Konfigurasi VLAN dan keamanan jaringan: panduan lengkap

Informatec Digital » Sumber daya » Konfigurasi VLAN dan keamanan jaringan: panduan lengkap

Jika Anda mengelola jaringan perusahaan, Anda pasti tahu bahwa memastikan jaringan tersebut berfungsi dengan baik adalah hal yang penting. Semuanya berjalan dengan cepat dan aman. Pada saat yang sama, ini bukanlah tugas yang mudah. ​​Seiring pertumbuhan tim, layanan, dan aplikasi, siaran, hambatan, dan masalah keamanan mulai muncul di mana-mana.

Salah satu alat paling ampuh untuk menertibkan kekacauan itu adalah... VLAN (Jaringan Area Lokal Virtual)Jika dirancang dan dikonfigurasi dengan baik, jaringan tersebut memungkinkan Anda untuk melakukan segmentasi jaringan, mengurangi lalu lintas yang tidak perlu, mengisolasi departemen, dan melindungi layanan penting... tetapi jika direncanakan dengan buruk, jaringan tersebut dapat menjadi saringan keamanan atau mimpi buruk bagi administrasi.

Apa sebenarnya VLAN itu dan mengapa penting untuk keamanan?

Pada dasarnya, VLAN adalah sebuah jaringan logika independen yang berada pada infrastruktur fisik yang sama: switch yang sama, kabel yang sama, titik akses Wi-Fi yang sama. Pada tingkat logis, perangkat dalam VLAN berperilaku seolah-olah berada di LAN terpisah, meskipun tersebar di lantai atau gedung yang berbeda.

Hal ini memungkinkan sekelompok PC, server, telepon IP, printer, atau kamera IP untuk membentuk sebuah jaringan. domain siaran sendiriTerisolasi dari grup lain. Paket broadcast dan multicast tetap berada di dalam VLAN masing-masing dan tidak membanjiri seluruh jaringan, sehingga meningkatkan kinerja dan memudahkan pengendalian siapa yang dapat melihat siapa.

Dalam lingkungan bisnis, pembuatan VLAN merupakan hal yang umum dilakukan untuk... departemen (akuntansi, teknik, pemasaran)untuk memisahkan lalu lintas untuk manajemen, suara, tamu, IoT, atau bahkan VLAN cadangan khusus. Masing-masing dengan aturan perutean, keamanan, dan kualitas layanan sendiri.

Selain itu, VLAN merupakan komponen kunci dalam strategi untuk Segmentasi dan Zero TrustJaringan tidak lagi dianggap "sepenuhnya andal," dan area serangan sedang didefinisikan. Kegagalan atau infeksi di satu VLAN seharusnya tidak menyebabkan seluruh organisasi runtuh dalam efek domino.

Konsep dasar: port akses, trunk, dan VLAN native

Untuk memahami sepenuhnya konfigurasi dan keamanan VLAN, ada tiga gagasan kunci yang harus dipahami dengan sangat jelas: port akses, port trunk, dan VLAN asliJika Anda menguasai ketiga konsep ini, semuanya akan berjalan jauh lebih mudah.

Un akses port Ini adalah port switch yang membawa lalu lintas dari satu VLAN ke perangkat akhir: PC, printer, kamera IP, telepon, dll. Lalu lintas mengalir dari switch ke perangkat tersebut. Tidak ada label 802.1Q (tanpa tag). Secara internal, switch memang mengetahui VLAN mana yang dimilikinya, tetapi peralatan tersebut tidak melihat tag-nya.

Un port utama Ini adalah penghubung antara perangkat jaringan (switch-switch, switch-router, switch-AP) tempat data mengalir. beberapa VLAN secara bersamaanDalam hal ini, frame membawa tag 802.1Q yang menunjukkan VLAN mana yang menjadi miliknya. Hal ini memungkinkan VLAN untuk diperluas di seluruh topologi dan beberapa jaringan logis untuk dirutekan melalui tautan fisik yang sama.

