Конфигурация на VLAN и мрежова сигурност: пълно ръководство

Информатек Дигитал » Ресурси » Конфигурация на VLAN и мрежова сигурност: пълно ръководство

Ако управлявате корпоративна мрежа, ще знаете, че осигуряването ѝ Всичко работи бързо и сигурно В същото време това не е лесна задача. С разрастването на екипите, услугите и приложенията, навсякъде започват да се появяват излъчвания, пречки и проблеми със сигурността.

Един от най-мощните инструменти за подреждане на този хаос е... VLAN (виртуална локална мрежа)Добре проектирани и конфигурирани, те ви позволяват да сегментирате мрежата, да намалите ненужния трафик, да изолирате отдели и да защитите критични услуги... но лошо планирани, те могат да се превърнат в сито за сигурност или кошмар за администрацията.

Какво точно е VLAN и защо е важна за сигурността?

VLAN е, по същество, независима логическа мрежа които се намират на една и съща физическа инфраструктура: едни и същи комутатори, едно и също окабеляване, едни и същи Wi-Fi точки за достъп. На логическо ниво устройствата във VLAN се държат така, сякаш са на отделна LAN, дори ако са разпределени на различни етажи или сгради.

Това позволява на група компютри, сървъри, IP телефони, принтери или IP камери да формират собствен домейн за излъчванеизолирани от други групи. Пакетите за излъчване и мултикаст остават в рамките на тяхната VLAN, вместо да претоварват цялата мрежа, което подобрява производителността и улеснява контрола кой кого може да вижда.

В бизнес среда е обичайно да се създават VLAN мрежи за отдели (счетоводство, инженерство, маркетинг)да се раздели трафикът за управление, глас, гости, IoT или дори специална резервна VLAN. Всяка със собствени правила за маршрутизиране, сигурност и качество на обслужване.

Освен това, VLAN мрежите са ключов компонент в стратегиите за Сегментиране и нулево довериеМрежите вече не се приемат за „напълно надеждни“ и се дефинират повърхности за атака. Повреда или инфекция в една VLAN не би трябвало да доведе до колапс на цялата организация чрез ефекта на доминото.

Основни понятия: портове за достъп, trunk-ове и native VLAN

За да разберете напълно конфигурацията и сигурността на VLAN, има три ключови идеи, които трябва да бъдат кристално ясни: портове за достъп, портове за магистрални връзки и собствена VLANАко усвоите тези три понятия, всичко останало си идва на мястото много по-добре.

Un порт за достъп Това е порт на комутатора, който пренася трафик от една VLAN към крайно устройство: компютър, принтер, IP камера, телефон и др. Трафикът преминава от комутатора към това устройство. Без етикет 802.1Q (нетагиран). Вътрешно, комутаторът знае към коя VLAN принадлежи, но оборудването не вижда етикета.

Un порт за магистрала Това е връзка между мрежови устройства (суич-суич, суич-рутер, суич-точка за достъп), през която данните пътуват. няколко VLAN мрежи едновременноВ този случай кадрите носят етикет 802.1Q, указващ към коя VLAN принадлежат. Това позволява VLAN мрежите да бъдат разширени в цялата топология и множество логически мрежи да бъдат маршрутизирани през една и съща физическа връзка.

La Нативна VLAN Това е VLAN мрежата, използвана за немаркиран трафик по 802.1Q връзка. Всеки кадър, влизащ в trunk порт без етикет, се присвоява на тази native VLAN мрежа. По подразбиране, на много устройства това е VLAN 1 и тук започват проблемите със сигурността, ако тази конфигурация не се промени.

Мрежова архитектура и дизайн с VLAN

В средни и големи мрежи е обичайно да се използва a трислойна топологияОсновни, разпределителни и достъпни слоеве. Всеки слой има роля и как те се комбинират с VLAN мрежите е от съществено практическо значение.

