Настройка VLAN и сетевая безопасность: полное руководство

Информатек Диджитал » Ресурсы » Настройка VLAN и сетевая безопасность: полное руководство

Если вы управляете корпоративной сетью, вы знаете, что её настройка — это непростая задача. Всё работает быстро и безопасно. В то же время, это непростая задача. По мере роста команд, сервисов и приложений повсеместно начинают возникать проблемы с передачей данных, узкие места и проблемы безопасности.

Одним из самых мощных инструментов для наведения порядка в этом хаосе является... VLAN (виртуальная локальная сеть)Хорошо спроектированные и настроенные, они позволяют сегментировать сеть, сокращать бесполезный трафик, изолировать отделы и защищать критически важные службы... но при плохом планировании они могут превратиться в решето безопасности или кошмар для администратора.

Что именно представляет собой VLAN и почему это важно для безопасности?

VLAN — это, по сути, независимая логическая сеть Устройства, находящиеся в одной физической инфраструктуре, используют одну и ту же систему: одни и те же коммутаторы, одну и ту же кабельную сеть, одни и те же точки доступа Wi-Fi. На логическом уровне устройства в одной виртуальной локальной сети ведут себя так, как если бы они находились в отдельной локальной сети, даже если они распределены по разным этажам или зданиям.

Это позволяет группе персональных компьютеров, серверов, IP-телефонов, принтеров или IP-камер сформировать собственный домен вещанияизолированы от других групп. Широковещательные и многоадресные пакеты остаются в пределах своей VLAN, а не распространяются по всей сети, что повышает производительность и упрощает контроль над тем, кто кого видит.

В деловой среде часто создают VLAN для отделы (бухгалтерия, инженерия, маркетинг)для разделения трафика на трафик управления, голосовой связи, гостевых устройств, IoT или даже выделенную резервную VLAN. Каждая со своими правилами маршрутизации, безопасности и качества обслуживания.

Кроме того, VLAN являются ключевым компонентом в стратегиях для Сегментация и концепция нулевого доверияСети больше не считаются «абсолютно надежными», и определяются уязвимости для атак. Сбой или заражение в одной виртуальной локальной сети (VLAN) не должны приводить к краху всей организации по принципу домино.

Основные понятия: порты доступа, транки и собственные VLAN.

Для полного понимания конфигурации и безопасности VLAN необходимо четко понимать три ключевых момента: порты доступа, транковые порты и собственная VLANЕсли вы освоите эти три концепции, всё остальное встанет на свои места гораздо лучше.

Un порт доступа Это порт коммутатора, который передает трафик из одной VLAN к конечному устройству: ПК, принтеру, IP-камере, телефону и т. д. Трафик идет от коммутатора к этому устройству. Без этикетки 802.1Q (без тега). Внутри коммутатор знает, к какой VLAN он принадлежит, но оборудование не видит тег.

Un порт магистрали Это канал связи между сетевыми устройствами (коммутатор-коммутатор, коммутатор-маршрутизатор, коммутатор-точка доступа), по которому передаются данные. несколько VLAN одновременноВ этом случае кадры несут тег 802.1Q, указывающий, к какой VLAN они принадлежат. Это позволяет расширять VLAN по всей топологии и маршрутизировать несколько логических сетей по одному и тому же физическому каналу связи.

La Собственный VLAN Это VLAN, используемый для немаркированного трафика на канале 802.1Q. Каждому кадру, поступающему на транковый порт без метки, назначается этот собственный VLAN. По умолчанию на многих устройствах это VLAN 1, и именно здесь начинаются проблемы безопасности, если эта конфигурация не изменена.

Архитектура и проектирование сети с использованием VLAN.

В средних и крупных сетях обычно используется трехслойная топологияОсновной, распределительный и уровень доступа. Каждый уровень играет свою роль, и то, как они взаимодействуют с VLAN, имеет важное практическое значение.

Уровень доступа состоит из коммутаторов, которые Они обеспечивают прямую связь между пользователями. и конечных устройств. Именно здесь находится наибольшее количество портов доступа, и именно здесь определяется большинство пользовательских, голосовых, IoT и т.д. VLAN. Здесь распределение портов и надлежащие методы физической безопасности (гарантия того, что никто не сможет просто так подключить кабели) требуют наибольшего внимания.

В распределительном слое находятся коммутаторы, которые Они объединяют трафик с нескольких коммутаторов доступа.Обычно именно здесь осуществляется маршрутизация между VLAN, применяются более точные списки контроля доступа (ACL), завершаются оптоволоконные соединения, добавляются каналы связи (EtherChannel) и применяются более сложные политики (QoS, контроль штормов и т. д.).

Основной уровень содержит каналы распределения и шлюз к Интернету или внешним сетям. В очень больших сетях обычно используется следующий подход: Основная часть системы отвечает исключительно за высокоскоростное переключение.с минимальным набором дополнительных функций для уменьшения задержки и сложности.

При проектировании сети с использованием VLAN целесообразно сначала определить какие логические группы необходимы (по функциям, критичности, уровню достоверности и т. д.), а затем внедрить его в хорошо спланированную IP-схему (подсети, маски, VLSM, динамические и статические диапазоны) и в четкое распределение портов на каждом коммутаторе.

Типы VLAN и их распространенное использование

Наиболее распространенным стандартом для маркировки кадров в магистральных каналах связи является IEEE 802.1QЭто добавляет 4 байта к заголовку Ethernet с идентификатором VLAN и другими полями, чтобы коммутатор точно знал, к какому VLAN принадлежит каждый кадр, не инкапсулируя весь кадр целиком.

При настройке VLAN с использованием протокола 802.1Q на коммутаторах каждый порт может быть помечен как помеченные или непомеченные для конкретной VLAN. Порт может быть помечен тегом в нескольких VLAN (что типично для транка), но не помечен тегом только в одной из них (той, которую увидит конечное устройство, если это порт доступа).

Помимо «обычных» VLAN на основе 802.1Q, в корпоративной среде широко используются и другие варианты: VLAN на основе портов, VLAN на основе MAC-адресов, VLAN управления, VLAN контроля, пользовательские собственные VLAN, гибридные VLAN или даже VXLAN. В центрах обработки данных и облачных средах, где требуются миллионы логических сетей, также стоит рассмотреть такие технологии, как... 802.1X и динамические VLAN для распределения ресурсов и повышения уровня безопасности.

La Управляющая VLAN Она используется исключительно для административного доступа к коммутаторам, маршрутизаторам, точкам доступа, межсетевым экранам и системам мониторинга. Обычно она имеет собственную IP-подсеть и строгие списки контроля доступа (ACL), определяющие, кто может получить к ней доступ. Управление устройствами из тех же VLAN, что и пользователи, — очень плохая идея.

Вызов контроль VLAN Он предназначен для трафика внутренних сетевых протоколов: STP, протоколов маршрутизации, CDP, LLDP, VTP и т. д. Отделение этого трафика от трафика данных или управления снижает уровень шума, повышает стабильность и позволяет применять специальные меры безопасности.

VLAN 1, нативный VLAN и почему они представляют собой проблему безопасности.

На большинстве коммутаторов VLAN 1 предварительно настроен. в качестве VLAN по умолчанию и собственной VLAN на всех портах. Это означает, что если ничего не менять, весь немаркированный трафик, поступающий в магистральный канал, помещается в VLAN 1, и все порты становятся его частью.

Проблема в том, что любой мало-мальски опытный злоумышленник это знает. VLAN 1 — одна из главных целей для атаки. Атаки с использованием VLAN-перескоковподмена коммутаторов и другие изобретения, использующие настройки по умолчанию для проникновения в другие VLAN.

Например, при атаке с подменой коммутатора злоумышленник подключает свое устройство к порту, где DTP активен в динамическом режиме, и договориться о создании магистральной линии связи Благодаря коммутатору, обеспечивается доступ к нескольким VLAN, которые никогда не должны достигать хоста.

При атаке с двойной маркировкой в ​​одном кадре смешиваются две маркировки 802.1Q, используя тот факт, что собственный VLAN передается без маркировки, чтобы попытаться перейти из одного VLAN в другой через плохо защищенный канал связи.

Таким образом, действующие рекомендации по безопасности ясны: Не используйте VLAN 1 для пользователей.Не оставляйте его в качестве нативной VLAN на транковых соединениях, не присваивайте ему управляющий IP-адрес и, по возможности, изолируйте или даже отфильтруйте его, чтобы он не использовался для передачи производственного трафика.

Передовые методы проектирования и распределения портовых ресурсов.

Одним из ключевых решений при настройке VLAN является Как назначаются порты коммутатора? Для каждой VLAN и что делать с неиспользуемыми портами. Кажется, это тривиально, но от этого зависят и производительность, и безопасность.

Всегда полезно оставлять порты доступа открытыми. одна VLAN без тегов (для этого пользователя или устройства) и пометить остальные как исключенные. Это предотвратит «видение» интерфейсом VLAN, которые ему не принадлежат, даже если кто-то случайно изменит настройки.

В магистральных каналах связи рекомендуется явная настройка. Какие VLAN разрешены? (например, switchport trunk allowed vlan 10, 20, 99) вместо передачи всех VLAN в сети. Каждый транк должен передавать только те VLAN, которые ему действительно необходимы.

Для неиспользуемых портов наиболее безопасной практикой является следующее: выключить их (отключить)Назначьте их в VLAN типа «черная дыра» без шлюза или DHCP и убедитесь, что они не помечены как транковые или не имеют включенного DTP. Это предотвратит внезапное появление подключенного устройства в рабочей сети.

В средах с очень большим количеством портов целесообразно вести тщательную документацию. что подключается к каждому интерфейсуПромаркируйте кабели и поддерживайте актуальность схем. