תצורת VLAN ואבטחת רשת: מדריך מלא

אינפורמטק דיגיטל » Recursos » תצורת VLAN ואבטחת רשת: מדריך מלא

אם אתם מנהלים רשת ארגונית, תדעו שגישה אליה הכל עובד במהירות ובבטחה יחד עם זאת, זו לא משימה קלה. ככל שצוותים, שירותים ויישומים גדלים, שידורים, צווארי בקבוק ובעיות אבטחה מתחילים להופיע בכל מקום.

אחד הכלים החזקים ביותר להשגת סדר בכאוס הזה הוא... VLAN (רשת LAN וירטואלית)כשהם מעוצבים ותצורתם תקינה, הם מאפשרים לך לפלח את הרשת, להפחית תעבורה חסרת תועלת, לבודד מחלקות ולהגן על שירותים קריטיים... אבל כשהם מתוכננים בצורה גרועה הם עלולים להפוך למסננת אבטחה או לסיוט אדמיניסטרטיבי.

מהו בעצם VLAN ולמה זה חשוב לאבטחה?

VLAN הוא, למעשה, רשת לוגית עצמאית שנמצאים על אותה תשתית פיזית: אותם מתגים, אותם כבלים, אותן נקודות גישה ל-Wi-Fi. ברמה הלוגית, המכשירים ב-VLAN מתנהגים כאילו הם נמצאים ברשת LAN נפרדת, גם אם הם מפוזרים על פני קומות או בניינים שונים.

זה מאפשר לקבוצה של מחשבים אישיים, שרתים, טלפוני IP, מדפסות או מצלמות IP ליצור דומיין שידור משלומבודד מקבוצות אחרות. חבילות שידור ושידור מרובה נשארות בתוך ה-VLAN שלהן במקום להציף את כל הרשת, מה שמשפר את הביצועים ומקל על השליטה מי יכול לראות את מי.

בסביבות עסקיות, מקובל ליצור רשתות VLAN עבור מחלקות (חשבונאות, הנדסה, שיווק)להפריד תעבורה עבור ניהול, קול, אורחים, IoT, או אפילו VLAN גיבוי ייעודי. לכל אחד ניתוב, אבטחה ואיכות שירות משלו.

יתר על כן, VLANs הם מרכיב מפתח באסטרטגיות עבור פילוח ואפס אמוןרשתות כבר אינן נחשבות "אמינות לחלוטין", ומשטחי תקיפה מוגדרים. כשל או זיהום ברשת VLAN אחת לא אמורים לגרום לארגון כולו לקרוס באפקט דומינו.

מושגים בסיסיים: יציאות גישה, רשתות טראנס ו-VLAN מקורי

כדי להבין באופן מלא את תצורת ואבטחת VLAN, ישנם שלושה רעיונות מרכזיים שחייבים להיות ברורים לחלוטין: יציאות גישה, יציאות תא מטען ו-VLAN מקוריאם תשלטו בשלושת המושגים האלה, כל השאר יסתדר הרבה יותר טוב.

Un יציאת גישה זהו יציאת מתג שמעבירה תעבורה מרשת VLAN אחת למכשיר קצה: מחשב, מדפסת, מצלמת IP, טלפון וכו'. התעבורה זורמת מהמתג לאותו מכשיר. אין תווית 802.1Q (ללא תגית). באופן פנימי, המתג יודע לאיזה VLAN הוא שייך, אך הציוד אינו רואה את התגית.

Un יציאת תא המטען זהו קישור בין התקני רשת (מתג-מתג, מתג-נתב, מתג-נקודת גישה) שדרכו נתונים עוברים מספר רשתות VLAN בו זמניתבמקרה זה, המסגרות נושאות את תג 802.1Q המציין לאיזה VLAN הן שייכות. זה מאפשר להרחיב VLANs ברחבי הטופולוגיה ולנתב רשתות לוגיות מרובות דרך אותו קישור פיזי.

