VLAN 구성 및 네트워크 보안: 완벽 가이드

인포매텍 디지털 » Recursos » VLAN 구성 및 네트워크 보안: 완벽 가이드

기업 네트워크를 관리해 보셨다면, 네트워크를 최적의 상태로 만드는 것이 얼마나 어려운 일인지 아실 겁니다. 모든 것이 빠르고 안전하게 작동합니다. 하지만 동시에 쉬운 일은 아닙니다. 팀, 서비스, 애플리케이션이 성장함에 따라 방송, 병목 현상, 보안 문제가 곳곳에서 나타나기 시작합니다.

그 혼돈에 질서를 가져오는 가장 강력한 도구 중 하나는... VLAN(가상 LAN)잘 설계되고 구성된 방화벽은 네트워크를 분할하고, 불필요한 트래픽을 줄이고, 부서를 격리하고, 중요 서비스를 보호할 수 있도록 해주지만, 계획이 부실하면 보안에 취약해지거나 관리상의 악몽이 될 수 있습니다.

VLAN이란 정확히 무엇이며 보안에 왜 중요한가요?

VLAN은 기본적으로 다음과 같습니다. 독립 논리 네트워크 VLAN은 동일한 물리적 인프라(동일한 스위치, 동일한 케이블, 동일한 Wi-Fi 액세스 포인트)에 있는 장치들을 의미합니다. 논리적으로 VLAN에 속한 장치들은 서로 다른 층이나 건물에 분산되어 있더라도 마치 별도의 LAN에 있는 것처럼 동작합니다.

이를 통해 PC, 서버, IP 전화기, 프린터 또는 IP 카메라 그룹을 구성할 수 있습니다. 자체 방송 도메인다른 그룹과 격리됩니다. 브로드캐스트 및 멀티캐스트 패킷은 전체 네트워크에 플러딩되는 대신 VLAN 내에 유지되므로 성능이 향상되고 누가 누구를 볼 수 있는지 제어하기가 더 쉬워집니다.

비즈니스 환경에서는 일반적으로 VLAN을 생성하여 여러 용도로 활용합니다. 부서(회계, 엔지니어링, 마케팅)관리, 음성, 게스트, IoT 또는 전용 백업 VLAN 등 다양한 용도로 트래픽을 분리할 수 있습니다. 각 VLAN은 고유한 라우팅, 보안 및 서비스 품질(QoS) 규칙을 가집니다.

또한 VLAN은 전략의 핵심 구성 요소입니다. 세분화 및 제로 트러스트네트워크는 더 이상 "완전히 신뢰할 수 있다"고 가정되지 않으며, 공격 표면이 정의되고 있습니다. 하나의 VLAN에서 발생한 장애나 감염이 전체 조직을 도미노처럼 무너뜨리는 결과를 초래해서는 안 됩니다.

기본 개념: 액세스 포트, 트렁크 및 네이티브 VLAN

VLAN 구성 및 보안을 완벽하게 이해하려면 다음 세 가지 핵심 개념을 명확히 이해해야 합니다. 액세스 포트, 트렁크 포트 및 네이티브 VLAN이 세 가지 개념을 숙달하면 나머지는 훨씬 수월하게 해결될 것입니다.

Un 액세스 포트 VLAN 포트는 단일 VLAN에서 PC, 프린터, IP 카메라, 전화기 등과 같은 최종 장치로 트래픽을 전달하는 스위치 포트입니다. 트래픽은 스위치에서 해당 장치로 흐릅니다. 802.1Q 라벨 없음 (태그 없음). 스위치는 내부적으로 자신이 속한 VLAN을 알고 있지만, 장비는 태그를 인식하지 못합니다.

Un 트렁크 포트 이는 데이터가 이동하는 네트워크 장치(스위치-스위치, 스위치-라우터, 스위치-AP) 간의 연결입니다. 여러 VLAN을 동시에이 경우 프레임에는 해당 프레임이 속한 VLAN을 나타내는 802.1Q 태그가 포함됩니다. 이를 통해 VLAN을 토폴로지 전체로 확장하고 여러 논리 네트워크를 동일한 물리적 링크를 통해 라우팅할 수 있습니다.

