- As VLANs segmentam a rede física em redes lógicas isoladas, reduzindo o tráfego de broadcast e melhorando o desempenho.
- O uso correto de portas de acesso, trunks e VLANs nativas é fundamental para prevenir ataques de VLAN hopping e spoofing de switch.
- O roteamento entre VLANs deve sempre ser acompanhado por ACLs ou firewalls que controlem precisamente quem pode se comunicar com quem.
- VACL, PVLAN e gerenciamento rigoroso de portas não utilizadas reforçam a segurança e o controle em redes empresariais complexas.
Se você gerencia uma rede corporativa, sabe que configurá-la para funcionar corretamente é um desafio. Tudo funciona de forma rápida e segura. Ao mesmo tempo, não é uma tarefa fácil. À medida que as equipes, os serviços e os aplicativos crescem, transmissões, gargalos e problemas de segurança começam a surgir em todos os lugares.
Uma das ferramentas mais poderosas para trazer ordem a esse caos é... VLAN (LAN virtual)Bem projetadas e configuradas, elas permitem segmentar a rede, reduzir o tráfego desnecessário, isolar departamentos e proteger serviços críticos... mas, se mal planejadas, podem se tornar uma armadilha de segurança ou um pesadelo administrativo.
O que exatamente é uma VLAN e por que ela é importante para a segurança?
Uma VLAN é, essencialmente, uma rede lógica independente que residem na mesma infraestrutura física: os mesmos switches, os mesmos cabos, os mesmos pontos de acesso Wi-Fi. Em um nível lógico, os dispositivos em uma VLAN se comportam como se estivessem em uma LAN separada, mesmo que estejam distribuídos em diferentes andares ou edifícios.
Isso permite que um grupo de PCs, servidores, telefones IP, impressoras ou câmeras IP forme uma rede. domínio de transmissão próprioisolados de outros grupos. Os pacotes de broadcast e multicast permanecem dentro de sua VLAN em vez de inundar toda a rede, melhorando o desempenho e facilitando o controle de quem pode ver quem.
Em ambientes empresariais, é comum criar VLANs para departamentos (contabilidade, engenharia, marketing)Para separar o tráfego para gerenciamento, voz, convidados, IoT ou até mesmo uma VLAN de backup dedicada. Cada uma com suas próprias regras de roteamento, segurança e qualidade de serviço.
Além disso, as VLANs são um componente fundamental nas estratégias para Segmentação e Zero TrustJá não se presume que as redes sejam "totalmente confiáveis", e as superfícies de ataque estão sendo definidas. Uma falha ou infecção em uma VLAN não deve causar o colapso de toda a organização em um efeito dominó.
Conceitos básicos: portas de acesso, troncos e VLAN nativa
Para compreender plenamente a configuração e a segurança de VLANs, há três ideias-chave que devem estar absolutamente claras: portas de acesso, portas de tronco e VLAN nativaSe você dominar esses três conceitos, todo o resto se encaixará muito melhor.
Un porta de acesso Trata-se de uma porta de switch que transporta tráfego de uma única VLAN para um dispositivo final: um PC, impressora, câmera IP, telefone, etc. O tráfego flui do switch para esse dispositivo. Sem etiqueta 802.1Q (sem tag). Internamente, o switch sabe a qual VLAN pertence, mas o equipamento não vê a tag.
Un porta do tronco É uma ligação entre dispositivos de rede (switch-switch, switch-roteador, switch-AP) através da qual os dados trafegam. várias VLANs ao mesmo tempoNeste caso, os frames carregam a tag 802.1Q indicando a qual VLAN pertencem. Isso permite que as VLANs sejam estendidas por toda a topologia e que múltiplas redes lógicas sejam roteadas pelo mesmo link físico.
La VLAN nativa Esta é a VLAN usada para tráfego não etiquetado em um link 802.1Q. Cada quadro que entra em uma porta trunk sem etiqueta é atribuído a esta VLAN nativa. Por padrão, em muitos dispositivos, é a VLAN 1, e é aqui que os problemas de segurança começam se essa configuração não for alterada.