La VLAN מקורי זהו ה-VLAN המשמש לתעבורה לא מתויגת בקישור 802.1Q. כל מסגרת הנכנסת ליציאת trunk ללא תג מוקצית ל-VLAN מקורי זה. כברירת מחדל, במכשירים רבים זהו VLAN 1, וכאן מתחילות בעיות אבטחה אם תצורה זו לא משתנה.

ארכיטקטורת רשת ועיצוב עם VLANs

ברשתות בינוניות וגדולות מקובל להשתמש ב- טופולוגיה תלת-שכבתיתשכבות ליבה, הפצה וגישה. לכל שכבה יש תפקיד, ולאופן שבו הן משתלבות עם רשתות VLAN יש חשיבות מעשית משמעותית.

שכבת הגישה מורכבת מהמתגים אשר הם מחברים משתמשים ישירות ומכשירי קצה. לאלה יש את מירב יציאות הגישה והם המקום שבו מוגדרים רוב רשתות ה-VLAN של המשתמשים, הקול, האינטרנט של הדברים וכו'. כאן נדרשת תשומת הלב הרבה ביותר להקצאת יציאות ושיטות אבטחה פיזיות טובות (להבטיח שאף אחד לא יוכל לחבר כבלים סתם כך).

שכבת החלוקה מכילה את המתגים אשר הם צוברים תעבורה ממספר מתגים לגישהזוהי בדרך כלל הנקודה בה מתבצע ניתוב בין רשתות VLAN, מוחלים רשימות ACL עדינות יותר, מסתיימים קישורי סיבים, מתווספים קישורים (EtherChannel) ומוחלים מדיניות מתקדמות יותר (QoS, בקרת סערה וכו').

שכבת הליבה מכילה את קישורי ההפצה ואת השער לאינטרנט או לרשתות חיצוניות. ברשתות גדולות מאוד, מקובל ש... הליבה אחראית בלעדית על מיתוג במהירות גבוההעם מעט מאוד תכונות נוספות, כדי להפחית השהייה ומורכבות.

בעת תכנון רשת עם VLANs, מומלץ להגדיר תחילה אילו קבוצות לוגיות נדרשות (לפי פונקציה, קריטיות, רמת ביטחון וכו') ולאחר מכן להנחית אותו בסכימת IP מתוכננת היטב (רשתות משנה, מסכות, VLSM, טווחים דינמיים וסטטיים) ובהקצאה ברורה של פורטים בכל מתג.

סוגי VLAN ושימושים נפוצים

התקן הנפוץ ביותר לתיוג מסגרות בקורות תא מטען הוא IEEE 802.1Qזה מוסיף 4 בתים לכותרת ה-Ethernet עם מזהה ה-VLAN ושדות אחרים, כך שהמתג יודע בדיוק לאיזה VLAN שייכת כל מסגרת מבלי לכסות את כל המסגרת.

כאשר רשתות VLAN מוגדרות עם 802.1Q במתגים, ניתן לסמן כל פורט כ- מתויג או לא מתויג עבור VLAN ספציפי. פורט יכול להיות מתויג במספר VLAN (אופייני ל-trunk) אך לא מתויג רק באחד מהם (זה שהמכשיר הקצה יראה אם ​​מדובר בפורט גישה).

בנוסף לרשתות VLAN "רגילות" המבוססות על 802.1Q, קיימות שיטות נוספות הנמצאות בשימוש נרחב בסביבות ארגוניות: רשתות VLAN מבוססות פורטים, רשתות VLAN מבוססות MAC, רשתות VLAN לניהול, רשתות VLAN לבקרה, רשתות VLAN מקוריות מותאמות אישית, רשתות VLAN היברידיות או אפילו רשתות VXLAN. בסביבות מרכזי נתונים וענן שבהן נדרשות מיליוני רשתות לוגיות. כדאי גם לשקול טכנולוגיות כגון 802.1X ורשתות VLAN דינמיות להקצאה ואבטחה מתקדמת.

