VLAN konfigūracija ir tinklo saugumas: išsamus vadovas

Informatec Digital » Ištekliai » VLAN konfigūracija ir tinklo saugumas: išsamus vadovas

Jei valdote įmonės tinklą, žinote, kad jį pasiekti Viskas veikia greitai ir saugiai Tuo pačiu metu tai nėra lengva užduotis. Komandoms, paslaugoms ir programoms augant, visur pradeda atsirasti transliacijų, kliūčių ir saugumo problemų.

Vienas galingiausių įrankių, padedančių įvesti tvarką tame chaose, yra... VLAN (virtualus LAN)Gerai suprojektuoti ir sukonfigūruoti, jie leidžia segmentuoti tinklą, sumažinti nenaudingą srautą, izoliuoti skyrius ir apsaugoti svarbiausias paslaugas... tačiau prastai suplanuoti jie gali tapti saugumo spąstais arba administravimo košmaru.

Kas tiksliai yra VLAN ir kodėl jis svarbus saugumui?

VLAN iš esmės yra nepriklausomas loginis tinklas kurie yra toje pačioje fizinėje infrastruktūroje: tie patys komutatoriai, ta pati kabelių sistema, tie patys „Wi-Fi“ prieigos taškai. Loginiu lygmeniu VLAN įrenginiai elgiasi taip, tarsi būtų atskirame LAN tinkle, net jei jie yra paskirstyti skirtinguose aukštuose ar pastatuose.

Tai leidžia sujungti kompiuterių, serverių, IP telefonų, spausdintuvų arba IP kamerų grupę savo transliacijos domenąizoliuoti nuo kitų grupių. Transliavimo ir daugiaadresiai paketai lieka jų VLAN, o ne užplūsta visą tinklą, todėl pagerėja našumas ir lengviau kontroliuojama, kas ką gali matyti.

Verslo aplinkoje įprasta kurti VLAN skyriai (apskaitos, inžinerijos, rinkodaros)atskirti srautą valdymui, balso, svečiams, daiktų internetui ar net dedikuotam atsarginiam VLAN. Kiekvienas iš jų turi savo maršruto parinkimo, saugumo ir paslaugų kokybės taisykles.

Be to, VLAN yra pagrindinis strategijų komponentas, skirtas Segmentavimas ir nulinis pasitikėjimasTinklai nebėra laikomi „visiškai patikimais“, todėl apibrėžiamos atakų zonos. Vieno VLAN gedimas ar infekcija neturėtų sukelti visos organizacijos žlugimo dėl domino efekto.

Pagrindinės sąvokos: prieigos prievadai, magistralės ir vietinis VLAN

Norint visiškai suprasti VLAN konfigūraciją ir saugumą, reikia aiškiai suprasti tris pagrindines idėjas: prieigos prievadai, magistraliniai prievadai ir vietinis VLANJei įvaldysite šias tris sąvokas, visa kita daug geriau stos į savo vietas.

Un prieigos prievadas Tai komutatoriaus prievadas, perduodantis srautą iš vieno VLAN į galinį įrenginį: kompiuterį, spausdintuvą, IP kamerą, telefoną ir kt. Srautas teka iš komutatoriaus į tą įrenginį. Nėra etiketės 802.1Q (nepažymėta). Viduje komutatorius žino, kuriam VLAN jis priklauso, bet įranga nemato žymės.

Un bagažinės prievadas Tai jungtis tarp tinklo įrenginių (jungiklis-jungiklis, jungiklis-maršrutizatorius, jungiklis-prieigos taškas), per kurią perduodami duomenys. keli VLAN vienu metuŠiuo atveju kadrai turi 802.1Q žymę, nurodančią, kuriam VLAN jie priklauso. Tai leidžia išplėsti VLAN visoje topologijoje ir nukreipti kelis loginius tinklus per tą pačią fizinę jungtį.

