:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ingress- und Egress-Regeln
Die Ingress-Regeln sehen folgendermaßen aus. Jeder Frame kann eindeutig einem einzelnen VLAN zugeordnet werden. Es gibt dabei Frames mit expliziter Klassifizierung und ohne eine solche. Bei Frames mit einer eingetragenen VLAN-Protokollkennung (VPID) und einem VID-Feld gehört das Frame zu dem VLAN, das der VID-Wert repräsentiert, es sei denn, der spezielle VID-Wert „kein VLAN da“ wird benutzt. Frames ohne explizite Kennung werden dem VLAN zugeordnet, das sich durch die PVID VLAN-Kennung des Empfangsports ergibt.
Bei den Egress-Regeln sieht es so aus: wenn die VLAN-ID gleich der PVID des Ausgangsports ist, soll das Paket ungetagt gesendet werden. Enthielt der Header Prioritätsinformation, so wird diese ebenfalls übernommen und die VID gleich 0 gesetzt. Dann ist die FCS neu zu berechnen. Gilt VLAN-ID ungleich PVID, so wird normalerweise getagt übertragen, gegebenenfalls zuzüglich der Prioritätsinformation. Wird dabei die maximale PDU-Größe überschritten, darf keine Weiterleitung erfolgen. Ist der Ausgangsport für ungetagte Übertragung markiert, wird ohne Tag übertragen, wobei gegebenenfalls auch eine FCS-Neuberechnung erforderlich sein kann.
Die Tags werden nicht weiter strukturiert (Single Layer Tagging). Der Tag wird direkt hinter den DA/SA-Feldern eingefügt, wobei Änderungen für einzelne Ports durchführbar sein müssen. Der VLAN-Header enthält eine VLAN-Protokoll-Identifikation VPID, die das Frame als explizit getagt und 802.1Q-konform ausweist. Dies ist entweder ein Ethernet-Protokolltyp (2 Byte) oder ein SNAP-Header (8 Byte).
Außerdem enthält der VLAN-Header eine 2 Byte lange Kontrollinformation VCI mit Prioritätswert (3 Bit), Token Ring Encapsulation Flag (TR-enc 1 Bit) und VLAN-Identifikation, VID, auch VLAN-Tag genannt mit 12 Bit.
Untagging erfordert die Entfernung des VLAN-Headers, gegebenenfalls bei unterschiedlichen Medien die Anwendung von 802.1H und in jedem Falle die FCS-Neuberechnung.
Fazit
Zusammenfassend muss man damit folgendes festhalten. IEEE 802.1Q ist der Standard für VLANs auf der Schicht zwei. VLAN-Umgebungen können mit älteren IEEE 802.1D-Brückenumgebungen kombiniert werden. Die VLANs müssen dabei nicht unbedingt physikalisch zusammenhängend definiert werden. VLANs können sich also auch über verzweigte Netze erstrecken. Dies sind aber schon die einzigen Vorteile. Die Beschränkung auf einen Single Spanning Tree lässt keine Lastverteilung via VLAN-Konzept zu. Dies bedeutet, dass eine Vermeidung von Single Points of Failure zwar gesagt wurde aber nicht realisierbar ist.
VLANs nach IEEE 802.1Q führen automatisch zu Lösungen mit zentralen Switches.
Über den Autor
Dr. Franz-Joachim Kauffels ist seit über 25 Jahren als unabhängiger Unternehmensberater, Autor und Referent im Bereich Netzwerke selbständig tätig. Mit über 15 Fachbüchern in ca. 60 Auflagen und Ausgaben, über 1.200 Fachartikeln sowie unzähligen Vorträgen ist er ein fester und oftmals unbequemer Bestandteil der deutschsprachigen Netzwerkszene, immer auf der Suche nach dem größten Nutzen neuer Technologien für die Anwender. Sein besonderes Augenmerk galt immer der soliden Grundlagenausbildung.
Artikelfiles und Artikellinks
(ID:2022439)
:quality(80)/p7i.vogel.de/wcms/15/11/1511103c458971dbd7e1fc7646d53550/0104313435.jpeg "Ein VLAN ist ein logisches Teilnetzwerk eines physischen lokalen Netzwerks (LANs). (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/db/69/db6936868369237f625495eab983c263/0106316916.jpeg "LACP (Link Aggregation Control Protocol) ist ein standardisiertes Netzwerkprotokoll zur Bündelung mehrerer physikalischer Verbindungen nach IEEE 802.1AX. (Bild: gemeinfrei)")