Quelle anzeigen

Beschreibung:

Es gibt eine Sicherheitslücke in der VLAN-Implementierung in Linux, über die Netzwerk-Pakete in beliebige VLANs gesendet werden können, wenn die Pakete mit dem VLAN-Tag 0 versehen werden. Die VLAN-ID 0 wird allerdings auch für VLAN-Prioritäts-Mapping verwendet, es handelt sich dabei also in der Regel um gewünschten Datenverkehr.

Um auf einem Switch mit LCOS SX 5.xx zu verhindern, dass entsprechende Pakete an angeschlossene Netzwerk-Teilnehmer gesendet werden, kann die Kommunikation mittels der ACL (Access Control List) auf mit dem Tagging-Modus Access versehenen Switch-Ports unterbunden werden.

Das Unterbinden des mit VLAN-Tag 0 versehenen Datenverkehrs durch die ACL darf nur dann vorgenommen werden, wenn kein VLAN-Prioritäts-Mapping verwendet wird.

Voraussetzungen:

LANCOM Switch der folgenden Baureihen:
- XS-51xx / XS-6128QF
- GS-45xx / XS-45xx
- CS-8132F
- YS-7154CF
LCOS SX ab Version 5.10 bei XS-51xx / XS-6128QF (download aktuelle Version)
LCOS SX ab Version 5.20 bei GS-45xx / XS-45xx Switches (download aktuelle Version)
LCOS SX ab Version 5.30 bei CS-8132F und YS-7154CF Switches (download aktuelle Version)
Beliebiger Web-Browser für den Zugriff auf das Webinterface
Bereits eingerichtete und funktionsfähige VLAN-Konfiguration

Vorgehensweise:

Konfiguration der ACL per Webinterface:

1. Verbinden Sie sich mit dem Webinterface des Switches und wechseln in das Menü QoS → Access Control Lists → Summary.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen für Systemumschaltung, Routing, Sicherheit, und Inventarverwaltung, inklusive MAC-Adressentabelle und verschiedenen Port-Bezeichnungen wie SFP, QSFP und DDOS.

2. Stellen Sie sicher, dass bei ACL Counters die Option Enable ausgewählt ist und klicken auf Add, um ein ACL-Objekt hinzuzufügen..

Screenshot einer technischen Benutzeroberfläche zur Netzwerkkonfiguration mit Menüoptionen für Systemwechsel, Routing, Sicherheit, Qualitätsservice und Stapelung sowie Ansichten für Interfaces, VLANs, Kontrollebenenstatistiken und Zugriffskontrolllisten mit Details zu Zählern, Regelverwendung und Schnittstelleninformationen.

3. Passen Sie die folgenden Parameter an und klicken auf Submit:

ACL Type: Wählen Sie im Dropdown-Menü die Option Extended MAC aus.
ACL Identifier: Vergeben Sie einen aussagekräftigen Namen für das ACL-Objekt (in diesem Beispiel drop-tagged).

Generischer Alt-Text für Bild

4. Wechseln Sie in den Reiter Configuration, stellen sicher, dass bei ACL Identifier das in Schritt 3. erstellte ACL-Objekt ausgewählt ist und klicken auf Add Rule, um eine MAC ACL Rule zu erstellen.

Diese Bildbeschreibung zeigt eine technische Benutzeroberfläche für Netzwerkkonfiguration, die Menüpunkte wie System Switching, Routing, Security, QoS, Stacking und eine Detailansicht einer Access Control List mit Identifiern, Statusangaben und Match-Bedingungen umfasst.

5. Passen Sie die folgenden Parameter an und klicken auf Submit:

Action: Stellen Sie sicher, dass die Option Deny ausgewählt ist.
Ethertype: Tragen Sie den Wert 8100 ein. Es handelt sich dabei um VLAN-tagged Frames (802.1Q).

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von MAC ACL (Access Control List) Regeln, einschließlich Feldern für Quell- und Ziel-MAC-Adressen, Regelattribute und Logging-Optionen.

6. Erstellen Sie eine weitere MAC ACL Rule, passen die folgenden Parameter an und klicken auf Submit:

Action: Stellen Sie sicher, dass die Option Deny ausgewählt ist.
Ethertype: Tragen Sie den Wert 88A8 ein. Es handelt sich dabei um den Service Tag VLAN Identifier.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkeinstellungen, mit Optionen zur Zuweisung von ACL-Regeln, Ethertype, VLAN, Warteschlangen, Schnittstellen und Loggin-Parametern.

7. Wechseln Sie in den Reiter Interfaces und klicken auf Add, um die Switch-Ports auszuwählen, auf denen die Kommunikation unterbunden werden soll.

Bildschirmanzeige eines technischen Konfigurationsmenüs mit Optionen für Systemwechsel, Routing, Sicherheit, QoS, Stacking sowie weiteren technischen Statistiken und Zugriffskontrolllisten.

8. Passen Sie die folgenden Parameter an und klicken auf Submit:

Interface: Wählen Sie die Switch-Ports mit dem Tagging-Modus Access aus, auf denen die VLAN-Kommunikation unterbunden werden soll (in diesem Beispiel 1/0/1 - 1/0/4).
Direction: Stellen Sie sicher, dass die Option Inbound ausgewählt ist.
ACL Identifier: Wählen Sie im Dropdown-Menü den in Schritt 3. erstellten ACL Identifier aus.

Die Kommunikation darf auf keinen Fall auf Switch-Ports mit den Tagging-Modi Hybrid und Trunk unterbunden werden, da ansonsten die VLAN-Kommunikation nicht mehr funktioniert!

Sicht auf ein Benutzermenü, das Optionen für eingehenden und ausgehenden Datenverkehr anzeigt.

9. Klicken Sie nach erfolgter Konfiguration in der rechten oberen Ecke auf Save Configuration , damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Bildschirmansicht eines technischen Konfigurationsmenüs mit unklarem Text 'AaERENNRRERNDse'.

10. Bestätigen Sie den Speichervorgang mit einem Klick auf OK .

Bildschirmanzeige einer technischen Benutzeroberfläche mit unklarem, fragmentiertem Text, möglicherweise Teil eines Konfigurationsmenüs oder Diagramms.

Konfiguration der ACL per LANCOM Management Cloud:

Wird der Switch über die LMC verwaltet, ist es empfehlenswert die ACL per Addin-Skript zu konfigurieren. Verwenden Sie dazu das beigefügte Addin-Skript.

1. Importieren Sie das Addin-Skript in der LMC und tragen die Switch-Ports ein, auf dem der Tagging-Modus Access verwendet wird.

Prüfen Sie dazu im Webinterface, welche Switch-Ports den Tagging-Modus Access verwenden. Informationen zum Tagging-Modus Access finden Sie in diesem Knowledge Base Artikel unter Schritt 2.2.
Ersetzen Sie die INTERFACE-NUMBER durch einen Switch-Port mit dem Tagging-Modus Access (etwa der Port 1/0/1).
Es muss für jeden Switch-Port ein eigener Eintrag erstellt werden. Kopieren Sie daher für jeden weiteren Port die markierten Zeilen und und ersetzen die INTERFACE-NUMBER jeweils durch den entsprechenden Port.

Bildschirmanzeige eines technischen Konfigurationsmenüs mit Befehlszeilen zur Netzwerkkonfiguration, einschließlich Skriptbefehle für Sicherheitsregeln und Schnittstellenmanagement.

2. Weisen Sie dass Addin-Skript dem Switch zu und rollen die Konfiguration aus.

Weitere Informationen zu Addin-Skripten finden Sie unter dem folgenden Link.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.