Deshalb habe ich mich mal
durch die Handbooks zu den betr. Switches (Nortel Baystack,
Level One Websmart, D-Link DGS) durchgewühlt.Dabei ist folgendes herausgekommen:
Es ist unmöglich, einen Switchport ohne 802.1q und ohne
protocol-based VLAN in
mehr als ein VLAN zu packen. Das geht nicht, und es kann gar
nicht gehen, weil
ja die VLAN-Unterscheidung anhand irgendwelcher Kriterien
getroffen werden muss.
Ich habe das Baystack Handbuch auch gelesen
Auf welcher Seite willst Du gelesen haben, dass man *nur* tagged VLANS erstellen kann? Ich beziehe mich auf das Kapitel über „Shared Servers“. Auf Seite 1-44 siehst Du, dass ausnahmslos alle Ports als „untagged“ angelegt werden, und in der Skizze 1-27 ist zu sehen, dass ein Port mehreren VLANs angehören kann.
Ich finde es allerdings irreführend von Nortel, das ins Kapitel IEEE 802.1Q VLAN Workgroups zu packen, wo größtenteils über „tagged“ VLANS gesprochen wird.
> Es ist unmöglich, einen Switchport ohne 802.1q und ohne
> protocol-based VLAN in
> mehr als ein VLAN zu packen. Das geht nicht, und es kann gar
> nicht gehen, weil
> ja die VLAN-Unterscheidung anhand irgendwelcher Kriterien
> getroffen werden muss.
Sehe ich nicht so, solange man einen einzigen reinen Layer-2 Switch betrachtet.
Ich spekuliere mal ein wenig drauflos, findest Du einen Denkfehler, diskutieren wir darüber.
Ausgangslage: Der Switch kennt als reines LAyer-2 gerät nur die MAC Adressen aller angeschlossenen Geräte und die Ports. Die VLAN Definition im Switch weist Ports, und damit MACs, an ein oder mehrere VLANs zu. Die Filterlogik im Switch hat nun nicht die geringsten Probleme, „normale“ (Unicast) MAC Pakete durchzulassen oder nicht: wenn Quell- und Zielport ein gemeinsames VLAN haben: durchlassen, sonst sperren. Ob Quell- und Zielport dabei auch noch in einem anderen, nicht gemeinsamen VLAN ein Beinchen haben interessiert nicht.
Unicast wäre damit 100% erschlagen.
Bleiben noch die Broadcasts.
FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF: unzulässig, sperren
FF:FF:FF:FF:FF:FF --> MAC: unzulässig, sperren
MAC --> FF:FF:FF:FF:FF:FF: notgedrungen an alle Ports in allen VLANS durchlassen
Scheint dass dieser Fall der 1. Knackpunkt ist. Nehmen wir an, der broadcastende Rechner PC1 sitzt in VLAN1. Dann erfährt ein Rechner PC2 in VLAN2, dass es die MAC Adresse PC1 gibt. PC1 seinerseits bekommt keine Kenntnisse zu PC2, da die ARP Antwort, die ja kein Broadcast ist, weggefiltert wird. Irrtümlich Daten an PC2 senden wird er also mangels MAC Adresse nicht. Aber auch PC2, der PC1 kennt, kann mit PC1 nicht wirklich reden, da alle Pakete von PC2 mit Zieladresse PC1 ausgefiltert werden. Also kann PC2 an PC1 nur Daten durchbekommen indem er sie ebenfalls broadcastet. Es gibt kein mir bekanntes Netzwerkprotokoll, das so kommuniziert. Ausnahme: IP Multicasting, aber das ist normalerweise nicht im Einsatz.
Man könnte nun, rein theoretisch, ein Programm schreiben, das auf PC1 und PC2 installiert werden muss, das ausschließlich über Broadcasts Daten in beide Richtungen austauscht, und das Kind wäre im Brunnen.
Abgesehen von der Frage, wer das tun soll, wie der „wer“ das Programm auf PC1 und PC2 installiert bekommt, und wie er einem dummen PC1 (Router!) sowas beibringt und es dann in seine Firmware flasht sind wir uns wahrscheinlich einig, dass man sich nur in ganz wenigen Szenarien, die hier sicher nicht zutreffen, vor einer solchen Attacke fürchten muss. Schließlich ist spätestens am Router Sendeschluss für Broadcasts, woraus folgt dass diese Art der Attacke nur in einem LAN, aber keinesfalls unter Beteiligung einer Internetanbindung Aussicht auf Erfolg hat.
- Knackpunkt:
FF:FF:FF:FF:FF:FF --> unbekannte (erfundene oder nicht gelernte) MAC
Dem L2 Switch bleibt nichts anderes übrig als das Paket durchzulassen wie ein Broadcast, nur dass diesmal auch niemand antwortet und niemand was lernt. Kann man also als Sonderfall von Knackpunkt 1 betrachten.
> Wirklich funktionieren tut das desweiteren nur, wenn ENTWEDER
> zwei Subnetze
> verwendet werden ODER der IP-Stack kaputt ist. Letzteres führt
> zu
> Sicherheitsproblemen (Details auf Wunsch).
Es gibt auch eine Welt außerhalb von IP (Layer-3) Switchen. Layer 2 ist zwar nicht State of the Art, aber manche fahren auch mit einem 15 Jahre alten Golf rum und kommen vorwärts 
> Unter’m Strich scheint mir, dass wir uns eh einig sind und nur
> ggf.
> unterschiedliche Begriffe benutzt haben 
Goldene Brücke, aber in diesem Fall unzutreffend.
Ich finds übrigens angenehm, mit Dir zu diskutieren. Und wenn ich jetzt einen Hochsicherheitstrakt auslegen müsste, wo ich bestens ausgerüstete Angreifer auf jeder (!) Seite meiner Installation befürchten mküsste, die nicht auf Einbruch sodnern auf Ausbruch aus sind (fast alle ernstzunehmenden Angriffe kommen von innen!) würde ich Dir sofort recht geben, L2 VLANs wären zu unsicher. Es kann nicht sein dass ein bestochener Admin oder Dienstleister einen präparierten PC in mein Rechenzentrum einschleppt und meine wertvollen Daten nach außen an einen ebenfalls präparierten Empfänger-PC broadcastet.
Hier gibg es aber nur um die Absicherung eines popeligen Internetzugangs.
…Armin
