VLAN-konfigurointi ja verkon suojaus: täydellinen opas

Informatec Digital » Resurssit » VLAN-konfigurointi ja verkon suojaus: täydellinen opas

Jos hallinnoit yritysverkkoa, tiedät, että sen saaminen Kaikki toimii nopeasti ja varmasti Samaan aikaan se ei ole helppo tehtävä. Tiimien, palveluiden ja sovellusten kasvaessa lähetyksiä, pullonkauloja ja tietoturvaongelmia alkaa näkyä kaikkialla.

Yksi tehokkaimmista työkaluista järjestyksen tuomiseksi kaaokseen on... VLAN (virtuaalilähiverkko)Hyvin suunniteltuina ja konfiguroituina ne mahdollistavat verkon segmentoinnin, turhan liikenteen vähentämisen, osastojen eristämisen ja kriittisten palveluiden suojaamisen... mutta huonosti suunniteltuina niistä voi tulla tietoturvaseula tai hallinnon painajainen.

Mikä VLAN tarkalleen ottaen on ja miksi se on tärkeä turvallisuuden kannalta?

VLAN on pohjimmiltaan ns. riippumaton logiikkaverkko jotka sijaitsevat samassa fyysisessä infrastruktuurissa: samat kytkimet, sama kaapelointi, samat Wi-Fi-tukiasemat. Loogisella tasolla VLAN-verkon laitteet käyttäytyvät ikään kuin ne olisivat erillisessä lähiverkossa, vaikka ne olisivatkin hajautettuina eri kerroksiin tai rakennuksiin.

Tämä mahdollistaa ryhmän tietokoneita, palvelimia, IP-puhelimia, tulostimia tai IP-kameroita muodostaa oma lähetysverkkotunnuseristetty muista ryhmistä. Lähetys- ja monilähetyspaketit pysyvät omassa VLAN-verkossaan sen sijaan, että ne hukuttaisivat koko verkon, mikä parantaa suorituskykyä ja helpottaa kenenkin näkemisen hallintaa.

Liiketoimintaympäristöissä on yleistä luoda VLAN-verkkoja osastot (kirjanpito, tekniikka, markkinointi)erottaa liikenteen hallintaa, ääniliikennettä, vieraita käyttäjiä, IoT:tä tai jopa erillistä vara-VLANia varten. Jokaisella on omat reititys-, tietoturva- ja palvelunlaatusääntönsä.

Lisäksi VLANit ovat keskeinen osa strategioita, jotka koskevat Segmentointi ja nollaluottamusVerkkojen ei enää oleteta olevan "täysin luotettavia", ja hyökkäyspintoja määritellään parhaillaan. Yhden VLANin vikaantumisen tai tartunnan ei pitäisi aiheuttaa koko organisaation romahtamista dominoefektin muodossa.

Peruskäsitteet: pääsyportit, runkolinjat ja natiivi-VLAN

VLAN-kokoonpanon ja -tietoturvan täydelliseksi ymmärtämiseksi on kolme keskeistä ajatusta, jotka on oltava kristallinkirkkaita: pääsyportit, runkoportit ja natiivi VLANJos hallitset nämä kolme käsitettä, kaikki muu loksahtaa paikoilleen paljon paremmin.

Un pääsyportti Se on kytkimen portti, joka kuljettaa liikennettä yhdestä VLANista päätelaitteeseen: tietokoneeseen, tulostimeen, IP-kameraan, puhelimeen jne. Liikenne kulkee kytkimestä kyseiseen laitteeseen. Ei merkintää 802.1Q (tunnisteeton). Sisäisesti kytkin tietää, mihin VLANiin se kuuluu, mutta laitteisto ei näe tunnistetta.

Un tavaratilan portti Se on verkkolaitteiden (kytkin-kytkin, kytkin-reititin, kytkin-tukiasema) välinen linkki, jonka kautta data kulkee useita VLAN-verkkoja samanaikaisestiTässä tapauksessa kehyksissä on 802.1Q-tunniste, joka osoittaa, mihin VLANiin ne kuuluvat. Tämä mahdollistaa VLANien laajentamisen koko topologiaan ja useiden loogisten verkkojen reitittämisen saman fyysisen linkin kautta.

