KI-gestützte Cyberangriffe: Wie man intelligente Bedrohungen erkennt, verhindert und abwehrt

Jetzt lesen
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/ Blog / Doppeltes VLAN-Tagging (Q-in-Q) in OT-Netzwerken
Kritische Netzwerksicherheit

Doppeltes VLAN-Tagging (Q-in-Q) in OT-Netzen

von OPSWAT
Jetzt teilen

OT- (Operational Technology) und CPS- (Cyber-Physical Systems) Umgebungen, einschließlich industrieller Automatisierung, Energie und kritischer Infrastrukturen, erfordern ein hohes Maß an Sicherheit, Skalierbarkeit und Effizienz bei der Netzwerkkommunikation. Eine große Herausforderung besteht darin, einen isolierten, kontrollierten und strukturierten Verkehrsfluss zwischen verschiedenen Netzwerksegmenten zu gewährleisten und gleichzeitig eine nahtlose Kommunikation über mehrere VLANs hinweg zu ermöglichen. Doppeltes VLAN-Tagging, auch bekannt als Q-in-Q, 802.1ad oder Q-in-Q-Tunneling, bietet eine effektive Lösung, indem Kunden-VLANs in ein Service-Provider-VLAN gekapselt werden. Dadurch wird die Segmentierung beibehalten und eine zuverlässige Datenübertragung gewährleistet.

Verstehen der doppelten VLAN-Kennzeichnung (Q-in-Q)

Double VLAN kapselt ein VLAN-Tag in ein anderes ein und ermöglicht es Unternehmen, VLANs über Netzwerkgrenzen hinweg zu erweitern, ohne interne VLAN-Konfigurationen zu beeinträchtigen. Diese Technik ist besonders in industriellen Umgebungen nützlich, in denen eine Netzwerksegmentierung erforderlich ist, um Kontrollsysteme, SPS, SCADA-Umgebungen und Betriebsdaten zu isolieren. 

Hauptkomponenten der doppelten VLAN-Kennzeichnung:

  • Äußeres VLAN (Dienst-VLAN): Dieses vom Dienstanbieter verwaltete VLAN erleichtert den Verkehrstransport über die gemeinsam genutzte Netzwerkinfrastruktur und gewährleistet, dass die Kundendaten gekapselt und isoliert bleiben.
  • Inneres VLAN (Kunden-VLAN): Das ursprüngliche, vom Unternehmen zugewiesene VLAN-Tag. Es bleibt intakt und wird am Zielort wiederhergestellt.

Durch den Einsatz von Q-in-Q können Industrieunternehmen ihre Netzwerke effizient skalieren und gleichzeitig die VLAN-Integrität bewahren und die betriebliche Komplexität reduzieren. 

Wie doppeltes VLAN-Tagging in Industrial Umgebungen funktioniert

Netzwerkdiagramm zur Veranschaulichung des doppelten VLAN-Tagging (Q-in-Q) Verkehrsflusses in einer OT-Umgebung

Dieser strukturierte Verkehrsfluss ermöglicht es Industrienetzwerken, VLANs auf mehrere Standorte auszuweiten und dabei jedes Segment überschaubar zu halten.

Vorteile von Doppel-VLAN (Q-in-Q) in OT-Netzwerken

Verkehrstrennung

Doppel-VLAN ermöglicht die Trennung des Datenverkehrs zwischen verschiedenen Teilen eines OT-Netzwerks. Dadurch wird sichergestellt, dass kritischer Steuerdatenverkehr von SPSen von anderem, nicht notwendigem Datenverkehr isoliert bleibt, was die Zuverlässigkeit erhöht und Störungen minimiert.

Skalierbarkeit

Da OT-Netzwerke immer größer werden, bietet Q-in-Q eine Lösung für die effiziente Verwaltung einer wachsenden Anzahl von VLANs. Es verhindert die Erschöpfung von VLAN-IDs, was besonders für große Industrieanlagen mit mehreren SPS und Steuerungssystemen von Vorteil ist.

Sicherheit

Durch die Isolierung verschiedener VLANs innerhalb eines industriellen Netzwerks kann Q-in-Q bestimmte Netzwerksicherheitskontrollen verbessern und vereinfachen. VLANs sind jedoch keine vollständige Sicherheitslösung. Sie können relativ leicht durch Techniken wie VLAN-Hopping umgangen werden.

Vereinfachte Netzwerkverwaltung

Q-in-Q ermöglicht die Erstellung einer strukturierten VLAN-Hierarchie in industriellen Netzwerken. Dies vereinfacht die Netzwerkkonfiguration, reduziert die betriebliche Komplexität und macht die Fehlersuche effizienter.

Unabhängigkeit des Anbieters

Als Teil des weit verbreiteten IEEE-Standards 802.1Q (2011) wird Q-in-Q von mehreren Netzwerkanbietern unterstützt. Dies ermöglicht es industriellen Betreibern, unterschiedliche Hardware zu integrieren und dennoch eine einheitliche Verkehrssegmentierung und -verwaltung beizubehalten.