La ניהול VLAN הוא משמש אך ורק לגישה מנהלית למתגים, נתבים, נקודות גישה, חומות אש ומערכות ניטור. בדרך כלל יש לו תת-רשת IP משלו ו-ACLs קפדניים השולטים במי יכול לגשת אליו. ניהול התקנים מאותם VLANs כמו משתמשים הוא רעיון גרוע מאוד.

השיחה בקרת VLAN הוא מוקדש לתעבורת פרוטוקולי רשת פנימית: STP, פרוטוקולי ניתוב, CDP, LLDP, VTP וכו'. הפרדת תעבורה זו מתעבורת נתונים או ניהול מפחיתה רעש, משפרת את היציבות ומאפשרת יישום של אמצעי אבטחה ספציפיים.

VLAN 1, VLAN מקורי, ומדוע הם מהווים בעיית אבטחה

ברוב המתגים, VLAN 1 מגיע מוגדר מראש כברירת מחדל ו-VLAN מקורי בכל הפורטים. משמעות הדבר היא שאם לא משתנה דבר, כל התעבורה הלא מתויגת הנכנסת ל-trunk ממוקמת ב-VLAN 1, וכל הפורטים הם חלק ממנו.

הבעיה היא שכל תוקף בעל ידע בינוני יודע זאת. VLAN 1 הוא אחת המטרות העיקריות לתקיפה. התקפות קפיצה בין VLAN, זיופים של מתגים והמצאות אחרות שמנצלות תצורות ברירת מחדל כדי להתגנב לרשתות VLAN אחרות.

במתקפת זיוף מתגים, לדוגמה, התוקף מחבר את המכשיר שלו לפורט שבו DTP פעיל במצב דינמי ו... משא ומתן על קישור תא מטען בעזרת המתג, מקבל גישה למספר רשתות VLAN שלעולם לא אמורות להגיע למארח.

בהתקפת תיוג כפול, שני תגים 802.1Q מעורבבים באותו מסגרת, תוך ניצול העובדה שה-VLAN המקורי נע ללא תגיות, כדי לנסות לקפוץ מ-VLAN אחד לאחר דרך trunk (trunk) שאינו מאובטח היטב.

לכן, המלצות הבטיחות הנוכחיות ברורות: אל תשתמש ב-VLAN 1 עבור משתמשיםאל תשאירו אותו כ-VLAN מקורי על גבי רשתות trunk, אל תתנו לו כתובת IP לניהול, ואם אפשר, בודדו או אפילו סננו אותו כך שלא יישא תעבורת ייצור.

שיטות עבודה מומלצות לתכנון והקצאת נמלים

אחת ההחלטות המרכזיות בעת הגדרת VLAN היא כיצד מוקצים פורטי מתג עבור כל VLAN ומה לעשות עם פורטים שאינם בשימוש. זה נראה טריוויאלי, אבל גם הביצועים וגם האבטחה תלויים בזה.

תמיד כדאי להשאיר פורטי גישה פתוחים. VLAN יחיד ללא תגיות (של אותו משתמש או מכשיר) ולסמן את השאר כלא כלואים. זה מונע מהממשק "לראות" רשתות VLAN שאינן שייכות לו, גם אם מישהו משנה בטעות את ההגדרות.

בקישורי רשת (trunk link), מומלץ להגדיר במפורש אילו VLAN מותרים (לדוגמה, רשת trunk של switchport אפשרה VLAN 10, 20, 99) במקום להעביר את כל רשתות ה-VLAN ברשת. כל רשת trunk צריכה לשאת רק את רשתות ה-VLAN שהוא באמת צריך.

עבור יציאות שאינן בשימוש, הנוהג הבטוח ביותר הוא לכבות אותם (לכבות)הקצה אותם לרשת VLAN מסוג "חור שחור" ללא שער או DHCP, וודא שהם אינם מסומנים כ-trunk או ש-DTP מופעל. זה מונע ממישהו לחבר מכשיר ולהופיע פתאום ברשת הייצור.

