass du so auch den Traffic gruppieren kannst (nach Data/Voice bzw. nach Typ des Traffics aber auch nach verschiedenen Benutzergruppen. Das kann man auch mal temporaer, nebenbei, anpassen ohne gross die Konfiguration umschreiben zu muessen).

Das waren sicher nicht alle Gruende, aber wie ich finde ein ziemlich wichtiger.

[cane]

Grüne generell für VLAN / Subnetze:

- Trennung der Kollisionsdomains

- Sicherheit

VLANs lassen sich recht einfach switchübergreifend für einzelne MACs, IPS oder (am besten) Switchports anlegen und sind soweit die Routingfunktionen in ASICs gegossen sind (bei den meisten Layer3-Switches mehr oder weniger der Fall) sauschnell.

Was aber zu beachten ist: Die Ciscos sind so konfiguriert das Auspacken-Anschließen-Läuft möglich ist, sie funktionieren also "out of the box".

In fasr allen Unternehmen werden Sie daher auch "out of the box" betrieben, maximal werden ein paar VLANs und Trunks hinzugefügt und die Telnet-Administration wird deaktiviert.

Man sollte aber IN JEDEM FALLE alle sicherheitsrelevanten Parameter / Protokolle wie PortSecurity, STP, CDP, DTP, ISL, 802.1q und VTP sauber konfigurieren und gegebenenfalls abschalten. Ansonsten bringen aus Sicherheitsgründen eingerichtete VLANs nämlich gar nichts da der Angreifer sich zwischen die VLANs hängt, quasi einen Trunk aufbaut. Einfacher noch ist es das komplette Netz per STP-DoS lahmzulegen - das kann jeder Depp.

Zwar funtionieren diese Angriffe, da OSI2 basiert, nicht übers Internet allerdings ließe sich das mit GRE-Tunneln auf die Switches trotzdem realisieren und generell kommen ja sowieso die meisten Angrifffe aus dem internen LAN.

mfg

cane

[cardo]

Lass doch bitte mal das Mittelgroße Unternehmen und den Kostenfaktor beiseite.

(Sonst würde unser Unternehmensnetzwerk nicht ausnahmslos aus CISCO-Devices bestehen und auch bestimmt nicht so unglaublich gut laufen.)

Mir geht es nur um die Geschwindigkeit und Ausfallsicherheit des Netzes.

Warum soll es keinen Sinn machen Layer 3 Switche für VLANs zu nutzen?

(Wenn ich einen Layer 2 Switch nehm, dann ist klar das ich keine Subnetze nehmen, da ein Layer 2 Switch ungefähr 10X so schnell ist wie ein Layer 3 Router)

Es geht mir hier nur um den Layer 3 Switch vergleich Zwischen Subnetzen und VLANs halt...

[cardo]

Sorry für den Doppelpost. Aber ich hab mich da nochmal Informiert.

VLANs sind meiner Meinung nach auf jeden Fall zu bevorziehen. Zumindest, wenn man Layer 2 Switches benutzt. Bei Layer 3 kann man sich drüber streiten.

[DennyB]

Mir geht es nur um die Geschwindigkeit und Ausfallsicherheit des Netzes.

Da ist immer Layer3 zu bevorzugen. Bis bei einem Failover Layer2 wieder einsatzbereit ist, dauert es u.a. wegen STP ein vielfaches laenger. Load-Balancing bekommst du auch erst mit Layer3 vernuenftig hin (mit VLANs ist das zwar auch zum kleinen Teil moeglich aber nur sehr sehr beschraenkt).

Warum soll es keinen Sinn machen Layer 3 Switche für VLANs zu nutzen?

Weil du kein Layer3 fuer VLANs brauchst, ausser um *dazwischen* zu routen. Wofuer also? Natuerlich geht es damit genauso...

(Wenn ich einen Layer 2 Switch nehm, dann ist klar das ich keine Subnetze nehmen, da ein Layer 2 Switch ungefähr 10X so schnell ist wie ein Layer 3 Router)

Was hat das nun mit der Geschwindigkeit zu tun. Du kannst ab Layer2 gar nicht nach Subnetzen aufteilen. Wenn du da nicht mit VLANs aufteilst hast du eine riesengrosse broadcast- und STP-Domain. Davon hast du doch nichts..

[cane]

(Sonst würde unser Unternehmensnetzwerk nicht ausnahmslos aus CISCO-Devices bestehen und auch bestimmt nicht so unglaublich gut laufen.)

Bei anderen Herstellern bekommst Du fürs gleiche Geld wesentlich mehr Geschwindigkeit. Und wie ich schon sagte - > 90 % aller Cisco Netze hat man in Minuten unter seiner Kontrolle :hells:

Mir geht es nur um die Geschwindigkeit und Ausfallsicherheit des Netzes.