Arquitetura e projeto de redes com VLANs
Em redes de médio e grande porte, é comum usar um topologia de três camadasCamadas de núcleo, distribuição e acesso. Cada camada tem um papel, e a forma como elas se combinam com as VLANs possui grande importância prática.
A camada de acesso consiste nos switches que Eles conectam os usuários diretamente. e dispositivos finais. Estes possuem o maior número de portas de acesso e é onde a maioria das VLANs de usuário, voz, IoT, etc., são definidas. É aqui que a alocação de portas e as boas práticas de segurança física (garantindo que ninguém possa simplesmente conectar cabos) exigem maior atenção.
A camada de distribuição contém os switches que Eles agregam o tráfego de vários switches de acesso.Geralmente, é nesse ponto que o roteamento entre VLANs é realizado, ACLs mais refinadas são aplicadas, links de fibra óptica são terminados, links (EtherChannel) são adicionados e políticas mais avançadas (QoS, controle de tempestades, etc.) são aplicadas.
A camada central contém os links de distribuição e o gateway para a Internet ou redes externas. Em redes muito grandes, é comum que... O núcleo é o único responsável pela comutação de alta velocidade.Com pouquíssimos recursos adicionais, para reduzir a latência e a complexidade.
Ao projetar uma rede com VLANs, é aconselhável primeiro definir... Quais grupos lógicos são necessários? (por função, criticidade, nível de confiança, etc.) e, em seguida, inseri-la em um esquema IP bem planejado (sub-redes, máscaras, VLSM, intervalos dinâmicos e estáticos) e em uma alocação clara de portas em cada switch.
Tipos de VLAN e usos comuns
O padrão mais difundido para rotulagem de quadros em enlaces principais é IEEE 802.1QEle adiciona 4 bytes ao cabeçalho Ethernet com o ID da VLAN e outros campos, para que o switch saiba exatamente a qual VLAN cada quadro pertence, sem precisar encapsular o quadro inteiro.
Quando as VLANs são configuradas com 802.1Q em switches, cada porta pode ser marcada como com ou sem etiqueta para uma VLAN específica. Uma porta pode ser marcada em várias VLANs (típico de um trunk), mas não marcada em apenas uma delas (aquela que o dispositivo final verá se for uma porta de acesso).
Além das VLANs "normais" baseadas em 802.1Q, existem outras modalidades amplamente utilizadas em ambientes corporativos: VLANs baseadas em portas, VLANs baseadas em MAC, VLANs de gerenciamento, VLANs de controle, VLANs nativas personalizadas, VLANs híbridas ou até mesmo VXLANs. Em ambientes de data center e nuvem, onde milhões de redes lógicas são necessárias, também vale a pena considerar tecnologias como... 802.1X e VLANs dinâmicas para alocação e segurança avançada.
La VLAN de gerenciamento É utilizada exclusivamente para acesso administrativo a switches, roteadores, pontos de acesso, firewalls e sistemas de monitoramento. Normalmente, possui sua própria sub-rede IP e ACLs rigorosas que controlam quem pode acessá-la. Gerenciar dispositivos das mesmas VLANs que os usuários é uma péssima ideia.
A chamada VLAN de controle É dedicada ao tráfego de protocolos de rede internos: STP, protocolos de roteamento, CDP, LLDP, VTP, etc. Separar esse tráfego do tráfego de dados ou de gerenciamento reduz o ruído, melhora a estabilidade e permite a aplicação de medidas de segurança específicas.
VLAN 1, VLAN nativa e por que elas representam um problema de segurança.
Na maioria dos switches, a VLAN 1 já vem pré-configurada. como VLAN padrão e nativa em todas as portas. Isso significa que, se nada for alterado, todo o tráfego não etiquetado que entra em um tronco é colocado na VLAN 1, e todas as portas fazem parte dela.
O problema é que qualquer atacante minimamente experiente sabe disso. A VLAN 1 é um dos principais alvos de ataque. ataques de salto de VLAN, spoofing de switch e outras invenções que se aproveitam das configurações padrão para se infiltrar em outras VLANs.
Em um ataque de spoofing de switch, por exemplo, o atacante conecta seu dispositivo a uma porta onde o DTP está ativo no modo dinâmico e negociar um link de tronco Com o switch, é possível obter acesso a múltiplas VLANs que nunca deveriam alcançar um host.
