Skip to content

falscher Einsatz von VLANs

Jeder, der bereits etwas über die Rand seiner Fritzbox hinaus geschaut hat, wird Kontakt mit dem Kürzel VLAN, ausgeschrieben Virtual Local Area Network, gemacht haben. Es ist, vereinfacht gesagt, eine relativ simple Sache, um mehrere Netzwerke getrennt innerhalb eines Netzwerks zu übertragen. Dazu erhält das Datenframe einfach eine kleine zusätzliche Markierung, dass sogenannte Tag, mit dem es dem korrekten Netzwerk zugeordnet werden kann. Die Hauptidee ist, dass man sich dadurch viel Hardware sparen kann, da man einen Switch in mehrere aufteilen kann, mehrere getrennte Netzwerke innerhalb desselben Kabels übertragen kann und so weiter.



Meine Beschreibung war jetzt sehr laienhaft und vereinfacht, denn in der Praxis ist es deutlich komplexer. Meistens liegt es aber nicht an der hochkomplexen Technik, sondern am mangelnden Verständnis.



Ich arbeite seit Anfang der 2000er mit VLANs, also für mich ist es keinerlei Problem, den kompletten Themenblock zu verstehen und umzusetzen.



Zu der Zeit waren VLANs eine Funktion der höherpreisigen Switches, welche ein Management hatten. In der heutigen Zeit findet man diese Funktionen selbst in den einfachsten Geräten, wenn man die Fritzbox und noch einfachere Router mal ausblendet. Denn im heimischen Netzwerk braucht man dieses normal nicht.



Ich bin ja in einigen Fachforen unterwegs, in denen sich immer häufiger auch Pro-Laien verirren, die ihre heimische IT kräftig überdrehen. Da wird dann für fast jedes Gerät ein VLAN erstellt, da diese der Meinung sind, es müsse von anderen Geräten aus Gründen getrennt sein. Aber direkt nach dieser Idee folgt meist das Scheitern der selbigen. Denn, wie gesagt, die Fritzbox und die ganzen Providerrouter können es nicht. Manche sind etwas schlauer und besorgen sich einen kleinen VLAN-fähigen Router oder haben einen Layer 3-Switch erworben.



Damit löst man einige Probleme, aber nicht alle. Denn VLANs trennen einfach nur, ein Netzwerk dient aber der Kommunikation, also muss diese wieder erlaubt werden.



Wer sich einen Layer 3-Switch besorgt hat, kann direkt wieder die VLANs auflösen, denn die Switches beherrschen zur Traffickontrolle ACLs, die im ersten Moment wie eine Firewall aussehen, aber keine sind. Man kann damit zwar Verbindungen von IP-Netzwerken oder -Hosts erlauben und verbieten, aber es ist keine Stateful Packet Inspection-Firewall, die sich auch darum kümmert, dass die Antwort auch zugelassen wird. Also eine Kommunikation von z.B. dem heimischen PC mit den Smartspeakern kann man ermöglichen, muss dann aber dafür sorgen, dass die ACLs in beide Richtungen offen sind. Damit ist es kein Sicherheitsgewinn, sondern die Trennung einfach nur sinnlos. Layer 3-Switches dienen dazu, Broadcastdomänen aufzubrechen, ehe diese eine Größe erreichen, in denen das Netzwerk durch die ganzen Broadcasts, die jedes Gerät aussendet, negativ beeinflußt wird.



Etwas besser haben die es, die einen VLAN-fähigen Router ihr Eigen nennen. Die Firewall der Router ist in der Regel eine Stateful Packet Inspection Firewall, also man kann das Schutzlevel erhöhen, indem der PC mit den Smartspeakern kommunizieren kann, die Antworten der Smartspeaker auch anschließend den PC erreichen können, aber ansonsten ist der PC vor den Smartspeakern geschützt.

Hier hat man aber auch einiges an Arbeit vor sich, da Firewallregelwerke sehr schnell ausufern können, je mehr VLANs im Einsatz sind, umso mehr muss am Ende durch die Firewall auch wieder zusammengeführt werden.



Ein böses Erwachen gibt es aber dann später, weil das ganze Smart Home-Zeug, seien es Lautsprecher, Lichtsteuerungen, Medienstreaming von Gerät zu Gerät und was nicht sonst noch alles, nicht mehr funktioniert. Denn viele dieser Geräte nutzen für die gegenseitige Erkennung und zum Teil auch für die Übertragung Multicast, welches zwar geroutet werden kann, aber in der Regel nicht wird oder eine Übertragung über einen Router hinweg sogar technisch verhindert wird. Sprich die App auf dem Smartphone kann den Smartspeaker, die Rollosteuerung oder was nicht sonst noch alles nicht sehen und steuern.