La Vietinis VLAN Tai VLAN, naudojamas nepažymėtam srautui 802.1Q jungtyje. Kiekvienas kadras, įeinantis į magistralinį prievadą be žymės, priskiriamas šiam vietiniam VLAN. Pagal numatytuosius nustatymus daugelyje įrenginių tai yra VLAN 1, ir čia prasideda saugumo problemos, jei ši konfigūracija nepakeičiama.

Tinklo architektūra ir projektavimas su VLAN

Vidutiniuose ir dideliuose tinkluose įprasta naudoti trijų sluoksnių topologijaPagrindinis, paskirstymo ir prieigos sluoksniai. Kiekvienas sluoksnis turi savo vaidmenį, o tai, kaip jie dera su VLAN, turi didelę praktinę reikšmę.

Prieigos lygmenį sudaro jungikliai, kurie Jie tiesiogiai sujungia vartotojus ir galinius įrenginius. Jie turi daugiausiai prieigos prievadų ir juose apibrėžiama dauguma vartotojų, balso, daiktų interneto ir kt. VLAN. Būtent čia daugiausia dėmesio reikia skirti prievadų paskirstymui ir gerai fizinio saugumo praktikai (užtikrinant, kad niekas negalėtų tiesiog prijungti laidų).

Paskirstymo sluoksnyje yra jungikliai, kurie Jie kaupia srautą iš kelių prieigos komutatoriųPaprastai tai yra taškas, kuriame atliekamas maršrutizavimas tarp VLAN, taikomi tikslesni ACL, nutraukiami šviesolaidiniai ryšiai, pridedami ryšiai („EtherChannel“) ir taikomos sudėtingesnės politikos (QoS, audrų valdymas ir kt.).

Pagrindiniame sluoksnyje yra paskirstymo jungtys ir šliuzas į internetą arba išorinius tinklus. Labai dideliuose tinkluose įprasta, kad Šerdis yra visiškai atsakingas už greitą perjungimąsu labai nedaug papildomų funkcijų, siekiant sumažinti delsą ir sudėtingumą.

Projektuojant tinklą su VLAN, patartina pirmiausia apibrėžti kokios loginės grupės reikalingos (pagal funkciją, kritiškumą, patikimumo lygį ir kt.) ir tada suskirstyti jį į gerai suplanuotą IP schemą (potinklius, kaukes, VLSM, dinaminius ir statinius diapazonus) ir aiškiai paskirstyti prievadus kiekviename komutatoriuje.

VLAN tipai ir dažniausiai naudojami

Labiausiai paplitęs standartas rėmelių žymėjimui magistralinėse jungtyse yra IEEE 802.1QJis prideda 4 baitus prie Ethernet antraštės su VLAN ID ir kitais laukais, kad komutatorius tiksliai žinotų, kuriam VLAN priklauso kiekvienas kadras, neįkapsuliuodamas viso kadro.

Kai komutatoriuose VLAN konfigūruojami su 802.1Q, kiekvieną prievadą galima pažymėti kaip pažymėtas arba nepažymėtas konkrečiam VLAN. Prievadas gali būti pažymėtas keliuose VLAN (įprastai magistraliniame tinkle), bet nepažymėtas tik viename iš jų (tame, kurį galinis įrenginys matys, jei tai yra prieigos prievadas).

Be „įprastų“ VLAN, pagrįstų 802.1Q, yra ir kitų būdų, plačiai naudojamų įmonių aplinkoje: VLAN pagal prievadus, VLAN pagal MAC adresus, valdymo VLAN, kontroliniai VLAN, pasirinktiniai vietiniai VLAN, hibridiniai VLAN arba net VXLAN duomenų centrų ir debesų kompiuterijos aplinkose, kur reikia milijonų loginių tinklų. Taip pat verta apsvarstyti tokias technologijas kaip 802.1X ir dinaminiai VLAN paskirstymui ir pažangiam saugumui.

La Valdymo VLAN Jis naudojamas tik administratoriaus prieigai prie komutatorių, maršrutizatorių, prieigos taškų, užkardų ir stebėjimo sistemų. Paprastai jis turi savo IP potinklį ir griežtus ACL, kontroliuojančius, kas gali prie jo prisijungti. Įrenginių valdymas iš tų pačių VLAN kaip ir naudotojų yra labai bloga idėja.

