Konfigurace VLAN a zabezpečení sítě: kompletní průvodce

Informatec Digital » Zdroje » Konfigurace VLAN a zabezpečení sítě: kompletní průvodce

Pokud spravujete firemní síť, víte, že její zajištění Všechno funguje rychle a bezpečně Zároveň to není snadný úkol. S růstem týmů, služeb a aplikací se všude začínají objevovat vysílání, úzká hrdla a bezpečnostní problémy.

Jedním z nejúčinnějších nástrojů, jak vnést do chaosu řád, je... VLAN (virtuální LAN)Dobře navržené a nakonfigurované vám umožňují segmentovat síť, omezit zbytečný provoz, izolovat oddělení a chránit kritické služby... ale špatně naplánované se mohou stát bezpečnostním sítem nebo noční můrou pro administraci.

Co přesně je VLAN a proč je důležitá pro bezpečnost?

VLAN je v podstatě nezávislá logická síť které se nacházejí na stejné fyzické infrastruktuře: stejné přepínače, stejná kabeláž, stejné přístupové body Wi-Fi. Na logické úrovni se zařízení ve VLAN chovají, jako by byla na samostatné síti LAN, i když jsou rozmístěna na různých patrech nebo v různých budovách.

To umožňuje skupině počítačů, serverů, IP telefonů, tiskáren nebo IP kamer vytvořit vlastní vysílací doménuizolované od ostatních skupin. Broadcastové a multicastové pakety zůstávají v rámci jejich VLAN, místo aby zahlcovaly celou síť, což zlepšuje výkon a usnadňuje kontrolu nad tím, kdo koho vidí.

V obchodním prostředí je běžné vytvářet VLAN pro oddělení (účetnictví, inženýrství, marketing)oddělit provoz pro správu, hlas, hosty, IoT nebo dokonce vyhrazenou záložní VLAN. Každá z nich má svá vlastní pravidla směrování, zabezpečení a kvality služeb.

Kromě toho jsou VLAN klíčovou součástí strategií pro Segmentace a nulová důvěraSítě se již nepovažují za „zcela spolehlivé“ a definují se oblasti útoku. Selhání nebo infekce v jedné síti VLAN by neměla způsobit dominový efekt a zhroucení celé organizace.

Základní pojmy: přístupové porty, trunkové sítě a nativní VLAN

Pro úplné pochopení konfigurace a zabezpečení VLAN je třeba mít jasno ve třech klíčových myšlenkách: přístupové porty, trunkové porty a nativní VLANPokud zvládnete tyto tři koncepty, všechno ostatní do sebe zapadne mnohem lépe.

Un přístupový port Jedná se o port přepínače, který přenáší provoz z jedné VLAN do koncového zařízení: počítače, tiskárny, IP kamery, telefonu atd. Provoz proudí ze přepínače do tohoto zařízení. Bez označení 802.1Q (neoznačeno). Přepínač interně ví, do které VLAN patří, ale zařízení značku nevidí.

Un kmenový port Jedná se o spojení mezi síťovými zařízeními (switch-switch, switch-router, switch-AP), kterým procházejí data. více VLAN současněV tomto případě rámce nesou tag 802.1Q, který označuje, do které VLAN patří. To umožňuje rozšíření VLAN v celé topologii a směrování více logických sítí přes stejné fyzické spojení.

La Nativní VLAN Toto je VLAN používaná pro neoznačený provoz na spojení 802.1Q. Každý rámec vstupující do kmenového portu bez tagu je přiřazen k této nativní VLAN. Ve výchozím nastavení je na mnoha zařízeních to VLAN 1 a pokud se tato konfigurace nezmění, právě zde začínají bezpečnostní problémy.

Architektura a návrh sítě s VLAN

Ve středních a velkých sítích je běžné používat třívrstvá topologieZákladní, distribuční a přístupová vrstva. Každá vrstva má svou roli a jejich kombinace s VLAN má značný praktický význam.

