Configuració de VLAN i seguretat de xarxa: guia completa

Informatec Digital » Recursos » Configuració de VLAN i seguretat de xarxa: guia completa

Si gestiones una xarxa corporativa, sabràs que aconseguir que tot funcioni ràpid i segur alhora no és tasca senzilla. Quan creixen els equips, serveis i aplicacions, els broadcast, els colls d'ampolla i els problemes de seguretat comencen a aparèixer per tot arreu.

Una de les eines més potents per posar ordre en aquest caos són les VLAN (xarxa local virtual). Ben dissenyades i configurades, permeten segmentar la xarxa, reduir el trànsit inútil, aïllar departaments i blindar els serveis crítics… però mal plantejades es poden convertir en un colador de seguretat o en un malson d'administració.

Què és realment una VLAN i per què importa per a la seguretat

Una VLAN és, en essència, una xarxa lògica independent que viu sobre la mateixa infraestructura física: els mateixos switches, el mateix cablejat, els mateixos punts daccés WiFi. A nivell lògic, els equips d'una VLAN es comporten com si estiguessin en una LAN separada, encara que estiguin repartits per plantes o edificis diferents.

Això permet que un grup de PCs, servidors, telèfons IP, impressores o càmeres IP formin un domini de broadcast propi, aïllat d'altres grups. Els paquets de broadcast i multicast es queden dins del seu VLAN en lloc d'inundar tota la xarxa, cosa que millora el rendiment i facilita el control de qui pot veure qui.

En entorns empresarials, és habitual crear VLAN per departaments (comptabilitat, enginyeria, màrqueting), per separar trànsit de gestió, per a veu, per a convidats, per a IoT o fins i tot una VLAN dedicada a còpies de seguretat. Cadascuna amb les regles d'encaminament, seguretat i qualitat de servei.

A més, les VLAN són una peça clau en les estratègies de segmentació i Zero Trust: deixen d'assumir-se xarxes "totalment fiables" i es comencen a fitar superfícies d'atac. Una fallada o una infecció en una VLAN no hauria d'implicar que tota l'organització caigui amb efecte dòmino.

Conceptes bàsics: ports daccés, troncals i VLAN nativa

Per entendre bé la configuració i la seguretat de les VLAN, hi ha tres idees que cal tenir claríssimes: ports d'accés, ports troncals i VLAN nativa. Si es dominen aquests tres conceptes, la resta encaixa molt millor.

Un port d'accés (access port) és un port del switch que transporta trànsit d'una única VLAN cap a un equip final: un PC, una impressora, una càmera IP, un telèfon, etc. El trànsit surt del switch cap a aquest dispositiu sense etiqueta 802.1Q (untagged). Internament, el switch sí que sap a quin VLAN pertany, però l'equip no veu l'etiqueta.

Un port troncal (trunk) és un enllaç entre dispositius de xarxa (switch-switch, switch-router, switch-AP) pel qual viatgen diverses VLAN alhora. En aquest cas, els frames porten el tag 802.1Q indicant a quin VLAN pertanyen. Això permet estendre les VLAN per tota la topologia i passar diverses xarxes lògiques pel mateix enllaç físic.

La VLAN nativa és la VLAN que, en un enllaç 802.1Q, es fa servir per al trànsit que va sense etiqueta. Tot frame que entra a un port troncal sense tag s'associa a aquesta VLAN nativa. Per defecte, a molts equips és la VLAN 1, i aquí comencen els problemes de seguretat si no es toca aquesta configuració.

Arquitectura de xarxa i disseny amb VLAN

En xarxes mitjanes i grans és habitual fer servir una topologia en tres capes: nucli, distribució i accés. Cada capa té un paper i la manera com es combinen amb les VLAN té molta importància pràctica.

A la capa d'accés hi ha els switches que connecten directament als usuaris i dispositius finals. Són els que tenen més ports d'accés i on es defineixen la majoria de les VLAN d'usuari, veu, IoT, etc. Aquí és on més cura cal posar amb l'assignació de ports i amb les bones pràctiques de seguretat física (que ningú no pugui connectar cables alegrement).

A la capa de distribució se situen els switches que afegeixen el trànsit de múltiples switches d'accés. Sol ser el punt on es fa l'encaminament entre VLAN, s'apliquen ACL més fines, s'acaben enllaços de fibra, s'hi afegeixen enllaços (EtherChannel) i s'apliquen polítiques més avançades (QoS, control de tempestes, etc.).

A la capa de nucli es concentren els enllaços de distribució i la porta de sortida cap a Internet o xarxes externes. En xarxes molt grans, és comú que el core s'encarregui només de commutar a gran velocitat, amb molt poques funcions addicionals, per reduir latències i complexitat.