Skambutis valdymo VLAN Jis skirtas vidinio tinklo protokolų srautui: STP, maršruto parinkimo protokolams, CDP, LLDP, VTP ir kt. Atskyrus šį srautą nuo duomenų ar valdymo srauto, sumažėja triukšmas, pagerėja stabilumas ir galima taikyti konkrečias saugumo priemones.

VLAN 1, vietinis VLAN ir kodėl jie yra saugumo problema

Daugumoje komutatorių VLAN 1 yra iš anksto sukonfigūruotas. kaip numatytasis ir vietinis VLAN visuose prievaduose. Tai reiškia, kad jei niekas nekeičiama, visas nepažymėtas srautas, patenkantis į magistralinį tinklą, perkeliamas į VLAN 1, ir visi prievadai yra jo dalis.

Problema ta, kad bet kuris vidutiniškai išmanantis užpuolikas tai žino. VLAN 1 yra vienas pagrindinių atakos taikinių. VLAN šuolio atakos, komutatorių klastojimas ir kiti išradimai, kurie pasinaudoja numatytosiomis konfigūracijomis, kad prasmuktų į kitus VLAN.

Pavyzdžiui, per komutatoriaus imitavimo ataką užpuolikas prijungia savo įrenginį prie prievado, kuriame DTP veikia dinaminiu režimu, ir derėtis dėl magistralinio ryšio su komutatoriumi, gaunant prieigą prie kelių VLAN, kurie niekada neturėtų pasiekti pagrindinio kompiuterio.

Dvigubo žymėjimo atakos metu, pasinaudojant tuo, kad vietinis VLAN keliauja nepažymėtas, tame pačiame kadre sumaišomos dvi 802.1Q žymės, siekiant pereiti iš vieno VLAN į kitą per prastai apsaugotą magistralinį kanalą.

Dėl visų šių priežasčių dabartinės saugos rekomendacijos yra aiškios: Nenaudokite VLAN 1 vartotojamsNepalikite jo kaip vietinio VLAN magistralėse, nesuteikite jam valdymo IP adreso ir, jei įmanoma, izoliuokite arba net filtruokite jį, kad jis neperduotų gamybinio srauto.

Geriausia uostų projektavimo ir paskirstymo praktika

Vienas iš pagrindinių sprendimų konfigūruojant VLAN yra Kaip priskiriami komutatoriaus prievadai kiekvienam VLAN ir ką daryti su nenaudojamais prievadais. Tai atrodo trivialu, bet nuo to priklauso ir našumas, ir saugumas.

Visada gera idėja palikti prieigos angas atviras. vienas VLAN kaip nepažymėtas (to vartotojo arba įrenginio) ir pažymėkite likusius kaip neįtrauktus. Tai neleidžia sąsajai „matyti“ jai nepriklausančių VLAN, net jei kas nors netyčia pakeistų nustatymus.

Magistralinėse jungtyse rekomenduojama aiškiai konfigūruoti kurie VLAN yra leidžiami (pvz., komutatoriaus magistralėje leidžiami 10, 20, 99 vlanai), užuot praleidus visus tinkle esančius VLAN. Kiekviena magistralė turėtų perduoti tik tuos VLAN, kurių jai iš tikrųjų reikia.

Nenaudojamiems prievadams saugiausia yra išjunkite juos (išjunkite)Priskirkite juos „juodosios skylės“ VLAN be šliuzo ar DHCP ir įsitikinkite, kad jie nėra pažymėti kaip magistraliniai tinklai arba kad juose įjungtas DTP. Tai neleidžia kam nors prijungti įrenginio ir staiga pasirodyti gamybiniame tinkle.