La 기본 VLAN 이 VLAN은 802.1Q 링크에서 태그가 지정되지 않은 트래픽에 사용됩니다. 트렁크 포트로 들어오는 모든 프레임은 태그 없이 이 네이티브 VLAN에 할당됩니다. 대부분의 장치에서 기본적으로 VLAN 1이 할당되는데, 이 설정을 변경하지 않으면 보안 문제가 발생할 수 있습니다.

VLAN을 활용한 네트워크 아키텍처 및 설계

중대형 네트워크에서는 일반적으로 다음과 같은 방식을 사용합니다. 3층 토폴로지코어, 분산 및 액세스 계층. 각 계층은 고유한 역할을 가지며, 이러한 계층이 VLAN과 어떻게 결합되는지는 실질적으로 매우 중요합니다.

액세스 계층은 스위치로 구성됩니다. 사용자들을 직접 연결해줍니다 그리고 최종 장치들은 가장 많은 액세스 포트를 가지고 있으며, 대부분의 사용자, 음성, IoT 등의 VLAN이 정의되는 곳입니다. 따라서 포트 할당과 물리적 보안(누구도 케이블을 함부로 꽂을 수 없도록 보장하는 것)에 가장 많은 주의를 기울여야 합니다.

배포 계층에는 스위치가 포함되어 있습니다. 이들은 여러 액세스 스위치의 트래픽을 통합합니다.일반적으로 VLAN 간 라우팅이 이루어지고, 더욱 세분화된 ACL이 적용되고, 광섬유 링크가 종료되고, 링크(이더채널)가 추가되고, 고급 정책(QoS, 스톰 제어 등)이 적용되는 지점입니다.

코어 계층은 배포 링크와 인터넷 또는 외부 네트워크로의 게이트웨이를 포함합니다. 매우 큰 네트워크에서는 다음과 같은 경우가 흔합니다. 코어는 고속 스위칭을 전적으로 담당합니다.지연 시간과 복잡성을 줄이기 위해 추가 기능은 최소화했습니다.

VLAN을 사용하는 네트워크를 설계할 때는 먼저 VLAN을 정의하는 것이 좋습니다. 어떤 논리적 그룹이 필요한가 (기능, 중요도, 신뢰도 수준 등을 기준으로) 분류한 다음, 잘 계획된 IP 체계(서브넷, 마스크, VLSM, 동적 및 정적 범위)에 맞춰 각 스위치의 포트를 명확하게 할당합니다.

VLAN 유형 및 일반적인 용도

트렁크 링크에서 프레임에 라벨을 붙이는 데 가장 널리 사용되는 표준은 다음과 같습니다. IEEE 802.1Q이 기능은 VLAN ID 및 기타 필드를 포함하는 4바이트를 이더넷 헤더에 추가하여 스위치가 전체 프레임을 캡슐화하지 않고도 각 프레임이 어떤 VLAN에 속하는지 정확히 알 수 있도록 합니다.

스위치에서 VLAN을 802.1Q로 구성할 때 각 포트는 다음과 같이 표시할 수 있습니다. 태그됨 또는 태그되지 않음 특정 VLAN에 대해서만 태그를 지정할 수 있습니다. 포트는 여러 VLAN에서 태그를 지정할 수 있지만(트렁크 포트의 경우 일반적), 최종 장치가 액세스 포트로 인식하는 VLAN 중 하나에서만 태그를 지정하지 않을 수 있습니다.

802.1Q 기반의 "일반적인" VLAN 외에도 기업 환경에서 널리 사용되는 다른 방식들이 있습니다. 포트 기반 VLAN, MAC 기반 VLAN, 관리 VLAN, 제어 VLAN, 사용자 정의 네이티브 VLAN, 하이브리드 VLAN 또는 VXLAN까지 수백만 개의 논리 네트워크가 필요한 데이터 센터 및 클라우드 환경에서는 다음과 같은 기술도 고려해 볼 가치가 있습니다. 802.1X 및 동적 VLAN 할당 및 고급 보안을 위해.

