VLAN konfigurācija un tīkla drošība: pilnīgs ceļvedis

Informatec Digital » Resursi » VLAN konfigurācija un tīkla drošība: pilnīgs ceļvedis

Ja pārvaldāt korporatīvo tīklu, jūs zināt, ka tā nodrošināšana ir Viss darbojas ātri un droši Tajā pašā laikā tas nav viegls uzdevums. Komandām, pakalpojumiem un lietojumprogrammām augot, visur sāk parādīties apraides, sastrēgumi un drošības problēmas.

Viens no spēcīgākajiem rīkiem, lai ieviestu kārtību šajā haosā, ir... VLAN (virtuālais lokālais tīkls)Labi izstrādāti un konfigurēti, tie ļauj segmentēt tīklu, samazināt nevajadzīgu datplūsmu, izolēt nodaļas un aizsargāt kritiski svarīgus pakalpojumus... taču slikti plānoti tie var kļūt par drošības sietu vai administrācijas murgu.

Kas īsti ir VLAN un kāpēc tas ir svarīgs drošībai?

VLAN būtībā ir neatkarīgs loģikas tīkls kas atrodas vienā un tajā pašā fiziskajā infrastruktūrā: tie paši slēdži, tā pati kabeļu sistēma, tie paši Wi-Fi piekļuves punkti. Loģiskā līmenī ierīces VLAN uzvedas tā, it kā tās atrastos atsevišķā lokālajā tīklā (LAN), pat ja tās ir izvietotas dažādos stāvos vai ēkās.

Tas ļauj datoru, serveru, IP tālruņu, printeru vai IP kameru grupai izveidot savu apraides domēnuizolēti no citām grupām. Apraides un multiraides paketes paliek to VLAN ietvaros, nevis pārpludina visu tīklu, tādējādi uzlabojot veiktspēju un atvieglojot kontroli, kas kuru var redzēt.

Uzņēmējdarbības vidē ir ierasts veidot VLAN priekš nodaļas (grāmatvedība, inženierzinātnes, mārketings)lai atdalītu datplūsmu pārvaldībai, balss saziņai, viesiem, lietu internetam vai pat īpašam rezerves VLAN. Katram no tiem ir savi maršrutēšanas, drošības un pakalpojumu kvalitātes noteikumi.

Turklāt VLAN ir galvenā stratēģijas sastāvdaļa, kas paredzēta Segmentācija un nulles uzticēšanāsTīkli vairs netiek uzskatīti par "pilnīgi uzticamiem", un tiek definētas uzbrukuma virsmas. Viena VLAN kļūmei vai infekcijai nevajadzētu izraisīt visas organizācijas sabrukumu domino efekta rezultātā.

Pamatjēdzieni: piekļuves porti, maģistrāles un vietējais VLAN

Lai pilnībā izprastu VLAN konfigurāciju un drošību, ir trīs galvenās idejas, kurām jābūt pilnīgi skaidrām: piekļuves porti, maģistrālās pieslēgvietas un vietējais VLANJa apgūsiet šos trīs jēdzienus, viss pārējais nostāsies savās vietās daudz labāk.

Un piekļuves ports Tas ir komutatora ports, kas pārraida datplūsmu no viena VLAN uz gala ierīci: datoru, printeri, IP kameru, tālruni utt. Datplūsma plūst no komutatora uz šo ierīci. Nav etiķetes 802.1Q (neatzīmēts). Iekšēji komutators zina, kuram VLAN tas pieder, bet iekārta neredz atzīmi.

Un bagāžnieka ports Tā ir saite starp tīkla ierīcēm (komutators-komutators, komutators-maršrutētājs, komutators-piekļuves punkts), caur kuru pārvietojas dati. vairāki VLAN vienlaikusŠajā gadījumā kadriem ir 802.1Q birka, kas norāda, kuram VLAN tie pieder. Tas ļauj paplašināt VLAN visā topoloģijā un vairākus loģiskos tīklus maršrutēt pa vienu un to pašu fizisko saiti.