La Natiivi VLAN Tätä VLANia käytetään merkitsemättömälle liikenteelle 802.1Q-linkillä. Jokainen runkoporttiin ilman tägiä tuleva kehys on liitetty tähän natiiviin VLANiin. Oletusarvoisesti monissa laitteissa se on VLAN 1, ja tästä alkaa tietoturvaongelma, jos tätä kokoonpanoa ei muuteta.

Verkkoarkkitehtuuri ja -suunnittelu VLANien avulla

Keskikokoisissa ja suurissa verkoissa on yleistä käyttää ns. kolmikerroksinen topologiaYdin-, jakelu- ja käyttökerrokset. Jokaisella kerroksella on roolinsa, ja sillä, miten ne yhdistyvät VLAN-verkkoihin, on merkittävä käytännön merkitys.

Käyttöoikeuskerros koostuu kytkimistä, jotka Ne yhdistävät käyttäjät suoraan ja päätelaitteilla. Näillä on eniten käyttöportteja, ja niissä määritellään useimmat käyttäjä-, ääni-, IoT- jne. VLANit. Tässä porttien allokointi ja hyvät fyysiset turvallisuuskäytännöt (jotka varmistavat, ettei kukaan voi noin vain kytkeä kaapeleita) vaativat eniten huomiota.

Jakelukerros sisältää kytkimet, jotka Ne kokoavat yhteen liikennettä useilta tukiasemiltaSe on yleensä kohta, jossa VLANien välinen reititys tehdään, tarkempia käyttöoikeusluetteloita käytetään, kuitulinkit päätetään, linkkejä (EtherChannel) lisätään ja edistyneempiä käytäntöjä (QoS, myrskynhallinta jne.) sovelletaan.

Ydinkerros sisältää jakelulinkit ja yhdyskäytävän Internetiin tai ulkoisiin verkkoihin. Hyvin suurissa verkoissa on yleistä, että Ydin on yksin vastuussa nopeasta kytkennästähyvin vähäisillä lisäominaisuuksilla viiveen ja monimutkaisuuden vähentämiseksi.

VLAN-verkkoja käyttävää verkkoa suunniteltaessa on suositeltavaa ensin määritellä mitä loogisia ryhmiä tarvitaan (toiminnon, kriittisyyden, luotettavuustason jne. mukaan) ja sitten sijoittaa se hyvin suunniteltuun IP-järjestelmään (aliverkot, maskit, VLSM, dynaamiset ja staattiset alueet) ja selkeään porttijakoon jokaisella kytkimellä.

VLAN-tyypit ja yleiset käyttötarkoitukset

Yleisin standardi runkoyhteyksien kehysten merkitsemiseen on IEEE 802.1QSe lisää Ethernet-otsikkoon neljä tavua VLAN-tunnuksen ja muiden kenttien kanssa, jotta kytkin tietää tarkalleen, mihin VLANiin kukin kehys kuuluu, kapseloimatta koko kehystä.

Kun VLANit konfiguroidaan kytkimissä 802.1Q:lla, jokainen portti voidaan merkitä merkitty tai merkitty ilman tunnistetta tietylle VLANille. Portti voidaan merkitä useissa VLANeissa (tyypillistä runkoverkossa), mutta se voidaan poistaa merkitsemättä vain yhdessä niistä (se, jonka päätelaite näkee, jos kyseessä on pääsyportti).

"Normaalien" 802.1Q-pohjaisten VLAN-verkkojen lisäksi on olemassa muitakin laajalti yritysympäristöissä käytettyjä modaliteettia: Porttipohjaiset VLANit, MAC-pohjaiset VLANit, hallinta-VLANit, ohjaus-VLANit, mukautetut natiivi-VLANit, hybridi-VLANit tai jopa VXLANit datakeskus- ja pilviympäristöissä, joissa tarvitaan miljoonia loogisia verkkoja. Kannattaa myös harkita teknologioita, kuten 802.1X ja dynaamiset VLANit allokointia ja edistynyttä turvallisuutta varten.