Aplinkose, kuriose prievadų skaičius yra labai didelis, patartina gerai dokumentuoti. kas jungiasi prie kiekvienos sąsajosPažymėkite laidus ir nuolat atnaujinkite savo diagramas. Daugelis VLAN ryšio problemų kyla tiesiog dėl to, kad laidai perkeliami be atnaujintos dokumentacijos; laidų vadovas Tai padeda išvengti klaidų.

„Neišėjimo“ VLAN ir nenaudojami prievadai

Paprasta ir labai efektyvi laisvųjų uostų apsaugos technika yra sukurti VLAN „Nėra išėjimo“Tai yra, VLAN be DHCP, be maršrutizavimo ir be paslaugų, ir į jį įdėkite visus nenaudojamus prieigos prievadus.

Idėja yra ta, kad net jei kas nors prijungtų įrenginį prie vieno iš šių prievadų, tas mazgas negaus IP adreso, neturės šliuzo, negalės pasiekti kitų įrenginių, o jo srautas liks visiškai izoliuotas. Tai savotiška tinklo nežinia.

Daugelyje aplinkų naudojamas atpažįstamas ID, pvz. VLAN 777, 999 arba 4094Šiuo tikslu komutatorius sukonfigūruotas taip, kad iš tų prievadų neįtrauktų likusių VLAN, tam VLAN neapibrėžta jokia 3 lygio sąsaja ir jis nereklamuojamas jokiame maršrutizatoriuje.

Be to, rekomenduojama išjungti DTP visų komutatorių prieigos prievaduose su „Switchport“ nederybųkad jie niekada nebandytų automatiškai tapti magistralinėmis linijomis derantis su kaimynu.

VLAN balso, duomenų ir specialiems įrenginiams

Tinkluose, kuriuose yra IP telefonija ir balso srautasĮprasta praktika yra atskirti balso srautą į konkretų VLAN, kuris skiriasi nuo kompiuterių srauto. Taip yra dėl dviejų priežasčių: paslaugų kokybės reikalavimų ir saugumo.

Balso srautas yra labai jautrus delsai, virpei ir paketų praradimui. Jei jis nevaldomai susimaišo su dideliais atsisiuntimų, vaizdo transliacijų ar atsarginių kopijų kūrimu, skambučių kokybė greitai pablogėja. Balso atskyrimas VLAN leidžia tai padaryti. prioritetą nustatykite naudodami QoS ir įgyvendinti tikslesnę politiką.

Be to, IP telefonai paprastai turi savo VLAN žymėjimo galimybes (802.1Q): jie yra sujungti su kompiuteriu, tinklo prievadas veikia kaip magistralinis tinklas (pažymėtas balsas, nepažymėti duomenys), o kompiuterio prievadas veikia kaip prieigos prievadas. Tam reikia šiek tiek smulkesnės prievadų konfigūracijos kad nepaliktų saugumo spragų.

Taip pat gera idėja atskirti [neaiškų] į konkrečius VLAN. Daiktų interneto įrenginiai, namų automatika, IP kameros, televizoriai, išmanieji kištukaiir kt. Tai įrenginiai, kurių saugumo lygis dažnai yra prastas, o programinė įranga – prastai prižiūrima, todėl patartina, kad jie nebūtų tame pačiame loginiame tinkle kaip valdymo kompiuteriai ar svarbūs serveriai.

„Wi-Fi“ pasaulyje dauguma profesionalių prieigos taškų leidžia prisijungti vienas SSID kiekvienam VLANTokiu būdu laidinio tinklo segmentavimas apima ir belaidį tinklą: valdymo VLAN, įmonės VLAN, daiktų interneto VLAN, svečių VLAN, kiekvienas su savo SSID ir taisyklėmis.

Maršruto parinkimas tarp VLAN, ACL ir užkardų

Pagal dizainą, VLAN Jie „nemato“ vienas kito 2 lygyjeJei norite, kad skirtinguose VLAN esantys įrenginiai galėtų bendrauti, turite pereiti prie 3 sluoksnio: maršrutizavimo tarp VLAN. Paprastai tai atliekama maršrutizatoriuje, užkardoje arba 3 sluoksnio komutatoriuje.