בסביבות בהן מספר הפורטים גבוה מאוד, מומלץ לתעד היטב. מה שמתחבר לכל ממשקתייגו את הכבלים ושמרו על הדיאגרמות שלכם מעודכנות. בעיות רבות בקישוריות VLAN נובעות פשוט מהעברת כבלים ללא תיעוד מעודכן; מדריך חיווט זה עוזר להימנע מטעויות.

רשתות VLAN "לא-יציאה" ופורטים שאינם בשימוש

טכניקה פשוטה ויעילה מאוד להגנה על פורטים חופשיים מורכבת מיצירת VLAN "אין יציאה"כלומר, VLAN ללא DHCP, ללא ניתוב וללא שירותים, ולשים בו את כל פורטי הגישה שאינם בשימוש.

הרעיון הוא שגם אם מישהו יחבר מכשיר לאחד מאותם פורטים, אותו מארח לא יקבל כתובת IP, לא יהיה לו שער, לא יוכל להגיע למכשירים אחרים, והתעבורה שלו תישאר מבודדת לחלוטין. זהו סוג של לימבו רשתי.

בסביבות רבות נעשה שימוש במזהה שניתן לזהותו, כגון VLAN 777, 999 או 4094למטרה זו, המתג מוגדר כך שיכלול את שאר רשתות ה-VLAN מאותם פורטים, לא מוגדר ממשק Layer 3 עבור VLAN זה, והוא אינו מפורסם באף נתב.

בנוסף, מומלץ להשבית את DTP ביציאות הגישה של כל המתגים עם switchport ללא משא ומתןכך שלעולם לא ינסו להפוך אוטומטית לקווי ראשיים באמצעות משא ומתן עם השכן.

רשתות VLAN עבור קול, נתונים והתקנים מיוחדים

ברשתות שבהן יש טלפוניית IP ותעבורת קולהנוהג הסטנדרטי הוא להפריד את תעבורת הקול לרשת VLAN ספציפית, הנבדלת מזו של המחשבים האישיים. זאת משתי סיבות: דרישות איכות השירות ואבטחה.

תעבורת קול רגישה מאוד להשהייה, ריצוד ואובדן חבילות. אם היא מעורבבת באופן בלתי נשלט עם הורדות כבדות, הזרמת וידאו או גיבויים, שיחות מתדרדרות במהירות. הפרדת קול לרשת ה-VLAN שלך מאפשרת לך לעשות בדיוק את זה. סדר עדיפויות עם QoS וליישם מדיניות מדויקת יותר.

יתר על כן, לטלפוני IP יש בדרך כלל יכולות תיוג VLAN משלהם (802.1Q): הם מחוברים למחשב, היציאה לרשת משמשת כ-trunk (קול מתויג, נתונים לא מתויג) והיציאה למחשב משמשת כיציאת גישה. זה דורש תצורות יציאה מעט עדינות יותר כדי להימנע מהשארת פערים ביטחוניים.

זה גם רעיון טוב להפריד את ה-[לא ברור] ל-VLANs ספציפיים. מכשירי IoT, אוטומציה ביתית, מצלמות IP, טלוויזיות, שקעים חכמיםוכו'. אלו הם מכשירים שלעתים קרובות בעלי רמת אבטחה ירודה וקושחה לא מתוחזקת כראוי, ומומלץ שהם לא יהיו באותה רשת לוגית כמו מחשבי ניהול או שרתים קריטיים.

בעולם ה-WiFi, רוב נקודות הגישה המקצועיות מאפשרות לך להתחבר SSID אחד לכל VLANבדרך זו, פילוח הרשת הקווית משתרע לרשת האלחוטית: VLAN ניהולי, VLAN ארגוני, VLAN IoT, VLAN אורח, לכל אחד SSID וכללים משלו.

ניתוב בין VLAN, רשימות ACL וחומות אש

בתכנון, VLANs הם לא "רואים" אחד את השני ברמה 2אם אתם רוצים שמכשירים ברשתות VLAN שונות יתקשרו, עליכם לעבור לשכבה 3: ניתוב בין-VLAN. זה נעשה בדרך כלל בנתב, חומת אש או מתג בשכבה 3.