Anwendungsfälle für Double VLAN Tagging (Q-n-Q) in OT-Umgebungen

  • Dienstanbieter-Überbrückung: Q-in-Q ermöglicht die Kommunikation zwischen verschiedenen Industriestandorten durch die Erweiterung von Layer-2-VPNs über große OT-Netzwerke hinweg. 
  • Industrial Automatisierung: Fertigungsanlagen und Energieversorgungsnetze nutzen Q-in-Q, um den Datenverkehr zwischen Automatisierungsgeräten und Steuerungssystemen zu trennen und so einen reibungslosen Betrieb zu gewährleisten. 
  • Intelligente Stromnetze: Q-in-Q hilft bei der Verwaltung des Datenverkehrs zwischen Umspannwerken und Kontrollzentren und sorgt so für eine effiziente Kommunikation in Smart-Grid-Implementierungen. 
  • BMS (Gebäudemanagementsysteme): Industrial nutzen Q-in-Q, um den Verkehr für HLK-, Beleuchtungs- und Sicherheitssysteme zu isolieren und so die ordnungsgemäße Funktion sicherzustellen. 
  • Transportsysteme: Q-in-Q unterstützt die Datenübertragung in verschiedenen Verkehrsnetzen, einschließlich der Bahnleitsysteme, und gewährleistet so einen unterbrechungsfreien Betrieb. 

Beispiel einer Netzwerktopologie 

Diagramm der Netzwerktopologie, das die doppelte VLAN-Kennzeichnung zwischen PLC, Firewall und Clients zeigt

Stellen Sie sich eine Fabrik mit dem folgenden Aufbau vor:



1. Geräte: PLC (Server),Firewall und Clients im Netzwerk B.

2. Netzsegmentierung:

  • Netzwerk A: VLAN 100 (PLC befindet sich hier) - 192.168.10.0/24 
  • Netzwerk B: VLAN 200.100 (HMI oder externes Gerät) - 10.10.10.0/24 
  • Industrial Firewall: Schnittstellen in beiden Netzen, die den Datenverkehr zwischen ihnen übersetzen. 

3. Verkehrsfluss:

  • Geräte im Netzwerk B senden Datenverkehr, der mit VLAN 100 getaggt ist. 
  • Die Firewall oder der Switch des Dienstanbieters fügt ein äußeres VLAN-Tag (VLAN 200) hinzu. 
  • Das Paket wird unter Beibehaltung der VLAN-Trennung durch das Netzwerk transportiert. 
  • Beim Erreichen von Netz A wird das äußere VLAN-Tag entfernt, wodurch VLAN 100 wiederhergestellt wird. 
  • Die SPS kann nun ohne interne VLAN-Änderungen mit externen Geräten kommunizieren. 

Schlussfolgerung

Doppeltes VLAN-Tagging ist eine leistungsstarke Technik für Unternehmen, die VLAN-Skalierbarkeit, Isolierung und Datenübertragung über gemeinsam genutzte Infrastrukturen benötigen. In Industrie- und OT-Umgebungen sorgt Q-in-Q für ein nahtloses und effizientes VLAN-Management und ermöglicht so flexible und kostengünstige Netzwerklösungen.

METADEFENDER

Industrial Firewall

Erschließen Sie mit Q-in-Q eine sichere und segmentierte OT/ICS-Kommunikation - ohne Leistungseinbußen. Entdecken Sie, wie MetaDefender Industrial Firewall Ihr industrielles Netzwerk stärken kann.

Sprechen Sie mit unseren Experten

Häufig gestellte Fragen (FAQs)

Q:Was ist doppeltes VLAN-Tagging (Q-n-Q)?

A: Doppeltes VLAN-Tagging, auch bekannt als Q-in-Q, kapselt ein VLAN-Tag in ein anderes, um VLANs über Netzwerke hinweg zu erweitern und dabei die Segmentierung beizubehalten. Es ist besonders nützlich in industriellen Umgebungen, wo die Netzwerksegmentierung für die Isolierung von Steuersystemen, SPS, SCADA-Umgebungen und Betriebsdaten entscheidend ist. 

Q:Wie Secure sind VLANS?

A: VLANs können die Netzwerksicherheit verbessern, indem sie den Datenverkehr logisch segmentieren und die Broadcast-Domänen einschränken, wodurch das Risiko eines unbefugten Zugriffs zwischen den Segmenten verringert werden kann. VLANs sind jedoch nicht von Natur aus sicher. Sie erfordern eine sorgfältige Konfiguration, um Angriffe wie VLAN-Hopping oder unbefugten Zugriff wirksam zu verhindern. 

Q:Was ist VLAN-Hopping?

A: VLAN-Hopping ist eine Sicherheitslücke im Netzwerk, bei der ein Angreifer Schwachstellen ausnutzt, um unbefugten Zugang zu einem VLAN zu erhalten und dann zu anderen innerhalb desselben Netzwerks zu wechseln. VLANs sollen die Sicherheit und Leistung verbessern, indem sie den Datenverkehr zwischen verschiedenen Segmenten isolieren. VLAN-Hopping untergräbt diese Trennung und ermöglicht es Angreifern, Kontrollen zu umgehen und potenziell auf sensible Systeme und Daten zuzugreifen, die geschützt und isoliert bleiben sollten. 

Tags:

Neueste Beiträge

Registrieren Sie sich für den OPSWAT Newsletter

Holen Sie sich die neuesten OPSWAT Unternehmens-Updates zusammen mit Veranstaltungsinformationen und die Neuigkeiten, die die Branche voranbringen.
Anmelden

Folgen Sie uns auf Social Media

Folgen Sie OPSWAT auf LinkedIn, Facebook, Twitter und YouTube, um mehr zu erfahren!

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.
Abonnieren