Як я можу налаштувати VLAN таким чином, щоб не піддавати мені ризик скакання VLAN?


14

Ми плануємо перенести нашу виробничу мережу з конфігурації без VLAN до конфігурації з тегом VLAN (802.1q). Ця діаграма підсумовує заплановану конфігурацію:

Конфігурація VLAN

Важливою деталлю є те, що значна частина цих хостів насправді буде ВМ на одній машині з голим металом. Насправді єдиними фізичними машинами будуть DB01, DB02, брандмауери та комутатори. Усі інші машини будуть віртуалізовані на одному хості.

Одне занепокоєння, яке було, полягає в тому, що такий підхід є складним ( мається на увазі надскладний ) і що VLAN надають лише ілюзію безпеки, оскільки "перехід через VLAN простий".

Чи справді це занепокоєння, враховуючи, що через один віртуальний порт комутатора буде використовуватися кілька VLAN для одного фізичного порту комутатора? Як я можу налаштувати свої VLAN, щоб запобігти цьому ризику?

Також я чув, що VMWare ESX має щось, що називається "віртуальні комутатори". Це унікально для гіпервізора VMWare? Якщо ні, чи це доступно в KVM (мій планований гіпервізор за вибором) ?. Як це вступає в гру?


2
Перш ніж запитати .. Омніграфле.
hobodave

1
Не дублікат, але serverfault.com/questions/220442 має значення
voretaq7

7
Не сприймайте це неправильно: у вас зараз немає рівня 2-го рівня, але ви переживаєте за те, щоб ввести можливий, але неправдоподібний недолік безпеки, застосувавши захист рівня 2 у вигляді VLAN?
joeqwerty

@joeqwerty: Не вчинено жодного правопорушення. Турбота не моя власна.
hobodave

Відповіді:


16

На додаток до інформації про те, чому люди кажуть мені не використовувати VLAN для безпеки? ось деякі більш конкретні та загальні біти:


Загальні думки про безпеку
Найбезпечніша система - це система, де хости кожної підмережі підключені до комутатора, що має саме таку кількість портів, які будуть використовуватися підключеними пристроями. У такій конфігурації ви не можете підключати випадкові машини до захищених мереж, оскільки для цього потрібно щось відключити (і теоретично ваша система моніторингу це помітить).

VLAN надають щось подібне з точки зору безпеки, розбиваючи свій перемикач на менші віртуальні комутатори (віртуальні локальні мережі: VLAN), які логічно ізольовані один від одного і при правильній конфігурації можуть здаватися всім системам, підключеним до них, як ніби вони фізично ізольовані.


Загальні думки щодо відносно безпечних налаштувань VLAN
Моя практика щодо комутаторів, що підтримують VLAN, полягає в тому, що весь трафік повинен бути призначений для VLAN із наступною базовою конфігурацією:

Призначте всі невикористані порти "невикористаній" VLAN.

Усі порти, що підключаються до певного комп’ютера, повинні бути призначені власне VLAN, на якому повинен знаходитися комп'ютер. Ці порти мають бути в одній і лише одній VLAN (забороняючи певні винятки, які ми зараз ігноруємо).
На цих портах всі вхідні пакети (до комутатора) позначені тегами вбудованої VLAN, а вихідні пакети (від комутатора) (a) походять лише з призначеного vlan, і (b) будуть не позначені і з'являтись як і будь-яка звичайна Ethernet пакет.

Єдині порти, які мають бути "магістралями VLAN" (порти більш ніж в одній VLAN) - це магістральні порти - ті, що здійснюють трафік між комутаторами або підключаються до брандмауера, який самостійно розділяє трафік VLAN.
У портах магістралі будуть поважатись теги vlan, що надходять до комутатора, і теги vlan не будуть позбавлені пакетів, що залишають комутатор.