La Hallinta-VLAN Sitä käytetään yksinomaan kytkimien, reitittimien, tukiasemien, palomuurien ja valvontajärjestelmien järjestelmänvalvojan oikeuksiin. Sillä on tyypillisesti oma IP-aliverkko ja tiukat käyttöoikeusluettelot (ACL), jotka rajoittavat sitä, kuka voi käyttää sitä. Laitteiden hallinta samoista VLAN-verkoista kuin käyttäjien hallinta on erittäin huono idea.

Puhelu VLAN-ohjaus Se on tarkoitettu sisäisen verkon protokollaliikenteelle: STP, reititysprotokollat, CDP, LLDP, VTP jne. Tämän liikenteen erottaminen data- tai hallintaliikenteestä vähentää kohinaa, parantaa vakautta ja mahdollistaa tiettyjen turvatoimenpiteiden soveltamisen.

VLAN 1, natiivi-VLAN ja miksi ne ovat tietoturvaongelma

Useimmissa kytkimissä VLAN 1 on esikonfiguroitu. oletus- ja natiivina VLANina kaikissa porteissa. Tämä tarkoittaa, että jos mitään ei muuteta, kaikki runkoon tuleva merkitsemätön liikenne sijoitetaan VLAN 1:een ja kaikki portit ovat osa sitä.

Ongelmana on, että jokainen kohtuullisen taitava hyökkääjä tietää tämän. VLAN 1 on yksi hyökkäyksen ensisijaisista kohteista. VLAN-hyppelyhyökkäykset, kytkimen huijaus ja muut keksinnöt, jotka hyödyntävät oletusasetuksia hiipiäkseen muihin VLAN-verkkoihin.

Esimerkiksi kytkimen huijaushyökkäyksessä hyökkääjä yhdistää laitteensa porttiin, jossa DTP on aktiivinen dynaamisessa tilassa, ja neuvotella runkoyhteydestä kytkimen avulla saat pääsyn useisiin VLAN-verkkoihin, joiden ei koskaan pitäisi tavoittaa isäntäverkkoa.

Tuplatunnistehyökkäyksessä kaksi 802.1Q-tunnistetta sekoitetaan samaan kehykseen hyödyntäen sitä, että natiivi VLAN liikkuu tunnisteettomana, ja yritetään hypätä VLANista toiseen huonosti suojatun runkoverkon kautta.

Kaikista näistä syistä nykyiset turvallisuussuositukset ovat selkeät: Älä käytä VLAN 1:tä käyttäjilleÄlä jätä sitä natiiviksi VLANiksi runkolinjoille, älä anna sille hallinta-IP-osoitetta ja jos mahdollista, eristä tai jopa suodata se, jotta se ei kuljeta tuotantoliikennettä.

Satamien suunnittelun ja allokoinnin parhaat käytännöt

Yksi tärkeimmistä päätöksistä VLAN-verkkoja konfiguroitaessa on Miten kytkimen portit jaetaan jokaiselle VLANille ja mitä käyttämättömille porteille tehdään. Se vaikuttaa triviaaliselta, mutta sekä suorituskyky että turvallisuus riippuvat siitä.

On aina hyvä pitää liitäntäportit auki. yksi VLAN merkitsemättömänä (kyseisen käyttäjän tai laitteen) ja merkitse loput pois suljetuiksi. Tämä estää rajapintaa "näkemästä" sille kuulumattomia VLAN-verkkoja, vaikka joku vahingossa muuttaisi asetuksia.

Runkoyhteyksissä on suositeltavaa määrittää se eksplisiittisesti mitkä VLANit ovat sallittuja (esim. switchport-runko sallii vlanit 10, 20 ja 99) kaikkien verkon VLANien ohittamisen sijaan. Kunkin rungon tulisi kuljettaa vain ne VLANit, joita se todella tarvitsee.

Käyttämättömien porttien osalta turvallisin käytäntö on sammuta ne (sammuta)Määritä ne "mustaan ​​aukkoon" kuuluvaan VLAN-verkkoon ilman yhdyskäytävää tai DHCP:tä ja varmista, ettei niitä ole merkitty runkoverkoksi tai että niissä on käytössä DTP. Tämä estää ketään yhdistämästä laitetta ja ilmestymästä yhtäkkiä tuotantoverkkoon.

