Hallo Tobias, > Das verstehe ich jetzt so: > Hängt sich jemand an Thomas's L2-Switch 1 (Tags: 12,13,100,200) und gibt > sich eine IP und MAC aus dem Lehrernetz, dann kann der L2-Switch ihn > nicht taggen. Der Rechner muss aber über das Lehrernetz-Gateway > 10.30.10.254 zum server, sonst kommt er gar nicht weiter. Das Gateway > befindet sich aber im VLAN-50 getaggten Verkehr.
die L2 Switches sind "dumm". Dem Schüler steht immer nur ein VLAN am Port zur verfügung: und das macht für mich den Schutz aus. Egal was sie am Client machen, sie sind in einem nicht LZ VLAN. Nun wäre die Frage: was macht der L2 Switch, wenn ein auf Access (also nicht VLAN "aware") Port, also einer, der in nicht LZ VLAN ist, ein getaggtes Paket ankommt vom angreifenden CLient (es sei mal dahin gestellt, wie der Angreifer herausbekommen hat, welchen LVAN Tag das LZ VLAN hat). Meiner Meinung nach sollte der Port das Paket einfach verwerfen. > Ich behaupte also: mit einer gefakten MAC und IP bekomme ich am falschen > Port bei richtiger Konfiguration entweder die falsche oder keine VLAN-ID > im weiteren Verkehr und entsprechend der Konfiguration am L2/L3 Switch > komme ich nicht weiter.. ja: so sehe ich das auch. Die Pakete von einem Client in VLAN 155 bekommen am L2 switch ab dem uplink Port zum nächsten Switch die VLAN ID 155: da kann der Clietn erstmal nix dran drehen, es sei den, er schickt schon getaggte Pakete an den L2 Switch, welche dieser, nehme ich an, aufgrund der fehlenden VLAN awareness am Clientport verwirf. die VLAN ID > Was ist also, wenn der Spitzbube (Spitzmädel?) an der VLAN-tagging > barriere vorbeikommt? (entweder Fehlkonfig: er bekommt am falschen Port > trotzdem die richtige VLAN-ID 50, oder ich hab noch was falsch verstanden) kann ich mir nicht vorstellen, wie das gehen soll, außer über zuvor getaggte Pakete. > Dann kommt er tatsächlich mit einer IP aus dem Lehrernetz beim Server an > und der kann nicht feststellen, ob der Client an einem erlaubten Port > hängt. Soweit so gut. glaub ich nicht. > Nochmal anders herum: Eure Argumentation ist: Richtige IP+MAC, falsches > VLAN - und bis zum Server kommt Verkehr zustande, > zum LZ-NAS dagegen lässt der L3-Router aufgrund der VLAN-zugeordneten > ACL keinen Verkehr zu. > Dann ist der Knackpunkt doch im L3-Router: kann ich mich mit der > richtigen IP+MAC (10.30.10.x) in einem falschen VLAN (100) > (weiter)bewegen? Ich vermute stark: nein, denn ich sehe das falsche > Gateway (10.20.100.254). Selbst wenn ich irgendwie durch Tricks als > Client 10.30.10.x/12 eintrage um das gateway 10.20.100.254 in meinem > netzbereich zu haben. STellt sich die Frage, ob solche Pakete im > 10.30.10.x/24 Netz des Routers akzeptiert werden. nein, werden sie nicht. Geroutet wird nur, wenn die Netzwerkmaske auch stimmt. Das konnte ich daran merken, dass meine Drucker, nach einbau des L3 Switches, alle nicht mehr gingen: Grund war, dass sie fest eingetellte IPs hatten mit Netmask 255.240.0.0 und Gateway 10.16.1.254 Der Server konnte sie icht erreichen und sie den Server nicht. Ich hab nur die Netzwerkmaske korrigiert, und schon druckte es wieder. Ich habe bei dem ganzen Konzept wenig befürchtungen, das es Löcher hat, weil ein guter Freund von uns, der seit vielen Jahren Cisco Fortbildungen gibt, uns schon vor 3 Jahren sagte: ihr müßt subnetting machen. Der hat die config abgeklopft, vielleicht sogar mit entworfen. Und der spricht "netzwerkisch" auf Switchebene, und das nicht so stümperhaft wie ich :-) Viele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