Die Behebung des letzten Problems liegt weit außerhalb der Möglichkeiten eine Pro-Laien, bei vielen Sachen würde sogar ein Netzwerkexperte scheitern, weil es einfach nicht vorgesehen ist und der Konfigurationsaufwand so hoch wäre, dass es sich nicht lohnt.



Warum schreibe ich dies alles? VLANs sind eine schöne technische Funktion, aber wie mit allem, sollte man diese sinnvoll einsetzen. Klar kann man sich zuhause je ein VLAN für die kabelgebundenen PCs, das WLAN, den Kühlschrank, die Smart Speaker, die Telefone und was nicht sonst noch alles anlegen, aber es ist kein Sicherheitsgewinn, wie es sich viele vorstellen, sondern einfach nur eine massive Komplexität und viel Frust, der dazu führt, dass man am Ende die Firewall deaktiviert und die VLANs stumpf über den Router ohne Einschränkung verbindet. Geräte, die für den Einsatz im heimischen Umfeld ausgelegt sind, sind nicht für den Einsatz mit VLANs gedacht, sondern hier ist die einfache Bedienung im Vordergrund.



Ja, ich setze in meinem heimischen Netzwerk VLANs ein, aber das sind ganze zwei. Eins nutze ich, eins nutzt mein Bruder. Mehr nicht, es ist einfach nur eine Netzwerktrennung und zwischen den beiden Netzwerken gibt es auch keinerlei Kommunikation. Es dient nur dazu, um Hardware und Verkabelung zu sparen.



Also nutzt VLANs sinnvoll und nicht aus fehlgeleiteten Gründen. Landwirte fahren ja auch nicht mit einem Sportwagen über die Felder, was potentiell auch funktionieren würde, aber mehr Probleme macht, als es irgendeinen Nutzen haben könnte.



PS: Früher habe ich auch VLANs eher mit der Gießkanne verteilt, aber mit vielen Jahren Erfahrung merkt man dann irgendwann selbst, dass ein funktionierendes Netzwerk besser ist als ein komplexes. Weniger ist mehr.



 


WTF?!

Letzte Woche hat mich der Filialleiter einer Filiale angerufen, die (leider) sehr häufig anruft:



"Wir hatten einen Ladendieb und wollen jetzt das Videomaterial sichern. Wir haben uns deine Anleitung genommen, sind jetzt drin und melden uns, wenn wir Fragen haben." Klick



Ahja, danke für die Meldung?!


Wenn man es nicht selber macht ...

Ich hab mich ja schon dass eine oder andere Mal über die Arbeit von Drittanbietern und ähnlichem aufgeregt. Heute ist es mal wieder soweit.



Wir arbeiten seit sehr langer Zeit mit demselben Sicherheitstechniker zusammen. Funktioniert auch ganz gut, ich mach die Planung, bekomm ein Angebot, beauftrage es, liefere die Parametrierung, so wie ich es haben will und die bauen die Anlage.



Früher hatten wir zwei Techniker, die immer für uns losgeschickt wurden, leider sind diese beiden mittlerweile so stark gefragt, dass es in der Regel nicht mehr klappt. Nicht schlimm, der Pool an Technikern ist groß, leider die qualitativen Unterschiede auch.



In einer Filiale ist ein Schaltmodul verbaut worden, dieses hat eine Besonderheit, die in der Dokumentation aufgeführt ist. Aber wer benötigt schon Dokumentationen. Der Logikteil und die Relais des Schaltmoduls haben gesonderte Spannungseingänge. Entweder legt man die Relais auf ein externes 12V-Netzteil oder man zieht eine Brücke vom Spannungseingang des Logikteils zum Spannungseingang des Relaisteils. Sind zwei Adern und fünf Zentimeter Draht.



Unser Elektriker hat das Schaltmodul von uns erhalten, sollte es in der Verteilung einbauen und dann ein Fernmeldekabel zur Alarmzentrale legen. Doku nicht beachtet, Drahtbrücke vergessen.