Yra du pagrindiniai modeliai. Pirmasis – naudoti maršrutizatorius arba užkarda su 802.1Q palaikymu prijungtas prie komutatoriaus magistralės. Maršrutizatorius sukuria antrines sąsajas (po vieną kiekvienam VLAN), priskiria joms IP adresus ir veikia kaip šliuzas. užkardaBe to, jame taikomos tikslios taisyklės, kas gali su kuo kalbėtis.

Antrasis modelis yra naudoti 3 lygio valdomas komutatorius paskirstymo arba pagrindiniame sluoksnyje. Jame sukuriamos VLAN sąsajos (SVI), kurios veikia kaip kiekvieno potinklio šliuzai. Pats komutatorius tvarko vidinį maršrutizavimą ir atitinkamus ACL, perkeldamas darbą iš kraštinio maršrutizatoriaus.

Abiem atvejais labai svarbu šį maršrutą papildyti prieigos kontrolės sąrašai (ACL) arba užkardos taisyklės Griežtas. IP kelio egzistavimas tarp VLAN nereiškia, kad visas srautas turėtų būti leidžiamas. Filtravimas turi būti atliekamas pagal šaltinį, paskirties vietą, prievadus, protokolus ir ryšių kryptį.

Tipiškas pavyzdys: svečio VLAN gali prisijungti tik prie interneto, daiktų interneto VLAN gali bendrauti tik su konkrečiais serveriais (pvz., NTP, syslog arba MQTT brokeriu), studento VLAN negali pasiekti valdymo VLAN, atsarginis VLAN tik inicijuoja ryšius su atsarginiu serveriu ir pan.

VLAN valdymo protokolai: VTP ir įmonė

Dideliuose tinkluose su daugybe komutatorių rankinis VLAN kūrimas kiekviename įrenginyje yra nepraktiškas ir linkęs į klaidas. Štai kodėl tokie protokolai kaip VTP (VLAN magistralinio ryšio protokolas) „Cisco“ pasaulyje, kurie leidžia centralizuotai platinti VLAN sąrašą.

VTP apibrėžia tris komutatoriaus veikimo režimus: serverio, kliento ir skaidrumoServeriai gali kurti, pervadinti arba ištrinti VLAN ir siųsti šią informaciją klientams tame pačiame domene. Klientai gauna ir pritaiko pakeitimus, bet jų nemodifikuoja. Skaidrūs serveriai neapdoroja VLAN duomenų bazės; jie tik perduoda informaciją.

Šio tipo protokolai labai supaprastina gyvenimą, tačiau turi ir trūkumų: serverio komutatoriaus klaida, prastai valdomas VTP slaptažodis arba senas komutatorius, pakartotinai įvestas į tinklą su pasenusia duomenų baze, gali sukelti problemų. visiškai sunaikinti VLAN konfigūraciją visoje organizacijoje.

Todėl daugelyje dabartinių konstrukcijų pirmenybė teikiama VTP režimui. skaidrus arba tiesiog jo nenaudoti, valdyti VLAN naudojant įrankius, automatizavimas („Ansible“, šablonai, centralizuoti valdikliai ir kt.) arba su statiškesniu ir kontroliuojamu dizainu.

Išplėstinis saugumas: VACL, PVLAN ir atakų mažinimas

Tinklui augant ir didėjant kritiškumui, vien VLAN nebepakanka. Norint detaliau valdyti srautą VLAN viduje, galima naudoti kitus metodus. VACL (VLAN ACL arba VLAN žemėlapiai)kurios leidžia filtruoti arba nukreipti srautą VLAN lygmeniu, o ne tik konkrečiose sąsajose.

VACL konfigūruojami apibrėžiant VLAN prieigos žemėlapiai Jie naudoja IP arba MAC prieigos sąrašus ir nurodo, ką daryti su atitinkamu srautu: praleisti jį, blokuoti, siųsti į stebėjimo prievadą, nukreipti... Tada jie taikomi globaliai vienam ar keliems komutatoriaus VLAN.

