Netzwerk

Für mehr Sicherheit mit VLANs sorgen

Mittwoch, 03.10.2012 | 09:11 von Stephan Mayer
Sorgen Sie für mehr Sicherheit im Netzwerk mit VLANs
Vergrößern Sorgen Sie für mehr Sicherheit im Netzwerk mit VLANs
© iStockphoto.com/Alexsl
Um Sicherheit zu schaffen brauchen Sie: eine Netzwerkkarte mit VLAN-fähigem Treiber, einen PC als zusätzlichen Linux-Router, einen Smart Switch oder einen Router mit eingebauter VLAN-Fähigkeit.
Oft genug verlangen Arbeitgeber einen „vollständig abgesicherten Zugang“, bevor sie bereit sind, mit Arbeitnehmern über einen Remote-Zugriff auf Firmendaten oder gar einen Heimarbeitsplatz zu sprechen. In aller Regel gibt es den nur mit einer eigenen DSL-Leitung für den Remote-Zugriff, doch dieser ist teuer und oft genug technisch nicht realisierbar. Inzwischen ist aber eine bezahlbare Lösung erhältlich, die obendrein noch einfach zu konfigurieren und sicher ist – und sie funktioniert auch mit dem vorhandenen Internetzugang.

Virtuelles LAN (VLAN)
Vergrößern Virtuelles LAN (VLAN)

Die Trennung von Rechnern innerhalb eines Netzwerks ist in Firmen seit Jahren bekannt und bewährt: VLANs sorgen hier dafür, dass niemand unberechtigten Zugriff auf Buchhaltungs- und Geschäftsführungsdaten erhält. Bis vor kurzem waren die dafür nötigen Managed Switches aber viel zu teuer, um im Heimnetzwerk Freunde zu finden. Inzwischen haben aber alle etablierten Hersteller von Switches sogenannte Smart Switches im Programm, die viele Management-Funktionen per Web-Oberfläche ermöglichen. Im Gegensatz zu vollwertigen Managed Switches fehlt ihnen die Kommandozeile und Scriptfähigkeit, dafür sind sie erheblich preiswerter und zudem für den Laien viel einfacher zu bedienen – genau das Richtige also für das Heimnetzwerk.



Die Theorie: In einem „normalen“ Netzwerk ohne VLAN haben alle Rechner IP-Adressen aus demselben Subnetz. Trennt man einen Teil des Netzwerks mittels VLAN heraus, so „sehen“ die Rechner im VLAN den Breitband-Router nicht mehr – sie gehören ja dann zu einem anderen Subnetz. Die Trennung erfolgt über eine zusätzliche Kennzeichnung, die den Netzwerkpaketen mit auf den Weg gegeben wird: Der Switch entscheidet anhand der VLAN-ID, an welche Rechner er diese Pakete weiterleitet – und an welche eben nicht.

Deshalb benötigt man einen weiteren Router im Netzwerk, um eine Verbindung des neuen Subnetzes mit dem Breitband-Router herzustellen: Am einfachsten löst man das durch einen eigenen Linux-Rechner (hier im Beispiel mit openSUSE 11.4), der eigentlich nichts können muss, außer einfaches Routing. Dafür genügen ein kostengünstiger Prozessor sowie eine Netzwerkkarte.

Eigenschaften des Treibers
Vergrößern Eigenschaften des Treibers

Noch bequemer gestatten das nur Router, die VLAN direkt als Option anbieten: Cisco hat mit dem RV110W-E-G5-K9 einen VLAN-fähigen Router im Programm, der das Gleiche wie ein Linux-Router leistet. Wer auf die Stromrechnung schaut, den Linux-Rechner ebenfalls nur als Router verwendet und dem Gerät nicht noch zusätzliche Aufgaben überträgt, für den dürfte sich der rund 60 Euro teure Cisco-Router nach zwei Jahren über die Stromrechnung amortisiert haben.