La 관리 VLAN VLAN은 스위치, 라우터, 액세스 포인트, 방화벽 및 모니터링 시스템에 대한 관리자 액세스 전용으로 사용됩니다. 일반적으로 자체 IP 서브넷과 엄격한 ACL(접근 제어 목록)을 통해 액세스 권한을 제어합니다. 사용자와 동일한 VLAN에서 장치를 관리하는 것은 매우 위험합니다.

전화 VLAN 제어 이 영역은 STP, 라우팅 프로토콜, CDP, LLDP, VTP 등과 같은 내부 네트워크 프로토콜 트래픽 전용입니다. 이러한 트래픽을 데이터 또는 관리 트래픽과 분리함으로써 노이즈를 줄이고 안정성을 향상시키며 특정 보안 조치를 적용할 수 있습니다.

VLAN 1, 네이티브 VLAN, 그리고 이들이 보안 문제가 되는 이유

대부분의 스위치에서 VLAN 1은 기본적으로 구성되어 있습니다. 기본값 및 네이티브 VLAN 모든 포트에서 그렇습니다. 즉, 아무것도 변경하지 않으면 트렁크로 들어오는 태그가 지정되지 않은 모든 트래픽은 VLAN 1에 배치되고 모든 포트가 VLAN 1에 속하게 됩니다.

문제는 조금이라도 지식이 있는 공격자라면 누구나 이 사실을 알고 있다는 것입니다. VLAN 1은 공격의 주요 목표물 중 하나입니다. VLAN 호핑 공격스위치 스푸핑 및 기타 기본 설정을 악용하여 다른 VLAN에 몰래 침입하는 수법.

예를 들어 스위치 스푸핑 공격에서 공격자는 DTP가 동적 모드로 활성화된 포트에 자신의 장치를 연결합니다. 트렁크 링크를 협상합니다 스위치를 사용하면 호스트에 절대 접근해서는 안 되는 여러 VLAN에 접근할 수 있게 됩니다.

이중 태깅 공격은 두 개의 802.1Q 태그를 동일한 프레임에 혼합하여 사용하는 공격으로, 네이티브 VLAN이 태그 없이 전송된다는 점을 악용하여 보안이 취약한 트렁크를 통해 한 VLAN에서 다른 VLAN으로 이동하려는 시도입니다.

따라서 현재의 안전 권고 사항은 명확합니다. VLAN 1은 사용자에게 사용하지 마십시오.트렁크에서 네이티브 VLAN으로 남겨두지 말고, 관리 IP 주소를 할당하지 마십시오. 가능하면 프로덕션 트래픽이 전송되지 않도록 격리하거나 필터링하십시오.

항만 설계 및 할당을 위한 모범 사례

VLAN을 구성할 때 중요한 결정 사항 중 하나는 다음과 같습니다. 스위치 포트는 어떻게 할당되나요? 각 VLAN에 대해 어떻게 처리할지, 그리고 사용하지 않는 포트를 어떻게 처리할지 결정해야 합니다. 사소해 보이지만 성능과 보안 모두에 중요한 영향을 미칩니다.

액세스 포트는 항상 열어두는 것이 좋습니다. 태그가 지정되지 않은 단일 VLAN (해당 사용자 또는 장치의) VLAN을 선택하고 나머지는 제외로 표시합니다. 이렇게 하면 누군가 실수로 설정을 변경하더라도 인터페이스가 자신에게 속하지 않는 VLAN을 "인식"하지 못하게 됩니다.

트렁크 링크에서는 명시적으로 구성하는 것이 좋습니다. 어떤 VLAN이 허용됩니까? (예: switchport trunk allowed vlan 10, 20, 99)와 같이 네트워크의 모든 VLAN을 전달하는 대신, 각 트렁크는 실제로 필요한 VLAN만 전달해야 합니다.

사용하지 않는 항구의 경우 가장 안전한 방법은 다음과 같습니다. 전원을 끄세요 (종료)게이트웨이나 DHCP가 없는 "블랙홀" VLAN에 해당 장치들을 할당하고, 트렁크로 표시되거나 DTP가 활성화되지 않도록 하십시오. 이렇게 하면 누군가가 장치를 연결하여 갑자기 운영 네트워크에 나타나는 것을 방지할 수 있습니다.

