Beschreibung:

Es gibt eine Sicherheitslücke in der VLAN-Implementierung in Linux, über die Netzwerk-Pakete in beliebige VLANs gesendet werden können, wenn die Pakete mit dem VLAN-Tag 0 versehen werden. Die VLAN-ID 0 wird allerdings auch für VLAN-Prioritäts-Mapping verwendet, es handelt sich dabei also in der Regel um gewünschten Datenverkehr.

Um auf einem Switch der XS- oder GS-45xx Serie zu verhindern, dass entsprechende Pakete an angeschlossene Netzwerk-Teilnehmer gesendet werden, kann die Kommunikation mittels der ACL (Access Control List) auf mit dem Tagging-Modus Access versehenen Switch-Ports unterbunden werden. 

Das Unterbinden des mit VLAN-Tag 0 versehenen Datenverkehrs durch die ACL darf nur dann vorgenommen werden, wenn kein VLAN-Prioritäts-Mapping verwendet wird.



Voraussetzungen:

  • LCOS SX ab Version 5.10 Rel (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface
  • Bereits eingerichtete und funktionsfähige VLAN-Konfiguration


Vorgehensweise:

Konfiguration der ACL per Webinterface:

1. Verbinden Sie sich mit dem Webinterface des Switches und wechseln in das Menü QoS → Access Control Lists → Summary

2. Stellen Sie sicher, dass bei ACL Counters die Option Enable ausgewählt ist und klicken auf Add, um ein ACL-Objekt hinzuzufügen..

3. Passen Sie die folgenden Parameter an und klicken auf Submit:

  • ACL Type: Wählen Sie im Dropdown-Menü die Option Extended MAC aus.
  • ACL Identifier: Vergeben Sie einen aussagekräftigen Namen für das ACL-Objekt (in diesem Beispiel drop-tagged).

4. Wechseln Sie in den Reiter Configuration, stellen sicher, dass bei ACL Identifier das in Schritt 3. erstellte ACL-Objekt ausgewählt ist und klicken auf Add Rule, um eine MAC ACL Rule zu erstellen.

5. Passen Sie die folgenden Parameter an und klicken auf Submit:

  • Action: Stellen Sie sicher, dass die Option Deny ausgewählt ist.
  • Ethertype: Tragen Sie den Wert 8100 ein. Es handelt sich dabei um VLAN-tagged Frames (802.1Q)

6. Erstellen Sie eine weitere MAC ACL Rule, passen die folgenden Parameter an und klicken auf Submit:   

  • Action: Stellen Sie sicher, dass die Option Deny ausgewählt ist.
  • Ethertype: Tragen Sie den Wert 88A8 ein. Es handelt sich dabei um den Service Tag VLAN Identifier.  

7. Wechseln Sie in den Reiter Interfaces und klicken auf Add, um die Switch-Ports auszuwählen, auf denen die Kommunikation unterbunden werden soll.

8. Passen Sie die folgenden Parameter an und klicken auf Submit:

  • Interface: Wählen Sie die Switch-Ports mit dem Tagging-Modus Access aus, auf denen die VLAN-Kommunikation unterbunden werden soll (in diesem Beispiel 1/0/1 - 1/0/4).
  • Direction: Stellen Sie sicher, dass die Option Inbound ausgewählt ist.
  • ACL Identifier: Wählen Sie im Dropdown-Menü den in Schritt 3. erstellten ACL Identifier aus.

Die Kommunikation darf auf keinen Fall auf Switch-Ports mit den Tagging-Modi Hybrid und Trunk unterbunden werden, da ansonsten die VLAN-Kommunikation nicht mehr funktioniert!

9. Klicken Sie nach erfolgter Konfiguration in der rechten oberen Ecke auf  Save Configuration , damit die Konfiguration als  Start-Konfiguration  gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

10. Bestätigen Sie den Speichervorgang mit einem Klick auf  OK .



Konfiguration der ACL per LANCOM Management Cloud:

Wird der Switch über die LMC verwaltet, ist es empfehlenswert die ACL per Addin-Skript zu konfigurieren. Verwenden Sie dazu das beigefügte Addin-Skript.

XS-Series-ACL-VLAN.json

1. Importieren Sie das Addin-Skript in der LMC und tragen die Switch-Ports ein, auf dem der Tagging-Modus Access verwendet wird.

  • Prüfen Sie dazu im Webinterface, welche Switch-Ports den Tagging-Modus Access verwenden. Informationen zum Tagging-Modus Access finden Sie in diesem Knowledge Base Artikel unter Schritt 2.2.
  • Ersetzen Sie die INTERFACE-NUMBER durch einen Switch-Port mit dem Tagging-Modus Access (etwa der Port 1/0/1).
  • Es muss für jeden Switch-Port ein eigener Eintrag erstellt werden. Kopieren Sie daher für jeden weiteren Port die markierten Zeilen und und ersetzen die INTERFACE-NUMBER jeweils durch den entsprechenden Port.

2. Weisen Sie dass Addin-Skript dem Switch zu und rollen die Konfiguration aus.


Weitere Informationen zu Addin-Skripten finden Sie unter dem folgenden Link.

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH