Skip to content

Was ist ein VLAN, und welchen Sicherheitswert hat es?

Kurzantwort

Ein VLAN (Virtual LAN) partitioniert einen physischen Switch logisch in getrennte Layer-2-Broadcast-Domänen, sodass Geräte in unterschiedlichen VLANs sich selbst auf derselben Hardware nicht direkt erreichen können. Es wird auf Trunk-Verbindungen mit einem 802.1Q-Tag gekennzeichnet. Der Sicherheitswert ist die Segmentierung: das Isolieren von Benutzer-, Server-, Gast- und IoT-Verkehr begrenzt die Broadcast-Reichweite und die laterale Bewegung, wobei VLAN-übergreifender Verkehr durch einen Router oder eine Firewall geleitet wird, wo Richtlinien angewendet werden.

Ein VLAN lässt einen einzigen physischen Switch sich wie mehrere unabhängige Switches verhalten. Statt für jedes Netzsegment getrennte Hardware zu kaufen, weisen Sie Ports virtuellen LANs zu, die den Verkehr der anderen auf Layer 2 nicht sehen. Es ist eines der gängigsten, kostengünstigsten Segmentierungswerkzeuge, weshalb es in Interviews auftaucht.

Wie VLANs funktionieren

Jedes VLAN ist seine eigene Broadcast-Domäne. Ein auf VLAN 10 gesendeter Frame bleibt innerhalb der Ports von VLAN 10; ein Host auf VLAN 20 sieht ihn nie. Access-Ports tragen den ungetaggten Verkehr eines einzelnen VLANs (ein dort eingestöpselter Arbeitsplatz). Trunk-Ports tragen viele VLANs zwischen Switches und nutzen 802.1Q-Tags — einen kleinen Header, der in jeden Frame eingefügt wird und kennzeichnet, zu welchem VLAN er gehört — damit der empfangende Switch weiß, wohin er ihn leiten soll. Um Verkehr zwischen VLANs zu bewegen, muss er ein Layer-3-Gerät passieren (einen Router oder „Router-on-a-Stick" / SVI), und genau dort können Sie die Firewall-Richtlinie durchsetzen.

Der Sicherheitswert

Segmentierung. Server, Mitarbeiter-Laptops, Gast-WLAN und IoT auf getrennte VLANs zu legen, bedeutet, dass eine kompromittierte IoT-Kamera die Finanzserver nicht direkt erreichen kann — sie muss eine geroutete Grenze überqueren, die Sie kontrollieren und überwachen. Kleinere Broadcast-Domänen verringern außerdem die Lausch-Exposition und das Rauschen.

Die Vorbehalte

Ein VLAN-Tag ist für sich allein keine Sicherheitsgrenze. VLAN-Hopping-Angriffe missbrauchen Fehlkonfigurationen: Switch-Spoofing (ein Host handelt per DTP einen Trunk aus) und Double Tagging (zwei 802.1Q-Tags stapeln, um einen Frame in ein anderes VLAN durchsickern zu lassen). Verteidigungen: DTP/Auto-Trunking deaktivieren, ein dediziertes, ungenutztes Native-VLAN festlegen, ungenutzte VLANs entfernen und eine echte Firewall zwischen sensible Segmente setzen.

Interviewer erwarten die Idee der Broadcast-Domänen-Isolierung, den Vorteil bei Segmentierung/lateraler Bewegung und das Bewusstsein, dass VLANs allein keine Firewall sind.

Wahrscheinliche Anschlussfragen

  • Was ist VLAN-Hopping (Switch-Spoofing, Double Tagging) und wie verhindert man es?
  • Wie funktioniert 802.1Q-Tagging an einem Trunk- gegenüber einem Access-Port?
  • Warum ersetzt die VLAN-Trennung keine Firewall zwischen Segmenten?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.