VLAN-Setup möglich?

541
Tenatious

Ich möchte sehen, ob mit VLAN Folgendes möglich ist:

Ich habe folgende Ausrüstung:

  • Ubiquiti EdgeRouter Lite
  • TP-LINK TL-SG1016PE Umschalter
  • Home Server
  • 4 x IP-Kameras

Ist es möglich, VLANs in der folgenden Konfiguration mit nur einem Schalter einzurichten:

  • Habe das normale Heimnetzwerk (dh alle Heimcomputer, Handys usw.) an, sagen Sie VLAN1.

  • Habe den Home Server im VLAN 2.

  • Habe die IP-Kameras auf VLAN 3.

Dann haben Sie die Möglichkeit für: VLAN 1 zur Kommunikation mit VLAN 2. VLAN 3 zur Kommunikation mit VLAN 2. Keine Verbindung für VLAN 3 zurück zu VLAN 1 zulassen, sondern Verbindung von VLAN 1 zu VLAN 3 zulassen.

Grundsätzlich, um die Kameras vom normalen Heimnetzwerk zu trennen, sodass sich niemand an seine Ethernet-Ports anschließen und auf das Netzwerk zugreifen kann, gleichzeitig aber auf den Heimserver, der sowohl von den Kameras als auch von zu Hause aus als NVR fungiert, zugegriffen werden kann Netzwerk.

1
* Verbindung von VLAN 3 nicht zurück zu VLAN 1 zulassen, sondern Verbindung von VLAN 1 nach VLAN 3 zulassen. * Es ist eine Sitzungsprüfung erforderlich (Verbindung von einem Knoten in VLAN1 zu einem Knoten in VLAN3 ist hergestellt) Es kann nicht auf L2 gelöst werden. VLANs können das also nicht. Akina vor 5 Jahren 0
Wie sieht es mit der Verwendung von VLANs und der Firewall des Edgerouters aus? Tenatious vor 5 Jahren 0
Die Firewall löst diese Aufgabe möglicherweise. Es kann eine Filteroption enthalten, die eine unidirektionale Verbindung zulässt und eine Rückwärtsverbindung ablehnt. Kann IHRE Firewall dies tun? Lesen Sie die Dokumentation ... In diesem Fall müssen Sie jedoch den gesamten Datenverkehr von / zu Kameras durch die Firewall übertragen ... damit VLANs überhaupt nicht benötigt werden. Akina vor 5 Jahren 0
(1) Das Hinzufügen von VLAN-Tags ist keine Sicherheitsfunktion. Jeder, der über einen Laptop verfügt und einen Port, der die markierten Pakete sieht, kann darauf zugreifen. (2) Um Zugriffsbeschränkungen zwischen Subnetzen zu implementieren, benötigen Sie eine Art Firewall und Hardware, auf der sie ausgeführt wird. Dies kann Ihr Heimserver, Ihr vorhandener Router oder eine zusätzliche Hardware sein. (3) Wenn die Ausrüstung vorhanden ist und alles auf dem Switch konfiguriert ist, funktioniert dies nicht. dirkt vor 5 Jahren 0
@Akina Dies ist durch Verwendung des Routings auf dem EdgeRouter (standardmäßig aktiviert) möglich. Fügen Sie Firewall-Regeln hinzu, um 1 bis 3 zuzulassen, zulassen, etablierte und verwandte 3 bis 1 und lassen Sie den Rest fallen. Sie * brauchen * die VLANs, ansonsten ist alles im selben LAN und Routing kommt nie in das LAN. Bob vor 5 Jahren 0
@dirkt Die zu schützenden Ports wären vermutlich die einzigen physisch zugänglichen (zB im Freien). Wenn diese Ports als "unmarkiert" mit der richtigen PVID konfiguriert sind, ist alles in Ordnung. Der Switch weist die Tags zu, nicht das an den Port angeschlossene Gerät. Wenn Sie davon ausgehen, dass jemand Zugriff auf die gekennzeichneten Ports (auch als "Trunk" bezeichnet) hat, fällt natürlich alles auseinander ... aber das liegt an Ihrer physischen Sicherheit. VLANs sind ein Sicherheitsmerkmal. Bob vor 5 Jahren 0
@ Bob: (1) Sie benötigen ein Bedrohungsmodell. Das Sichern von Kameras vor ungültigem Zugriff von innen ist eine weitere mögliche Bedrohung. (2) Die Trennung von LAN-Segmenten durch Firewalls ist das Sicherheitsmerkmal. Wie Sie sicherstellen, dass LAN-Segmente nicht gemischt werden, ist eine weitere Zutat: Durch Gruppieren von Ports, durch Verwendung verschiedener Switches oder sogar mit einer VLAN-Konfiguration, bei der keine Pakete "entkommen". Letzteres ist jedoch sehr zerbrechlich - man vergisst einen nicht gekennzeichneten Port und ist nicht mehr sicher. (3) VLAN-Tags machen diese Pakete nicht unsichtbar, und daher * ist * keine Sicherheitsfunktion. dirkt vor 5 Jahren 0
@dirkt, wenn sie sich in Ihrem Gebäude befinden, haben sie Ihre Kameras bereits getrennt. djsmiley2k vor 5 Jahren 0
@ djsmiley2k: Wenn ich Besucher bin und Dinge sehen kann, die ich beim Besuch nicht sehen sollte, ist das auch schlecht. Bedrohungsmodell ist nicht "gegen Einbrecher zu verteidigen". Oder nicht nur. dirkt vor 5 Jahren 0
@dirkt Die Frage stellt sich ziemlich klar ... Das Ziel ist, dass die Ports der Kamera (die sich möglicherweise außerhalb des Gebäudes befinden!) keinen Zugriff auf das restliche Heimnetzwerk zulassen. Solange dies nicht gekennzeichnete Ports sind, die nicht zu den anderen VLANs gehören, wird dies funktionieren. Wie in der Frage beschrieben, umfasst das Bedrohungsmodell nicht, dass jemand physischen Zugriff auf den Switch hat. Bob vor 5 Jahren 1
"Aber in diesem Fall müssen Sie den gesamten Datenverkehr von / zu Kameras durch die Firewall übertragen ... also brauchen VLANs überhaupt nicht." - Wie schlagen Sie das ohne VLans vor? @akina? djsmiley2k vor 5 Jahren 0