Em um ataque de dupla marcação, duas tags 802.1Q são misturadas no mesmo quadro, aproveitando-se do fato de a VLAN nativa trafegar sem tag, para tentar saltar de uma VLAN para outra através de um trunk mal protegido.
Por todos esses motivos, as recomendações de segurança atuais são claras: Não utilize a VLAN 1 para usuários.Não a deixe como uma VLAN nativa nos trunks, não lhe atribua um endereço IP de gerenciamento e, se possível, isole-a ou mesmo filtre-a para que não transporte tráfego de produção.
Melhores práticas para projeto e alocação de portos
Uma das decisões fundamentais na configuração de VLANs é Como as portas de um switch são atribuídas? para cada VLAN e o que fazer com as portas não utilizadas. Parece trivial, mas tanto o desempenho quanto a segurança dependem disso.
É sempre uma boa ideia deixar as portas de acesso abertas. uma única VLAN sem tag (desse usuário ou dispositivo) e marque o restante como excluído. Isso impede que a interface "veja" VLANs que não lhe pertencem, mesmo que alguém altere as configurações acidentalmente.
Em links de tronco, recomenda-se configurar explicitamente. Quais VLANs são permitidas? (por exemplo, switchport trunk allowed vlan 10, 20, 99) em vez de passar todas as VLANs da rede. Cada trunk deve transportar apenas as VLANs de que realmente precisa.
Para portas que não estejam em uso, a prática mais segura é: desligá-los (desligar)Atribua-os a uma VLAN "buraco negro" sem gateway ou DHCP e certifique-se de que não estejam marcados como trunk nem tenham o DTP ativado. Isso impede que alguém conecte um dispositivo e apareça repentinamente na rede de produção.
Em ambientes com um número muito elevado de portas, é aconselhável documentar tudo detalhadamente. O que se conecta a cada interfaceIdentifique os cabos e mantenha seus diagramas atualizados. Muitos problemas de conectividade VLAN são causados simplesmente pela movimentação de cabos sem a devida documentação; guia de fiação Isso ajuda a evitar erros.
VLANs "sem saída" e portas não utilizadas
Uma técnica simples e muito eficaz para proteger portos francos consiste em criar uma VLAN "sem saída"Ou seja, uma VLAN sem DHCP, sem roteamento e sem serviços, na qual se colocam todas as portas de acesso que não estão sendo usadas.
A ideia é que, mesmo que alguém conecte um dispositivo a uma dessas portas, esse host não receberá um endereço IP, não terá um gateway, não poderá alcançar outros dispositivos e seu tráfego permanecerá completamente isolado. É uma espécie de limbo de rede.
Em muitos ambientes, utiliza-se um ID reconhecível, como por exemplo: VLAN 777, 999 ou 4094Para isso, o switch é configurado para excluir as demais VLANs dessas portas, nenhuma interface de Camada 3 é definida para essa VLAN e ela não é anunciada em nenhum roteador.
Além disso, recomenda-se que o DTP seja desativado nas portas de acesso de todos os switches com switchport não negociávelpara que nunca tentem se tornar linhas tronco automaticamente por meio de negociação com o vizinho.
VLANs para voz, dados e dispositivos especiais
Em redes onde existem Telefonia IP e tráfego de vozA prática padrão é separar o tráfego de voz em uma VLAN específica, distinta da dos PCs. Isso se deve a dois motivos: requisitos de qualidade de serviço e segurança.
O tráfego de voz é extremamente sensível à latência, jitter e perda de pacotes. Se for misturado de forma descontrolada com downloads pesados, streaming de vídeo ou backups, as chamadas se degradam rapidamente. Separar a voz em sua VLAN permite que você faça exatamente isso. priorize-o com QoS. e implementar políticas mais precisas.
Além disso, os telefones IP normalmente possuem seus próprios recursos de marcação VLAN (802.1Q): eles são conectados em cascata com o PC, a porta para a rede atua como um tronco (voz marcada, dados não marcados) e a porta para o PC atua como a porta de acesso. Isso requer configurações de porta ligeiramente mais refinadas para evitar deixar brechas de segurança.