La Vietējais VLAN Šis ir VLAN, ko izmanto nemarķētai datplūsmai 802.1Q saitē. Katrs kadrs, kas ienāk maģistrālajā portā bez taga, tiek piešķirts šim vietējam VLAN. Pēc noklusējuma daudzās ierīcēs tas ir VLAN 1, un tieši šeit sākas drošības problēmas, ja šī konfigurācija netiek mainīta.

Tīkla arhitektūra un dizains ar VLAN

Vidējos un lielos tīklos ir ierasts izmantot trīsslāņu topoloģijaKodola, izplatīšanas un piekļuves slāņi. Katram slānim ir sava loma, un to kombinācijai ar VLAN ir būtiska praktiska nozīme.

Piekļuves slānis sastāv no slēdžiem, kas Tie savieno lietotājus tieši un gala ierīces. Tām ir visvairāk piekļuves portu, un tajās ir definēti vairums lietotāju, balss, lietu interneta u. c. VLAN. Šeit vislielākā uzmanība jāpievērš portu piešķiršanai un labai fiziskās drošības praksei (nodrošinot, ka neviens nevar vienkārši iespraust kabeļus).

Sadales slānis satur slēdžus, kas Tie apkopo datplūsmu no vairākiem piekļuves slēdžiemParasti tas ir punkts, kurā tiek veikta maršrutēšana starp VLAN, tiek lietoti precīzāki ACL, tiek pārtrauktas optiskās šķiedras saites, pievienotas saites (EtherChannel) un tiek lietotas sarežģītākas politikas (QoS, vētras kontrole utt.).

Galvenais slānis satur izplatīšanas saites un vārteju uz internetu vai ārējiem tīkliem. Ļoti lielos tīklos tas ir bieži sastopams, ja Kodols ir pilnībā atbildīgs par ātrgaitas komutācijuar ļoti maz papildu funkciju, lai samazinātu latentumu un sarežģītību.

Projektējot tīklu ar VLAN, ieteicams vispirms definēt Kādas loģiskās grupas ir nepieciešamas (pēc funkcijas, kritiskuma, ticamības līmeņa utt.) un pēc tam ievietot to labi plānotā IP shēmā (apakštīkli, maskas, VLSM, dinamiskie un statiskie diapazoni) un skaidrā portu sadalījumā katrā komutatorā.

VLAN veidi un to biežākie lietojumi

Visizplatītākais standarts kadru marķēšanai maģistrālajās saitēs ir IEEE 802.1QTas pievieno Ethernet galvenei 4 baitus ar VLAN ID un citiem laukiem, lai komutators precīzi zinātu, kuram VLAN pieder katrs kadrs, neiekapsulējot visu kadru.

Kad komutatoros VLAN tiek konfigurēti ar 802.1Q, katru portu var atzīmēt kā atzīmēts vai neatzīmēts konkrētam VLAN. Portu var atzīmēt vairākos VLAN (tipiski trunk tīklam), bet noņemt atzīmi tikai vienā no tiem (tajā, ko gala ierīce redzēs, ja tas ir piekļuves ports).

Papildus "parastajiem" VLAN, kuru pamatā ir 802.1Q, korporatīvajā vidē plaši tiek izmantotas arī citas modalitātes: Uz portiem balstīti VLAN, uz MAC adresēm balstīti VLAN, pārvaldības VLAN, vadības VLAN, pielāgoti vietējie VLAN, hibrīdie VLAN vai pat VXLAN datu centru un mākoņvidēs, kur nepieciešami miljoniem loģisko tīklu. Ir vērts apsvērt arī tādas tehnoloģijas kā 802.1X un dinamiskie VLAN piešķiršanai un uzlabotai drošībai.

La Pārvaldības VLAN To izmanto tikai administratīvai piekļuvei komutatoriem, maršrutētājiem, piekļuves punktiem, ugunsmūriem un uzraudzības sistēmām. Tam parasti ir savs IP apakštīkls un stingri ACL, kas kontrolē, kas tam var piekļūt. Ierīču pārvaldība no tiem pašiem VLAN kā lietotāji ir ļoti slikta ideja.