1 Antwort auf die Frage

3
Bob

Ich werde die VLAN-Konfiguration kurz erläutern. Ich verwende einen TP-Link Smart Switch als Referenz - der Easy Smart Switch-Bereich ist etwas anders, sollte aber auf dieselbe Weise mehr oder weniger machbar sein. Siehe Kapitel 6.3 und 6.4 im Handbuch.

  1. Sie möchten 802.1Q-VLANs konfigurieren, nicht die einfacheren "portbasierten".
  2. Geben Sie die VLAN-ID ein, die Sie konfigurieren möchten (z. B. 1).
  3. Wählen Sie die markierten Ports aus . Dies bedeutet, dass die Ports, zu denen Frames, die zu diesem VLAN gehören, mit dem VLAN-Tag gesendet werden . Verwenden Sie dies für Ports, die zu anderen VLAN-fähigen Geräten führen, z. B. Ihrem Router oder anderen verwalteten Switches.
  4. Wählen Sie die Ports ohne Tag aus . Frames, die zum VLAN gehören, werden ebenfalls an diese Ports gesendet, das VLAN-Tag wird jedoch auf dem Weg nach außen entfernt. Verwenden Sie dies für Ports, die zu Hosts führen (einschließlich Computer, Server und Kameras).
  5. Richten Sie Ihre PVIDs so ein, dass eingehende Frames auf nicht gekennzeichneten Ports ein Standard-Tag erhalten.

In Ihrem Fall würde VLAN 1 am Router-Port markiert und an jedem Port, an den sich Ihre Computer anschließen, mit einem Tag versehen (mit PVID 1 an denselben Ports). VLAN 2 würde am Router-Port und nicht am Server-Port (mit PVID 2 an diesem Port) markiert werden. VLAN 3 würde am Router-Port und nicht an den Kamera-Ports (mit PVID 3 an diesen Ports) markiert werden.