Dazu müsstest Du erstmal die Configs der Routingprotokolle (welche werden überhaupt verwendet)), die verwendeten Trunks etc. offenlegen.

mfg

cane

[cardo]

Da ist immer Layer3 zu bevorzugen. Bis bei einem Failover Layer2 wieder einsatzbereit ist, dauert es u.a. wegen STP ein vielfaches laenger. Load-Balancing bekommst du auch erst mit Layer3 vernuenftig hin (mit VLANs ist das zwar auch zum kleinen Teil moeglich aber nur sehr sehr beschraenkt).

Hmm. Ich glaub nicht das Loadbalancing bei VLANs einer größe von 20 Hosts sinn macht. Also Layer 2 VLans scheinen also doch noch das einzig wahre zu sein oder?

Weil du kein Layer3 fuer VLANs brauchst, ausser um *dazwischen* zu routen. Wofuer also? Natuerlich geht es damit genauso...

Stimmt. Zum "routen" hab ich dann einen (bzw. 2 ) "Verteilungs-Schicht-Switch". D.h. ich der Switch regelt die Verteilung zwischen den Zugangs-Schicht-Switches.

Um dazwischen zu Routen brauche ich erst mal auch nur einen Layer 2 Switch. Diese beiden Verteilungs-Schicht-Switches sind wiederum jeweils an einem Kern-Backbone (Cisco Catalyst-6500 und 8500 Series) angeschlossen (Wire-Speed Multicasting, Multicast Routing)!

Was hat das nun mit der Geschwindigkeit zu tun. Du kannst ab Layer2 gar nicht nach Subnetzen aufteilen. Wenn du da nicht mit VLANs aufteilst hast du eine riesengrosse broadcast- und STP-Domain. Davon hast du doch nichts..

Also das hat sehr wohl was mit der Geschwindigkeit zu tun. Zwischen den einzelnen VLANs können die Pakete viel schneller verarbeitet werden als bei einem Router.

Bei anderen Herstellern bekommst Du fürs gleiche Geld wesentlich mehr Geschwindigkeit. Und wie ich schon sagte - > 90 % aller Cisco Netze hat man in Minuten unter seiner Kontrolle :hells:

Das mit den anderen Herstellern kann schon sein. Was das angeht hab ich keine Ahnung und will nicht drüber diskutieren. Ist mir auch egal...

Das Geld spielt sowieso keine Rolle. Hier gehts um die Theorie ;-)

Das hat sowieso nix mit meiner ursprünglichen Frage zu tun.

(Und ich glaub auch nicht das du so in unser Netz reinkommst. Das ist sicher. Mich würde mal interessieren, wie du versuchen würdest in unser Netz reinzukommen?)

Dazu müsstest Du erstmal die Configs der Routingprotokolle (welche werden überhaupt verwendet)), die verwendeten Trunks etc. offenlegen.

mfg

cane

Schon mal was von Datenschutz gehört. Das mache ich garantiert nicht.

[DennyB]

90 % aller Cisco Netze hat man in Minuten unter seiner Kontrolle

Das ist Schwachsinn und hat erstmal wenig mit dem Hersteller zu tun. (So als wenn ich sagen wuerde: Wenn du mit einem Ferrari faehrst, dann baust du einen Unfall) Sicher gibt es einige proprieateare Protkolle die, wenn sie nicht richtig eingesetzt oder abgesichert werden, ein recht hohes Sicherheitsrisiko sind, aber die Betonung liegt hier auf *nicht richtig abgesichert*.

Wenn der Security-Administrator unfaehig ist die Protokolle richtig zu konfigurieren, Security-Policies zu erstellen, Devices abzusichern, vernuenftige Filtermassnahmen und IPSs zu deployen, dann kann da Cisco am wenigsten fuer. Auch ziemlich alle Sicherheitsluecken von Cisco-Geraeten direkt, die bekannt geworden sind, haette man durch vernuenftigte Security-Implementationen von vornherein vermeiden koennen. Ich habe bis jetzt nur gute Erfahrungen mit Cisco-Netzwerken gemacht.

Ich glaub nicht das Loadbalancing bei VLANs einer größe von 20 Hosts sinn macht.

Das nicht, habe mich auch eher allgemein auf Layer3/Layer2 bezogen, nun nicht auf die Access-Switches.

Also das hat sehr wohl was mit der Geschwindigkeit zu tun. Zwischen den einzelnen VLANs können die Pakete viel schneller verarbeitet werden als bei einem Router.

Das ist klar, es ging hier aber um Layer2 und Layer3 Switches und nicht im Router. Bei einem Layer2 Switch hast du, wenn du weiter segmentieren willst, fast ueberhaupt keine andere Moeglichkeit als VLANs.

