VLAN Netzwerk Segmentation vs SDN Netzwerk Segmentation
VLAN war eine der ersten Methoden zum Isolieren von Netzwerksegmenten und ist eine der einfachsten.
Um ein besseres Bild davon zu bekommen, wie VLAN funktioniert, vergleichen wir es mit einer moderneren Form des Netzwerk-Segmentierungsansatzes – Software Defined Networking (SDN).
VLAN-Segmentierung
So funktioniert die VLAN-Segmentierung.
Verbinden mit einem VLAN
Wenn ein Host eine Verbindung zu seinem VLAN-Subnetz herstellen möchte, wird die Anfrage des Geräts über das Internet an einen Router weitergeleitet, der die Anfrage dann sortiert und an den entsprechenden Switch sendet.
Ports & Switches
Dieser Switch überträgt Daten zum und vom entsprechenden Netzwerk-Segment.
Die Kontrolle, welche Benutzer auf welches VLAN zugreifen können, ist der Schlüssel zu einer sicheren Netzwerksegmentierung. In vielen Organisationen wird der Zugriff durch Zuweisen bestimmter VLAN-Mitgliedschaften zu Ports oder MAC-Adressen verwaltet. Diese Switches lassen dann nur das Senden und Empfangen von Daten an die richtigen Ports zu, sodass Netzwerk-Administratoren den VLAN-Zugriff in einer Organisation erzwingen können.
VLAN-Tagging
Ports sind jedoch nicht die einzige Möglichkeit, und auch Single-VLAN-Verbindungen können mit VLAN-Tagging erreicht werden.
Dadurch wird den gesendeten Ethernet-Frames ein kleiner Header hinzugefügt. Bei der Übertragung dieser Pakete überprüft der Switch das Tag doppelt und verhindert, dass Daten an andere VLAN-Subnetze weitergegeben werden. Noch besser ist, dass VLAN-Tags Layer 2 sind – getrennt von der IP-Adresse – Geräte können mit derselben VLAN-Struktur verbunden werden, auch wenn sie sich in unterschiedlichen IP-Adressbereichen befinden.
Obwohl Switches skalierbar und sehr flexibel sind, bleiben sie ein wesentlicher Bestandteil der VLAN-Implementierung. Aber diese physische Form der Netzwerk-Segmentierungsstrategie ist nicht mehr die einzige Option.
Segmentierung von Software Defined Networking (SDN)
SDN abstrahiert die Steuerungsebene vollständig von der physischen Hardware. Das bedeutet, dass SDNs sich nicht auf die physische Segmentierung verlassen, sondern die logische Segmentierung nutzen können, um einen ähnlichen Effekt zu erzielen.
Die Unterscheidung
In Bezug auf die Netzwerksegmentierung liegt der wichtige Unterschied jedoch darin, wie VLAN statische Gerätegruppen in physische Subnetze aufteilt, während SDN ein breiterer Ansatz ist, der den Netzwerkzugriff von Netzwerkgruppen, Geräten und Workloads von einem zentralen Bedienfeld aus verwalten kann.
Vorteile der VLAN-Segmentierung
Der Hauptvorteil der Segmentierung des gesamten Netzwerks besteht darin, dass sie die laterale oder Ost-West-Bewegung einschränkt.
Dadurch wird die Bewegungsfreiheit, die böswillige Akteure und Malware bei Angriffen auf Ihr Unternehmen einsetzen können, explizit eingeschränkt. Daneben bietet die VLAN-Segmentierung noch einige weitere Vorteile, die sich durch ihre Einfachheit auszeichnen.
Verbesserte Netzwerk-Performance
Innerhalb eines LANs senden alle Geräte ständig häufige Broadcasts, kommunizieren und lokalisieren Netzwerk-Ressourcen. Wenn LANs größer werden, kann dieser Hintergrunddatenverkehr schnell problematisch werden.
VLANs reduzieren die Netzwerküberlastung, indem sie einfach ein größeres Netzwerk in relevante Teile aufteilen.
Auf diese Weise reduzieren VLANs die Anforderungen an jedes Gerät, um auf diese endlosen Hintergrundanfragen zu antworten, und ermöglichen es ihnen daher, Ressourcen ausschließlich dem relevanten Datenverkehr zu widmen. Schließlich ist es aus der Sicht eines Administrators möglich, die Bandbreitennutzung jedes Subnetzes einzuschränken oder zu begrenzen, was dazu beiträgt, die Nutzung kostenpflichtiger Ressourcen zu moderieren.
Einfache Skalierung
Wenn ein Unternehmen über ein einfaches LAN hinaus in den VLAN-Bereich wächst, ist es wichtig, eine Architektur zu wählen, die weit darüber hinaus in die Zukunft skaliert werden kann. VLAN eignet sich gut für weiteres Wachstum, da neue Subnetze schnell eingerichtet werden können, ohne die breitere Struktur überarbeiten zu müssen.
