Beschreibung:
Es gibt eine Sicherheitslücke in der VLAN-Implementierung in Linux, über die Netzwerk-Pakete in beliebige VLANs gesendet werden können, wenn die Pakete mit dem VLAN-Tag 0 versehen werden. Die VLAN-ID 0 wird allerdings auch für VLAN-Prioritäts-Mapping verwendet, es handelt sich dabei also in der Regel um gewünschten Datenverkehr.
Um auf einem Switch der XS- oder GS-45xx Serie zu verhindern, dass entsprechende Pakete an angeschlossene Netzwerk-Teilnehmer gesendet werden, kann die Kommunikation mittels der ACL (Access Control List) auf mit dem Tagging-Modus Access versehenen Switch-Ports unterbunden werden.
Das Unterbinden des mit VLAN-Tag 0 versehenen Datenverkehrs durch die ACL darf nur dann vorgenommen werden, wenn kein VLAN-Prioritäts-Mapping verwendet wird.
Voraussetzungen:
- LCOS SX ab Version 5.10 Rel (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface
- Bereits eingerichtete und funktionsfähige VLAN-Konfiguration
Vorgehensweise:
Konfiguration der ACL per Webinterface:
1. Verbinden Sie sich mit dem Webinterface des Switches und wechseln in das Menü QoS → Access Control Lists → Summary.
2. Stellen Sie sicher, dass bei ACL Counters die Option Enable ausgewählt ist und klicken auf Add, um ein ACL-Objekt hinzuzufügen..
3. Passen Sie die folgenden Parameter an und klicken auf Submit:
- ACL Type: Wählen Sie im Dropdown-Menü die Option Extended MAC aus.
- ACL Identifier: Vergeben Sie einen aussagekräftigen Namen für das ACL-Objekt (in diesem Beispiel drop-tagged).
4. Wechseln Sie in den Reiter Configuration, stellen sicher, dass bei ACL Identifier das in Schritt 3. erstellte ACL-Objekt ausgewählt ist und klicken auf Add Rule, um eine MAC ACL Rule zu erstellen.
5. Passen Sie die folgenden Parameter an und klicken auf Submit:
- Action: Stellen Sie sicher, dass die Option Deny ausgewählt ist.
- Ethertype: Tragen Sie den Wert 8100 ein. Es handelt sich dabei um VLAN-tagged Frames (802.1Q).
6. Erstellen Sie eine weitere MAC ACL Rule, passen die folgenden Parameter an und klicken auf Submit:
- Action: Stellen Sie sicher, dass die Option Deny ausgewählt ist.
- Ethertype: Tragen Sie den Wert 88A8 ein. Es handelt sich dabei um den Service Tag VLAN Identifier.
7. Wechseln Sie in den Reiter Interfaces und klicken auf Add, um die Switch-Ports auszuwählen, auf denen die Kommunikation unterbunden werden soll.
8. Passen Sie die folgenden Parameter an und klicken auf Submit:
- Interface: Wählen Sie die Switch-Ports mit dem Tagging-Modus Access aus, auf denen die VLAN-Kommunikation unterbunden werden soll (in diesem Beispiel 1/0/1 - 1/0/4).
- Direction: Stellen Sie sicher, dass die Option Inbound ausgewählt ist.
- ACL Identifier: Wählen Sie im Dropdown-Menü den in Schritt 3. erstellten ACL Identifier aus.
Die Kommunikation darf auf keinen Fall auf Switch-Ports mit den Tagging-Modi Hybrid und Trunk unterbunden werden, da ansonsten die VLAN-Kommunikation nicht mehr funktioniert!
9. Klicken Sie nach erfolgter Konfiguration in der rechten oberen Ecke auf Save Configuration , damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
10. Bestätigen Sie den Speichervorgang mit einem Klick auf OK .
Konfiguration der ACL per LANCOM Management Cloud:
Wird der Switch über die LMC verwaltet, ist es empfehlenswert die ACL per Addin-Skript zu konfigurieren. Verwenden Sie dazu das beigefügte Addin-Skript.
1. Importieren Sie das Addin-Skript in der LMC und tragen die Switch-Ports ein, auf dem der Tagging-Modus Access verwendet wird.
- Prüfen Sie dazu im Webinterface, welche Switch-Ports den Tagging-Modus Access verwenden. Informationen zum Tagging-Modus Access finden Sie in diesem Knowledge Base Artikel unter Schritt 2.2.
- Ersetzen Sie die INTERFACE-NUMBER durch einen Switch-Port mit dem Tagging-Modus Access (etwa der Port 1/0/1).
- Es muss für jeden Switch-Port ein eigener Eintrag erstellt werden. Kopieren Sie daher für jeden weiteren Port die markierten Zeilen und und ersetzen die INTERFACE-NUMBER jeweils durch den entsprechenden Port.
2. Weisen Sie dass Addin-Skript dem Switch zu und rollen die Konfiguration aus.
Weitere Informationen zu Addin-Skripten finden Sie unter dem folgenden Link.