Слоят за достъп се състои от комутатори, които Те свързват потребителите директно и крайни устройства. Те имат най-много портове за достъп и са мястото, където са дефинирани повечето потребителски, гласови, IoT и др. VLAN мрежи. Именно тук разпределението на портове и добрите практики за физическа сигурност (гарантиране, че никой не може просто да включи кабели) изискват най-голямо внимание.

Разпределителният слой съдържа комутаторите, които Те агрегират трафик от множество комутатори за достъпОбикновено това е точката, където се извършва маршрутизацията между VLAN мрежи, прилагат се по-фини ACL, прекратяват се оптичните връзки, добавят се връзки (EtherChannel) и се прилагат по-разширени политики (QoS, контрол на бурите и др.).

Основният слой съдържа разпределителните връзки и шлюза към интернет или външни мрежи. В много големи мрежи е обичайно Ядрото е единствено отговорно за високоскоростното превключванес много малко допълнителни функции, за да се намали латентността и сложността.

При проектирането на мрежа с VLAN е препоръчително първо да се дефинират кои логически групи са необходими (по функция, критичност, ниво на доверие и т.н.) и след това да го разпределите в добре планирана IP схема (подмрежи, маски, VLSM, динамични и статични диапазони) и в ясно разпределение на портове на всеки комутатор.

Видове VLAN и често срещани приложения

Най-разпространеният стандарт за етикетиране на рамки в магистралните връзки е IEEE 802.1QТой добавя 4 байта към Ethernet заглавката с VLAN ID и други полета, така че комутаторът да знае точно към коя VLAN принадлежи всеки кадър, без да капсулира целия кадър.

Когато VLAN мрежите са конфигурирани с 802.1Q на комутатори, всеки порт може да бъде маркиран като маркиран или немаркиран за конкретна VLAN. Порт може да бъде маркиран в няколко VLAN (типично за trunk), но да не е маркиран само в една от тях (тази, която крайното устройство ще види, ако е порт за достъп).

В допълнение към „нормалните“ VLAN мрежи, базирани на 802.1Q, има и други модалности, широко използвани в корпоративни среди: VLAN мрежи, базирани на портове, VLAN мрежи, базирани на MAC адреси, VLAN мрежи за управление, VLAN мрежи за контрол, персонализирани VLAN мрежи, хибридни VLAN мрежи или дори VXLAN мрежи в центрове за данни и облачни среди, където са необходими милиони логически мрежи. Струва си да се обмислят и технологии като 802.1X и динамични VLAN мрежи за разпределение и разширена сигурност.

La VLAN за управление Използва се изключително за административен достъп до комутатори, рутери, точки за достъп, защитни стени и системи за наблюдение. Обикновено има собствена IP подмрежа и строги ACL, контролиращи кой може да има достъп до нея. Управлението на устройства от същите VLAN мрежи като потребителите е много лоша идея.

Поканата за представяне на предложения контролна VLAN Той е предназначен за трафик на вътрешни мрежови протоколи: STP, протоколи за маршрутизация, CDP, LLDP, VTP и др. Разделянето на този трафик от трафика на данни или управление намалява шума, подобрява стабилността и позволява прилагането на специфични мерки за сигурност.

VLAN 1, native VLAN и защо те са проблем със сигурността

На повечето комутатори, VLAN 1 е предварително конфигуриран като VLAN по подразбиране и нативна VLAN на всички портове. Това означава, че ако нищо не се промени, целият немаркиран трафик, влизащ в транк, се поставя във VLAN 1 и всички портове са част от нея.

Проблемът е, че всеки умерено опитен атакуващ знае това. VLAN 1 е една от основните цели за атака. Атаки през VLAN, подправяне на комутатори и други изобретения, които се възползват от конфигурациите по подразбиране, за да се промъкнат в други VLAN мрежи.

При атака с подправяне на комутатор, например, нападателят свързва устройството си към порт, където DTP е активен в динамичен режим и договаряне на магистрална връзка с комутатора, получаване на достъп до множество VLAN мрежи, които никога не би трябвало да достигнат до хост.