La VLAN asli Ini adalah VLAN yang digunakan untuk lalu lintas tanpa tag pada tautan 802.1Q. Setiap frame yang masuk ke port trunk tanpa tag akan ditetapkan ke VLAN native ini. Secara default, pada banyak perangkat, ini adalah VLAN 1, dan di sinilah masalah keamanan dimulai jika konfigurasi ini tidak diubah.

Arsitektur dan desain jaringan dengan VLAN

Pada jaringan menengah dan besar, penggunaan [a] sudah umum. topologi tiga lapisLapisan inti, distribusi, dan akses. Setiap lapisan memiliki peran, dan bagaimana mereka dikombinasikan dengan VLAN memiliki kepentingan praktis yang signifikan.

Lapisan akses terdiri dari sakelar-sakelar yang Mereka menghubungkan pengguna secara langsung. dan perangkat akhir. Perangkat ini memiliki port akses terbanyak dan merupakan tempat sebagian besar VLAN pengguna, suara, IoT, dll. didefinisikan. Di sinilah alokasi port dan praktik keamanan fisik yang baik (memastikan tidak ada yang bisa begitu saja mencolokkan kabel) membutuhkan perhatian paling besar.

Lapisan distribusi berisi sakelar yang Mereka menggabungkan lalu lintas dari beberapa switch akses.Biasanya, pada titik inilah perutean antar VLAN dilakukan, ACL yang lebih detail diterapkan, tautan fiber diakhiri, tautan (EtherChannel) ditambahkan, dan kebijakan yang lebih canggih (QoS, kontrol storm, dll.) diterapkan.

Lapisan inti berisi tautan distribusi dan gerbang ke Internet atau jaringan eksternal. Pada jaringan yang sangat besar, hal ini umum terjadi. Inti prosesor bertanggung jawab sepenuhnya untuk pengalihan kecepatan tinggi.dengan sangat sedikit fitur tambahan, untuk mengurangi latensi dan kompleksitas.

Saat mendesain jaringan dengan VLAN, disarankan untuk terlebih dahulu mendefinisikan kelompok logis mana yang dibutuhkan (berdasarkan fungsi, tingkat kekritisan, tingkat kepercayaan, dll.) dan kemudian mengarahkannya ke skema IP yang terencana dengan baik (subnet, mask, VLSM, rentang dinamis dan statis) dan alokasi port yang jelas pada setiap switch.

Jenis-jenis VLAN dan penggunaan umumnya

Standar yang paling umum digunakan untuk memberi label pada frame di tautan utama adalah IEEE 802.1QIni menambahkan 4 byte ke header Ethernet dengan ID VLAN dan bidang lainnya, sehingga switch mengetahui dengan tepat VLAN mana yang dimiliki setiap frame tanpa perlu mengenkapsulasi seluruh frame.

Saat VLAN dikonfigurasi dengan 802.1Q pada switch, setiap port dapat ditandai sebagai diberi tag atau tidak diberi tag untuk VLAN tertentu. Sebuah port dapat diberi tag di beberapa VLAN (khas trunk) tetapi hanya dapat dilepas tag-nya di salah satu VLAN tersebut (VLAN yang akan dilihat oleh perangkat akhir jika itu adalah port akses).

Selain VLAN "normal" berbasis 802.1Q, terdapat modalitas lain yang banyak digunakan di lingkungan perusahaan: VLAN berbasis port, VLAN berbasis MAC, VLAN manajemen, VLAN kontrol, VLAN native kustom, VLAN hybrid, atau bahkan VXLAN. di lingkungan pusat data dan cloud di mana jutaan jaringan logis dibutuhkan. Teknologi seperti... juga perlu dipertimbangkan. 802.1X dan VLAN dinamis untuk alokasi dan keamanan tingkat lanjut.