Přístupová vrstva se skládá z přepínačů, které Propojují uživatele přímo a koncová zařízení. Tato zařízení mají nejvíce přístupových portů a jsou místem, kde je definována většina uživatelských, hlasových, IoT atd. VLAN. Právě zde je třeba věnovat největší pozornost alokaci portů a osvědčeným postupům fyzického zabezpečení (zajištění, aby nikdo nemohl jen tak zapojit kabely).

Distribuční vrstva obsahuje přepínače, které Agregují provoz z více přístupových přepínačůObvykle je to bod, kde se provádí směrování mezi VLAN, aplikují se jemnější ACL, ukončují se optické linky, přidávají se linky (EtherChannel) a aplikují se pokročilejší zásady (QoS, ochrana proti bouřím atd.).

Jádrová vrstva obsahuje distribuční linky a bránu do internetu nebo externích sítí. Ve velmi rozsáhlých sítích je běžné, že Jádro je výhradně zodpovědné za vysokorychlostní přepínánís velmi malým počtem dalších funkcí, aby se snížila latence a složitost.

Při návrhu sítě s VLAN je vhodné nejprve definovat které logické skupiny jsou potřeba (podle funkce, kritičnosti, úrovně důvěry atd.) a poté jej umístit do dobře naplánovaného IP schématu (podsítě, masky, VLSM, dynamické a statické rozsahy) a do jasné alokace portů na každém přepínači.

Typy VLAN a běžné použití

Nejrozšířenějším standardem pro označování rámců v hlavních spojích je IEEE 802.1QDo ethernetové hlavičky s VLAN ID a dalšími poli přidá 4 bajty, takže přepínač přesně ví, do které VLAN každý rámec patří, aniž by musel zapouzdřovat celý rámec.

Pokud jsou sítě VLAN na přepínačích konfigurovány s protokolem 802.1Q, lze každý port označit jako označené nebo neoznačené pro konkrétní VLAN. Port může být označen v několika VLAN (typicky pro trunk), ale neoznačen pouze v jedné z nich (té, kterou koncové zařízení uvidí, pokud se jedná o přístupový port).

Kromě „běžných“ VLAN založených na standardu 802.1Q existují v podnikovém prostředí i další modality široce používané: VLAN založené na portech, VLAN založené na MAC adresách, VLAN pro správu, VLAN pro řízení, vlastní nativní VLAN, hybridní VLAN nebo dokonce VXLAN v datových centrech a cloudových prostředích, kde jsou potřeba miliony logických sítí. Za zvážení stojí také technologie, jako například 802.1X a dynamické VLAN pro alokaci a pokročilé zabezpečení.

La Správa VLAN Používá se výhradně pro administrativní přístup k přepínačům, routerům, přístupovým bodům, firewallům a monitorovacím systémům. Obvykle má vlastní IP podsíť a striktní ACL, které řídí, kdo k ní má přístup. Správa zařízení ze stejných VLAN jako uživatelé je velmi špatný nápad.

Volání řídicí VLAN Je určen pro provoz interních síťových protokolů: STP, směrovací protokoly, CDP, LLDP, VTP atd. Oddělení tohoto provozu od datového nebo řídicího provozu snižuje šum, zlepšuje stabilitu a umožňuje aplikaci specifických bezpečnostních opatření.

VLAN 1, nativní VLAN a proč představují bezpečnostní problém

Na většině přepínačů je VLAN 1 předkonfigurovaná. jako výchozí a nativní VLAN na všech portech. To znamená, že pokud se nic nezmění, veškerý neoznačený provoz vstupující do kmenové sítě je umístěn do VLAN 1 a všechny porty jsou její součástí.

Problém je v tom, že to ví každý středně zkušený útočník. VLAN 1 je jedním z hlavních cílů útoku. Útoky přeskakováním VLAN, falšování přepínačů a další vynálezy, které využívají výchozí konfigurace k proniknutí do jiných VLAN.

Například při útoku typu spoofing switch útočník připojí své zařízení k portu, kde je DTP aktivní v dynamickém režimu a vyjednat kmenové spojení s přepínačem získáte přístup k více sítím VLAN, které by se nikdy neměly dostat k hostiteli.