При атака с двойно маркиране, два 802.1Q тага се смесват в един и същ кадър, възползвайки се от факта, че собствената VLAN мрежа пътува без етикети, за да се опитат да преминат от една VLAN към друга през лошо защитен trunk.

Поради всички тези причини, настоящите препоръки за безопасност са ясни: Не използвайте VLAN 1 за потребителиНе го оставяйте като native VLAN на trunk-ове, не му давайте IP адрес за управление и ако е възможно, го изолирайте или дори го филтрирайте, така че да не пренася производствен трафик.

Най-добри практики за проектиране и разпределение на пристанища

Едно от ключовите решения при конфигурирането на VLAN мрежи е как се разпределят портовете на комутатора за всяка VLAN и какво да се прави с неизползваните портове. Изглежда тривиално, но от това зависят както производителността, така и сигурността.

Винаги е добра идея да оставите портовете за достъп отворени. една VLAN като немаркирана (на този потребител или устройство) и маркира останалите като изключени. Това предотвратява интерфейса да „вижда“ VLAN мрежи, които не му принадлежат, дори ако някой случайно промени настройките.

В магистралните връзки се препоръчва изрично конфигуриране кои VLAN мрежи са разрешени (напр., trunk на switchport позволява vlan 10, 20, 99) вместо да пропуска всички VLAN мрежи в мрежата. Всеки trunk трябва да носи само VLAN мрежите, от които действително се нуждае.

За портове, които не се използват, най-безопасната практика е да изключи ги (изключи)Присвоете ги към „черна дупка“ VLAN без шлюз или DHCP и се уверете, че не са маркирани като trunk или нямат активиран DTP. Това предотвратява свързването на устройство и внезапната му поява в производствената мрежа.

В среди, където броят на портовете е много голям, е препоръчително да се направи добра документация. какво се включва във всеки интерфейсЕтикетирайте кабелите и актуализирайте диаграмите си. Много проблеми с VLAN свързаността се дължат просто на преместване на кабели без актуализирана документация; ръководство за окабеляване Помага да се избегнат грешки.

„Неизходни“ VLAN мрежи и неизползвани портове

Една проста и много ефективна техника за защита на свободните пристанища се състои в създаването на VLAN „Без изход“Тоест, VLAN без DHCP, без маршрутизация и без услуги, и в нея да се поставят всички портове за достъп, които не се използват.

Идеята е, че дори ако някой свърже устройство към един от тези портове, този хост няма да получи IP адрес, няма да има шлюз, няма да може да достигне до други устройства и трафикът му ще остане напълно изолиран. Това е един вид мрежова неопределеност.

В много среди се използва разпознаваем идентификатор, като например VLAN 777, 999 или 4094За тази цел комутаторът е конфигуриран да изключва останалите VLAN мрежи от тези портове, за тази VLAN мрежа не е дефиниран интерфейс от слой 3 и тя не се рекламира на никой рутер.

Освен това се препоръчва DTP да бъде деактивиран на портовете за достъп на всички комутатори с превключвател без преговоритака че никога да не се опитват автоматично да се превърнат в магистрални линии чрез преговори със съседа.

VLAN мрежи за глас, данни и специални устройства

В мрежи, където има IP телефония и гласов трафикСтандартната практика е гласовият трафик да се разделя в специфична VLAN, различна от тази на компютрите. Това е по две причини: изисквания за качество на услугата и сигурност.

Гласовият трафик е силно чувствителен към латентност, трептене и загуба на пакети. Ако се смесва неконтролируемо с интензивни изтегляния, стрийминг на видео или архивиране, качеството на разговорите бързо се влошава. Разделянето на гласа във вашата VLAN ви позволява да направите точно това. приоритизирайте го с QoS и да прилагат по-прецизни политики.