Zvans vadības VLAN Tas ir paredzēts iekšējā tīkla protokolu datplūsmai: STP, maršrutēšanas protokoliem, CDP, LLDP, VTP utt. Šīs datplūsmas atdalīšana no datu vai pārvaldības datplūsmas samazina troksni, uzlabo stabilitāti un ļauj piemērot īpašus drošības pasākumus.

VLAN 1, vietējais VLAN, un kāpēc tie rada drošības problēmas

Vairumā komutatoru VLAN 1 ir iepriekš konfigurēts. kā noklusējuma un vietējo VLAN visās pieslēgvietās. Tas nozīmē, ka, ja nekas netiek mainīts, visa nemarķētā datplūsma, kas ienāk maģistrālē, tiek ievietota 1. VLAN, un visas pieslēgvietas ir tās daļa.

Problēma ir tā, ka jebkurš vidēji gudrs uzbrucējs to zina. VLAN 1 ir viens no galvenajiem uzbrukuma mērķiem. VLAN lēciena uzbrukumi, komutatoru viltošana un citi izgudrojumi, kas izmanto noklusējuma konfigurācijas, lai ielavītos citos VLAN.

Piemēram, komutatora viltošanas uzbrukumā uzbrucējs savieno savu ierīci ar portu, kurā DTP ​​ir aktīvs dinamiskajā režīmā, un vienoties par maģistrālo savienojumu ar komutatoru, iegūstot piekļuvi vairākiem VLAN, kuriem nekad nevajadzētu sasniegt resursdatoru.

Dubultās marķēšanas uzbrukumā vienā kadrā tiek sajaukti divi 802.1Q tagi, izmantojot faktu, ka vietējais VLAN pārvietojas bez tagiem, lai mēģinātu pārlēkt no viena VLAN uz citu caur slikti nodrošinātu maģistrālo līniju.

Visu šo iemeslu dēļ pašreizējie drošības ieteikumi ir skaidri: Neizmantojiet VLAN 1 lietotājiemNeatstājiet to kā vietējo VLAN uz maģistrālēm, nepiešķiriet tam pārvaldības IP adresi un, ja iespējams, izolējiet vai pat filtrējiet to, lai tas nepārvietotu ražošanas trafiku.

Labākā prakse ostu projektēšanā un sadalē

Viens no galvenajiem lēmumiem, konfigurējot VLAN, ir Kā tiek piešķirti komutatora porti katram VLAN un ko darīt ar neizmantotajām pieslēgvietām. Tas šķiet triviāli, taču no tā ir atkarīga gan veiktspēja, gan drošība.

Vienmēr ir ieteicams atstāt piekļuves portus atvērtus. viens VLAN kā nemarķēts (attiecīgā lietotāja vai ierīces) un atzīmējiet pārējos kā izslēgtus. Tas neļauj saskarnei "redzēt" VLAN, kas tai nepieder, pat ja kāds nejauši maina iestatījumus.

Maģistrālajās saitēs ieteicams skaidri konfigurēt kuri VLAN ir atļauti (piemēram, komutācijas porta maģistrālei ir atļauts vlan 10, 20, 99), nevis jānodod visi tīklā esošie VLAN. Katrai maģistrālei vajadzētu pārvadāt tikai tos VLAN, kas tai faktiski nepieciešami.

Attiecībā uz ostām, kas netiek izmantotas, drošākā prakse ir izslēdziet tos (izslēgt)Piešķiriet tos "melnajam caurumam" VLAN bez vārtejas vai DHCP un pārliecinieties, vai tie nav atzīmēti kā trunk vai tiem nav iespējota DTP. Tas neļauj kādam pievienot ierīci un pēkšņi parādīties ražošanas tīklā.