Vereinfachte Netzwerkverwaltung
Durch die strategischere Gruppierung von Geräten kann die Netzwerkverwaltung von einer erheblichen Rationalisierung profitieren. Um dies zu erreichen, unterstützt die VLAN-Infrastruktur die praktische Verwaltung mit dem Management-VLAN. Dies ist standardmäßig VLAN 1 und überwacht das Gerät in jedem Subnetzwerk remote über SSH, Telnet und Syslog.
Mit einer Vielzahl von Vorteilen gegenüber einer typischen LAN-Architektur ist VLAN ein leicht zugänglicher erster Schritt in Richtung einer sichereren Architektur.
Nachteile von VLAN
Mit der Zugänglichkeit gehen jedoch eine Reihe von Sicherheits- und Leistungsbedenken einher.
Nicht von Natur aus Zero Trust
Da jedes Gerät und jeder Benutzer über ein Gruppen-VLAN verfügt, wird die Bedrohung, dass ein Angreifer einbricht und Zugriff auf alle Unternehmensgeheimnisse erhält, verringert. Das Risiko ist jedoch nicht endgültig verschwunden – es wird immer noch davon ausgegangen, dass jedes Gerät innerhalb des VLANS vertrauenswürdig ist.
Das bedeutet, dass für Angreifer einige Rollen von Natur aus wertvoller werden, um sie ins Visier zu nehmen – DevOps verdienen eine lobende Erwähnung für die böswillige Aufmerksamkeit, die sie erhalten.
Im Vergleich zu engeren Mikrosegmentierungsansätzen bedeutet das relativ einfache Design von VLAN, dass es nicht in der Lage ist, ohne weiteres Tooling auf sich ändernde segmentierte Netzwerkbedingungen und Geräteverhalten zu reagieren.
Nicht-universelle Segmentierung
Während VLANs durchaus eine Möglichkeit bieten, ein Netzwerk zu segmentieren, beginnt sich ihre Eignung für größere Organisationen zu verschlechtern, wenn man bedenkt, dass sie ein einzelnes physisches Netzwerk segmentieren.
Wenn Sie also zwei Büros haben, die beide über eigene IT-Teams und ein separates Netzwerk verfügen, ist die VLAN-Segmentierung nicht in der Lage, Subnetze zu verarbeiten, auf die beide IT-Teams gemeinsamen Zugriff benötigen. VLANs sind schließlich so konzipiert, dass sie den Netzwerk-Datenverkehr trennen – wenn Sie den Zugriff zwischen zwei VLANs zulassen möchten, benötigen Sie Inter-VLAN-Routing, das von Natur aus ein höheres Risiko darstellt und regelmäßige Überprüfungen der Inter-VLAN-Zugriffskontrolllisten erfordert.
Kann Schwachstellen einführen
Die Tatsache, dass die VLAN-Infrastruktur so gut etabliert ist, bedeutet, dass Angreifer über jahrzehntelange Erfahrung mit Angriffen verfügen. Dies birgt das Risiko, dass leichtes Missmanagement zu VLAN-Hopping führt.
Ein gefälschter Datenverkehr von VLAN 1 gewährt böswilligen Zugriff auf Trunk-Ports und damit auf den Rest der Netzwerksegmente.
Erstellen Sie eine zukunftssichere Topologie mit Check Point
Zero Trust ist mehr als ein Schlagwort in Unternehmen: Es ist eine Sicherheitsphilosophie, die jedes Gerät auf die individuellen Systeme und Ressourcen beschränkt, die es benötigt. Makrosegmentierung, wie z. B. VLAN-Subnetze, ist ein guter erster Schritt zur Implementierung dieses Ansatzes, aber es ist wichtig, weitere Schutzmaßnahmen für jedes Subnetz einzuführen.
Für die lokale Bereitstellung bietet die Firewall der nächsten Generation (NGFWs) von Check Pointvolle Transparenz und Kontrolle über den Datenverkehr und die Anforderungen, die in und zwischen Subnetzen fließen. Mit Optionen für einen hohen Bandbreitendurchsatz ermöglicht die Deep Packet Inspection der NGFW, bösartige Anfragen im letzten Moment abzufangen und zu stoppen. Erfahren Sie hier mit einer Demo, wie das geht.
Cloud-basierte Setups benötigen hingegen die Netzwerk-Virtualisierung und -Sicherheit, die CloudGuard Infrastructure as a Service (IaaS) bietet. Erfahren Sie, wie automatisierte Sicherheit in der öffentlichen, privaten und hybriden Cloud implementiert werden kann, und beginnen Sie noch heute mit der Umsetzung der Zero-Trust-Netzwerktopologie.
Feedback