포트 수가 매우 많은 환경에서는 문서화를 잘 하는 것이 좋습니다. 각 인터페이스에 연결되는 것케이블에 라벨을 붙이고 다이어그램을 최신 상태로 유지하세요. VLAN 연결 문제의 상당수는 문서 업데이트 없이 케이블을 이동했기 때문에 발생합니다. 배선 가이드 실수를 피하는 데 도움이 됩니다.

"비출구" VLAN 및 사용되지 않는 포트

무료 포트를 보호하는 간단하고 매우 효과적인 기술은 다음과 같은 방법을 사용하는 것입니다. "출구 없음" VLAN즉, DHCP, 라우팅 및 서비스가 없는 VLAN을 만들고 사용하지 않는 모든 액세스 포트를 해당 VLAN에 넣는 것입니다.

핵심은 누군가가 해당 포트 중 하나에 장치를 연결하더라도 해당 호스트는 IP 주소를 받지 못하고, 게이트웨이도 없으며, 다른 장치에 연결할 수 없고, 트래픽이 완전히 격리된다는 것입니다. 일종의 네트워크 림보와 같은 상태입니다.

많은 환경에서 식별 가능한 ID가 사용됩니다. 예를 들면 다음과 같습니다. VLAN 777, 999 또는 4094이를 위해 스위치는 해당 포트에서 나머지 VLAN을 제외하도록 구성되며, 해당 VLAN에 대해 레이어 3 인터페이스가 정의되지 않고 어떤 라우터에서도 광고되지 않습니다.

또한, DTP가 활성화된 모든 스위치의 액세스 포트에서 DTP를 비활성화하는 것이 좋습니다. 스위치포트 비협상그래서 이웃과의 협상을 통해 자동으로 간선으로 전환하려는 시도를 절대 하지 않도록 하는 것입니다.

음성, 데이터 및 특수 장치를 위한 VLAN

다음과 같은 네트워크에서 IP 전화 및 음성 트래픽일반적으로 음성 트래픽은 PC 트래픽과는 별도의 특정 VLAN으로 분리합니다. 이는 서비스 품질 요구 사항과 보안이라는 두 가지 이유 때문입니다.

음성 트래픽은 지연 시간, 지터 및 패킷 손실에 매우 민감합니다. 대용량 다운로드, 비디오 스트리밍 또는 백업과 같은 작업과 음성 트래픽이 혼합되면 통화 품질이 급격히 저하됩니다. 음성 트래픽을 VLAN으로 분리하면 이러한 문제를 해결할 수 있습니다. QoS를 사용하여 우선순위를 지정합니다. 보다 구체적인 정책을 시행해야 합니다.

또한 IP 전화기는 일반적으로 자체 VLAN 태깅 기능(802.1Q)을 갖추고 있습니다. PC와 계단식으로 연결되어 네트워크 포트는 트렁크(태그된 음성, 태그되지 않은 데이터) 역할을 하고 PC 포트는 액세스 포트 역할을 합니다. 이를 위해서는 다음이 필요합니다. 약간 더 세밀한 포트 구성 보안 허점을 남기지 않기 위해서입니다.

또한 [불분명]을 특정 VLAN으로 분리하는 것도 좋은 생각입니다. IoT 기기, 홈 자동화, IP 카메라, 텔레비전, 스마트 플러그이러한 장치들은 보안 수준이 낮고 펌웨어 관리가 제대로 되어 있지 않은 경우가 많으므로 관리용 PC나 중요 서버와 동일한 논리 네트워크에 연결하지 않는 것이 좋습니다.

와이파이 환경에서 대부분의 전문 액세스 포인트는 연결을 지원합니다. VLAN마다 하나의 SSID이러한 방식으로 유선 네트워크의 분할이 무선 네트워크까지 확장됩니다. 관리 VLAN, 기업 VLAN, IoT VLAN, 게스트 VLAN이 각각 고유한 SSID와 규칙을 갖습니다.

VLAN, ACL 및 방화벽 간 라우팅

VLAN은 설계상 그들은 2단계에서 서로를 "보지" 못합니다.서로 다른 VLAN에 있는 장치들이 통신하려면 레이어 3, 즉 VLAN 간 라우팅이 필요합니다. 이는 일반적으로 라우터, 방화벽 또는 레이어 3 스위치에서 수행됩니다.