Vidēs, kur ir ļoti liels portu skaits, ieteicams to labi dokumentēt. kas tiek pievienots katrai saskarneiMarķējiet kabeļus un regulāri atjauniniet shēmas. Daudzas VLAN savienojamības problēmas rodas vienkārši tāpēc, ka kabeļi tiek pārvietoti bez atjauninātas dokumentācijas; elektroinstalācijas ceļvedis Tas palīdz izvairīties no kļūdām.

"Neizejas" VLAN un neizmantotās pieslēgvietas

Vienkārša un ļoti efektīva brīvo ostu aizsardzības metode ir izveidot VLAN “Bez izejas”Tas ir, VLAN bez DHCP, bez maršrutēšanas un bez pakalpojumiem, un tajā ievietojiet visus piekļuves portus, kas netiek izmantoti.

Ideja ir tāda, ka pat ja kāds pievieno ierīci kādai no šīm pieslēgvietām, šis resursdators nesaņems IP adresi, tam nebūs vārtejas, tas nevarēs sasniegt citas ierīces, un tā datplūsma paliks pilnībā izolēta. Tā ir sava veida tīkla limba.

Daudzās vidēs tiek izmantots atpazīstams ID, piemēram, VLAN 777, 999 vai 4094Šim nolūkam slēdzis ir konfigurēts tā, lai no šīm pieslēgvietām izslēgtu pārējos VLAN, šim VLAN nav definēta 3. slāņa saskarne, un tas netiek reklamēts nevienā maršrutētājā.

Turklāt ieteicams atspējot DTP visu slēdžu piekļuves portos ar switchport bez sarunāmlai tās nekad nemēģinātu automātiski kļūt par maģistrālajām līnijām, risinot sarunas ar kaimiņu.

VLAN balss, datu un īpašām ierīcēm

Tīklos, kur ir IP telefonija un balss datplūsmaStandarta prakse ir atdalīt balss trafiku noteiktā VLAN, kas atšķiras no datoru trafika. Tam ir divi iemesli: pakalpojumu kvalitātes prasības un drošība.

Balss datplūsma ir ļoti jutīga pret latentumu, svārstībām un pakešu zudumu. Ja tā nekontrolējami tiek sajaukta ar apjomīgām lejupielādēm, video straumēšanu vai dublēšanu, zvanu kvalitāte strauji pasliktinās. Balss atdalīšana VLAN ļauj tieši to panākt. prioritizējiet to ar QoS un īstenot precīzāku politiku.

Turklāt IP tālruņiem parasti ir savas VLAN atzīmēšanas iespējas (802.1Q): tie ir kaskadēti ar datoru, tīkla ports darbojas kā maģistrāle (atzīmēta balss, nemarķēti dati), un datora ports darbojas kā piekļuves ports. Tas prasa nedaudz smalkākas portu konfigurācijas lai neatstātu drošības nepilnības.

Tāpat ir ieteicams atdalīt [neskaidro] konkrētos VLAN. IoT ierīces, mājas automatizācija, IP kameras, televizori, viedās kontaktdakšasutt. Tās ir ierīces, kurām bieži ir zems drošības līmenis un slikti uzturēta programmaparatūra, un ieteicams, lai tās neatrastos vienā loģiskajā tīklā ar pārvaldības datoriem vai kritiski svarīgiem serveriem.

Wi-Fi pasaulē vairums profesionālo piekļuves punktu ļauj izveidot savienojumu viens SSID katram VLANTādā veidā vadu tīkla segmentācija attiecas arī uz bezvadu tīklu: pārvaldības VLAN, korporatīvais VLAN, IoT VLAN, viesa VLAN, katram ar savu SSID un noteikumiem.

Maršrutēšana starp VLAN, ACL un ugunsmūriem

Pēc būtības VLAN Viņi "neredz" viens otru 2. līmenīJa vēlaties, lai ierīces dažādos VLAN varētu sazināties, jums jāpāriet uz 3. slāni: starp-VLAN maršrutēšana. Tas parasti tiek darīts, izmantojot maršrutētāju, ugunsmūri vai 3. slāņa slēdzi.