Описана вище конфігурація означає, що єдине місце, куди ви можете легко вводити трафік "скакання VLAN", знаходиться на магістральному порту (забороняє проблему програмного забезпечення в реалізації VLAN комутаторів), і подібно до сценарію "найбезпечніший" це означає відключити щось важливий і викликає тривогу моніторингу. Аналогічно, якщо ви відключите хост для підключення до VLAN, який він живе у вашій системі моніторингу, слід помітити таємниче зникнення хоста та попередити вас.
В обох цих випадках ми говоримо про атаку, пов’язану з фізичним доступом до серверів. Хоча порушити ізоляцію VLAN можливо не зовсім неможливо, в умовах, створених вище, як мінімум, дуже складно.


Конкретні думки про безпеку VMWare та VLAN

Віртуальні комутатори VMWare можуть бути призначені для VLAN - Коли ці віртуальні комутатори підключені до фізичного інтерфейсу на хості VMWare, будь-який випромінюваний трафік матиме відповідний тег VLAN.
Фізичний інтерфейс вашої машини VMWare повинен бути підключений до порту магістралі VLAN (що містить VLAN, до яких він потребує доступу).

У подібних випадках удвічі важливо звернути увагу на найкращі практики VMWare для відділення NIC управління від віртуальної машини NIC: ваш NIC управління повинен бути підключений до рідного порту у відповідному VLAN, а ваш NIC віртуальної машини повинен підключитися до магістраль, що має VLAN, віртуальним машинам необхідні (що в ідеалі не повинно переносити VLAN для управління VMWare).

На практиці застосування цього розмежування, узгоджуючись із згаданими мною пунктами, і те, що я впевнений, що придумають інші, створить досить безпечне середовище.


12

Перехід VLan простий, якщо і лише в тому випадку, коли негідним пристроям дозволяється передавати пакети на магістралі без тегів vlan.

Найчастіше це відбувається в наступній ситуації. Ваш "нормальний" трафік не позначений; у вас є «безпечний» ВЛВС, буде позначений. Оскільки машини в 'звичайній' мережі можуть передавати пакети, які не перевіряються тегами (найчастіше вони будуть перемикачами доступу), пакет може мати помилковий тег vlan і, таким чином, перейти на vlan.

Найпростіший спосіб запобігти цьому: увесь трафік позначається комутаторами доступу (брандмауери / маршрутизатори можуть бути винятком, залежно від налаштування вашої мережі). Якщо "звичайний" трафік буде помічений перемикачем доступу, то будь-який тег, який ізловмисний клієнт підробляє, буде скинутий перемикачем доступу (оскільки цей порт не матиме доступу до тегу).

Коротше кажучи, якщо ви використовуєте тег vlan, то все має бути позначено в стовбурах, щоб захистити його.


не впевнений, що я б використовував термін "інкапсульований", коли говорити про влани ... це просто тег, чи не так?
SpacemanSpiff

2
Просто додамо, що весь трафік з конкретного порту можна зробити тегом у vlan, таким чином, забезпечивши, що весь трафік від хоста міститься до цього vlan, тому не потрібно стрибати.
Joris

Основна проблема полягає в тому, що в суміші також є VM, і він повинен довіряти, що VM такі ж надійні, як і комутатори.
chris

3
@chris, Якщо у хостингу VM є магістральна лінія, то так, ви повинні довіряти хосту. Однак програмне забезпечення гіпервізора хоста має робити теги самостійно, тому вам не доведеться довіряти віртуальним машинам. Я знаю, що це будуть робити ESXi та Hyper-V, ймовірно, будуть і інші.
Chris S

4

Здійснюючи тестування на проникнення у віртуальних середовищах, я би додав ці два елементи для перегляду:

Плануйте своє віртуальне середовище точно так само, як і реальне середовище - так як будь-які структурні чи архітектурні вразливості, які ви представляєте в реальному світі, добре перетворяться у віртуальний світ.

Отримайте правильну віртуальну конфігурацію - 99% усіх успішних проникнень, які мені вдалося здійснити в VM або LPAR, відбулося через неправильну конфігурацію або повторне використання облікових даних.

А щодо менш технічної записки також подумайте про сегрегацію обов'язків . Те, що, можливо, обробляли команди мережі, команди сервера тощо., Тепер може бути однією командою. Ваш аудитор може вважати це важливим!


1
+1 для планування середовища VM як фізична - вразливості можуть не відображатись 1-до-1, але, як правило, це близько.
voretaq7
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.