Ympäristöissä, joissa porttien määrä on erittäin suuri, on suositeltavaa dokumentoida ne hyvin. mikä kytketään kuhunkin käyttöliittymäänMerkitse kaapelit ja pidä kaaviosi ajan tasalla. Monet VLAN-yhteysongelmat johtuvat yksinkertaisesti kaapeleiden siirtämisestä ilman ajantasaista dokumentaatiota. johdotusopas Se auttaa välttämään virheitä.

"Ei-poistumis"-VLANit ja käyttämättömät portit

Yksinkertainen ja erittäin tehokas tekniikka vapaiden porttien suojaamiseksi koostuu luomisesta Ei poistumispaikkaa VLANEli VLAN ilman DHCP:tä, reititystä ja palveluita, ja kaikki käyttämättömät tukiasemaportit on sijoitettu siihen.

Ajatuksena on, että vaikka joku liittäisi laitteen johonkin näistä porteista, kyseinen isäntä ei saa IP-osoitetta, sillä ei ole yhdyskäytävää, se ei pysty tavoittamaan muita laitteita ja sen liikenne pysyy täysin eristyksissä. Se on eräänlainen verkon limbotila.

Monissa ympäristöissä käytetään tunnistettavaa tunnusta, kuten VLAN 777, 999 tai 4094Tätä tarkoitusta varten kytkin on konfiguroitu sulkemaan pois muut VLANit näistä porteista, kyseiselle VLANille ei ole määritelty Layer 3 -rajapintaa, eikä sitä mainosteta millään reitittimellä.

Lisäksi on suositeltavaa, että DTP poistetaan käytöstä kaikkien kytkimien käyttöporteissa, joissa on switchport-neuvottelutonjotta ne eivät koskaan yritä automaattisesti muuttua runkolinjoiksi neuvottelemalla naapurin kanssa.

VLANit ääni-, data- ja erikoislaitteille

Verkoissa, joissa on IP-puhelinliikenne ja ääniliikenneVakiokäytäntönä on erottaa ääniliikenne omaan VLAN-verkkoonsa, joka on erillinen tietokoneiden liikenteestä. Tähän on kaksi syytä: palvelun laatuvaatimukset ja turvallisuus.

Ääniliikenne on erittäin herkkä latenssille, jitterille ja pakettien katoamiselle. Jos sitä sekoitetaan hallitsemattomasti raskaiden latausten, videoiden suoratoiston tai varmuuskopioiden kanssa, puhelut heikkenevät nopeasti. Äänen erottaminen VLAN-verkkoon mahdollistaa juuri tämän. priorisoi se QoS:n avulla ja toteuttaa tarkempia toimintaperiaatteita.

Lisäksi IP-puhelimissa on tyypillisesti omat VLAN-tunnisteominaisuuden (802.1Q): ne on kytketty tietokoneen kanssa, verkkoon menevä portti toimii runkona (tunnistettu ääni, tunnisteeton data) ja tietokoneen portti toimii liitäntäporttina. Tämä edellyttää hieman hienommat porttikonfiguraatiot välttääkseen turva-aukkojen syntymistä.

On myös hyvä ajatus erottaa [epäselvä] tiettyihin VLAN-verkkoihin. IoT-laitteet, kodin automaatio, IP-kamerat, televisiot, älypistokkeetjne. Nämä ovat laitteita, joilla on usein heikko tietoturvataso ja huonosti ylläpidetty laiteohjelmisto, ja on suositeltavaa, että ne eivät ole samassa loogisessa verkossa kuin hallintatietokoneet tai kriittiset palvelimet.

WiFi-maailmassa useimmat ammattimaiset tukiasemat mahdollistavat yhteyden muodostamisen yksi SSID kutakin VLANia kohdenTällä tavoin langallisen verkon segmentointi ulottuu langattomaan verkkoon: hallinta-VLAN, yritys-VLAN, IoT-VLAN ja vieras-VLAN, joilla kullakin on oma SSID ja säännöt.

Reititys VLANien, ACL-lisäysten ja palomuurien välillä

VLANit on suunniteltu Ne eivät "näe" toisiaan tasolla 2Jos haluat eri VLAN-verkoissa olevien laitteiden kommunikoivan keskenään, sinun on siirryttävä tasolle 3: VLANien välinen reititys. Tämä tehdään tyypillisesti reitittimellä, palomuurilla tai taso 3 -kytkimellä.

