Bundesamt für Sicherheit in der Informationstechnik

G 5.115 Überwindung der Grenzen zwischen VLANs

Virtual LANs (VLANs) werden zur logischen Strukturierung von Netzen verwendet. Dabei wird innerhalb eines physikalischen Netzes eine logische Netzstruktur abgebildet, indem funktionell zusammengehörende Arbeitsstationen und Server zu einem virtuellen Netz verbunden werden. Ein VLAN bildet gleichzeitig eine separate Broadcast-Domäne. Das bedeutet, dass Broadcasts nur innerhalb des VLANs verteilt werden. Ein VLAN kann sich hierbei über ein ganzes geswitchtes Netz hinziehen und braucht nicht nur auf einen einzelnen Switch beschränkt zu bleiben.

VLANs über mehrere Switches auszudehnen, wird durch unterschiedliche sogenannte Trunking-Protokolle realisiert. Hierbei wird pro Switch ein physischer Port für die Inter-Switch-Kommunikation reserviert, die logische Verbindung zwischen den Switches wird als Trunk bezeichnet. Ein Ethernet-Rahmen wird beim Informationsaustausch zwischen den Switches in das Trunking-Protokoll gekapselt. Dadurch ist der Ziel-Switch in der Lage, die Information dem entsprechenden VLAN zuzuordnen. Als Standards werden IEEE 802.1q und die proprietären Protokolle ISL (Inter Switch Link) und VTP (VLAN Trunking Protocol) des Herstellers Cisco verwendet.

Wenn sich ein Angreifer, der an einem Switch angeschlossen ist beispielsweise durch die Verwendung der Trunking-Protokolle ISL (Inter Switch Link) oder IEEE 802.1q als Switch ausgibt, ist es möglich, dadurch auf alle konfigurierten VLANs Zugriff zu erhalten und so Daten mitzulesen, die zu einem VLAN gehören, auf das der Angreifer normalerweise keinen Zugriff hat.

Mit Hilfe des proprietären Protokolls VTP werden Informationen über konfigurierte VLANs zwischen Cisco-Switches ausgetauscht. Dabei ist es möglich, die VLAN-Konfiguration eines zentralen VTP-Servers innerhalb einer VTP-Domäne auf alle beteiligten Switches zu verteilen. Dies vereinfacht zwar die Verwaltung von VLANs mit mehreren Switches, stellt gleichzeitig aber ein zusätzliches Sicherheitsrisiko dar: VTP unterstützt zwar die Authentisierung innerhalb einer VTP-Domäne, falls jedoch kein Passwort für die Authentisierung von Switches innerhalb einer Domäne gesetzt ist, kann ein Angreifer (beispielsweise auf einem eigenen Switch, der als VTP-Server konfiguriert ist) die gesamte VLAN-Architektur auf Switches der VTP-Domäne überschreiben.

Stand: Stand 2005