Danach kam dann der Sicherheitstechniker, hat die Anlage mit meiner Hilfe gängig gemacht und zuletzt ist aufgefallen, dass das Schaltmodul nicht funktioniert. Hab ihm dann erklärt, was er machen muss. Dabei kam es zu einem Unfall und der Logikteil wurde mit Netzspannung verbunden. Schaltmodul und Alarmzentrale tot. Passiert dem besten Techniker einmal und nie wieder.



Zentrale wurde getauscht, sonst keine Schäden, und die Anlage wurde dann einen Tag später in Betrieb genommen, ohne Schaltmodul. Dieses wurde dann vergessen und das Licht in der Filiale lies sich nicht ausschalten. Etwas später ist ein anderer Techniker hin, hat es ausgetauscht. Drahtbrücke wieder vergessen, stattdessen "der Elektriker muss was falsch angeschlossen haben".



Jetzt fahr ich die Tage hin, eine Drahtbrücke einbauen.



Kurz drauf hab ich eine Mail bekommen, andere Filiale, für den Lagerzugang werden weitere Transponder benötigt. Normal ist bei uns da ein Pinpad. Bilder der Filiale durchgegangen, leider stimmt es, kein Pinpad, ein reiner Transponderleser. Leser vertauscht. :-/



Jetzt fährt der Sicherheitstechniker hin und tauscht den Leser aus, kostenfrei, am anderen Ende der Republik.



Kommentar des Sicherheitstechnikers: Wenn man nicht alles selber macht ...



Schade, dass man sich heute nicht mehr auf Handwerker und Dienstleister so verlassen kann, wie es früher mal war.



 



PS: Hab letztens im Büro Kabel gelegt, nicht meine Aufgabe, aber so weiß ich, dass es funktioniert und genau so ist, wie ich/wir es brauche(n).


Ein Einsehen und jetzt ufert es aus

Vor einigen Jahren hatte ich ja darüber berichtet, dass Videoüberwachungen bei uns aus Kostengründen unerwünscht sind/waren.



Dieses Meinung hat sich vor etwa zwei Jahren schlagartig verändert. Wir hatten in einigen Filialen so hohe Warenverluste, dass es ein erstes Einsehen gab. Man hatte hier zwar noch immer Mitarbeiter im Verdacht, so dass die ersten Installationen sehr sparsam ausgeführt wurden und sich auf die Kassen und die Außentüren beschränkt waren. Wir haben hier zum Teil "Abfall" verarbeitet, also Kameras die z.B. von Zentralstandorten oder Objektübernahmen übrig blieben.



Man konnte was sehen, aber die Bilder waren nur bedingt hilfreich. Die Warenverluste stiegen weiter, in Höhen, bei denen am Ende jeder der Meinung war, dass diese nicht durch Mitarbeiter entstanden sein können.



Ein Einlenken zum Thema der beschränkten Videoüberwachung kam, als wir eine Filialfläche von einem Wettbewerber übernommen haben, der sich zurückgezogen hat. Hier waren auf der Fläche 16 Kameras verbaut, die wir übernommen haben. Wir kannten die Kameras bereits aus einem anderen Objekt und haben uns entschieden, diese nicht zu übernehmen, sondern zu ersetzen.



Bis zu diesem Zeitpunkt haben wir fast nur Kameras aus Axis´ M30-Reihe verbaut, also klein und günstig. Aber auch diese Kameras haben ihren Preis. Wir haben vorher schon mit Kameras von Hikvision rumgespielt und eine Notinstallation damit realisiert, waren mit den Kameras aber nicht zufrieden. Die Kameras aus der Notinstallation waren deutlich zu groß geraten, für den normalen Einzelhandelsbetrieb zu groß und eine Testkamera kam leider unbrauchbar bei uns an, so dass wir das Thema Hikvision zurückgestellt haben.



Für die neue Filialfläche haben wir uns dann, am Ende aus Kostengründen, dazu entschieden, doch mal Hikvision einzusetzen. Statt Full-HD wie bei Axis haben wir uns für 4MP-Kameras entschieden. Die Montagepunkte der bisherigen Kameras haben wir größtenteils übernommen. Hierbei handelte es sich um M10-Gewindestangen. Sehr simpel, sehr günstig und vollkommen ausreichend. Daran hing einfach ein Netzwerkkabel mit einem Keystone-Modul.



Als Kamera haben wir uns bei Hikvision für die DS-2CD2143G2-I entschieden, eine kompakte Kamera mit 4MP Auflösung, Fixed Focus, in der Filiale noch mit zwei unterschiedlichen Brennweiten, je nach Bedarf.