[cardo]

Danke für eure Antworten. Ich hab das Prinzip von VLAN + Subnetzen und den verschieden Layers jetzt verstanden.

[cane]

Das mit den anderen Herstellern kann schon sein. Was das angeht hab ich keine Ahnung und will nicht drüber diskutieren. Ist mir auch egal...

Das Geld spielt sowieso keine Rolle. Hier gehts um die Theorie ;-)

Das hat sowieso nix mit meiner ursprünglichen Frage zu tun.

(Und ich glaub auch nicht das du so in unser Netz reinkommst. Das ist sicher. Mich würde mal interessieren, wie du versuchen würdest in unser Netz reinzukommen?)

Schon mal was von Datenschutz gehört. Das mache ich garantiert nicht.

Was hat das mit Datenschutz zu tun? Wo ist das Probel wenn Du entpersonalisiert schilderst welche Protokolle wo verwendet werden?

Es geht nicht darum ins Netz rein zu kommen sondern um einen Atacker im Netz. Beispiel:

Man trennt per VLAN die Bereiche Admin, Office und Fibu weil einige Fibu-Daten Klartext versendet werden. So meint man sicher zu sein, das Mitarbeiter und Admins keine FIBU-Daten mitlesen können. Leider wurde vergessen STP auf allen ClientPorts zu deaktivieren oder "Spanning Tree Portfast BDPU Enhancment" / "STP Root Gurad Enhancment" zu aktivieren und konfigurieren. So kann jeder Mitarbeiter / Admin einen MitM Angriff durchführen da die BDPU Pakete von STP ohne jede Authentifizierung funktionieren und sich der Angreifer so selbst zum STP-Root wählen kann.

Das ist Schwachsinn und hat erstmal wenig mit dem Hersteller zu tun. (So als wenn ich sagen wuerde: Wenn du mit einem Ferrari faehrst, dann baust du einen Unfall) Sicher gibt es einige proprieateare Protkolle die, wenn sie nicht richtig eingesetzt oder abgesichert werden, ein recht hohes Sicherheitsrisiko sind, aber die Betonung liegt hier auf *nicht richtig abgesichert*.

Nein, einige Protokolle wie das propertiäre "Cisco Discovery Protocol" (CDP) lassen sich schlichtweg in keinster Weise absichern! Einzige Möglichjeit ist hier ein "no cdp run" um es komplett zu deaktivieren.

Wenn der Security-Administrator unfaehig ist die Protokolle richtig zu konfigurieren, Security-Policies zu erstellen, Devices abzusichern, vernuenftige Filtermassnahmen und IPSs zu deployen, dann kann da Cisco am wenigsten fuer. Auch ziemlich alle Sicherheitsluecken von Cisco-Geraeten direkt, die bekannt geworden sind, haette man durch vernuenftigte Security-Implementationen von vornherein vermeiden koennen. Ich habe bis jetzt nur gute Erfahrungen mit Cisco-Netzwerken gemacht.

Wie schon gesagt - manche Protokolle lassen sich gar nicht sicher konfigurieren. Zum IOS - da stecken noch dutzende Fehler drin die auch bei richtiger Konfiguration ausgenutzt werden können. Beispielsweise stellt FX von Phenoelit auf der Blackhat jedes Jahr einen 0day vor. Hier sieht man mal wie beliebt IOS auf der diesjährigen Blackhat Amerika war: http://blackhat.com/html/bh-media-archives/bh-multi-media-archives.html#USA-2005

Hier die Präsi von FX, sehr interessante neue Aspekte: http://blackhat.com/presentations/bh-federal-03/bh-fed-03-fx.pdf

Und warum ich Cisco schlussendlich persönlich nicht mag hat auch was mit dem unverschämten verhalten von Cisco gegenüber Mike Lynn auf der diesjährigen BlackHat zu tun: http://blackhat.com/html/bh-blackpage/bh-blackpage.html

Cisco ist sicherlich einer der Technologieführer, haben allerdings wie fast alle Vendors das sichere Programmieren zugunsten kürzerer Releasezyklen vernachlässigt. (Nicht nur) deswegen wird IOS ja momentan komplett neugeschrieben! Bin ich nur mal gespannt wieviele IT-Abteilungen überhaupt updaten - meine Erfahrung zeigt das mehr als die Hälfte der unternehmensinternen IT-Abteilungen gar nicht updaten, begründungen sind meist "läuft doch" oder "nachher geht noch was kauputt". Ich freue mich richtig auf den ersten Wurm der alle Ciscos mit altem IOS ins Nirvana schießt - dann sehen die Unternehmen auch mal wer die guten und vorrausschauenden Dienstleister / Sysadmins sind und wo die Scharen von Möchtegern-Sysadmins sich tummeln.

mfg

cane

[DennyB]

Nein, einige Protokolle wie das propertiäre "Cisco Discovery Protocol" (CDP) lassen sich schlichtweg in keinster Weise absichern! Einzige Möglichjeit ist hier ein "no cdp run" um es komplett zu deaktivieren.