Ir divi galvenie modeļi. Pirmais ir izmantot maršrutētājs vai ugunsmūris ar 802.1Q atbalstu savienots ar komutatora maģistrālo līniju. Maršrutētājs izveido apakšsaskarnes (pa vienai katram VLAN), piešķir tām IP adreses un darbojas kā vārteja. ugunsmūrisTurklāt tajā ir noteikti precīzi noteikumi par to, kas var ar ko runāt.

Otrais modelis ir izmantot 3. slāņa pārvaldītais slēdzis izplatīšanas vai kodola slānī. Tajā tiek izveidotas VLAN saskarnes (SVI), kas darbojas kā vārtejas katram apakštīklam. Pats slēdzis apstrādā iekšējo maršrutēšanu un atbilstošos ACL, atbrīvojot perifērijas maršrutētāju no darba.

Abos gadījumos ir svarīgi šo maršrutēšanu papildināt ar piekļuves kontroles saraksti (ACL) vai ugunsmūra noteikumi Stingri. IP ceļa esamība starp VLAN nenozīmē, ka visa datplūsma ir jāatļauj. Filtrēšana jāveic, pamatojoties uz savienojumu avotu, galamērķi, portiem, protokoliem un virzienu.

Tipisks piemērs: viesa VLAN var piekļūt tikai internetam, IoT VLAN var sazināties tikai ar konkrētiem serveriem (piemēram, NTP, syslog vai MQTT brokeri), studenta VLAN nevar piekļūt pārvaldības VLAN, rezerves VLAN tikai iniciē savienojumus ar rezerves serveri utt.

VLAN pārvaldības protokoli: VTP un uzņēmums

Lielos tīklos ar daudziem komutatoriem VLAN manuāla izveide katrā ierīcē ir nepraktiska un pakļauta kļūdām. Tāpēc tādi protokoli kā VTP (VLAN kanālu protokols) Cisco pasaulē, kas ļauj centralizēti izplatīt VLAN sarakstu.

VTP definē trīs darbības režīmus komutatorā: serveris, klients un caurspīdīgsServeri var izveidot, pārdēvēt vai dzēst VLAN un nosūtīt šo informāciju klientiem tajā pašā domēnā. Klienti saņem un piemēro izmaiņas, bet tās nemodificē. Caurspīdīgi serveri neapstrādā VLAN datubāzi; tie tikai nodod informāciju tālāk.

Šāda veida protokoli ievērojami vienkāršo dzīvi, taču tiem ir savi trūkumi: servera komutatora kļūda, slikti pārvaldīta VTP parole vai vecs komutators, kas atkārtoti ieviests tīklā ar novecojušu datubāzi, var radīt problēmas. pilnībā iznīcināt VLAN konfigurāciju visā organizācijā.

Tāpēc daudzos pašreizējos dizainos priekšroka tiek dota VTP režīmam. caurspīdīgs vai vienkārši neizmantot to, pārvaldot VLAN ar rīkiem automatizācija (Ansible, veidnes, centralizēti kontrolieri utt.) vai ar statiskāku un kontrolētāku dizainu.

Paplašināta drošība: VACL, PVLAN un uzbrukumu mazināšana

Tīklam augot un kritiskumam pieaugot, VLAN vieni paši vairs nespēj nodrošināt pietiekamu veiktspēju. Lai detalizētāk kontrolētu datplūsmu VLAN ietvaros, var izmantot citas metodes. VACL (VLAN ACL vai VLAN kartes)kas ļauj filtrēt vai novirzīt datplūsmu VLAN līmenī, ne tikai noteiktās saskarnēs.

VACL tiek konfigurēti, definējot VLAN piekļuves kartes Tie izmanto IP vai MAC piekļuves sarakstus un norāda, ko darīt ar atbilstošo datplūsmu: palaist cauri, bloķēt, nosūtīt uz uzraudzības portu, novirzīt… Pēc tam tie tiek globāli piemēroti vienam vai vairākiem VLAN komutatorā.