크게 두 가지 패턴이 있습니다. 첫 번째는 사용하는 것입니다. 802.1Q를 지원하는 라우터 또는 방화벽 스위치 트렁크에 연결됩니다. 라우터는 서브인터페이스(VLAN당 하나씩)를 생성하고, IP ​​주소를 할당하며, 게이트웨이 역할을 합니다. 방화벽게다가 누가 누구와 대화할 수 있는지에 대한 세밀한 규칙을 적용합니다.

두 번째 패턴은 사용하는 것입니다. 레이어 3 관리형 스위치 분산 또는 코어 계층에서 VLAN 인터페이스(SVI)가 생성되어 각 서브넷의 게이트웨이 역할을 합니다. 스위치 자체는 내부 라우팅과 해당 ACL을 처리하여 에지 라우터의 작업 부하를 줄여줍니다.

두 경우 모두, 이 경로 설정과 함께 다음 사항을 반드시 포함해야 합니다. 접근 제어 목록(ACL) 또는 방화벽 규칙 엄격하게 관리해야 합니다. VLAN 간에 IP 경로가 존재한다고 해서 모든 트래픽을 허용해서는 안 됩니다. 소스, 대상, 포트, 프로토콜 및 연결 방향을 기준으로 필터링해야 합니다.

일반적인 예로, 게스트 VLAN은 인터넷에만 접속할 수 있고, IoT VLAN은 특정 서버(예: NTP, syslog 또는 MQTT 브로커)와만 통신할 수 있으며, 학생 VLAN은 관리 VLAN에 접근할 수 없고, 백업 VLAN은 백업 서버에만 연결을 시작할 수 있습니다.

VLAN 관리 프로토콜: VTP 및 회사

스위치가 많은 대규모 네트워크에서 각 장치에 수동으로 VLAN을 생성하는 것은 비효율적이며 오류 발생 가능성이 높습니다. 이러한 이유로 VLAN 프로토콜과 같은 방식이 사용됩니다. VTP(VLAN 트렁킹 프로토콜) 시스코 환경에서는 VLAN 목록을 중앙에서 배포할 수 있도록 해줍니다.

VTP는 스위치에서 세 가지 작동 모드를 정의합니다. 서버, 클라이언트 및 투명서버는 VLAN을 생성, 이름 변경 또는 삭제하고 해당 정보를 동일 도메인 내의 클라이언트로 전송할 수 있습니다. 클라이언트는 변경 사항을 수신하고 적용하지만, 직접 수정하지는 않습니다. 투명 서버는 VLAN 데이터베이스를 처리하지 않고 단순히 정보를 전달하는 역할만 합니다.

이러한 유형의 프로토콜은 작업을 크게 간소화하지만 단점도 있습니다. 서버 전환 오류, VTP 암호 관리 부실, 또는 오래된 데이터베이스를 가진 구형 스위치가 네트워크에 다시 추가될 경우 문제가 발생할 수 있습니다. VLAN 구성을 완전히 삭제하기 위해 조직 전반에 걸쳐.

따라서 현재 많은 설계에서 VTP 모드가 선호됩니다. 투명한 또는 아예 사용하지 않고, 도구를 사용하여 VLAN을 관리할 수도 있습니다. 오토메이션 (앤서블, 템플릿, 중앙 집중식 컨트롤러 등) 또는 보다 정적이고 통제된 설계 방식을 사용할 수 있습니다.

고급 보안: VACL, PVLAN 및 공격 완화

네트워크 규모가 커지고 중요도가 높아짐에 따라 VLAN만으로는 충분하지 않습니다. VLAN 내에서 트래픽을 더욱 세밀하게 제어하기 위해 다른 방법을 사용할 수 있습니다. VACL(VLAN ACL 또는 VLAN 맵)특정 인터페이스뿐만 아니라 VLAN 수준에서 트래픽을 필터링하거나 리디렉션할 수 있도록 해줍니다.