Também é uma boa ideia separar o [incompreensível] em VLANs específicas. Dispositivos IoT, automação residencial, câmeras IP, televisores, tomadas inteligentesetc. Esses são dispositivos que geralmente apresentam um nível de segurança baixo e firmware mal mantido, sendo recomendável que não estejam na mesma rede lógica que PCs de gerenciamento ou servidores críticos.
No mundo do Wi-Fi, a maioria dos pontos de acesso profissionais permite a associação de redes Wi-Fi. um SSID para cada VLANDessa forma, a segmentação da rede cabeada se estende à rede sem fio: VLAN de gerenciamento, VLAN corporativa, VLAN de IoT, VLAN de convidados, cada uma com seu SSID e regras.
Roteamento entre VLANs, ACLs e firewalls
Por definição, as VLANs Eles não se "enxergam" no nível 2.Se você deseja que dispositivos em VLANs diferentes se comuniquem, precisa utilizar a Camada 3: roteamento entre VLANs. Isso geralmente é feito em um roteador, firewall ou switch de Camada 3.
Existem dois padrões principais. O primeiro é usar um Roteador ou firewall com suporte a 802.1Q Conectado a um tronco de switch. O roteador cria subinterfaces (uma por VLAN), atribui-lhes endereços IP e atua como um gateway. firewallAlém disso, aplica regras rigorosas sobre quem pode falar com quem.
O segundo padrão é usar um Switch gerenciável de camada 3 na camada de distribuição ou núcleo. Interfaces VLAN (SVIs) são criadas nele, atuando como gateways para cada sub-rede. O próprio switch lida com o roteamento interno e as ACLs correspondentes, descarregando essa tarefa do roteador de borda.
Em ambos os casos, é fundamental acompanhar esse roteamento com listas de controle de acesso (ACLs) ou regras de firewall Rigoroso. A existência de um caminho IP entre VLANs não significa que todo o tráfego deva ser permitido. O filtro deve ser feito com base na origem, destino, portas, protocolos e direção das conexões.
Um exemplo típico: a VLAN de convidados só pode acessar a Internet, a VLAN de IoT só pode se comunicar com servidores específicos (como NTP, syslog ou um broker MQTT), a VLAN de alunos não pode acessar a VLAN de gerenciamento, a VLAN de backup só inicia conexões com o servidor de backup, etc.
Protocolos de gerenciamento de VLAN: VTP e empresa
Em grandes redes com muitos switches, criar VLANs manualmente em cada dispositivo é impraticável e propenso a erros. É por isso que protocolos como VTP (Protocolo de Tronco VLAN) No mundo Cisco, existem soluções que permitem a distribuição centralizada da lista de VLANs.
O VTP define três modos de operação em um switch: servidor, cliente e transparenteOs servidores podem criar, renomear ou excluir VLANs e enviar essas informações para os clientes dentro do mesmo domínio. Os clientes recebem e aplicam as alterações, mas não as modificam. Os servidores transparentes não processam o banco de dados de VLANs; eles apenas retransmitem as informações.
Esses tipos de protocolos simplificam muito a vida, mas têm suas desvantagens: um erro em um switch de servidor, uma senha VTP mal gerenciada ou um switch antigo reintroduzido na rede com um banco de dados desatualizado podem causar problemas. para destruir completamente a configuração da VLAN em toda a organização.
Portanto, em muitos projetos atuais, o modo VTP é preferido. transparente ou simplesmente não usá-lo, gerenciando VLANs com ferramentas de automação (Ansible, modelos, controladores centralizados, etc.) ou com um design mais estático e controlado.
Segurança avançada: VACL, PVLAN e mitigação de ataques.
À medida que a rede cresce e a criticidade aumenta, as VLANs sozinhas se mostram insuficientes. Para controlar o tráfego de forma mais granular dentro de uma VLAN, outros métodos podem ser utilizados. VACL (ACL de VLAN ou mapeamento de VLANs)que permitem filtrar ou redirecionar o tráfego no nível da VLAN, e não apenas em interfaces específicas.
