Poison Nuke 10 Geschrieben 28. Juni 2009 Melden Teilen Geschrieben 28. Juni 2009 Hallo, wie kann man Windows (egal welche Version ab XP aufwärts) beibringen, dass auch das eigene Subnetz in dem sich der Rechner befindet, ausschließlich über den Router erreichbar ist? Hintergrund: private VLANs auf dem Switch. eine reine Layer2 basierte Kommunikation ist damit unmöglich und ist auch Sinn und Zweck davon. Linux überzeuge ich recht einfach davon dass sein eigenes Subnetz ebenfalls nur über die Defaultroute erreichbar ist, in dem ich einfach eine Route eintrage. Nur wie sage ich das Windows? Wenn ich ROUTE ADD mache, dann existieren da dennoch erstmal die ganzen anderen Routen für das eigene Subnetz die offenbar vorrang haben und ich kann sie nicht entfernen :( Zitieren Link zu diesem Kommentar
Franz2 10 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Hallo, was willst du damit erreichen. Private Vlans sind eigentlich dazu da Traffic zwischen den Clients zu verhindern. Vielleicht kannst du kurz erklären warum es Traffic zwischen den Hosts geben soll. Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 29. Juni 2009 Autor Melden Teilen Geschrieben 29. Juni 2009 Was soll man da groß erklären? Es soll lediglich verhindert werden das irgendeine Kommunikation auf Layer 2 Basis abläuft außer die Kommunikation zum Router. sämtliche andere Kommunikation muss über Layer 3 laufen. Eben genau das wozu private VLANs da sind. Verhindert MAC Spoofing und DHCP Snoofing und viele andere Sachen. Die Frage ist halt nur, wie sage ich Windows, dass es das eigene Subnetz auch nur über den Router erreichen kann...ist halt von der Logik her etwas gegen die normale Netzwerklogik daher wird Windows da verständlicherweise ein Problem haben nur unter Linux geht es ja auch recht easy. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Selbst wenn da funktionieren sollte, was soll das genau bringen ? Verstehe ich nicht. Ein Hacker findet "seinen" Weg auch zum Router. Hats Du mal probiert was passiert, wenn Du den Default für den Subnet, der normal auf Deine lokale Adresser zeigt, auf den Router umbiegst ? K.A. ob das geht, währe aber einen Versuch wert . Mal Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Eine solche Route lässt sich eintragen, mit geringerer Metrik, aber ob das funktioniert ?! Ich weiss aber auch nicht, was als Ergebnis heraus kommen soll ... :D Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 29. Juni 2009 Autor Melden Teilen Geschrieben 29. Juni 2009 genau das bekomm ich eben nicht hin...zumindest nicht mit den Routebefehlen. Und da viele User ihre Windowsfirewall nutzen wollen ist das nutzen von Routing und RAS vorerst keine Option, würde ich zumindest versuchen zu vermeiden. und von den ganzen Layer 2 Attacken habt ihr noch nie was gehört? Zudem es nicht möglich sein soll, dass jemand Pakete mitsnifft solange sie nicht direkt zu ihm gehören. Eigentlich könnte man private VLANs als eine der besten Netzwerkerfindungen diesen Jahrhunderts bezeichnen, weil sie massiv viele Sicherheitsprobleme lösen. Nur Windows mags offenbar nicht. im übrigen, die PPPoE Verbindungen bei euren ISPs sind im Endeffekt auch nichts anderes wie pVLANs, nur das hier noch eine Authentifizierung stattfindet. So extrem muss es dann bei uns nicht sein, die Layer2 Abgrenzung ist schon mehr als genug :) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Du kannst selbstverständlich Deinen PC's eine Subnetmask von 255.255.255.254 mitgeben, wie bei PPPoE. Das muss dann nur noch Dein L3-Switch verstehen ;) Wer sagt, dass bei RAS die Firewall nicht funktioniert ? Vielleicht schreibst Du doch mal genu, was Du genau erreichen willst. Im LAN ist für Security IPSec die beste Wahl. Da kommt keiner ohne Schlüssel rein udn "Mitsniffen" geht auch nicht. Wobei das bei einem normalen Switch eh nicht geht. Da siehst Du auch nur "Deine" Pakete und die Broadcasts / Multicasts aus dem Subnet. -Zahni Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Aber was spricht denn dagegen, den VLANs eigene Netzwerkadressen zuzuweisen? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Das könnte auch gehen: Jedem PC sein VLAN :D Hoffentlich hat der Router genug Power... Den Sinn zweifle ich aberr immer noch an. Auch ein Hacker kann die VLAN-ID auf seinem "PC" einstellen. VLAN's sind IMHO nicht für Security-Dinge da. -Zahni Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Hast du 2 VLans aber beiden haben das gleiche Subnetz? Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 29. Juni 2009 Autor Melden Teilen Geschrieben 29. Juni 2009 hui nicht so viel aufeinmal. also eigentlich hatte ich nicht vor das Konzept als solches zu klären. in einem reinen Ciscoforum wäre jetzt wohl schon der Krieg ausgebrochen bei euren Rückantworten :D also ich will hier eigentlich nicht auf das Konzept von pVLANs an sich eingehen. das ist einfach zuviel für den Thread, es gehr mir hier grundlegend um das Problem mit Windows. kurz zu den Alternativen: die Anzahl der VLANs (4096) würde nicht ausreichen für alle angeschlossenen PCs. Die Anzahl der IP Adressen würde bei weitem nicht ausreichen um für jeden PC gleich 4 IPs zu verschwenden (Network, Broadcast, IP, GW), die RIPE würde uns den Kopf abhacken wenn wir in der heutigen Zeit so verschwenderisch mit IPv4 Adressen umgehen würden. und für einen Hacker ist es nebenbei unmöglich Pakete aus einem anderen VLAN zu empfangen, wenn man ihn nicht gerade an einen Trunkport anschließt und alle VLANs auf diesem Trunk erlaubt. Weil in dem Fall könnte man sich die VLANs gleich sparen. Und in einem größeren Netzwerk, wenn man der Router einen Adressaten nicht kennt, dann fliegen da auch schonmal Unicastpakete durchs Netz. Sind zwar nicht viele aber bei einem komplett gefüllten ClassC Netz kann es unter umständen mal vorkommen, jenachdem wieviele Millionen Pakete pro Sekunde da gerade rein oder rausgehen. In einem kleinen Netz fällt es halt nie auf weil die statistische Wahrscheinlichkeit recht gering ist aber je größer das Netz wird desto öfter passiert es. Auch IPsec ist nur eine End to End Verschlüsselung, daher nicht nutzbar für diese zwecke. pVLANs sind mehr oder weniger des Weisheits letzter Schluss. Punkt. Für weitere Diskussionen sollte das ganze ins Ciscoforum verschoben werden. Es soll jetzt ausschließlich die Frage geklärt werden, ein WindowsPC der in einem ClassC Netz ist das mit pVLANs abgegrenzt ist, wie man diesen davon überzeugt die Rechner im gleichen Netz zu erreichen. Windows Firewall mit ROuting und RAS...wie sollte das denn gehen? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Sorry, ich verstehe das Konzept immer noch nicht. Zu IPSec: IPsec ? Wikipedia Man das auch mit Zertifikaten machen. Jeder PC, der im Besitz des Zertifikats ist, darf am IP-Netz teilnehmen. Was würde Deiner Meinung nach nicht funktionieren ? Ohne kryptografische Lösungen kannst Du Netze heute nicht sicher machen. Einen Hacker kannst Du nicht daren hindern sich an die selbe Buchse wie ein "erlaubter" PC zu stecken. Die VLAN-ID (das ist nur eine Ergänzung "Tag" im Frame) und MAC-Adresse des erlaubten PC bekommt man leicht raus. Edit: Sowas könnte auch was für Dich sein: http://en.wikipedia.org/wiki/Nortel_Secure_Network_Access "Anmeldung" am Switch, arbeite mit NAP von MS zusammen. -Zahni Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 29. Juni 2009 Autor Melden Teilen Geschrieben 29. Juni 2009 keiner hat physikalisch Zugriff zu den Switchen und Computern außer die Administratoren. Alle User arbeiten remote. Da kann sich keiner einfach mal so an einen Switchport anstecken oder so. Und da die VLAN Tags vom Switch erzeugt werden ist es definitiv unmöglich für einen teilnehmenden Rechner da ein anderes VLAN Tag zu bekommen. Und ich frage hier nicht nach alternativen. Diese sind nämlich fast alle gar nicht umsetzbar. Und meine Frage richtet sich hier auch nicht nach alternativen ich will einfach wissen wie man Windows dazu bringt auch das lokale Subnetz über den Router anzusprechen. Mehr nicht. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. Juni 2009 Melden Teilen Geschrieben 29. Juni 2009 Howto zum MAC-Adressen und VLAN-ID rausbekommen: Externen Sniffer nehmen, zwischen LAN-Dose und PC stecken, PC hochfahren, kurz auf die ersten Frames gucken, die der PC schickt, MAC-Adresse und VLAN-ID kennen. Nun PC abklemmen und mitgebrachten NB anstöpseln - fertig. Ich versuche Dir nur zu erklären, dass Deine Lösung eventuell nicht so gut ist wie Du glaubst. Sonst wäre da schon jemand anders drauf gekommen... -Zahni Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 29. Juni 2009 Autor Melden Teilen Geschrieben 29. Juni 2009 würdest du bitte meine Beiträge erstmal richtig lesen. NIEMAND außer mir und die anderen Administratoren hat physikalisch Zugang zum Rechenzentrum. Es kann da einfach keiner mal eben was umstecken. Schön das man auf deine Weise da irgendwie die VLAN_ID rausbekommen könnte, aber das geht vllt zuhause oder in einem normalen Büroumfeld aber das wars auch schon. Ganz so **** bin ich ja nun auch nicht. und jetzt nochmal kurz und deutlich: dieser Thread ist nicht dazu gedacht die Vor- und Nachteile von pVLANs zu erklären. Dieser THread ist dazu gedacht das o.g. Problem mit Windows zu umgehen. Mehr nicht. Wenn Interesse besteht kann ich auch gern einen Thread im Ciscobereich aufmachen bezüglich pVLAN, weil mir scheint die wenigsten hier wissen überhaupt worum es da geht und stellen lediglich wild irgendwelche Vermutungen an ohne den Hintergrund zu kennen. Nur ich dachte es wäre möglich dass man erstmal grundlegend die Frage klärt um die es in einem Thread geht, weil wenn der Threadersteller vllt mehrfach darauf hinweist könnte es schon sein das er weiß wovon er redet, oder etwa nicht? ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.