ישנם שני דפוסים עיקריים. הראשון הוא שימוש ב- נתב או חומת אש עם תמיכה ב-802.1Q מחובר ל-switch trunk. הנתב יוצר ממשקי משנה (אחד לכל VLAN), מקצה להם כתובות IP ופועל כשערוץ גישה (gateway). חומת אשיתר על כן, היא מיישמת כללים עדינים לגבי מי רשאי לדבר עם מי.

התבנית השנייה היא להשתמש ב- מתג מנוהל שכבה 3 בשכבת ההפצה או הליבה. ממשקי VLAN (SVIs) נוצרים עליה, ומשמשים כשערי גישה לכל תת-רשת. המתג עצמו מטפל בניתוב פנימי וב-ACLs המתאימים, ומוריד עומס מהנתב בקצה.

בשני המקרים, חיוני ללוות את המסלול הזה עם רשימות בקרת גישה (ACL) או כללי חומת אש קפדני. קיומו של נתיב IP בין רשתות VLAN אינו אומר שכל התעבורה צריכה להיות מותרת. סינון חייב להתבצע על סמך מקור, יעד, פורטים, פרוטוקולים וכיוון החיבורים.

דוגמה אופיינית: VLAN אורח יכול לגשת רק לאינטרנט, VLAN IoT יכול לתקשר רק עם שרתים ספציפיים (כגון NTP, syslog או מתווך MQTT), VLAN הסטודנט אינו יכול לגשת ל-VLAN הניהול, VLAN הגיבוי יוזם רק חיבורים לשרת הגיבוי וכו'.

פרוטוקולי ניהול VLAN: VTP וחברה

ברשתות גדולות עם הרבה מתגים, יצירה ידנית של רשתות VLAN בכל מכשיר אינה מעשית ומועדת לשגיאות. זו הסיבה שפרוטוקולים כמו VTP (פרוטוקול VLAN Trunking) בעולם סיסקו, המאפשרים הפצה מרכזית של רשימת ה-VLAN.

VTP מגדיר שלושה מצבי פעולה במתג: שרת, לקוח ושקיפותשרתים יכולים ליצור, לשנות שם או למחוק רשתות VLAN ולשלוח מידע זה ללקוחות באותו תחום. לקוחות מקבלים ומיישמים את השינויים, אך אינם משנים אותם. שרתים שקופים אינם מעבדים את מסד הנתונים של ה-VLAN; הם רק מעבירים את המידע.

פרוטוקולים מסוג זה מפשטים מאוד את החיים, אך יש להם חסרונות: שגיאה במתג שרת, סיסמת VTP שמנוהלת בצורה גרועה, או מתג ישן שהוכנס מחדש לרשת עם מסד נתונים מיושן עלולים לגרום לבעיות. להרוס לחלוטין את תצורת ה-VLAN בכל הארגון.

לכן, בעיצובים עכשוויים רבים, מצב VTP עדיף. שקוף או פשוט לא להשתמש בו, ניהול VLAN עם כלים של אוטומציה (Ansible, תבניות, בקרים מרכזיים וכו') או עם עיצוב סטטי ומבוקר יותר.

אבטחה מתקדמת: VACL, PVLAN והגנה מפני התקפות

ככל שהרשת גדלה והקריטיות עולה, רשתות VLAN לבדן אינן מספיקות. כדי לשלוט בתעבורה בצורה מדויקת יותר בתוך VLAN, ניתן להשתמש בשיטות אחרות. VACL (VLAN ACL או מפות VLAN)אשר מאפשרים סינון או ניתוב מחדש של תעבורה ברמת ה-VLAN, לא רק בממשקים ספציפיים.

VACLs מוגדרים על ידי הגדרת מפות גישה ל-VLAN הם משתמשים ברשימות גישת IP או MAC ומציינים מה לעשות עם תעבורה תואמת: לאפשר לה לעבור, לחסום אותה, לשלוח אותה לפורט ניטור, להפנות אותה מחדש... לאחר מכן הם מוחלים באופן גלובלי על VLAN אחד או יותר במתג.

