VLAN

VLAN „Registr.MAC“

17. April 2024
🖨

Dieses VLAN ist das Netzwerk, das mit dem WLAN „Mauereglerei-PW-Registr.MAC“ assoziiert ist.

Ziele

Gerätesicht

Netzwerk um Geräte ins WLAN zu lassen, die

  • nur WPA2 PSK (also nur Passwort beim WLAN) beherrschen
  • auf die aus dem Netzwerk heraus ganz spezifische Zugriffe in einzelne andere Netzwerke benötigen
  • auf die von einzelnen Netzwerken aus erreichbar sein müssen

Dieses Netzwerk soll nur Geräte beinhalten, deren Bedürfnisse nicht anders erfüllt werden können.

Eine thematische Überschneidung besteht mit dem VLAN „WLAN-Gem.Geraet“, aber letzteres bietet eine einfachere Wartbarkeit und Zugreifbarkeit für die Anwender_innen, bietet dafür aber deutlich eingeschränktere Nutzungsmöglichkeiten.

Netzwerksicht

Da in diesem Netzwerk eine Vielzahl an Geräten existieren wird, deren Sicherheit (z.B. Aktualität der Firmware) wir nicht kontrollieren können gilt dieses als unsicheres Netzwerk, weshalb möglichst viele Einschränkungen getroffen werden müssen:

  • Geräte sollen möglichst wenig Schaden anrichten können
  • Es soll möglichst schwierig sein Geräte in dieses Netzwerk zu bringen

Idee

Grundgedanke siehe Konzept Gerätesegler (Planung), wobei mit einigen Abwandlungen:

  • Firewall
    Per default lässt die Firewall keine Kommunikation hinein oder hinaus zu.
    Regeln, was erlaubt ist werden per IP-Adress-Liste (leider nicht per MAC) definiert.
    Es besteht die Idee ein Skript zu schreiben, welches im Falle eines Mismatches zwischen MAC und IP siehe DHCP-Address-Reservation die IP aus der IP-Adress-Liste entfernt. Der erhöhte Aufwand lohnt aber vermutlich nicht, da der Angreifer im nächsten Schritt MAC-Spoofing versuchen würde.
  • Passwort
    Ein starkes Passwort im WLAN, dass nur der IT-Administration bekannt ist.
  • DHCP
    IP-Adressvergabe und Bekanntgabe des Standardgateways via DHCP wird ziemlich sicher benötigt werden. MAC-basierte „DHCP-Address-Reservation“ sorgt dafür, ein Gerät nur DHCP-Infos bekommt, wenn die MAC bekannt ist und statisch immer die gleiche IP bekommt. Wenn das Passwort gestohlen wird bietet dies bedingt Schutz. User können zumindest nicht gedankenlos ein Gerät in das WLAN hängen, bloß weil sie das Passwort haben. Sie müssten auch IP-Adresse und Standardgateway manuell konfigurieren. Außerdem darf die IP-Adresse nicht bereits durch ein anderes Gerät in Benutzung sein, das sonst Adresskonflikte die einwandfreie Benutzung des feindlichen Geräts behindern.
  • Physischer Zugang
    Wenn das Netzwerk über Ethernet zugänglich gemacht wird, dann nur an Orten, wo kein freier physischer Zugang besteht.
  • Client isolation
    Im WLAN lässt sich das mit Client-to-Client-Forwarding off unterbinden, während es im Ethernet keinen äquivalenten Mechanismus gibt. Darüber hinaus ist nicht geklärt, ob es nicht Geräte gibt, die innerhalb dieses Netzwerks mit einander kommunizieren wollen. Denkbar ist das VLAN in Subnetze zu spalten, und dann die Geräte per MAC (s.o.) den Subnetzen zuzuweisen. Dadurch ist ein Springen über die Subnetz-Grenze nicht mehr ohne manuelle Manipulation der IP möglich.
  • Verworfen: ARP
    Die Verwendung von Einschränkungen des ARP-Antworten würde nur nützen, wenn sicher alle Geräte direkt am Router angeschlossen sind (was bei WLAN mit gekapselter Kommunikation zum Router durchaus denkbar wäre, aber nicht z.B. via Ethernet, da normale Layer-2 Switches die Kommunikation zwischen Endgeräten erlauben würden. Die Funktionsweise von Client-To-Client-Forwarding auf den WAPs muss noch geklärt werden).

Beschreibung

in arbeit

  • Subnetz: 10.20.64.x/24
    also 254 Geräte, erweiterbar auf /18 für 16k Geräte,
    siehe IP-Adressen & VLAN Vereinheitlichung 2022
  • VLAN: 2064
  • DHCP: aktiv, kein Pool sondern statische Leases
  • Standardgateway: 10.20.64.1
  • Firewall: allow-Regeln für mehrere IP-Adress-Listen (s.u.)

Konfiguration

Interface

  • Name: „Registr.MAC – VLAN 2064
  • Type: VLAN
  • MTU: 1500
  • ARP: enabled
  • VLAN ID: 2064
  • Interface: bridge-lan
  • Service-Tag: no
  • Loop Protect: default
  • Send Intercal: 5 Sekunden
  • Disable Time: 5 Minuten

IP-Address

  • Address: 10.20.64.1/24 (= neue Router-Adressse)
  • Network: 10.20.64.0
  • Interface: „Registr.MAC – VLAN 2064

DHCP-Pool

keiner

    DHCP-Server

    • Name: „Registr.MAC
    • Interface: „Registr.MAC – VLAN 2064
    • Lease Time: 10 Minuten
    • Address-Pool: „keiener
    • Authorative: after 2s delay
    • Bootp Support: static
    • Use RADIUS: no
    • Always Broadcast: no („no“ = default, „yes“ = Antwortet Broadcast obwohl Ziel-IP bekannt)
    • Add ARP for Leases: no („no“ = default, Annahme: ARP wird über Interface geregelt)
    • Use Framed as Classless: yes („yes“ = default)
    • Conflict Detection: yes
    • Insert Queue before: first
    • Allow dual Stack Queue: yes

    DHCP-Server > Leases

    in Arbeit

    • MAC
    • IP

    DHCP-Netzwerk

    • Address: 10.20.64.0/24 (wie oben)
    • Gateway: 10.20.64.1
    • No-DNS: off
    • DNS-Servers: 10.20.64.1
    • NTP Servers: 10.20.64.1

    Firewall Address-List

    Es kann beliebig viele Address-Listen geben

    • Name: Registr.MAC – Gruppenname
    • Address: 10.20.64.abc-10.20.64.xyz

    Firewall-Rules

    • Mismatch zwischen VLAN-ID und IP-Adresse wird abgefragt
    • Accept-Regeln hängen individuell von der Address-List ab

    VLAN auf Switches

    nicht geplant

    WLAN – CAPsMAN

    • Security Cfg.
      • Name: M-PW-Registr.MAC
      • Authentication Type: WPA2 PSK
      • Encryption: aes ccm
      • Group Encryprion: aes ccm
      • Passphrase: ******
    • Configurations
      • Name: M-PW-Registr.MAC
      • Mode: ap
      • SSID: Mauerseglerei-PW-Registr.MAC
      • Bridge: Bridge-LAN
      • Client to Client Forwarding: yes
      • VLAN Mode: use tag
      • VLAN ID: 2041
      • Security: M-PW-Registr.MAC
    • Provisioning: überall M-PW-Registr.MAC als Slave hinzufügen

    Zuletzt bearbeitet am 22. April 2024 von Adrian Kowar

    Tags:

    Schreibe einen Kommentar