Tais atvejais, kai norite izoliuoti pagrindinius kompiuterius tame pačiame potinklyje, yra Privatūs VLAN (PVLAN)Jis pradedamas nuo pirminio VLAN, kuris paprastai yra ten, kur yra šliuzas, ir sukuria susijusius antrinius VLAN, kurie yra dviejų tipų: izoliuoti ir bendruomeniniai.

Antriniai VLAN, kurių tipas izoliuotas Jie leidžia kiekvienam pagrindiniam kompiuteriui matyti tik šliuzą, bet ne kitus pagrindinius kompiuterius, net jei jie yra tame pačiame izoliuotame antriniame VLAN. Jie yra tokio tipo bendruomenė Jie leidžia grupei pagrindinių kompiuterių matyti vieniems kitus ir šliuzą, bet ne kitas grupes tame pačiame pagrindiniame serveryje.

Kalbant apie konkrečias atakas, be to, kas jau buvo pasakyta apie VLAN 1 ir DTP, labai svarbu sušvelninti VLAN šuolis dvigubu žymėjimuNorint tai padaryti, rekomenduojama pakeisti vietinį VLAN į VLAN, kuris nenaudojamas su pagrindiniais kompiuteriais, jei įmanoma, pašalinti tą vietinį VLAN iš magistralių, išjungti DTP, aiškiai apibrėžti prievadus kaip prieigos arba magistralės ir naudoti komandas taip, kad vietinis VLAN visada keliautų pažymėtas, atmetant nepažymėtą srautą.

Tinklų su VLAN diagnostika ir priežiūra

Tinklo su VLAN sukūrimas yra tik pusė darbo; kita pusė yra prižiūrėti ir derinti incidentus Nesibaigiant. Tipinės VLAN ryšio problemos paprastai kyla dėl gana dažnų priežasčių. Vadovų ir praktinių procedūrų ieškokite šaltiniuose, esančiuose adresu tinklo problemų diagnostika.

Viena vertus, yra fizinių klaidų: kabeliai perkelti iš vieno prievado į kitą neatnaujinus dokumentacijos, prievadai sukonfigūruoti kaip prieigos ten, kur turėtų būti magistralinis ryšys, arba atvirkščiai, prastai apibrėžtos perteklinės jungtys, kurios baigiasi kilpomis, jei STP nėra tinkamai suderintas.

Kita vertus, pasitaiko loginių klaidų: VLAN sukurti vienuose komutatoriuose, bet ne kituose, leidžiamų VLAN sąrašų neteisingai sukonfigūruotuose magistralėseDHCP diapazonai, kurie neatitinka kaukių ar šliuzų, neteisingai nustatytų galiniuose įrenginiuose.

Pagrindinės diagnostikos priemonės yra įprastos komandos: rodyti vlan, rodyti sąsajų kamieną, rodyti apimantį medį, rodyti IP sąsajos santrauką, ping, tracerouteir t. t. Jų derinimas su srauto fiksavimu konkrečiuose prievaduose ir gera stebėjimo sistema labai padeda.

Taip pat patartina periodiškai peržiūrėti ACL, užkardos taisyklės, PVLAN, VACL ir valdymo konfigūracija siekiant užtikrinti, kad po projekto pakeitimų, išplėtimų ar perkėlimų neliktų jokių spragų.

Aiški dokumentacija (VLAN schemos, IP diapazonai, prievadų priskyrimai, prieigos tarp VLAN politikos aprašymas) ir griežtas pakeitimų registravimas yra beveik tokie pat svarbūs kaip ir pačios konfigūracijos komandos.

Gerai apgalvotas segmentavimas, tinkamai pažymėti VLAN, apdairus vietinis VLAN valdymas, ACL apsaugotas tarp-VLAN maršrutizavimas ir nuosekli priežiūros praktika gali gerokai padidinti įmonės tinklo našumą. saugumas, našumas ir kontrolė nereikalaujant atkurti visos fizinės infrastruktūros.