En dissenyar una xarxa amb VLAN convé definir primer quins grups lògics es necessiten (per funció, criticitat, nivell de confiança, etc.) i després aterrar-lo en un esquema IP ben planificat (sobrets, màscares, VLSM, rangs dinàmics i estàtics) i en una assignació clara de ports a cada switch.

Tipus de VLAN i usos habituals

L'estàndard més estès per etiquetar frames en enllaços troncals és IEEE 802.1Q. Afegeix 4 bytes a la capçalera Ethernet amb el VLAN ID i altres camps, de manera que el switch sap exactament a quina VLAN pertany cada trama sense encapsular tota la frame.

Quan es configuren VLAN amb 802.1Q als switches, cada port pot marcar-se com tagged (etiquetatge) o untagged (sense etiquetar) per a una VLAN concreta. Un port pot ser tagged en diverses VLAN (típic d'un trunk) però només untagged en una (la que veurà l'equip final si és un port d'accés).

A més de les VLAN “normals” basades en 802.1Q, hi ha altres modalitats molt utilitzades en entorns corporatius: VLAN basades en port, en MAC, VLAN de gestió, VLAN de control, VLAN nativa personalitzada, VLAN híbrides o fins i tot VXLAN en entorns de centre de dades i núvol on calen milions de xarxes lògiques. També convé considerar tecnologies com 802.1X i VLANs dinàmiques per a assignació i seguretat avançada.

La VLAN de gestió s'usa exclusivament per a l'accés administratiu a switches, routers, APs, tallafocs i sistemes de monitorització. Acostuma a tenir la seva pròpia subxarxa IP i ACL estrictes de qui pot entrar. És una molt mala idea gestionar dispositius des de les mateixes VLAN on hi ha els usuaris.

l'anomenada VLAN de control es dedica al trànsit de protocols interns de xarxa: STP, protocols d'encaminament, CDP, LLDP, VTP, etc. Separar aquest trànsit de dades o gestió redueix soroll, millora l'estabilitat i permet aplicar mesures de seguretat específiques.

VLAN 1, VLAN nativa i per què són un problema de seguretat

A la majoria de switches, la VLAN 1 ve configurada com a VLAN predeterminada i nativa a tots els ports. Això significa que, si no es toca res, tot el trànsit sense etiquetar que entra en un troncal es fica a la VLAN 1 i tots els ports en formen part.

El problema és que qualsevol atacant mitjanament espavilat sap això. VLAN 1 és un dels objectius preferents per realitzar atacs de VLAN hopping, switch spoofing i altres invents que aprofiten configuracions per defecte per colar-se en altres VLAN.

En un atac de switch spoofing, per exemple, l'atacant connecta el seu equip a un port on DTP està actiu en mode dinàmic i negocia un enllaç troncal amb el switch, guanyant accés a múltiples VLAN que mai no haurien d'arribar a un host.

En un atac de doble etiquetatge (double tagging), es barregen dues etiquetes 802.1Q en una mateixa trama aprofitant que la VLAN nativa viatja sense marcar, per intentar saltar d'una VLAN a una altra a través d'un troncal mal assegurat.

Per tot això, les recomanacions de seguretat actuals són clares: no utilitzar VLAN 1 per a usuaris, no deixar-la com a VLAN nativa en troncals, no donar-li IP de gestió i, si és possible, aïllar-la o fins i tot filtrar-la perquè no porti trànsit de producció.

Bones pràctiques de disseny i assignació de ports

Una de les decisions clau en configurar VLAN és com s'assignen els ports dels switches a cada VLAN i què fer amb els ports que no es fan servir. Sembla trivial, però en depèn tant el rendiment com la seguretat.

A ports d'accés és bona idea deixar sempre una sola VLAN com untagged (la d'aquest usuari o equip) i marcar la resta com a excloses. D'aquesta manera s'evita que la interfície acabi veient VLAN que no li corresponen, fins i tot si algú toca configuracions per error.

En enllaços troncals, es recomana configurar-lo explícitament quin VLAN estan permeses (switchport trunk allowed vlan 10,20,99, per exemple) en lloc de passar totes les VLAN de la xarxa. Cada troncal només hauria de portar les VLAN que realment necessita.

Per als ports que no estan en ús, la pràctica més segura consisteix a apagar-los (shutdown), assignar-los a una VLAN “de forat negre” sense gateway ni DHCP, i assegurar-se que no estan marcats com a troncal ni amb DTP actiu. Així s'evita que algú connecti un equip i aparegui de sobte a la xarxa de producció.