As VACLs são configuradas definindo mapas de acesso VLAN Eles usam listas de acesso IP ou MAC e especificam o que fazer com o tráfego correspondente: permitir a passagem, bloqueá-lo, enviá-lo para uma porta de monitoramento, redirecioná-lo… Em seguida, são aplicados globalmente a uma ou mais VLANs no switch.
Para casos em que você deseja isolar hosts dentro da mesma sub-rede, existem as VLANs privadas (PVLANs)Começa com uma VLAN primária, que geralmente é onde o gateway está localizado, e cria VLANs secundárias associadas de dois tipos: isoladas e comunitárias.
VLANs secundárias do tipo isolado Eles permitem que cada host veja apenas o gateway, mas não outros hosts, mesmo que estejam na mesma VLAN secundária isolada. Esses são do tipo comunidade Eles permitem que um grupo de hosts veja uns aos outros e o gateway, mas não outros grupos no mesmo servidor primário.
Com relação a ataques específicos, além do que já foi dito sobre a VLAN 1 e o DTP, é fundamental mitigar a Salto de VLAN por meio de marcação duplaPara isso, recomenda-se alterar a VLAN nativa para uma VLAN que não seja usada com hosts, remover essa VLAN nativa dos trunks, se possível, desativar o DTP, definir explicitamente as portas como de acesso ou trunk e usar comandos para que a VLAN nativa sempre trafegue com tags, descartando o tráfego sem tags.
Diagnóstico e manutenção de redes com VLANs
Configurar uma rede com VLANs é apenas metade do trabalho; a outra metade é manter e depurar incidentes Sem se desesperar. Problemas típicos de conectividade VLAN geralmente têm causas bastante comuns. Para guias e procedimentos práticos, consulte recursos sobre diagnóstico de problemas de rede.
Por um lado, existem erros físicos: cabos movidos de uma porta para outra sem atualizar a documentação, portas configuradas como acesso onde deveria haver um trunk, ou vice-versa, links redundantes mal definidos que terminam em loops se o STP não estiver configurado corretamente.
Por outro lado, existem falhas lógicas: VLANs criadas em alguns switches, mas não em outros. listas de VLANs permitidas em troncos mal configuradosIntervalos DHCP que não correspondem às máscaras ou gateways configurados incorretamente nos dispositivos finais.
As principais ferramentas para diagnóstico são os comandos usuais: mostrar vlan, mostrar interfaces trunk, mostrar spanning-tree, mostrar breve descrição da interface ip, ping, tracerouteetc. Combinar essas informações com capturas de tráfego em portas específicas e um bom sistema de monitoramento ajuda bastante.
Também é aconselhável revisar periodicamente o ACLs, regras de firewall, PVLAN, VACLs e configuração de gerenciamento para garantir que nenhuma lacuna tenha sido deixada após alterações, expansões ou migrações do projeto.
Documentação clara (esquemas de VLAN, intervalos de IP, atribuições de portas, descrição das políticas de acesso entre VLANs) e registro rigoroso de alterações são quase tão importantes quanto os próprios comandos de configuração.
Com segmentação bem planejada, VLANs devidamente rotuladas, gerenciamento prudente de VLANs nativas, roteamento entre VLANs protegido por ACLs e práticas de manutenção consistentes, uma rede corporativa pode obter um salto considerável em desempenho. segurança, desempenho e controle sem a necessidade de reconstruir toda a infraestrutura física.
Tabela de conteúdos
- O que exatamente é uma VLAN e por que ela é importante para a segurança?
- Conceitos básicos: portas de acesso, troncos e VLAN nativa
- Arquitetura e projeto de redes com VLANs
- Tipos de VLAN e usos comuns
- VLAN 1, VLAN nativa e por que elas representam um problema de segurança.
- Melhores práticas para projeto e alocação de portos
- VLANs "sem saída" e portas não utilizadas
- VLANs para voz, dados e dispositivos especiais
- Roteamento entre VLANs, ACLs e firewalls
- Protocolos de gerenciamento de VLAN: VTP e empresa
- Segurança avançada: VACL, PVLAN e mitigação de ataques.
- Diagnóstico e manutenção de redes com VLANs