Při útoku s dvojitým tagováním jsou dva tagy 802.1Q smíchány ve stejném rámci, čímž se využívá skutečnosti, že nativní VLAN putuje bez tagů, k pokusu o přeskočení z jedné VLAN do druhé přes špatně zabezpečený trunk.

Aktuální bezpečnostní doporučení jsou proto jasná: Nepoužívejte VLAN 1 pro uživateleNenechávejte ji jako nativní VLAN na trunkech, nedávejte jí IP adresu pro správu a pokud možno ji izolujte nebo dokonce filtrujte, aby nepřenášela produkční provoz.

Nejlepší postupy pro návrh a alokaci portů

Jedním z klíčových rozhodnutí při konfiguraci VLAN je Jak jsou přiřazeny porty přepínače pro každou VLAN a co dělat s nepoužívanými porty. Zdá se to triviální, ale závisí na tom výkon i bezpečnost.

Vždy je dobrý nápad nechat přístupové porty otevřené. jedna VLAN jako neoznačená (daného uživatele nebo zařízení) a zbytek označit jako vyloučené. Tím se zabrání rozhraní v „vidění“ VLAN, které k němu nepatří, a to i v případě, že někdo omylem změní nastavení.

V kmenových linkách se doporučuje explicitně konfigurovat které VLAN jsou povoleny (např. trunk switchportu povolil VLAN 10, 20, 99) namísto předávání všech VLAN v síti. Každý trunk by měl nést pouze VLAN, které skutečně potřebuje.

U portů, které se nepoužívají, je nejbezpečnější postup vypnout je (vypnout)Přiřaďte je k „černé díře“ VLAN bez brány nebo DHCP a ujistěte se, že nejsou označeny jako trunk nebo nemají povolený DTP. Tím zabráníte někomu, aby se připojil k zařízení a náhle se objevil v produkční síti.

V prostředích s velmi vysokým počtem portů je vhodné provést dobrou dokumentaci. co se zapojuje do každého rozhraníOznačte kabeláž a aktualizujte schémata. Mnoho problémů s připojením k VLAN je jednoduše způsobeno přesunutím kabelů bez aktualizované dokumentace; průvodce zapojením Pomáhá to vyhnout se chybám.

„Nevýchodové“ VLAN a nepoužívané porty

Jednoduchá a velmi účinná technika ochrany volných portů spočívá ve vytvoření VLAN „bez východu“Tedy VLAN bez DHCP, bez směrování a bez služeb a do ní vložit všechny nepoužívané přístupové porty.

Myšlenka je taková, že i když někdo připojí zařízení k jednomu z těchto portů, tento hostitel nezíská IP adresu, nebude mít bránu, nebude schopen dosáhnout na jiná zařízení a jeho provoz zůstane zcela izolovaný. Je to jakýsi síťový limbu.

V mnoha prostředích se používá rozpoznatelné ID, například VLAN 777, 999 nebo 4094Za tímto účelem je přepínač nakonfigurován tak, aby z těchto portů vyloučil zbytek VLAN, pro danou VLAN není definováno žádné rozhraní Layer 3 a není inzerována na žádném routeru.

Dále se doporučuje zakázat DTP na přístupových portech všech přepínačů s přepínač bez vyjednáváníaby se nikdy nepokusily automaticky stát dálkovými linkami prostřednictvím vyjednávání se sousedem.

VLAN pro hlas, data a speciální zařízení

V sítích, kde se nacházejí IP telefonie a hlasový provozStandardní praxí je oddělení hlasového provozu do specifické VLAN, odlišné od VLAN počítačů. To ze dvou důvodů: požadavků na kvalitu služeb a zabezpečení.

Hlasový provoz je vysoce citlivý na latenci, jitter a ztrátu paketů. Pokud je nekontrolovatelně smíchán s velkým množstvím stahování, streamováním videa nebo zálohováním, hovory se rychle zhoršují. Oddělení hlasu do vaší VLAN vám to umožňuje. prioritizujte pomocí QoS a zavádět přesnější zásady.