במקרים בהם ברצונך לבודד מארחים בתוך אותה תת-רשת, ישנם רשתות VLAN פרטיות (PVLAN)זה מתחיל עם VLAN ראשי, שבדרך כלל נמצא במקום בו נמצא השער, ויוצר רשתות VLAN משניות משויכות משני סוגים: מבודדות וקהילתיות.

VLAN משניים מסוג מְבוּדָד הם מאפשרים לכל מארח לראות רק את השער, אך לא מארחים אחרים, גם אם הם נמצאים באותו VLAN משני מבודד. אלה מהסוג קהילה הם מאפשרים לקבוצת מארחים לראות אחד את השני ואת השער, אך לא לקבוצות אחרות באותו שרת ראשי.

בנוגע להתקפות ספציפיות, בנוסף למה שכבר נאמר לגבי VLAN 1 ו-DTP, חיוני למתן את דילוג בין VLAN באמצעות תיוג כפוללשם כך, מומלץ לשנות את ה-VLAN המקורי ל-VLAN שאינו בשימוש עם מחשבי אחסון, להסיר את ה-VLAN המקורי מה-trunks במידת האפשר, להשבית DTP, להגדיר במפורש את הפורטים כ-access או trunk, ולהשתמש בפקודות כך שה-VLAN המקורי תמיד ינוע עם תגיות, תוך התעלמות מתויג.

אבחון ותחזוקה של רשתות עם VLAN

הקמת רשת עם VLAN היא רק חצי מהעבודה; החצי השני הוא... לתחזק אותו ולנתב באגים באירועים בלי להשתגע. בעיות קישוריות VLAN אופייניות נובעות בדרך כלל מסיבות שכיחות למדי. למדריכים ונהלים מעשיים, עיינו במקורות בנושא אבחון בעיות רשת.

מצד אחד, ישנן שגיאות פיזיות: כבלים שהועברו מפורט אחד לאחר מבלי לעדכן את התיעוד, פורטים שתצורתם נקבעה כגישה במקום בו אמור להיות trunk, או להיפך, קישורים מיותרים מוגדרים בצורה גרועה שמסתיימים בלולאות אם STP אינו מכוון כראוי.

מצד שני, ישנם כשלים לוגיים: רשתות VLAN שנוצרות בחלק מהמתגים אך לא באחרים, רשימות VLAN המותרות על גבי trunks שתצורתם שגויטווחי DHCP שאינם תואמים למסכות או לשערים שהוגדרו באופן שגוי בהתקני הקצה.

הכלים המרכזיים לאבחון הם הפקודות הרגילות: הצג vlan, הצג trunk של ממשקים, הצג עץ פורש, הצג בקצרה של ממשק IP, ping, tracerouteוכו'. שילובם עם לכידת תעבורה בפורטים ספציפיים ומערכת ניטור טובה עוזר מאוד.

כמו כן, מומלץ לבצע בדיקה תקופתית של רשימות ACL, כללי חומת אש, PVLAN, VACL ותצורת ניהול כדי להבטיח שלא נותרו פערים לאחר שינויים, הרחבות או הגירות בפרויקט.

תיעוד ברור (סכמות VLAN, טווחי IP, הקצאות פורטים, תיאור של מדיניות גישה בין-VLAN) ורישום שינויים קפדני חשובים כמעט כמו פקודות התצורה עצמן.

בעזרת פילוח מתוכנן היטב, VLANs מתויגים כראוי, ניהול VLAN מקורי זהיר, ניתוב בין VLAN המוגן על ידי ACL ונהלי תחזוקה עקביים, רשת ארגונית יכולה להשיג קפיצת מדרגה משמעותית בביצועים. בטיחות, ביצועים ובקרה מבלי שיהיה צורך לבנות מחדש את כל התשתית הפיזית.