VACL은 정의를 통해 구성됩니다. VLAN 액세스 맵 이들은 IP 또는 MAC 액세스 목록을 사용하여 일치하는 트래픽에 대해 어떻게 처리할지 지정합니다. 즉, 통과시키거나, 차단하거나, 모니터링 포트로 보내거나, 리디렉션하거나 하는 등의 작업을 수행합니다. 그런 다음 이러한 목록은 스위치의 하나 이상의 VLAN에 전역적으로 적용됩니다.

같은 서브넷 내의 호스트들을 격리하려는 경우 다음과 같은 방법들이 있습니다. 프라이빗 VLAN(PVLAN)이는 일반적으로 게이트웨이가 위치한 기본 VLAN에서 시작하여 격리형 및 커뮤니티형의 두 가지 유형의 관련 보조 VLAN을 생성합니다.

보조 VLAN 유형 외딴 이러한 기능은 각 호스트가 게이트웨이만 볼 수 있도록 하고, 동일한 격리된 보조 VLAN에 있더라도 다른 호스트는 볼 수 없도록 합니다. 이러한 유형은 다음과 같습니다. 커뮤니티 이 기능을 사용하면 호스트 그룹이 서로와 게이트웨이를 볼 수 있지만, 동일한 기본 서버에 있는 다른 그룹은 볼 수 없습니다.

구체적인 공격과 관련하여, VLAN 1 및 DTP에 대해 이미 언급한 내용 외에도, 다음과 같은 사항을 완화하는 것이 매우 중요합니다. 이중 태깅을 통한 VLAN 호핑이를 위해서는 네이티브 VLAN을 호스트에서 사용하지 않는 VLAN으로 변경하고, 가능하면 트렁크에서 해당 네이티브 VLAN을 제거하고, DTP를 비활성화하고, 포트를 액세스 또는 트렁크로 명시적으로 정의하고, 네이티브 VLAN 트래픽이 항상 태그되어 전송되도록 명령어를 사용하여 태그되지 않은 트래픽을 폐기하는 것이 좋습니다.

VLAN을 사용한 네트워크 진단 및 유지 관리

VLAN을 사용하여 네트워크를 설정하는 것은 작업의 절반에 불과합니다. 나머지 절반은 다음과 같습니다. 유지 관리하고 문제 발생 시 디버깅하세요. 너무 걱정하지 마세요. 일반적인 VLAN 연결 문제는 대개 비슷한 원인으로 발생합니다. 자세한 안내 및 실질적인 해결 방법은 다음 자료를 참고하세요. 네트워크 문제 진단.

한편으로는 물리적 오류가 있습니다. 예를 들어, 문서 업데이트 없이 케이블을 한 포트에서 다른 포트로 옮기거나, 트렁크 포트여야 할 곳에 액세스 포트를 구성하거나 그 반대로 구성하는 경우, STP가 제대로 조정되지 않으면 루프로 이어지는 잘못 정의된 이중화 링크 등이 있습니다.

반면에 논리적 오류가 발생하기도 합니다. 예를 들어 일부 스위치에서는 VLAN이 생성되었지만 다른 스위치에서는 생성되지 않은 경우입니다. 잘못 구성된 트렁크에서 허용된 VLAN 목록DHCP 범위가 마스크와 일치하지 않거나 최종 장치에 잘못 설정된 게이트웨이입니다.

진단에 필요한 주요 도구는 일반적인 명령어입니다. show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, traceroute등등. 특정 포트의 트래픽 캡처와 효과적인 모니터링 시스템을 결합하면 많은 도움이 됩니다.

또한 정기적으로 검토하는 것이 좋습니다. ACL, 방화벽 규칙, PVLAN, VACL 및 관리 구성 프로젝트 변경, 확장 또는 이전 후 누락된 부분이 없도록 합니다.

명확한 문서화(VLAN 체계, IP 범위, 포트 할당, VLAN 간 액세스 정책 설명)와 철저한 변경 로깅은 구성 명령 자체만큼이나 중요합니다.

체계적인 네트워크 분할, 적절하게 레이블링된 VLAN, 신중한 네이티브 VLAN 관리, ACL로 보호되는 VLAN 간 라우팅, 그리고 일관된 유지 관리 방식을 통해 기업 네트워크는 성능을 크게 향상시킬 수 있습니다. 안전, 성능 및 제어 물리적 기반 시설 전체를 재구축할 필요 없이.