La VLAN Manajemen VLAN ini digunakan khusus untuk akses administratif ke switch, router, access point, firewall, dan sistem monitoring. Biasanya memiliki subnet IP sendiri dan ACL yang ketat untuk mengontrol siapa yang dapat mengaksesnya. Mengelola perangkat dari VLAN yang sama dengan pengguna adalah ide yang sangat buruk.

Panggilan kontrol VLAN Jalur ini dikhususkan untuk lalu lintas protokol jaringan internal: STP, protokol routing, CDP, LLDP, VTP, dll. Memisahkan lalu lintas ini dari lalu lintas data atau manajemen mengurangi gangguan, meningkatkan stabilitas, dan memungkinkan penerapan langkah-langkah keamanan khusus.

VLAN 1, VLAN native, dan mengapa keduanya menjadi masalah keamanan

Pada sebagian besar switch, VLAN 1 sudah dikonfigurasi sebelumnya. sebagai VLAN default dan asli pada semua port. Ini berarti bahwa, jika tidak ada yang diubah, semua lalu lintas tanpa tag yang masuk ke trunk ditempatkan di VLAN 1, dan semua port merupakan bagian darinya.

Masalahnya adalah penyerang yang cukup berpengalaman mengetahui hal ini. VLAN 1 adalah salah satu target utama serangan. Serangan lompatan VLAN, pemalsuan switch dan inovasi lainnya yang memanfaatkan konfigurasi default untuk menyusup ke VLAN lain.

Dalam serangan pemalsuan switch, misalnya, penyerang menghubungkan perangkat mereka ke port tempat DTP aktif dalam mode dinamis dan menegosiasikan jalur penghubung utama dengan switch tersebut, mendapatkan akses ke beberapa VLAN yang seharusnya tidak pernah mencapai host.

Dalam serangan double tagging, dua tag 802.1Q dicampur dalam frame yang sama, memanfaatkan fakta bahwa VLAN native tidak diberi tag, untuk mencoba berpindah dari satu VLAN ke VLAN lain melalui trunk yang keamanannya lemah.

Karena semua alasan tersebut, rekomendasi keselamatan saat ini sudah jelas: Jangan gunakan VLAN 1 untuk pengguna.Jangan biarkan sebagai VLAN asli pada trunk, jangan berikan alamat IP manajemen, dan jika memungkinkan, isolasi atau bahkan saring agar tidak membawa lalu lintas produksi.

Praktik terbaik untuk desain dan alokasi pelabuhan

Salah satu keputusan kunci saat mengkonfigurasi VLAN adalah bagaimana port switch dialokasikan untuk setiap VLAN dan apa yang harus dilakukan dengan port yang tidak terpakai. Ini tampak sepele, tetapi kinerja dan keamanan bergantung padanya.

Selalu merupakan ide yang baik untuk membiarkan port akses tetap terbuka. satu VLAN sebagai tidak diberi tag (milik pengguna atau perangkat tersebut) dan tandai sisanya sebagai dikecualikan. Ini mencegah antarmuka "melihat" VLAN yang bukan miliknya, bahkan jika seseorang secara tidak sengaja mengubah pengaturan.

Pada tautan utama, disarankan untuk mengkonfigurasinya secara eksplisit. VLAN mana yang diizinkan (misalnya, switchport trunk allowed vlan 10, 20, 99) alih-alih meneruskan semua VLAN di jaringan. Setiap trunk hanya boleh membawa VLAN yang benar-benar dibutuhkannya.

Untuk pelabuhan yang tidak digunakan, praktik paling aman adalah... matikan (nonaktifkan)Tetapkan perangkat tersebut ke VLAN "lubang hitam" tanpa gateway atau DHCP, dan pastikan perangkat tersebut tidak ditandai sebagai trunk atau mengaktifkan DTP. Hal ini mencegah seseorang menghubungkan perangkat dan tiba-tiba muncul di jaringan produksi.