Освен това, IP телефоните обикновено имат свои собствени възможности за маркиране на VLAN (802.1Q): те са каскадно свързани с компютъра, портът към мрежата действа като магистрала (маркиран глас, немаркирани данни), а портът към компютъра действа като порт за достъп. Това изисква малко по-фини конфигурации на портовете за да се избегнат пропуски в сигурността.

Също така е добра идея да се раздели [неясно] на специфични VLAN мрежи. IoT устройства, домашна автоматизация, IP камери, телевизори, интелигентни контактии т.н. Това са устройства, които често имат ниско ниво на сигурност и лошо поддържан фърмуер и е препоръчително те да не са в същата логическа мрежа като управляващи компютри или критични сървъри.

В света на WiFi, повечето професионални точки за достъп ви позволяват да се свързвате един SSID за всяка VLANПо този начин сегментирането на кабелната мрежа се разпростира и до безжичната мрежа: управляваща VLAN, корпоративна VLAN, IoT VLAN, гостева VLAN, всяка със свой SSID и правила.

Маршрутизиране между VLAN, ACL и защитни стени

По дизайн, VLAN мрежите Те не се „виждат“ един друг на ниво 2Ако искате устройства в различни VLAN мрежи да комуникират, трябва да преминете към ниво 3: маршрутизиране между VLAN мрежи. Това обикновено се прави на рутер, защитна стена или комутатор от ниво 3.

Има два основни модела. Първият е да се използва рутер или защитна стена с поддръжка на 802.1Q свързан към комутаторна магистрала. Рутерът създава подинтерфейси (по един на VLAN), присвоява им IP адреси и действа като шлюз. защитна стенаОсвен това, прилага фини правила за това кой с кого може да говори.

Вторият модел е да се използва Управляем комутатор от слой 3 на разпределителното или основното ниво. На него се създават VLAN интерфейси (SVI), действащи като шлюзове за всяка подмрежа. Самият комутатор обработва вътрешното маршрутизиране и съответните ACL, разтоварвайки работата от edge рутера.

И в двата случая е жизненоважно това маршрутизиране да се придружи от списъци за контрол на достъпа (ACL) или правила на защитната стена Строг. Наличието на IP път между VLAN мрежи не означава, че целият трафик трябва да бъде разрешен. Филтрирането трябва да се извършва въз основа на източник, местоназначение, портове, протоколи и посока на връзките.

Типичен пример: гостевата VLAN мрежа може да има достъп само до интернет, IoT VLAN мрежата може да комуникира само с конкретни сървъри (като NTP, syslog или MQTT брокер), студентската VLAN мрежа няма достъп до управляващата VLAN мрежа, резервната VLAN мрежа само инициира връзки към резервния сървър и т.н.

Протоколи за управление на VLAN: VTP и компания

В големи мрежи с много комутатори, ръчното създаване на VLAN мрежи на всяко устройство е непрактично и е податливо на грешки. Ето защо протоколи като VTP (VLAN Trunking Protocol) в света на Cisco, които позволяват централизирано разпределение на VLAN списъка.

VTP определя три режима на работа в комутатора: сървър, клиент и прозраченСървърите могат да създават, преименуват или изтриват VLAN мрежи и да изпращат тази информация на клиенти в рамките на същия домейн. Клиентите получават и прилагат промените, но не ги модифицират. Прозрачните сървъри не обработват базата данни на VLAN; те само препредават информацията.

Тези видове протоколи значително опростяват живота, но имат своите недостатъци: грешка в сървърния комутатор, лошо управлявана VTP парола или стар комутатор, въведен отново в мрежата с остаряла база данни, може да причини проблеми. за да унищожите напълно VLAN конфигурацията в цялата организация.

Следователно, в много от съвременните дизайни, VTP режимът е предпочитан. прозрачен или просто да не го използвате, управлявайки VLAN мрежи с инструменти на автоматизация (Ansible, шаблони, централизирани контролери и др.) или с по-статичен и контролиран дизайн.

