Managed Switch VLAN voor en na router - Veiligheidsrisico?

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • EmilneM
  • Registratie: December 2001
  • Laatst online: 15-09-2023
Ik maak gebruik van een managed switch om mijn internetsignaal om te zetten voordat deze naar mijn router gaat (met specifieke VLAN settings) en gebruik deze switch ook om mijn netwerk verder te verdelen. Daarom zit deze switch tegelijkertijd voor en na mijn router en daarmee dus ook deels voor mijn firewall. Zie bijgaand situatieschets.

Loop ik hiermee een veiligheidsrisico of zijn de poorten van elkaar afgescheiden dmv de VLAN settings? Is het beter om met twee losse switches te werken?

Context/Apparatuur:
- Internet glasvezel T-Mobile
- Media Convertor CTS CVT-3002-PLUS-DR
- Managed Switch TP-Link TL-5G106DE
- Linksys Velop Router + Mesh netwerk
- Geen separaat modem

Afbeeldingslocatie: https://tweakers.net/ext/f/AHdxMnpc8es34drrTSLfF7G6/full.jpg

Beste antwoord (via EmilneM op 28-02-2020 21:53)


  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 09:48
ewoutw schreef op dinsdag 25 februari 2020 @ 23:14:
Naar mij weten moeten de untagd Port en pvid altijd gelijk zijn...
Er zijn werkende configuraties te verzinnen waar je dit juist niet wil, maar die zijn inderdaad niet zo gebruikelijk.
EmilneM schreef op woensdag 26 februari 2020 @ 19:52:
[...]
Staan de settings verder veilig?
Ik denk dat het veiliger kan. Je interne LAN is nu VLAN1. Dus ik zou poort 16 (je glasvezel verbinding) geen PVID van 1 geven. Met poort 16 op PVID 1 komt untagged verkeer van je glasvezel verbinding (in principe onveilig want dit is extern verkeer) op je interne LAN terecht. Hoe onveilig dit is weet ik niet precies. Wellicht zorgt je ISP ervoor dat niemand (op hun admin's na dan) untagged verkeer op jouw glasvezel kan krijgen.

Daarnaast heb ik persoonlijk wat problemen met de veiligheid van deze TP-link "easy smart" switches. Alle poorten zitten automatisch en onaanpasbaar untagged in VLAN 1. Handig voor TP-link , het is nu moeilijk configuraties te creeëren die het onmogelijk maken de management interface van de switch te bereiken en dus hebben klanten minder support nodig. Maar alle poorten untagged in VLAN1 betekent wel dat als iemand eenmaal toegang heeft tot VLAN1 het gewoon een domme switch is geworden, dus weg veiligheid.
Daarnaast zit de management interface van de switch bij mijn weten ook in alle VLANs, dus ook in je internet VLAN. Wel moeilijk misbruik van te maken, want die management interface heeft neem ik aan een RFC1918 adres. Maar toch had ik liever gezien dat dit niet zo was.
Disclaimer, ik heb een oude hardware revisie van de TL-STG1016DE waar TP-link geen nieuwe firmware voor uitbrengt. Wellicht hebben ze voor nieuwere hardware revisies ook nieuwe firmware waarin bovenstaande problemen zijn opgelost.

Alle reacties


Acties:
  • 0 Henk 'm!

  • PD2JK
  • Registratie: Augustus 2001
  • Laatst online: 08:24

PD2JK

ouwe meuk is leuk

Ik zou mijn niet snel zorgen maken. Maar ook in VLAN's zitten zwakheden. In dat artikel staan ook een paar goede tips!

Om de zoveel tijd je switch updaten met de nieuwste firmware kan geen kwaad. ;)

Heeft van alles wat: 8088 - 286 - 386 - 486 - 5x86C - P54CS - P55C - P6:Pro/II/III - K7 - NetBurst :') - Core 2 - K8 - Core i$ - Zen4


Acties:
  • +1 Henk 'm!

  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 07:36
Op laag 2 gescheiden, dus dat zou, mits goed geconfigureerd ;), geen problemen mogen opleveren. Zorg ervoor dat je je interne vlan('s) niet actief hebt op de trunk, schakel DTP uit etc etc . . .

'Maar het heeft altijd zo gewerkt . . . . . . '


Acties:
  • 0 Henk 'm!

  • EmilneM
  • Registratie: December 2001
  • Laatst online: 15-09-2023
Thanks! Ik vermoed dat mijn settings goed staan maar wil het toch even checken omdat ik kwetsbaarheid van mijn netwerk wil voorkomen :).

Onderstaand de settings. Glasvezel komt binnen op poort 16, poort 1 gaat vervolgens naar router, router gaat terug naar poort 2 en de overige poorten zijn voor diverse apparaten verbonden via ethernet achter mijn router (router is hier de DHCP server). Tenslotte kan poort 15 evt gebruikt worden voor IPTV (maar nu niet in gebruik).

Staat dit zo goed?

VLAN Settings 1

VLAN settings 2

Acties:
  • 0 Henk 'm!

