На додаток до інформації про те, чому люди кажуть мені не використовувати VLAN для безпеки? ось деякі більш конкретні та загальні біти:
Загальні думки про безпеку
Найбезпечніша система - це система, де хости кожної підмережі підключені до комутатора, що має саме таку кількість портів, які будуть використовуватися підключеними пристроями. У такій конфігурації ви не можете підключати випадкові машини до захищених мереж, оскільки для цього потрібно щось відключити (і теоретично ваша система моніторингу це помітить).
VLAN надають щось подібне з точки зору безпеки, розбиваючи свій перемикач на менші віртуальні комутатори (віртуальні локальні мережі: VLAN), які логічно ізольовані один від одного і при правильній конфігурації можуть здаватися всім системам, підключеним до них, як ніби вони фізично ізольовані.
Загальні думки щодо відносно безпечних налаштувань VLAN
Моя практика щодо комутаторів, що підтримують VLAN, полягає в тому, що весь трафік повинен бути призначений для VLAN із наступною базовою конфігурацією:
Призначте всі невикористані порти "невикористаній" VLAN.
Усі порти, що підключаються до певного комп’ютера, повинні бути призначені власне VLAN, на якому повинен знаходитися комп'ютер. Ці порти мають бути в одній і лише одній VLAN (забороняючи певні винятки, які ми зараз ігноруємо).
На цих портах всі вхідні пакети (до комутатора) позначені тегами вбудованої VLAN, а вихідні пакети (від комутатора) (a) походять лише з призначеного vlan, і (b) будуть не позначені і з'являтись як і будь-яка звичайна Ethernet пакет.
Єдині порти, які мають бути "магістралями VLAN" (порти більш ніж в одній VLAN) - це магістральні порти - ті, що здійснюють трафік між комутаторами або підключаються до брандмауера, який самостійно розділяє трафік VLAN.
У портах магістралі будуть поважатись теги vlan, що надходять до комутатора, і теги vlan не будуть позбавлені пакетів, що залишають комутатор.
Описана вище конфігурація означає, що єдине місце, куди ви можете легко вводити трафік "скакання VLAN", знаходиться на магістральному порту (забороняє проблему програмного забезпечення в реалізації VLAN комутаторів), і подібно до сценарію "найбезпечніший" це означає відключити щось важливий і викликає тривогу моніторингу. Аналогічно, якщо ви відключите хост для підключення до VLAN, який він живе у вашій системі моніторингу, слід помітити таємниче зникнення хоста та попередити вас.
В обох цих випадках ми говоримо про атаку, пов’язану з фізичним доступом до серверів. Хоча порушити ізоляцію VLAN можливо не зовсім неможливо, в умовах, створених вище, як мінімум, дуже складно.
Конкретні думки про безпеку VMWare та VLAN
Віртуальні комутатори VMWare можуть бути призначені для VLAN - Коли ці віртуальні комутатори підключені до фізичного інтерфейсу на хості VMWare, будь-який випромінюваний трафік матиме відповідний тег VLAN.
Фізичний інтерфейс вашої машини VMWare повинен бути підключений до порту магістралі VLAN (що містить VLAN, до яких він потребує доступу).
У подібних випадках удвічі важливо звернути увагу на найкращі практики VMWare для відділення NIC управління від віртуальної машини NIC: ваш NIC управління повинен бути підключений до рідного порту у відповідному VLAN, а ваш NIC віртуальної машини повинен підключитися до магістраль, що має VLAN, віртуальним машинам необхідні (що в ідеалі не повинно переносити VLAN для управління VMWare).
На практиці застосування цього розмежування, узгоджуючись із згаданими мною пунктами, і те, що я впевнений, що придумають інші, створить досить безпечне середовище.