[SAGE-MUC] Admin-Treffen mit Vortrag HEUTE, 13.9., 19h ct.

Stefan Mayr stefan at mayr-stefan.de
So Sep 26 20:03:27 CEST 2010


Servus,

Am 14.09.2010 11:25, schrieb tschokko at tschokko.de:
> Hallo zusammen,
>
> erstmal vielen Dank für's Zuhören gestern. Ich hoffe ich konnte einigen
> einen kleinen Eindruck vermitteln was mit I/O-Virtualisierung bezweckt
> werden soll und wohin es gehen wird.
>
> Aber gestern hatte ich einen interessanten Einwand. Es hieß es gibt in
> einem RFC zu VLANs eine sau dumme Security Formulierung! Leider kann
> irgendwie nichts passendes im Netz dazu finden. Wer kann mir den RFC
> nennen bzw. die Passage zeigen?
>

Nachdem ich soeben bei den IEEE-Standards war hab ich auch mal schnell 
802.1q überflogen - Sicherheit wird zwar mehrmals angesprochen aber ich 
habe auf die schnelle keine Bedenken bzgl. des Media-Sharings gefunden.

Bei den RFCs wusste ich nicht so recht wo ich suchen soll. Google hat 
mir dann http://tools.ietf.org/html/rfc5517#page-3 geliefert. Hier kann 
man eigentlich nur lesen, dass man Netze/Kunden voneinander isolieren 
will und das mit VLANs nur eingeschränkt tun kann. Es werden einige 
Bedenken angeführt die aber nichts mit der grundsätzlichen Sicherheit 
eines VLANs zu tun haben.

Von Cisco gibt es allerdings ein interessantes Whitepaper zu 
VLAN-Security: 
http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml
Aber auch hier bestehen die Risiken eher in der Interaktion anderer 
Protokolle, Herstellerimplemetierung und L2-Angriffe die nicht unbedingt 
auf schwächen im VLAN-Standard hindeuten.

Beim BSI ist es meines Erachtens auch etwas dünn:

M 5.62 Geeignete logische Segmentierung 
(https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m05/m05062.html) 
-> interessante Interpretation von "secure VLANs": L2-L3-Brücke zwischen 
den VLANs?? Macht man doch für gewöhnlich eh so, dass man zwischen VLANs 
normal oder über eine Firewall routet?

G 5.115 Überwindung der Grenzen zwischen VLANs 
(https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g05/g05115.html) 
-> eigentlich sehe ich hier entweder mögliche Implementierungsfehler 
oder erwartetes Verhalten: ein PC der sich für einen Switch ausgibt und 
die entsprechenden Protokolle spricht sollte sich verhalten wie ein 
Switch - oder nicht? Haben wir nicht kürzlich über Switche gesprochen 
die intern virtualisiert sind und auf Linuxbasis laufen?

Hat sonst jemand was gefunden oder noch eine mögliche Quelle im Hinterkopf?

Servus,


	Stefan