Sie müssen auch EdgeOS konfigurieren:

  1. Fügen Sie die VLAN - Schnittstellen, so dass sie jeweils eine eigene IP - Adresse und Subnet geben (Ich gehe davon aus 192.168.1.1/24, 192.168.2.1/24und der 192.168.3.1/24Einfachheit halber. Dies bedeutet, dass der Router mit der Adresse 192.168.3.1im 192.168.3.0/24Subnetz auf seiner VLAN - 3 - Schnittstelle.)
  2. Fügen Sie DHCP-Server hinzu, die jedes VLAN bedienen, und geben Sie ihnen ein eigenes Subnetz.
  3. Konfigurieren Sie die DHCP-Server, um das Gateway ("Router") für das EdgeOS-Gerät festzulegen. Dies sollte mit den in # 1 angegebenen IP-Adressen übereinstimmen.
  4. Fügen Sie die VLANs als DNS-Listenschnittstellen hinzu, wenn Sie Zugriff auf den Cache-DNS-Server des Routers erhalten sollen.

Standardmäßig leitet EdgeOS Pakete zwischen allen seinen Schnittstellen weiter. Sie möchten dies in bestimmten Szenarien blockieren, die mithilfe der EdgeOS-Firewall durchgeführt werden können.

  1. Als erstes sollten Sie einen Regelsatz hinzufügen, der den Zugriff von VLANs (2 und 3?) Auf die Verwaltungsschnittstelle des Routers verhindert. Es sollte ungefähr so ​​aussehen:

    1. Standardaktion: Ablegen
    2. Bearbeiten Sie den Regelsatz und legen Sie fest, dass er auf Schnittstellen angewendet wird => Fügen Sie Ihre VLAN-Schnittstellen in Richtung hinzu local. Stellen Sie sicher, dass das VLAN, von dem aus Sie den Router verwalten möchten, weiterhin Zugriff hat!
    3. Fügen Sie eine Regel hinzu, um TCP und UDP an Port 53 anzunehmen, um DNS zuzulassen
    4. Regel hinzufügen, um TCP und UDP in Establishedund RelatedZuständen zu akzeptieren (Registerkarte "Erweitert")

  2. Erstellen Sie einen neuen Regelsatz für einseitige 1 => 3, Standard Accept. Stellen Sie sicher, dass Sie ihn bearbeiten und nur auf die VLAN 1- und 3-Schnittstellen anwenden. Jetzt müssen Sie Ihre Regeln in der richtigen Reihenfolge hinzufügen. Ich würde vorschlagen:

    1. Fügen Sie eine Regel zu Acceptvon Source 192.168.1.0/24bis hinzu Destination 192.168.3.0/24. Dadurch kann 1 => 3 Verbindungen initiieren .
    2. Fügen Sie eine Regel zu Acceptvon Source 192.168.3.0/24in Destination 192.168.1.0/24in Establishedoder hinzu Related. Dies erlaubt 3 => 1 Antworten (Netzwerk ist bidirektional!) Für TCP und UDP.
    3. Fügen Sie eine Regel zu Dropvon Source 192.168.3.0/24bis hinzu Destination 192.168.1.0/24. Dies ist der Fallback, der alles ablehnt, was in Regel Nr. 2 nicht zulässig ist, dh 3 => 1 kann keine neuen Verbindungen initiieren.
  3. Möglicherweise möchten Sie auch Firewall-Regeln hinzufügen, die den Zugriff von VLAN 3 auf das Internet verhindern.

Hier gibt es ein wenig Diskussion: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Wenn Sie nichts dagegen unternehmen, sollte es von Anfang an 1 <=> 2 und 2 <=> 3 funktionieren. Beachten Sie, dass dies die Möglichkeit für einen Angreifer eröffnet, die Firewall Ihres Routers zu umgehen, indem Sie 3 => 2 => 1 wählen, wenn auf 2 eine Sicherheitsanfälligkeit besteht.

Denken Sie auch daran, dass diese Beispielkonfiguration standardmäßig einen expliziten Block von 3 => 1 zulässt - 3 kann jedoch weiterhin auf zukünftige VLANs zugreifen, die Sie einrichten. Eine sicherere (aber etwas komplexere) Konfiguration ist standardmäßig zu blockieren ( 192.168.0.0/16als letzte Regel in einem Regelsatz blockieren) und explizit 1 <=> 2, 2 <=> 3 und 1 => 3 zulassen. Sie folgt den gleichen allgemeinen Prinzipien ; Sie müssen lediglich Regeln hinzufügen, die explizit 2 zulassen und den Rest blockieren.

Verwandte Probleme