Hallo Speedbear, @GrandDixence und Nino_52
Bevor wir mit Spatzen auf Kanonen … ähm … mit Kanonen auf Spatzen schiessen, sollte man sich über das Verhalten der Netzwerkkomponenten unterhalten.
Im WLAN ist das Übermittlungsmedium offen und für alle zugänglich, egal ob man VLANs oder verschiedene SSIDs verwendet. D. h., jeder kann der gesamte Verkehr mitschneiden. Daher ist eine starke Verschlüsselung sehr wichtig. Denn der Angreifer kann nichts mit den mitgeschnittenen Datenpaketen anfangen, wenn es sie nicht entschlüsseln kann.
Im LAN sieht das ganze ein bisschen anders aus. Beim Einsatz von Switches (ich gehe stark davon aus, dass es niemand gibt, der heute noch Hubs verwendet … 😉) ist es so, dass nur der erste Paket an alle Ports gesendet wird, um herauszufinden, hinter welchem Port sich die angesprochene IP bzw. MAC-Adresse befindet. Sobald dies erledigt ist, dann merkt sich der Switch diese Information (ARP-Tabelle) und sendet die restlichen Pakete nur an diesen einen Port weiter. D. h., ab dem Zeitpunkt ist die Kommunikation zwischen den zwei Teilnehmern für all die anderen am Switch angeschlossenen Systeme “unsichtbar” und zwar unabhängig davon, ob man VLANs verwendet oder nicht.
Bedeutet dies, dass man im LAN keinen “fremden” Verkehr mitschneiden kann? Nein, definitiv nicht. Allerdings ist der Aufwand um einiges höher und es setzt voraus, dass der Angreifer Zugriff auf die Netzwerkinfrastruktur hat, z. B. um eine Port-Spiegelung auf dem Switch einzurichten.
Um die Frage von Speedbear zu beantworten, Die Zugangsdaten der Connect Box können in den meisten Fällen nur dann mitgeschnitten werden, wenn der Angriff via WLAN erfolgt und wenn die WLAN-Verschlüsselung nicht stark genug ist. Selbstverständlich wäre es viel besser, wenn man die Möglichkeit hätte, HTTPS und sogar eigene Zertifikate zu verwenden. Aber da muss UPC einiges an Qualität bei der zur Verfügung gestellten Hardware verbessern (bzw. liefern) … 😉
In Bezug auf den Einsatz von VLANs im Heimnetz lässt sich nur eins sagen: Je nach angestrebtem End-Zustand kann es sinnvoll sein, diese Technologie zu verwenden. Muss man es tun? Nein, definitiv nicht. Allerdings vereinfacht die Gestaltung von komplexen Netzen sehr stark und ist in der Regel Ressourcen schonender (nur ein Switch für alle Netzsegmente anstelle von einzelnen Switches für die jeweiligen Netzsegmente).
Ausserdem tragen VLANs etwas zur Erhöhung der Sicherheit bei (Einrichtung von Security Zonen mithilfe von Firewalls), und sie lassen sich über mehrere Switches hinweg transportieren, was im dem Szenario mit den einzelnen Switches pro Segment nicht möglich ist. Und nicht zu vergessen. Spätestens dann wenn man mit dem Gedanke spielt, VMs in getrennten Netzen einzusetzen, kommt man nicht mehr um VLANS herum … 🙂
Aber wie ich immer sage: Die einzige “richtige” Netzwerkkonfiguration ist nur diejenige, welche die eigenen Anforderungen abdeckt. Alles andere (z. B. “Performance Regel”) ist nur als Empfehlung zu betrachten. Man muss sich jedoch nicht daran halten, wenn die Empfehlungen nichts zur Erfüllung der eigenen Anforderungen beitragen.
Gruss
Belegnor