On olemassa kaksi pääasiallista kaavaa. Ensimmäinen on käyttää reititin tai palomuuri, jossa on 802.1Q-tuki Reititin luo aliliitäntöjä (yhden VLANia kohden), antaa niille IP-osoitteet ja toimii yhdyskäytävänä. palomuuriLisäksi siinä on tarkat säännöt siitä, kuka saa puhua kenenkin kanssa.

Toinen malli on käyttää Tason 3 hallittu kytkin jakelu- tai ydintasolla. Sille luodaan VLAN-rajapinnat (SVI), jotka toimivat yhdyskäytävinä kullekin aliverkolle. Kytkin itse hoitaa sisäisen reitityksen ja vastaavat ACL:t, mikä siirtää työtä reunareitittimeltä.

Molemmissa tapauksissa on tärkeää liittää tähän reititykseen käyttöoikeusluettelot (ACL:t) tai palomuurisäännöt Tiukka. VLANien välinen IP-polku ei tarkoita, että kaikki liikenne pitäisi sallia. Suodatus on tehtävä lähteen, kohteen, porttien, protokollien ja yhteyksien suunnan perusteella.

Tyypillinen esimerkki: vieras-VLAN voi käyttää vain Internetiä, IoT-VLAN voi kommunikoida vain tiettyjen palvelimien (kuten NTP:n, syslogin tai MQTT-välittäjän) kanssa, opiskelija-VLAN ei voi käyttää hallinta-VLANia, vara-VLAN vain aloittaa yhteydet varapalvelimeen jne.

VLAN-hallintaprotokollat: VTP ja yritys

Suurissa verkoissa, joissa on useita kytkimiä, VLANien luominen manuaalisesti kullekin laitteelle on epäkäytännöllistä ja altis virheille. Siksi protokollia, kuten VTP (VLAN-runkoyhteysprotokolla) Ciscon maailmassa, jotka mahdollistavat VLAN-luettelon keskitetyn jakelun.

VTP määrittelee kytkimelle kolme toimintatilaa: palvelin, asiakas ja läpinäkyväPalvelimet voivat luoda, nimetä uudelleen tai poistaa VLAN-verkkoja ja lähettää tiedot saman toimialueen asiakkaille. Asiakkaat vastaanottavat ja ottavat muutokset käyttöön, mutta eivät muokkaa niitä. Läpinäkyvät palvelimet eivät käsittele VLAN-tietokantaa; ne vain välittävät tiedot.

Tällaiset protokollat ​​yksinkertaistavat elämää huomattavasti, mutta niillä on haittapuolensa: palvelinkytkimen virhe, huonosti hallittu VTP-salasana tai vanhan kytkimen uudelleenasentaminen verkkoon vanhentuneella tietokannalla voi aiheuttaa ongelmia. tuhoamaan VLAN-kokoonpanon kokonaan koko organisaatiossa.

Siksi monissa nykyisissä malleissa VTP-tila on ensisijainen. läpinäkyvä tai yksinkertaisesti olla käyttämättä sitä, VLANien hallinta työkaluilla automaatio (Ansible, mallit, keskitetyt ohjaimet jne.) tai staattisemmalla ja kontrolloidummalla suunnittelulla.

Edistynyt suojaus: VACL, PVLAN ja hyökkäysten torjunta

Verkon kasvaessa ja kriittisyyden lisääntyessä pelkät VLANit jäävät riittämättömiksi. Liikenteen tarkempaan hallintaan VLANin sisällä voidaan käyttää muita menetelmiä. VACL (VLAN ACL tai VLAN-kartat)jotka mahdollistavat liikenteen suodattamisen tai uudelleenohjauksen VLAN-tasolla, ei vain tietyillä rajapinnoilla.

VACL-luettelot konfiguroidaan määrittämällä VLAN-käyttöoikeuskartat Ne käyttävät IP- tai MAC-käyttöoikeuslistoja ja määrittävät, mitä vastaavalle liikenteelle tehdään: päästetäänkö se läpi, estetäänkö se, lähetetäänkö se valvontaporttiin, ohjataanko se uudelleen... Sitten ne otetaan käyttöön globaalisti yhteen tai useampaan kytkimen VLAN-verkkoon.