En entorns on el nombre de ports és molt alt, convé documentar bé què s'endolla a cada interfície, etiquetar el cablejat i tenir plànols actualitzats. Molts problemes de connectivitat amb VLAN es deuen simplement a cables canviats de lloc sense actualitzar la documentació; una guia de cablejat ajuda a evitar errors.

VLAN “sense sortida” i ports no utilitzats

Una tècnica senzilla i molt eficaç per protegir ports lliures consisteix a crear una VLAN “sense sortida”, és a dir, una VLAN sense DHCP, sense routing i sense serveis, i ficar-hi tots els ports d'accés que no s'estiguin usant.

La idea és que, encara que algú connecti un equip en un d'aquests ports, aquest host no obtingui IP, no tingui porta d'enllaç, no pugui assolir altres equips i el trànsit es quedi totalment aïllat. És una mena de limbe de xarxa.

En molts entorns es fa servir un ID reconeixible, com ara VLAN 777, 999 o 4094, per a aquest propòsit. El switch es configura per excloure la resta de VLAN d'aquests ports, no es defineix interfície de capa 3 per a aquesta VLAN i no s'anuncia a cap router.

A més d'això, és recomanable que a tots els switches es desactivi DTP a ports d'accés amb switchport nonegotiate, perquè mai intentin transformar-se en troncals de manera automàtica per negociació amb el veí.

VLAN per a veu, dades i dispositius especials

A xarxes on hi ha telefonia IP i trànsit de veu, el normal és separar la veu en una VLAN específica diferent de la dels PCs. El motiu és doble: requisits de qualitat de servei i seguretat.

El trànsit de veu és molt sensible a la latència, jitter i pèrdua de paquets. Si es barregen sense control amb descàrregues pesades, videostreaming o còpies de seguretat, les trucades es degraden ràpidament. Separar la veu al VLAN permet prioritzar-la amb QoS i aplicar polítiques més precises.

A més, els telèfons IP solen tenir capacitats d'etiquetatge de VLAN (802.1Q) pròpies: es connecten en cascada amb el PC, el port cap a la xarxa va a trunk (veu etiquetada, dades sense etiquetar) i el port cap al PC actua com a accés. Això exigeix configuracions de port una mica més fines per no deixar buits de seguretat.

També és bona idea separar a VLAN específiques els dispositius IoT, domòtica, càmeres IP, televisors, endolls intel·ligents, etc. Són equips que sovint tenen un nivell de seguretat pobre i firmware poc mantingut, i convé que no estiguin a la mateixa xarxa lògica que els PC d'administració o els servidors crítics.

Al món WiFi, la majoria de punts d'accés professionals permeten associar un SSID a cada VLAN. D'aquesta manera, la segmentació de la xarxa cablejada s'estén a la xarxa sense fils: VLAN de gestió, VLAN corporativa, VLAN d'IoT, VLAN de convidats, cadascuna amb el seu SSID i les seves regles.

Enrutament entre VLAN, ACL i firewalls

Per disseny, les VLAN no es “veuen” entre si a nivell 2. Si es vol que equips de VLAN diferents es comuniquin, cal pujar a nivell 3: encaminament entre VLAN. Això es realitza típicament en un router, en un tallafoc o en un switch L3.

Hi ha dos patrons principals. El primer és fer servir un router o firewall amb suport 802.1Q penjat dun troncal de switch. El router crea subinterfícies (una per VLAN), els assigna IPs i actua com a porta denllaç. El firewall, a més, aplica regles fines de qui pot parlar amb qui.

El segon patró és utilitzar un switch gestionable de capa 3 a la capa de distribució o nucli. S'hi creen interfícies VLAN (SVI) que actuen com a gateways per a cada subxarxa. El mateix switch fa l'encaminament intern i les ACL corresponents, descarregant de treball el router de vora.

En ambdós casos, és vital acompanyar aquest encaminament de llistes de control d'accés (ACL) o regles de tallafocs estrictes. Que hi hagi camí IP entre VLAN no vol dir que s'hagi de permetre tot el trànsit. Cal filtrar en funció d'origen, destí, ports, protocols i sentit de les connexions.

Un exemple típic: la VLAN de convidats només pot anar a Internet, la VLAN d'IoT només pot parlar amb servidors concrets (com NTP, syslog o un broker MQTT), la VLAN d'alumnes no pot arribar a la VLAN d'administració, la VLAN de còpies de seguretat només inicia connexions cap al servidor de còpia de seguretat, etc.

