03.10.2012, 09:11

Stephan Mayer

Netzwerk

Für mehr Sicherheit mit VLANs sorgen

Sorgen Sie für mehr Sicherheit im Netzwerk mit VLANs ©iStockphoto.com/Alexsl

Um Sicherheit zu schaffen brauchen Sie: eine Netzwerkkarte mit VLAN-fähigem Treiber, einen PC als zusätzlichen Linux-Router, einen Smart Switch oder einen Router mit eingebauter VLAN-Fähigkeit.
Oft genug verlangen Arbeitgeber einen „vollständig abgesicherten Zugang“, bevor sie bereit sind, mit Arbeitnehmern über einen Remote-Zugriff auf Firmendaten oder gar einen Heimarbeitsplatz zu sprechen. In aller Regel gibt es den nur mit einer eigenen DSL-Leitung für den Remote-Zugriff, doch dieser ist teuer und oft genug technisch nicht realisierbar. Inzwischen ist aber eine bezahlbare Lösung erhältlich, die obendrein noch einfach zu konfigurieren und sicher ist – und sie funktioniert auch mit dem vorhandenen Internetzugang.
Die Trennung von Rechnern innerhalb eines Netzwerks ist in Firmen seit Jahren bekannt und bewährt: VLANs sorgen hier dafür, dass niemand unberechtigten Zugriff auf Buchhaltungs- und Geschäftsführungsdaten erhält. Bis vor kurzem waren die dafür nötigen Managed Switches aber viel zu teuer, um im Heimnetzwerk Freunde zu finden. Inzwischen haben aber alle etablierten Hersteller von Switches sogenannte Smart Switches im Programm, die viele Management-Funktionen per Web-Oberfläche ermöglichen. Im Gegensatz zu vollwertigen Managed Switches fehlt ihnen die Kommandozeile und Scriptfähigkeit, dafür sind sie erheblich preiswerter und zudem für den Laien viel einfacher zu bedienen – genau das Richtige also für das Heimnetzwerk.
26 professionelle Netzwerk-Programme für Verwaltung und Überwachung

Die Theorie: In einem „normalen“ Netzwerk ohne VLAN haben alle Rechner IP-Adressen aus demselben Subnetz. Trennt man einen Teil des Netzwerks mittels VLAN heraus, so „sehen“ die Rechner im VLAN den Breitband-Router nicht mehr – sie gehören ja dann zu einem anderen Subnetz. Die Trennung erfolgt über eine zusätzliche Kennzeichnung, die den Netzwerkpaketen mit auf den Weg gegeben wird: Der Switch entscheidet anhand der VLAN-ID, an welche Rechner er diese Pakete weiterleitet – und an welche eben nicht.

Deshalb benötigt man einen weiteren Router im Netzwerk, um eine Verbindung des neuen Subnetzes mit dem Breitband-Router herzustellen: Am einfachsten löst man das durch einen eigenen Linux-Rechner (hier im Beispiel mit openSUSE 11.4), der eigentlich nichts können muss, außer einfaches Routing. Dafür genügen ein kostengünstiger Prozessor sowie eine Netzwerkkarte.
Noch bequemer gestatten das nur Router, die VLAN direkt als Option anbieten: Cisco hat mit dem RV110W-E-G5-K9 einen VLAN-fähigen Router im Programm, der das Gleiche wie ein Linux-Router leistet. Wer auf die Stromrechnung schaut, den Linux-Rechner ebenfalls nur als Router verwendet und dem Gerät nicht noch zusätzliche Aufgaben überträgt, für den dürfte sich der rund 60 Euro teure Cisco-Router nach zwei Jahren über die Stromrechnung amortisiert haben.
So geht’s: Richten Sie auf dem Switch beziehungsweise Router laut Anleitung ein VLAN für die Ports ein, an die Sie den betreffenden PC und den Router anschließen werden. In diesem Beispiel erhält das VLAN die ID 40 und der Port mit Ihrem PC erhält ausschließlich das VLAN40 mit der Kennzeichnung untagged. Der Port für den Router erhält zusätzlich zum Standard-VLAN (ID 1) (untagged) VLAN 40 tagged. Damit kann der Router sowohl im bisherigen Netz mit dem eigentlichen Internetzugang kommunizieren als auch im VLAN mit den dort vorhandenen Rechnern. Ihren eigenen PC betreiben Sie bis zur Fertigstellung der Konfiguration an einem anderen Port.

Nun starten Sie den Linux-Router, auf dem neben der Minimal-Konfiguration noch das Paket „vlan“ installiert sein muss (nötigenfalls installieren Sie es mit „zypper install vlan“ nach). Starten Sie als root danach YaST und deaktivieren Sie unter „Sicherheit und Benutzer“ die Distributions-eigene Firewall (nachdem der Router ohnehin nur als Bindeglied zum eigentlichen Breitband-Router dient, ist sie unnötig).
Öffnen Sie nun eine Kommandozeile auf der grafischen Benutzeroberfläche, welche die openSUSE-Standard-Installation bereitstellt (KDE oder auch Gnome) – in der Minimal-Konfiguration steht Ihnen nur die Kommandozeile zur Verfügung – und geben Sie hier die neben stehende Befehlsfolge ein. Alternativ können Sie für das gleiche Ergebnis das Shell-Script aus dem Archiv PC-WELT-VLAN starten. Damit funktioniert Ihr Router. Nun müssen Sie Ihren Rechner so konfigurieren, dass er auch das VLAN benutzen kann.

Dazu schließen Sie ihn zuerst an den Switch-Port an, den Sie oben schon für das VLAN konfiguriert haben (VLAN ID40). Dann geben Sie ins Suchfeld über dem Windows-Button „Netzwerk“ ein und wählen „Netzwerk“. Hier klicken Sie in der linken Spalte „Netzwerk rechts“ an und wählen „Eigenschaften“ und dort wiederum „Adaptereinstellungen ändern“. Ein Rechtsklick auf die „LAN-Verbindung/Eigenschaften“ öffnet die Optionen für die Netzwerkkarte, in dem Sie unterhalb Ihrer Netzwerkkarte auf „Konfigurieren“ klicken. Wenn Sie hier keinen Reiter „VLAN“ vorfinden, haben Sie noch den Original-Microsoft-Treiber installiert. Dann müssen Sie für Ihre Netzwerkkarte die Originaltreiber vom Hersteller installieren. Danach wählen Sie „VLAN -> Neu“ und tragen unter ID die Zahl 40 ein. Ein Klick auf „OK“ konfiguriert die Netzwerkkarte neu. Im Vordergrundfenster „Netzwerkverbindungen“ finden Sie nun wieder eine neue LAN-Verbindung, die noch nicht konfiguriert ist. Klicken Sie sie rechts an und wählen Sie „Eigenschaften“, ein Doppelklick auf „Internetprotokoll Version 4 (TVP/IPv4)“ öffnet eine Optionsbox, in die Sie eine feste IP-Adresse (im Scriptbeispiel: 192.168.40.100) eintragen. Die Subnetzmaske 255.255.255.0 gibt Windows beim Klick in die leeren Felder vor, das richtige Gateway ist in diesem Beispiel 192.168.40.1, als DNS-Server können Sie Ihren Router aus dem bisherigen Netzwerk oder einen beliebigen freien DNS-Server eintragen. Bestätigen Sie noch die beiden Optionsboxen mit „OK“ und arbeiten Sie fortan mit diesem PC in einem eigenen Netzwerk ohne Kontakt zu Ihrem LAN.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

- Anzeige -
Marktplatz

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

1445353
Content Management by InterRed