  • EmilneM
  • Registratie: December 2001
  • Laatst online: 15-09-2023
EmilneM schreef op woensdag 19 februari 2020 @ 20:37:
Thanks! Ik vermoed dat mijn settings goed staan maar wil het toch even checken omdat ik kwetsbaarheid van mijn netwerk wil voorkomen :).

Onderstaand de settings. Glasvezel komt binnen op poort 16, poort 1 gaat vervolgens naar router, router gaat terug naar poort 2 en de overige poorten zijn voor diverse apparaten verbonden via ethernet achter mijn router (router is hier de DHCP server). Tenslotte kan poort 15 evt gebruikt worden voor IPTV (maar nu niet in gebruik).

Staat dit zo goed?

[Afbeelding: VLAN Settings 1]

[Afbeelding: VLAN settings 2]
Staan settings zo goed? Dank!

Acties:
  • 0 Henk 'm!

  • ewoutw
  • Registratie: Oktober 2013
  • Laatst online: 11:57
Ik snap de config van Port 14 niet. Untagged vlan640 maar pvid 1.

Naar mij weten moeten de untagd Port en pvid altijd gelijk zijn...
Maar ik kan het ook zelf verkeerd begrepen hebben...

Acties:
  • 0 Henk 'm!

  • EmilneM
  • Registratie: December 2001
  • Laatst online: 15-09-2023
ewoutw schreef op dinsdag 25 februari 2020 @ 23:14:
Ik snap de config van Port 14 niet. Untagged vlan640 maar pvid 1.

Naar mij weten moeten de untagd Port en pvid altijd gelijk zijn...
Maar ik kan het ook zelf verkeerd begrepen hebben...
Foutje idd. Tnx. Heb 14 nu op vlan1 gezet.

Staan de settings verder veilig?

Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 09:48
ewoutw schreef op dinsdag 25 februari 2020 @ 23:14:
Naar mij weten moeten de untagd Port en pvid altijd gelijk zijn...
Er zijn werkende configuraties te verzinnen waar je dit juist niet wil, maar die zijn inderdaad niet zo gebruikelijk.
EmilneM schreef op woensdag 26 februari 2020 @ 19:52:
[...]
Staan de settings verder veilig?
Ik denk dat het veiliger kan. Je interne LAN is nu VLAN1. Dus ik zou poort 16 (je glasvezel verbinding) geen PVID van 1 geven. Met poort 16 op PVID 1 komt untagged verkeer van je glasvezel verbinding (in principe onveilig want dit is extern verkeer) op je interne LAN terecht. Hoe onveilig dit is weet ik niet precies. Wellicht zorgt je ISP ervoor dat niemand (op hun admin's na dan) untagged verkeer op jouw glasvezel kan krijgen.

Daarnaast heb ik persoonlijk wat problemen met de veiligheid van deze TP-link "easy smart" switches. Alle poorten zitten automatisch en onaanpasbaar untagged in VLAN 1. Handig voor TP-link , het is nu moeilijk configuraties te creeëren die het onmogelijk maken de management interface van de switch te bereiken en dus hebben klanten minder support nodig. Maar alle poorten untagged in VLAN1 betekent wel dat als iemand eenmaal toegang heeft tot VLAN1 het gewoon een domme switch is geworden, dus weg veiligheid.
Daarnaast zit de management interface van de switch bij mijn weten ook in alle VLANs, dus ook in je internet VLAN. Wel moeilijk misbruik van te maken, want die management interface heeft neem ik aan een RFC1918 adres. Maar toch had ik liever gezien dat dit niet zo was.
Disclaimer, ik heb een oude hardware revisie van de TL-STG1016DE waar TP-link geen nieuwe firmware voor uitbrengt. Wellicht hebben ze voor nieuwere hardware revisies ook nieuwe firmware waarin bovenstaande problemen zijn opgelost.

Acties:
  • 0 Henk 'm!

  • ewoutw
  • Registratie: Oktober 2013
  • Laatst online: 11:57
Dat is wel flink verbeterd. ik heb 2 easy switch's. en ik heb mezelf meerdere keren buitengesloten door tag-ports te maken. Iritante is juist dat web-gui alleen in vlan1 te bekijken is. Dus je heb minimaal 1 port in vlan1 untagd nodig....

Acties:
  • 0 Henk 'm!

  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 09:48
ewoutw schreef op vrijdag 28 februari 2020 @ 11:44:
Dat is wel flink verbeterd. ik heb 2 easy switch's. en ik heb mezelf meerdere keren buitengesloten door tag-ports te maken. Iritante is juist dat web-gui alleen in vlan1 te bekijken is. Dus je heb minimaal 1 port in vlan1 untagd nodig....
Extra veiligheid kan inderdaad soms irritant zijn. Maar kan je VLAN 1 niet gewoon tagged toevoegen aan de poort waarop je desktop zit en dan in je desktop een virtuele nic aanmaken met VLAN1 tagged?

Overigens, als OP ook VLAN1 kan verwijderen van poorten dan zou ik in zijn geval voor poorten 1, 15 en 16 doen. Lek je ook geen broadcasts op die poorten.
Pagina: 1