Protocols d'administració de VLAN: VTP i companyia

En xarxes grans amb molts switches, anar VLAN per VLAN creant-les a mà a cada equip és poc pràctic i propens a errors. Per això existeixen protocols com VTP (VLAN Trunking Protocol) al món Cisco, que permeten distribuir de forma centralitzada la llista de VLAN.

VTP defineix tres modes de funcionament en un switch: servidor, client i transparent. Els servidors poden crear, reanomenar o esborrar VLAN i envien aquesta informació als clients del mateix domini. Els clients reben i apliquen els canvis, però no els modifiquen. Els transparents no processen la base de dades de VLAN, només retransmeten la informació.

Aquest tipus de protocols simplifiquen molt la vida, però tenen la seva lletra petita: un error en un switch servidor, una contrasenya de VTP mal gestionada o un switch vell reintroduït a la xarxa amb una base de dades antiga poden destrossar de cop la configuració de VLAN a tota l'organització.

Per això, en molts dissenys actuals es prefereix utilitzar VTP en mode transparent o directament no utilitzar-lo, gestionant les VLAN amb eines de automatització (Ansible, plantilles, controladors centralitzats, etc.) o amb un disseny més estàtic i controlat.

Seguretat avançada: VACL, PVLAN i mitigació d'atacs

Quan la xarxa creix i la criticitat augmenta, les VLAN per si soles es queden curtes. Per controlar el trànsit de forma més granular dins d'una VLAN es poden fer servir VACL (VLAN ACL o VLAN maps), que permeten filtrar o redirigir trànsit a nivell de VLAN, no només en interfícies concretes.

Les VACL es configuren definint mapes d'accés per VLAN que usen llistes d'accés IP o MAC i especifiquen què fer amb el trànsit que coincideix: deixar-lo passar, bloquejar-lo, enviar-lo a un port de monitorització, redirigir-lo… Després s'apliquen a una o diverses VLAN de manera global al switch.

Per a casos on es vol aïllar hosts dins de la mateixa subxarxa, existeixen les VLAN privades (PVLAN). Es parteix d'una VLAN primària que sol ser on és el gateway i es creen VLAN secundàries associades de dos tipus: isolated i community.

Les VLAN secundàries de tipus aïllat permeten que cada host només vegi el gateway, però no a altres hosts, ni tan sols encara que estiguin a la mateixa VLAN secundaria aïllada. Les de tipus comunitat permeten que un grup de hosts es vegin entre si i el gateway, però no altres grups de la mateixa primària.

Pel que fa a atacs específics, a més del ja comentat sobre VLAN 1 i DTP, és crític mitigar el VLAN hopping per doble etiquetatge. Per això es recomana canviar la VLAN nativa a una VLAN que no es faci servir amb hosts, treure aquesta VLAN nativa dels troncals si és possible, deshabilitar DTP, definir explícitament els ports com a access o trunk, i usar ordres perquè la VLAN nativa viatgi sempre etiquetada, descartant trànsit sense marcar.

Diagnòstic i manteniment de xarxes amb VLAN

Configurar una xarxa amb VLAN és només la meitat de la feina; l'altra meitat és mantenir-la i depurar incidències sense tornar-se boig. Els problemes típics de connectivitat amb VLAN solen tenir causes força repetides. Per a guies i procediments pràctics convé consultar recursos sobre diagnòstic de problemes en una xarxa.

D'una banda, hi ha els errors físics: cables moguts d'un port a un altre sense actualitzar la documentació, ports configurats com a accés on hauria d'anar un troncal, o al revés, enllaços redundants mal definits que acaben en bucles si STP no està ben afinat.

De l'altra, hi ha les fallades lògiques: VLAN creades en uns switches però no en altres, llistes de VLAN permeses als troncals mal configurades, rangs de DHCP que no quadren amb les màscares o gateways mal establerts als equips finals.

Les eines clau per diagnosticar són les ordres de sempre: show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, traceroute, etc. Combinar-los amb captures de trànsit a ports específics i amb un bon sistema de monitoratge ajuda moltíssim.

També convé revisar periòdicament les ACL, regles de tallafocs, PVLAN, VACL i configuració de management per assegurar-se que no s'han quedat forats oberts després de canvis de projecte, ampliacions o migracions.

Una documentació clara (esquemes de VLAN, rangs IP, assignació de ports, descripció de polítiques d'accés entre VLAN) i un registre de canvis rigorós són gairebé tan importants com les mateixes ordres de configuració.

Amb una segmentació ben pensada, VLAN correctament etiquetades, una gestió prudent de la VLAN nativa, encaminament inter-VLAN protegit per ACL i hàbits de manteniment constants, una xarxa empresarial pot guanyar un salt considerable de seguretat, rendiment i control sense necessitat de refer tota la infraestructura física.