Gadījumos, kad vēlaties izolēt resursdatorus vienā apakštīklā, ir pieejamas šādas iespējas: Privātie VLAN (PVLAN)Tas sākas ar primāro VLAN, kas parasti atrodas vārtejas atrašanās vietā, un izveido saistītus divu veidu sekundāros VLAN: izolētus un kopienas VLAN.

Sekundārie VLAN tipa izolēts Tie ļauj katram resursdatoram redzēt tikai vārteju, bet ne citus resursdatorus, pat ja tie atrodas vienā un tajā pašā izolētajā sekundārajā VLAN. Tie ir šāda veida kopiena Tie ļauj saimnieku grupai redzēt vienam otru un vārteju, bet ne citas grupas tajā pašā primārajā tīklā.

Attiecībā uz konkrētiem uzbrukumiem, papildus tam, kas jau tika teikts par VLAN 1 un DTP, ir ļoti svarīgi mazināt VLAN pārslēgšana, izmantojot dubulto marķēšanuLai to izdarītu, ieteicams mainīt vietējo VLAN uz VLAN, kas netiek izmantots ar resursdatoriem, ja iespējams, noņemt šo vietējo VLAN no maģistrālēm, atspējot DTP, skaidri definēt portus kā piekļuves vai maģistrāles un izmantot komandas, lai vietējais VLAN vienmēr pārvietotos atzīmēts, atmetot nemarķēto trafiku.

Tīklu ar VLAN diagnostika un uzturēšana

Tīkla iestatīšana ar VLAN ir tikai puse no darba; otra puse ir uzturēt to un atkļūdot incidentus Neiedziļinoties trakumā. Tipiskām VLAN savienojamības problēmām parasti ir diezgan bieži sastopami cēloņi. Lai iegūtu rokasgrāmatas un praktiskas procedūras, skatiet resursus vietnē tīkla problēmu diagnostika.

No vienas puses, pastāv fiziskas kļūdas: kabeļi pārvietoti no vienas pieslēgvietas uz otru, neatjauninot dokumentāciju, pieslēgvietas konfigurētas kā piekļuves vietas tur, kur vajadzētu būt maģistrālei, vai otrādi, slikti definētas liekās saites, kas beidzas ar cilpām, ja STP nav pareizi noregulēts.

No otras puses, pastāv loģiskas kļūmes: dažos komutatoros ir izveidoti VLAN, bet citos nav, atļautie VLAN saraksti nepareizi konfigurētos kanālosDHCP diapazoni, kas neatbilst maskām vai vārtejām, kas nepareizi iestatītas gala ierīcēs.

Galvenie diagnostikas rīki ir parastās komandas: parādīt vlan, parādīt saskarņu stumbru, parādīt aptverošo koku, parādīt ip saskarnes īso aprakstu, ping, tracerouteutt. To apvienošana ar datplūsmas uztveršanu noteiktās ostās un labu uzraudzības sistēmu ļoti palīdz.

Tāpat ieteicams periodiski pārskatīt ACL, ugunsmūra noteikumi, PVLAN, VACL un pārvaldības konfigurācija lai nodrošinātu, ka pēc projekta izmaiņām, paplašinājumiem vai migrācijām nav palikušas tukšas vietas.

Skaidra dokumentācija (VLAN shēmas, IP diapazoni, portu piešķiršana, starp-VLAN piekļuves politikas apraksts) un stingra izmaiņu reģistrēšana ir gandrīz tikpat svarīga kā pašas konfigurācijas komandas.

Ar pārdomātu segmentāciju, pareizi marķētiem VLAN, pārdomātu vietējo VLAN pārvaldību, ar ACL aizsargātu starp-VLAN maršrutēšanu un konsekventu uzturēšanas praksi uzņēmuma tīkls var ievērojami uzlabot veiktspēju. drošība, veiktspēja un kontrole bez nepieciešamības atjaunot visu fizisko infrastruktūru.