IP telefony navíc obvykle disponují vlastními funkcemi pro označování VLAN (802.1Q): jsou kaskádovány s počítačem, port do sítě funguje jako trunk (označený hlas, neoznačená data) a port do počítače funguje jako přístupový port. To vyžaduje mírně jemnější konfigurace portů aby se zabránilo vzniku bezpečnostních mezer.

Je také dobrý nápad oddělit [nejasné] do konkrétních VLAN. IoT zařízení, domácí automatizace, IP kamery, televizory, chytré zásuvkyatd. Jedná se o zařízení, která mají často nízkou úroveň zabezpečení a špatně udržovaný firmware, a je vhodné, aby nebyla ve stejné logické síti jako řídicí počítače nebo kritické servery.

Ve světě WiFi většina profesionálních přístupových bodů umožňuje připojení jedno SSID pro každou VLANTímto způsobem se segmentace kabelové sítě rozšiřuje i na bezdrátovou síť: management VLAN, korporátní VLAN, IoT VLAN, guest VLAN, každá s vlastním SSID a pravidly.

Směrování mezi VLAN, ACL a firewally

VLAN jsou záměrně Na úrovni 2 se navzájem „nevidí“.Pokud chcete, aby zařízení v různých sítích VLAN komunikovala, musíte přejít na 3. vrstvu: směrování mezi VLAN. To se obvykle provádí na routeru, firewallu nebo přepínači 3. vrstvy.

Existují dva hlavní vzorce. Prvním je použití router nebo firewall s podporou standardu 802.1Q připojen k přepínací síti. Router vytváří subinteče (jedno na VLAN), přiřazuje jim IP adresy a funguje jako brána. firewallDále uplatňuje jemná pravidla o tom, kdo s kým může mluvit.

Druhým vzorem je použití Spravovaný přepínač vrstvy 3 na distribuční nebo jádrové vrstvě. Na ní se vytvářejí rozhraní VLAN (SVI), která fungují jako brány pro každou podsíť. Samotný přepínač se stará o interní směrování a odpovídající ACL, čímž odlehčuje práci edge routeru.

V obou případech je nezbytné doplnit toto směrování o seznamy řízení přístupu (ACL) nebo pravidla firewallu Přísné. Existence IP cesty mezi VLAN neznamená, že by měl být povolen veškerý provoz. Filtrování musí být provedeno na základě zdroje, cíle, portů, protokolů a směru připojení.

Typický příklad: hostující VLAN má přístup pouze k internetu, IoT VLAN může komunikovat pouze s konkrétními servery (například NTP, syslog nebo MQTT broker), studentská VLAN nemá přístup k management VLAN, záložní VLAN pouze iniciuje připojení k záložnímu serveru atd.

Protokoly pro správu VLAN: VTP a company

Ve velkých sítích s mnoha přepínači je ruční vytváření VLAN na každém zařízení nepraktické a náchylné k chybám. Proto protokoly jako VTP (VLAN Trunking Protocol) ve světě Cisco, které umožňují centralizovanou distribuci seznamu VLAN.

VTP definuje tři provozní režimy v přepínači: server, klient a transparentníServery mohou vytvářet, přejmenovávat nebo mazat sítě VLAN a odesílat tyto informace klientům ve stejné doméně. Klienti změny přijímají a aplikují, ale neupravují je. Transparentní servery nezpracovávají databázi sítí VLAN; pouze přenášejí informace.

Tyto typy protokolů výrazně zjednodušují život, ale mají své nevýhody: chyba v přepínači serveru, špatně spravované heslo VTP nebo starý přepínač znovu zavedený do sítě se zastaralou databází může způsobit problémy. k úplnému zničení konfigurace VLAN v celé organizaci.

Proto je v mnoha současných návrzích preferován režim VTP. průhledný nebo jej jednoduše nepoužívat, správa VLAN pomocí nástrojů automatizace (Ansible, šablony, centralizované ovladače atd.) nebo se statičtějším a kontrolovanějším designem.

Pokročilé zabezpečení: VACL, PVLAN a zmírňování útoků

S růstem sítě a zvyšující se její kritičností samotné sítě VLAN nestačí. Pro podrobnější řízení provozu v rámci sítě VLAN lze použít jiné metody. VACL (VLAN ACL nebo mapy VLAN)které umožňují filtrování nebo přesměrování provozu na úrovni VLAN, nejen na konkrétních rozhraních.

Seznamy VACL se konfigurují definováním Mapy přístupu k VLAN Používají přístupové seznamy IP nebo MAC adres a určují, co dělat s odpovídajícím provozem: propustit ho, blokovat ho, poslat ho na monitorovací port, přesměrovat ho… Poté se globálně aplikují na jednu nebo více VLAN na přepínači.

Pro případy, kdy chcete izolovat hostitele v rámci stejné podsítě, existují Privátní VLAN (PVLAN)Začíná to s primární VLAN, což je obvykle místo, kde se nachází brána, a vytváří se přidružené sekundární VLAN dvou typů: izolované a komunitní.

Sekundární VLAN typu izolovaný Umožňují každému hostiteli vidět pouze bránu, ale ne ostatní hostitele, a to ani v případě, že jsou na stejné izolované sekundární VLAN. Jedná se o typ obec Umožňují skupině hostitelů vidět se navzájem a také bránu, ale ne ostatním skupinám na stejném primárním serveru.

Pokud jde o konkrétní útoky, kromě toho, co již bylo řečeno o VLAN 1 a DTP, je zásadní zmírnit Přepínání VLAN pomocí dvojitého tagováníAbyste toho dosáhli, doporučuje se změnit nativní VLAN na VLAN, která se nepoužívá s hostiteli, pokud možno tuto nativní VLAN z trunků odebrat, zakázat DTP, explicitně definovat porty jako přístupové nebo trunkové a používat příkazy tak, aby nativní VLAN vždy putovala označená a neoznačený provoz byl zahozen.

Diagnostika a údržba sítí s VLAN

Nastavení sítě s VLAN je jen polovina úkolu; ta druhá polovina je... udržovat ho a řešit problémy Bez zbytečného šílenství. Typické problémy s připojením k VLAN mají obvykle poměrně běžné příčiny. Průvodce a praktické postupy naleznete ve zdrojích na adrese diagnostika problémů se sítí.

Na jedné straně existují fyzické chyby: kabely přesunuté z jednoho portu do druhého bez aktualizace dokumentace, porty konfigurované jako přístupové tam, kde by měl být trunk, nebo naopak špatně definované redundantní linky, které končí ve smyčkách, pokud není STP správně naladěn.

Na druhou stranu existují logické chyby: VLAN vytvořené na některých přepínačích, ale ne na jiných, povolené seznamy VLAN na nesprávně nakonfigurovaných truncíchRozsahy DHCP, které neodpovídají maskám nebo branám nesprávně nastaveným na koncových zařízeních.

Klíčovými nástroji pro diagnostiku jsou obvyklé příkazy: zobrazit VLAN, zobrazit trunk rozhraní, zobrazit spanning-tree, zobrazit stručný popis IP rozhraní, ping, tracerouteatd. Jejich kombinace se zachycením provozu na konkrétních portech a dobrým monitorovacím systémem hodně pomáhá.

Je také vhodné pravidelně kontrolovat Seznamy ACL, pravidla firewallu, PVLAN, seznamy VACL a konfigurace správy aby se zajistilo, že po změnách, rozšířeních nebo migracích projektu nezůstanou žádné mezery.

Jasná dokumentace (schémata VLAN, rozsahy IP adres, přiřazení portů, popis zásad přístupu mezi VLAN) a důkladné protokolování změn jsou téměř stejně důležité jako samotné konfigurační příkazy.

Díky promyšlené segmentaci, správně označeným sítím VLAN, rozumné nativní správě sítí VLAN, směrování mezi sítěmi VLAN chráněnému seznamem ACL a konzistentním postupům údržby může podniková síť dosáhnout značného zvýšení výkonu. bezpečnost, výkon a kontrola bez nutnosti přestavby celé fyzické infrastruktury.