So geht’s: Richten Sie auf dem Switch beziehungsweise Router laut Anleitung ein VLAN für die Ports ein, an die Sie den betreffenden PC und den Router anschließen werden. In diesem Beispiel erhält das VLAN die ID 40 und der Port mit Ihrem PC erhält ausschließlich das VLAN40 mit der Kennzeichnung untagged. Der Port für den Router erhält zusätzlich zum Standard-VLAN (ID 1) (untagged) VLAN 40 tagged. Damit kann der Router sowohl im bisherigen Netz mit dem eigentlichen Internetzugang kommunizieren als auch im VLAN mit den dort vorhandenen Rechnern. Ihren eigenen PC betreiben Sie bis zur Fertigstellung der Konfiguration an einem anderen Port.

Nun starten Sie den Linux-Router, auf dem neben der Minimal-Konfiguration noch das Paket „vlan“ installiert sein muss (nötigenfalls installieren Sie es mit „zypper install vlan“ nach). Starten Sie als root danach YaST und deaktivieren Sie unter „Sicherheit und Benutzer“ die Distributions-eigene Firewall (nachdem der Router ohnehin nur als Bindeglied zum eigentlichen Breitband-Router dient, ist sie unnötig).

Öffnen Sie nun eine Kommandozeile auf der grafischen Benutzeroberfläche, welche die openSUSE-Standard-Installation bereitstellt (KDE oder auch Gnome) – in der Minimal-Konfiguration steht Ihnen nur die Kommandozeile zur Verfügung – und geben Sie hier die neben stehende Befehlsfolge ein. Alternativ können Sie für das gleiche Ergebnis das Shell-Script aus dem Archiv PC-WELT-VLAN starten. Damit funktioniert Ihr Router. Nun müssen Sie Ihren Rechner so konfigurieren, dass er auch das VLAN benutzen kann.

Dazu schließen Sie ihn zuerst an den Switch-Port an, den Sie oben schon für das VLAN konfiguriert haben (VLAN ID40). Dann geben Sie ins Suchfeld über dem Windows-Button „Netzwerk“ ein und wählen „Netzwerk“. Hier klicken Sie in der linken Spalte „Netzwerk rechts“ an und wählen „Eigenschaften“ und dort wiederum „Adaptereinstellungen ändern“. Ein Rechtsklick auf die „LAN-Verbindung/Eigenschaften“ öffnet die Optionen für die Netzwerkkarte, in dem Sie unterhalb Ihrer Netzwerkkarte auf „Konfigurieren“ klicken. Wenn Sie hier keinen Reiter „VLAN“ vorfinden, haben Sie noch den Original-Microsoft-Treiber installiert. Dann müssen Sie für Ihre Netzwerkkarte die Originaltreiber vom Hersteller installieren. Danach wählen Sie „VLAN -> Neu“ und tragen unter ID die Zahl 40 ein. Ein Klick auf „OK“ konfiguriert die Netzwerkkarte neu. Im Vordergrundfenster „Netzwerkverbindungen“ finden Sie nun wieder eine neue LAN-Verbindung, die noch nicht konfiguriert ist. Klicken Sie sie rechts an und wählen Sie „Eigenschaften“, ein Doppelklick auf „Internetprotokoll Version 4 (TVP/IPv4)“ öffnet eine Optionsbox, in die Sie eine feste IP-Adresse (im Scriptbeispiel: 192.168.40.100) eintragen. Die Subnetzmaske 255.255.255.0 gibt Windows beim Klick in die leeren Felder vor, das richtige Gateway ist in diesem Beispiel 192.168.40.1, als DNS-Server können Sie Ihren Router aus dem bisherigen Netzwerk oder einen beliebigen freien DNS-Server eintragen. Bestätigen Sie noch die beiden Optionsboxen mit „OK“ und arbeiten Sie fortan mit diesem PC in einem eigenen Netzwerk ohne Kontakt zu Ihrem LAN.

Mittwoch, 03.10.2012 | 09:11 von Stephan Mayer
Kommentieren Kommentare zu diesem Artikel (0)
1445353