Di lingkungan dengan jumlah port yang sangat banyak, disarankan untuk melakukan dokumentasi dengan baik. apa yang terhubung ke setiap antarmukaBeri label pada kabel dan perbarui diagram Anda secara berkala. Banyak masalah konektivitas VLAN hanya disebabkan oleh kabel yang dipindahkan tanpa dokumentasi yang diperbarui; panduan pengkabelan Ini membantu menghindari kesalahan.

VLAN "non-exit" dan port yang tidak digunakan

Teknik sederhana dan sangat efektif untuk melindungi port bebas adalah dengan membuat sebuah VLAN “Tidak ada jalan keluar”Artinya, VLAN tanpa DHCP, tanpa routing, dan tanpa layanan, dan masukkan semua port akses yang tidak digunakan ke dalamnya.

Idenya adalah, bahkan jika seseorang menghubungkan perangkat ke salah satu port tersebut, host tersebut tidak akan mendapatkan alamat IP, tidak akan memiliki gateway, tidak akan dapat menjangkau perangkat lain, dan lalu lintasnya akan tetap sepenuhnya terisolasi. Ini semacam kondisi limbo jaringan.

Di banyak lingkungan, digunakan ID yang mudah dikenali, seperti VLAN 777, 999 atau 4094Untuk tujuan ini, switch dikonfigurasi untuk mengecualikan VLAN lainnya dari port tersebut, tidak ada antarmuka Layer 3 yang didefinisikan untuk VLAN tersebut, dan tidak diiklankan pada router mana pun.

Selain itu, disarankan agar DTP dinonaktifkan pada port akses semua switch dengan switchport tidak bernegosiasiagar mereka tidak pernah mencoba untuk secara otomatis menjadi jalur utama melalui negosiasi dengan tetangga.

VLAN untuk suara, data, dan perangkat khusus.

Dalam jaringan di mana terdapat Telepon IP dan lalu lintas suaraPraktik standar adalah memisahkan lalu lintas suara ke dalam VLAN khusus, yang berbeda dari VLAN PC. Hal ini dilakukan karena dua alasan: persyaratan kualitas layanan dan keamanan.

Lalu lintas suara sangat sensitif terhadap latensi, jitter, dan kehilangan paket. Jika dicampur secara tidak terkontrol dengan unduhan besar, streaming video, atau pencadangan, kualitas panggilan akan menurun dengan cepat. Memisahkan suara ke dalam VLAN Anda memungkinkan Anda untuk melakukan hal tersebut. Prioritaskan dengan QoS dan menerapkan kebijakan yang lebih tepat.

Selain itu, telepon IP biasanya memiliki kemampuan penandaan VLAN sendiri (802.1Q): telepon tersebut dihubungkan secara berurutan dengan PC, port ke jaringan bertindak sebagai trunk (suara berlabel, data tidak berlabel) dan port ke PC bertindak sebagai port akses. Hal ini membutuhkan konfigurasi port yang sedikit lebih halus untuk menghindari adanya celah keamanan.

Sebaiknya juga memisahkan [tidak jelas] ke dalam VLAN spesifik. Perangkat IoT, otomatisasi rumah, kamera IP, televisi, colokan pintardll. Perangkat-perangkat ini seringkali memiliki tingkat keamanan yang buruk dan firmware yang kurang terawat, dan disarankan agar perangkat tersebut tidak berada dalam jaringan logis yang sama dengan PC manajemen atau server penting.

Dalam dunia WiFi, sebagian besar titik akses profesional memungkinkan Anda untuk menghubungkan perangkat. satu SSID untuk setiap VLANDengan cara ini, segmentasi jaringan kabel meluas ke jaringan nirkabel: VLAN manajemen, VLAN perusahaan, VLAN IoT, VLAN tamu, masing-masing dengan SSID dan aturannya sendiri.