Разширена сигурност: VACL, PVLAN и смекчаване на атаки

С разрастването на мрежата и повишаването на критичността ѝ, само VLAN мрежите не успяват да се справят. За по-прецизен контрол на трафика в рамките на една VLAN мрежа могат да се използват други методи. VACL (VLAN ACL или VLAN карти)които позволяват филтриране или пренасочване на трафик на ниво VLAN, а не само на специфични интерфейси.

VACL се конфигурират чрез дефиниране Карти за достъп до VLAN Те използват IP или MAC списъци за достъп и определят какво да се прави със съответстващия трафик: да го пропускат, да го блокират, да го изпращат към порт за наблюдение, да го пренасочват… След това се прилагат глобално към една или повече VLAN мрежи на комутатора.

За случаите, когато искате да изолирате хостове в рамките на една и съща подмрежа, има Частни VLAN мрежи (PVLAN)Започва с първична VLAN, която обикновено е мястото, където се намира шлюзът, и създава свързани вторични VLAN от два вида: изолирани и общи.

Вторични VLAN мрежи от тип изолиран Те позволяват на всеки хост да вижда само шлюза, но не и други хостове, дори ако са на една и съща изолирана вторична VLAN мрежа. Те са от типа общност Те позволяват на група хостове да се виждат помежду си и с шлюза, но не и на други групи на същия основен сървър.

Що се отнася до специфичните атаки, в допълнение към вече казаното за VLAN 1 и DTP, от решаващо значение е да се смекчат Прескачане на VLAN чрез двойно маркиранеЗа да направите това, се препоръчва да промените собствената VLAN мрежа на VLAN, която не се използва с хостове, да премахнете тази собствена VLAN мрежа от транките, ако е възможно, да деактивирате DTP, изрично да дефинирате портовете като достъп или транки и да използвате команди, така че собствената VLAN мрежа винаги да пътува маркирана, отхвърляйки немаркирания трафик.

Диагностика и поддръжка на мрежи с VLAN

Създаването на мрежа с VLAN е само половината от работата; другата половина е поддържайте го и отстранявайте грешки при инциденти Без да се преструваме. Типичните проблеми с VLAN свързаността обикновено имат доста често срещани причини. За ръководства и практически процедури вижте ресурси на диагностика на мрежови проблеми.

От една страна, има физически грешки: кабели, преместени от един порт на друг без актуализиране на документацията, портове, конфигурирани като достъп, където трябва да бъде транк, или обратното, лошо дефинирани излишни връзки, които завършват в цикли, ако STP не е правилно настроен.

От друга страна, има логически грешки: VLAN мрежи, създадени на някои комутатори, но не и на други, разрешени списъци с VLAN на неправилно конфигурирани trunk-овеDHCP диапазони, които не съответстват на маските или шлюзовете, неправилно зададени на крайните устройства.

Ключовите инструменти за диагностика са обичайните команди: покажи vlan, покажи trunk на интерфейсите, покажи spanning-tree, покажи брифинг на ip интерфейса, ping, tracerouteи т.н. Комбинирането им със заснемане на трафика на конкретни портове и добра система за мониторинг помага много.

Препоръчително е също периодично да се преглежда ACL, правила за защитна стена, PVLAN, VACL и конфигурация за управление за да се гарантира, че не са останали пропуски след промени, разширения или миграции на проекта.

Ясната документация (VLAN схеми, IP диапазони, присвояване на портове, описание на политиките за достъп между VLAN) и стриктното регистриране на промените са почти толкова важни, колкото и самите команди за конфигуриране.

С добре обмислена сегментация, правилно етикетирани VLAN мрежи, разумно управление на VLAN мрежи, защитено с ACL между-VLAN маршрутизиране и последователни практики за поддръжка, една корпоративна мрежа може да постигне значителен скок в производителността. безопасност, производителност и контрол без да е необходимо да се възстановява цялата физическа инфраструктура.