Richtig, wer CDP auf WAN und Access-Interfaces laufen laesst ist selber Schuld. Auch Cisco selbst sagt, dass CDP vorrangig zu Troubleshooting und an bestimmten Stelle zu Management Zwecken verwendet werden soll und ansonsten deaktiviert gehoert. Wer solch ein proprietaeres Protkoll anwendet und sich dabei nichtmal an Cisco Guidelines haelt ist ebenfalls selber Schuld.

Ich kenne sehr wohl Blackhat mit ihren Veranstaltungen und gefundenen Cisco-Sicherheitsluecken. Ich habe niemals behauptet, dass Cisco Software fehlerfrei ist. Solange Software von Menschen geschrieben wird, gibt es so etwas nicht, das hat wenig mit Cisco zu tun.

Es gibt auch immernoch Leute die denken, dass wenn sie sich einen Linux statt eines Windows-Servers holen, sie vor Angriffen geschuetzt sind ohne viel tun zu muessen und am Ende dann doch in einem Bot-Netz landen. Ich habe lediglich gesagt, dass ein Grossteil der Angriffe um die so viel Wirbel gemacht wird mit einer durchgehenden vernuenftigten Security-Impementation im GANZEN Netzwerk vermieden werden haette koennen. Dass groesste Problem ist wohl, dass die meisten Admins dazu nicht faehig sind und nicht, dass Cisco Hard/Software so unglaublich unsicher ist.

[cane]

Solange Software von Menschen geschrieben wird, gibt es so etwas nicht, das hat wenig mit Cisco zu tun.

Sehe ich anders, bestes Beispiel ist eins meiner großen Vorbilder Dan J. Bernstein (DJB). Er programmierte den IMHO besten weil sichersten und performantesten MTA "qmail" und den sichersten DNS-Server djbdns. Auf qmail ist seit März 1997 eine Prämie für denjenigen ausgesetzt der einen Bug findet - war noch nie der Fall!

Sein Code ist kleiner als der aller anderen MTAs, modularer gehalten, die einzelnen Deamons vertrauen nicht blind den Ausgaben der anderen, es wird möglichst wenig geparst und es läuft nur ein Deamon als root. Außerdem verwendet DJB keine C-Bibliotheken die je nach System wechseln können sondern hat seine eigenen geschrieben.

Das man keinen sauberen, sicheren Code schreiben kann ist ein verlogenes Argument von Konzernen die es nur noch nie geschafft haben und Geschäft durch Abhängigkeit ihrer Kunden machen. Man kann es aber es sit teuer und die Programmierer müssen geschult werden. Das ist Fakt.

mfg

cane

[DennyB]

Ich kenne Bernstein und seine Entwicklungen. Dabei vergisst du aber u.a., dass diese Sachen mit Sicherheit als primaerem Ziel entwickelt wurden. BIND war zb. lediglich ein Abschlussprojekt von Berkeley und niemand konnte damals ahnen, dass es irgendwann so grosse Verbreitung erlangen wuerde. Dementsprechend gab es auch unzaehlige Bugs im Code, auch dadurch, dass es komplexer und komplexer geworden ist.

Auch finde ich es etwas vermessen, qmail und djbdns mit < 20000 Codezeilen (dafst mich hauen wenn das falsch ist, hatte irgendsoetwas in Erinnerung ) mit IOS zu vergleichen, einem Betriebsysystem, dass aus Millionen Zeilen von Code besteht. Menschen machen nunmal Fehler, je weniger komplex ein Projekt ist, desto geringer ist natuerlich die Wahrscheinlichkeit. Wenn dann noch von Anfang an Sicherheit noch der primaere Faktor ist, dann wird das ganze nochmal unwahrscheinlicher. Einen MTA mit ~40k Zeilen mit Sicherheit als Ziel neu zu schreiben ist eine Sache. Versuch das gleiche mal mit Windows )

Wenn man sich heutige Neuentwicklungen anschaut, dann geht der Trend oft auch in diese Richtung, da man sich heute den Gefahren mehr bewusst ist als frueher, das ist aber noch Lange keine Garantie fuer absolute Sicherheit.

EDIT: Ich habe das Gefuehl, dass wir langsam vom Thema abkommen

[hades]

Ich habe das Gefuehl, dass wir langsam vom Thema abkommen

Dem ist nichts mehr hinzuzufuegen, ausser:

~~~closed~~~