Zur Aufzeichnung nutzen wir die kleinste Synology Rackstation, zum Teil die RS217 in älteren Installationen, in neueren Installationen ist es dann die RS422+.



Seit einem Jahr läuft die Videoüberwachung in dieser Filiale jetzt, daraus sind schon einige sehr schöne Aufnahmen für die Polizei geworden. Von Anfang an waren wichtige Gremien, wie Datenschutz, Revision und Betriebsrat mit im Boot, die etwas ins Rollen gebracht haben, was wir nicht so erwartet haben: Kurz nach der Installation kam die Aufforderung seitens des Betriebsrats, dass wir jetzt bei Um- und Neubauten alle Filialen ähnlich ausstatten müssen. Die Beschränkungen seitens der Gremien ist gering (einige wenige Schwarzmasken, keine Sozialbereiche) und wir selbst fahren das Konzept des freien Zugangs, also jeder Mitarbeiter einer Filiale darf Zugriff auf die Videoüberwachung nehmen, damit dieser sieht, was die Videoüberwachung sieht.



Die Polizei freut´s auch. Deren Standardreaktion ist "so gutes Videomaterial haben wir selten".



Was ist in dem vergangenen Jahr dann daraus geworden? Jede Filiale will schnellstmöglich eine Videoüberwachung haben, pro Filiale verbauen wir im Schnitt 13 Kameras und mittlerweile habe ich Probleme, die Kameras in ausreichender Menge zu beschaffen. Ein Ende ist in den nächsten Jahren nicht in Sicht.



Übermorgen geht es weiter, Kameras montieren.


Es lebt wieder

Wie Ihr vermutlich gemerkt habt, war mein Blog lange Zeit weg.



Dies hatte mehrere Gründe, unter anderem mangelnde Zeit. Vor etwa drei Jahren sind mehrere Sachen zusammengekommen, die das Blog "zerstört" haben. Bei meinem Hoster gab es Änderungen, die ich nicht schnell genug übernommen habe, darunter ein Serverumzug und Updates. Zur Lösung des Problems hätte es nur ein einfaches Update von S9Y benötigt, welches aber schiefgegangen ist, da sich durch den Serverumzug ein Pfad geändert hat. Ende vom Lied waren dann massenhaft Fehler, die nach außen einfach nur mit einer weißen Seite dargestellt wurden.



Da mir die Zeit fehlte, mich darum zu kümmern, habe ich, aus Sicherheitsgründen, mein Webhostingpaket erstmal gesperrt.



Heute benötigte ich dann eine Information, die ich selbst hier im Blog hinterlegt hatte, aber selbst nicht mehr aufrufen konnte, was mich dann dazu bewegt hat, sämtliche Fehler zu beheben und damit das Blog zu reaktivieren.



In der Hoffnung, dass es hier in der nächsten Zeit etwas aktiver sein wird ...


Übersetzungsfehler in iOS bzw. iPadOS

Ich habe hier gerade mal meine Zeit genutzt, um ein Problem, was mich seit sehr langer Zeit mit Apple-Geräten verfolgt, zu beheben.



Es geht um die Anbindung der Geräte per WLAN mit WPA2-Enterprise und PEAP. Hierfür benötigt man zwingend auf der Serverseite ein Zertifikat und dieses Zertifikat sollte das Endgerät als vertrauenswürdige Zertifizierungsstelle akzeptieren.



Leider ist es so, dass bei der WLAN-Verbindung das Zertifikat des RADIUS-Servers, welchen man für WPA2-Enterprise benötigt, trotz korrekter Umgebung nicht als vertrauenswürdig akzeptiert wird. Wenn man sich dann die Details anschaut, findet man bei vielen der Unterpunkte die Zeile "Bedenklich". Daran habe ich mich aufgehängt und versucht, das Problem meiner Zertifikate zu beheben.



Wie sich dann nach einigen Stunden herausstellte, heißt es dann auf der Windows-Seite nicht "Bedenklich" sondern "kritisch", was im Umgang mit Zertifikaten nicht schlimm sondern eher normal ist. Damit wird klargestellt, dass bei der Nutzung eines Zertifikats das System einen Fehler erzeugen muss, wenn es mit der als kritisch markierten Erweiterung oder dem Inhalt der selben nichts anfangen kann.



Mein Problem hat sich am Ende als was ganz anderes herausgestellt und zwar als Standardverhalten von iOS bzw. iPadOS. Durch einen Eintrag in meiner Mobile Device Management-Lösung war das Problem sofort gegessen.