falscher Einsatz von VLANs
Jeder, der bereits etwas über die Rand seiner Fritzbox hinaus geschaut hat, wird Kontakt mit dem Kürzel VLAN, ausgeschrieben Virtual Local Area Network, gemacht haben. Es ist, vereinfacht gesagt, eine relativ simple Sache, um mehrere Netzwerke getrennt innerhalb eines Netzwerks zu übertragen. Dazu erhält das Datenframe einfach eine kleine zusätzliche Markierung, dass sogenannte Tag, mit dem es dem korrekten Netzwerk zugeordnet werden kann. Die Hauptidee ist, dass man sich dadurch viel Hardware sparen kann, da man einen Switch in mehrere aufteilen kann, mehrere getrennte Netzwerke innerhalb desselben Kabels übertragen kann und so weiter.
Meine Beschreibung war jetzt sehr laienhaft und vereinfacht, denn in der Praxis ist es deutlich komplexer. Meistens liegt es aber nicht an der hochkomplexen Technik, sondern am mangelnden Verständnis.
Ich arbeite seit Anfang der 2000er mit VLANs, also für mich ist es keinerlei Problem, den kompletten Themenblock zu verstehen und umzusetzen.
Zu der Zeit waren VLANs eine Funktion der höherpreisigen Switches, welche ein Management hatten. In der heutigen Zeit findet man diese Funktionen selbst in den einfachsten Geräten, wenn man die Fritzbox und noch einfachere Router mal ausblendet. Denn im heimischen Netzwerk braucht man dieses normal nicht.
Ich bin ja in einigen Fachforen unterwegs, in denen sich immer häufiger auch Pro-Laien verirren, die ihre heimische IT kräftig überdrehen. Da wird dann für fast jedes Gerät ein VLAN erstellt, da diese der Meinung sind, es müsse von anderen Geräten aus Gründen getrennt sein. Aber direkt nach dieser Idee folgt meist das Scheitern der selbigen. Denn, wie gesagt, die Fritzbox und die ganzen Providerrouter können es nicht. Manche sind etwas schlauer und besorgen sich einen kleinen VLAN-fähigen Router oder haben einen Layer 3-Switch erworben.
Damit löst man einige Probleme, aber nicht alle. Denn VLANs trennen einfach nur, ein Netzwerk dient aber der Kommunikation, also muss diese wieder erlaubt werden.
Wer sich einen Layer 3-Switch besorgt hat, kann direkt wieder die VLANs auflösen, denn die Switches beherrschen zur Traffickontrolle ACLs, die im ersten Moment wie eine Firewall aussehen, aber keine sind. Man kann damit zwar Verbindungen von IP-Netzwerken oder -Hosts erlauben und verbieten, aber es ist keine Stateful Packet Inspection-Firewall, die sich auch darum kümmert, dass die Antwort auch zugelassen wird. Also eine Kommunikation von z.B. dem heimischen PC mit den Smartspeakern kann man ermöglichen, muss dann aber dafür sorgen, dass die ACLs in beide Richtungen offen sind. Damit ist es kein Sicherheitsgewinn, sondern die Trennung einfach nur sinnlos. Layer 3-Switches dienen dazu, Broadcastdomänen aufzubrechen, ehe diese eine Größe erreichen, in denen das Netzwerk durch die ganzen Broadcasts, die jedes Gerät aussendet, negativ beeinflußt wird.
Etwas besser haben die es, die einen VLAN-fähigen Router ihr Eigen nennen. Die Firewall der Router ist in der Regel eine Stateful Packet Inspection Firewall, also man kann das Schutzlevel erhöhen, indem der PC mit den Smartspeakern kommunizieren kann, die Antworten der Smartspeaker auch anschließend den PC erreichen können, aber ansonsten ist der PC vor den Smartspeakern geschützt.
Hier hat man aber auch einiges an Arbeit vor sich, da Firewallregelwerke sehr schnell ausufern können, je mehr VLANs im Einsatz sind, umso mehr muss am Ende durch die Firewall auch wieder zusammengeführt werden.
Ein böses Erwachen gibt es aber dann später, weil das ganze Smart Home-Zeug, seien es Lautsprecher, Lichtsteuerungen, Medienstreaming von Gerät zu Gerät und was nicht sonst noch alles, nicht mehr funktioniert. Denn viele dieser Geräte nutzen für die gegenseitige Erkennung und zum Teil auch für die Übertragung Multicast, welches zwar geroutet werden kann, aber in der Regel nicht wird oder eine Übertragung über einen Router hinweg sogar technisch verhindert wird. Sprich die App auf dem Smartphone kann den Smartspeaker, die Rollosteuerung oder was nicht sonst noch alles nicht sehen und steuern.
Die Behebung des letzten Problems liegt weit außerhalb der Möglichkeiten eine Pro-Laien, bei vielen Sachen würde sogar ein Netzwerkexperte scheitern, weil es einfach nicht vorgesehen ist und der Konfigurationsaufwand so hoch wäre, dass es sich nicht lohnt.
Warum schreibe ich dies alles? VLANs sind eine schöne technische Funktion, aber wie mit allem, sollte man diese sinnvoll einsetzen. Klar kann man sich zuhause je ein VLAN für die kabelgebundenen PCs, das WLAN, den Kühlschrank, die Smart Speaker, die Telefone und was nicht sonst noch alles anlegen, aber es ist kein Sicherheitsgewinn, wie es sich viele vorstellen, sondern einfach nur eine massive Komplexität und viel Frust, der dazu führt, dass man am Ende die Firewall deaktiviert und die VLANs stumpf über den Router ohne Einschränkung verbindet. Geräte, die für den Einsatz im heimischen Umfeld ausgelegt sind, sind nicht für den Einsatz mit VLANs gedacht, sondern hier ist die einfache Bedienung im Vordergrund.
Ja, ich setze in meinem heimischen Netzwerk VLANs ein, aber das sind ganze zwei. Eins nutze ich, eins nutzt mein Bruder. Mehr nicht, es ist einfach nur eine Netzwerktrennung und zwischen den beiden Netzwerken gibt es auch keinerlei Kommunikation. Es dient nur dazu, um Hardware und Verkabelung zu sparen.
Also nutzt VLANs sinnvoll und nicht aus fehlgeleiteten Gründen. Landwirte fahren ja auch nicht mit einem Sportwagen über die Felder, was potentiell auch funktionieren würde, aber mehr Probleme macht, als es irgendeinen Nutzen haben könnte.
PS: Früher habe ich auch VLANs eher mit der Gießkanne verteilt, aber mit vielen Jahren Erfahrung merkt man dann irgendwann selbst, dass ein funktionierendes Netzwerk besser ist als ein komplexes. Weniger ist mehr.