Perutean antara VLAN, ACL, dan firewall

Sesuai desainnya, VLAN Mereka tidak "bertemu" satu sama lain di level 2.Jika Anda ingin perangkat di VLAN yang berbeda dapat berkomunikasi, Anda perlu naik ke Layer 3: routing antar-VLAN. Ini biasanya dilakukan pada router, firewall, atau switch Layer 3.

Ada dua pola utama. Yang pertama adalah menggunakan router atau firewall dengan dukungan 802.1Q Terhubung ke trunk switch. Router membuat subinterface (satu per VLAN), menetapkan IP ke subinterface tersebut, dan bertindak sebagai gateway. firewallSelain itu, sistem ini menerapkan aturan ketat tentang siapa yang boleh berbicara dengan siapa.

Pola kedua adalah menggunakan Saklar terkelola Layer 3 Pada lapisan distribusi atau inti, antarmuka VLAN (SVI) dibuat di atasnya, bertindak sebagai gateway untuk setiap subnet. Switch itu sendiri menangani routing internal dan ACL yang sesuai, mengurangi beban kerja dari router tepi.

Dalam kedua kasus tersebut, sangat penting untuk menyertai perutean ini dengan daftar kontrol akses (ACL) atau aturan firewall Ketat. Keberadaan jalur IP antar VLAN tidak berarti semua lalu lintas harus diizinkan. Penyaringan harus dilakukan berdasarkan sumber, tujuan, port, protokol, dan arah koneksi.

Contoh tipikal: VLAN tamu hanya dapat mengakses internet, VLAN IoT hanya dapat berkomunikasi dengan server tertentu (seperti NTP, syslog, atau broker MQTT), VLAN siswa tidak dapat mengakses VLAN manajemen, VLAN cadangan hanya memulai koneksi ke server cadangan, dan lain sebagainya.

Protokol manajemen VLAN: VTP dan perusahaan

Dalam jaringan besar dengan banyak switch, membuat VLAN secara manual pada setiap perangkat tidak praktis dan rawan kesalahan. Itulah mengapa protokol seperti VTP (Protokol Trunking VLAN) di dunia Cisco, yang memungkinkan distribusi terpusat dari daftar VLAN.

VTP mendefinisikan tiga mode operasi pada sebuah switch: server, klien, dan transparanServer dapat membuat, mengganti nama, atau menghapus VLAN dan mengirimkan informasi tersebut ke klien dalam domain yang sama. Klien menerima dan menerapkan perubahan, tetapi tidak memodifikasinya. Server transparan tidak memproses basis data VLAN; mereka hanya meneruskan informasi.

Jenis protokol ini sangat menyederhanakan kehidupan, tetapi memiliki kekurangannya: kesalahan pada switch server, kata sandi VTP yang dikelola dengan buruk, atau switch lama yang dimasukkan kembali ke jaringan dengan basis data yang sudah usang dapat menyebabkan masalah. untuk menghancurkan konfigurasi VLAN sepenuhnya di seluruh organisasi.

Oleh karena itu, dalam banyak desain saat ini, mode VTP lebih disukai. jelas atau cukup tidak menggunakannya, mengelola VLAN dengan alat-alat otomatisasi (Ansible, template, controller terpusat, dll.) atau dengan desain yang lebih statis dan terkontrol.

Keamanan tingkat lanjut: VACL, PVLAN, dan mitigasi serangan

Seiring pertumbuhan jaringan dan meningkatnya tingkat kepentingannya, VLAN saja tidak cukup. Untuk mengontrol lalu lintas secara lebih rinci di dalam VLAN, metode lain dapat digunakan. VACL (VLAN ACL atau peta VLAN)yang memungkinkan penyaringan atau pengalihan lalu lintas pada tingkat VLAN, bukan hanya pada antarmuka tertentu.

VACL dikonfigurasi dengan mendefinisikan Peta akses VLAN Mereka menggunakan daftar akses IP atau MAC dan menentukan apa yang harus dilakukan dengan lalu lintas yang cocok: membiarkannya lewat, memblokirnya, mengirimkannya ke port pemantauan, mengalihkannya… Kemudian diterapkan secara global ke satu atau lebih VLAN pada switch.

Untuk kasus di mana Anda ingin mengisolasi host dalam subnet yang sama, ada beberapa cara yang dapat dilakukan. VLAN Pribadi (PVLAN)Proses ini dimulai dengan VLAN utama, yang biasanya merupakan lokasi gateway, dan membuat VLAN sekunder terkait yang terdiri dari dua jenis: terisolasi dan komunitas.

VLAN sekunder tipe terpencil Mereka memungkinkan setiap host hanya untuk melihat gateway, tetapi tidak host lain, bahkan jika mereka berada di VLAN sekunder terisolasi yang sama. Ini termasuk tipe masyarakat Mereka memungkinkan sekelompok host untuk saling melihat satu sama lain dan gateway, tetapi tidak untuk grup lain pada primary yang sama.

Mengenai serangan spesifik, selain apa yang telah disebutkan tentang VLAN 1 dan DTP, sangat penting untuk mengurangi risikonya. Pelompatan VLAN dengan penandaan gandaUntuk melakukan ini, disarankan untuk mengubah VLAN native ke VLAN yang tidak digunakan dengan host, menghapus VLAN native tersebut dari trunk jika memungkinkan, menonaktifkan DTP, secara eksplisit mendefinisikan port sebagai akses atau trunk, dan menggunakan perintah sehingga VLAN native selalu dikirim dengan tag, membuang lalu lintas tanpa tag.

Diagnosis dan pemeliharaan jaringan dengan VLAN

Menyiapkan jaringan dengan VLAN hanyalah setengah dari pekerjaan; setengah lainnya adalah... memeliharanya dan mengatasi masalahnya. Tanpa perlu panik. Masalah konektivitas VLAN pada umumnya memiliki penyebab yang cukup umum. Untuk panduan dan prosedur praktis, konsultasikan sumber daya yang tersedia. diagnosis masalah jaringan.

Di satu sisi, terdapat kesalahan fisik: kabel dipindahkan dari satu port ke port lain tanpa memperbarui dokumentasi, port dikonfigurasi sebagai akses padahal seharusnya trunk, atau sebaliknya, tautan redundan yang didefinisikan dengan buruk yang berakhir dalam loop jika STP tidak disetel dengan benar.

Di sisi lain, terdapat kegagalan logis: VLAN dibuat pada beberapa switch tetapi tidak pada switch lainnya, daftar VLAN yang diizinkan pada trunk yang salah konfigurasiRentang DHCP yang tidak sesuai dengan mask atau gateway yang salah diatur pada perangkat akhir.

Alat utama untuk diagnosis adalah perintah-perintah umum berikut: show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, traceroutedll. Menggabungkannya dengan pengambilan data lalu lintas pada port tertentu dan sistem pemantauan yang baik sangat membantu.

Disarankan juga untuk meninjau secara berkala ACL, aturan firewall, PVLAN, VACL, dan konfigurasi manajemen. untuk memastikan bahwa tidak ada celah yang tertinggal setelah perubahan, perluasan, atau migrasi proyek.

Dokumentasi yang jelas (skema VLAN, rentang IP, penugasan port, deskripsi kebijakan akses antar-VLAN) dan pencatatan perubahan yang teliti hampir sama pentingnya dengan perintah konfigurasi itu sendiri.

Dengan segmentasi yang dipikirkan dengan matang, VLAN yang diberi label dengan benar, manajemen VLAN asli yang bijaksana, perutean antar-VLAN yang dilindungi ACL, dan praktik pemeliharaan yang konsisten, jaringan perusahaan dapat memperoleh peningkatan kinerja yang signifikan. keselamatan, kinerja, dan kontrol tanpa perlu membangun kembali seluruh infrastruktur fisik.