Tapauksissa, joissa haluat eristää isännät saman aliverkon sisällä, on olemassa Yksityiset VLANit (PVLANit)Se alkaa ensisijaisella VLANilla, joka yleensä sijaitsee yhdyskäytävän lähellä, ja luo siihen liittyviä toissijaisia ​​VLANeja, joita on kahdenlaisia: erillisiä ja yhteisöllisiä.

Tyypin toissijaiset VLANit yksittäinen Ne sallivat jokaisen isännän nähdä vain yhdyskäytävän, mutta eivät muita isäntiä, vaikka ne olisivat samassa eristetyssä toissijaisessa VLANissa. Nämä ovat tyyppiä yhteisö Ne sallivat isäntäryhmän nähdä toisensa ja yhdyskäytävän, mutta eivät muita saman ensisijaisen verkon ryhmiä.

Tiettyjen hyökkäysten osalta on VLAN 1:stä ja DTP:stä jo sanotun lisäksi ratkaisevan tärkeää lieventää VLAN-hyppely kaksoistunnisteellaTätä varten on suositeltavaa vaihtaa natiivi VLAN sellaiseen VLANiin, jota ei käytetä isäntien kanssa, poistaa kyseinen natiivi VLAN runkoverkoista, jos mahdollista, poistaa DTP käytöstä, määrittää portit erikseen käyttö- tai runkoverkoiksi ja käyttää komentoja siten, että natiivi VLAN kulkee aina tunnistettuna ja hylkää tunnisteettoman liikenteen.

VLAN-verkkojen diagnosointi ja ylläpito

VLAN-verkkojen avulla verkon perustaminen on vasta puolet työstä; toinen puoli on ylläpitää sitä ja debugata tapauksia Ilman, että menemme hulluksi. Tyypillisillä VLAN-yhteysongelmilla on yleensä melko yleisiä syitä. Katso oppaita ja käytännön menettelytapoja osoitteesta verkko-ongelmien diagnosointi.

Toisaalta on fyysisiä virheitä: kaapeleita siirretään portista toiseen ilman dokumentaation päivittämistä, portteja konfiguroidaan kulkuporteiksi sinne, missä runkoverkon pitäisi olla, tai päinvastoin, huonosti määriteltyjä redundantteja linkkejä, jotka päättyvät silmukoihin, jos STP:tä ei ole viritetty oikein.

Toisaalta on loogisia virheitä: VLANeja luodaan joillekin kytkimille, mutta ei toisille, sallittujen VLAN-luetteloiden virheellisesti konfiguroidut runkolinjatDHCP-alueet, jotka eivät vastaa päätelaitteissa väärin asetettuja maskeja tai yhdyskäytäviä.

Diagnostiikan keskeiset työkalut ovat tavanomaiset komennot: näytä vlan, näytä rajapintojen runko, näytä virittävä puu, näytä ip-rajapinnan tiedot, ping, traceroutejne. Niiden yhdistäminen tiettyjen porttien liikenteen sieppauksiin ja hyvään valvontajärjestelmään auttaa paljon.

On myös suositeltavaa tarkistaa säännöllisesti, ACL-luettelot, palomuurisäännöt, PVLAN, VACL-luettelot ja hallintakonfiguraatio varmistaakseen, ettei projektimuutosten, laajennusten tai migraatioiden jälkeen ole jäänyt aukkoja.

Selkeä dokumentaatio (VLAN-järjestelmät, IP-alueet, porttimääritykset, VLANien välisten käyttöoikeuskäytäntöjen kuvaus) ja tarkka muutosten lokikirjaus ovat lähes yhtä tärkeitä kuin itse konfigurointikomennot.

Hyvin harkitun segmentoinnin, oikein nimettyjen VLANien, järkevän natiivin VLAN-hallinnan, ACL-suojatun VLANien välisen reitityksen ja johdonmukaisten ylläpitokäytäntöjen avulla yritysverkon suorituskyky voi parantua huomattavasti. turvallisuus, suorituskyky ja hallinta ilman, että koko fyysistä infrastruktuuria tarvitsee rakentaa uudelleen.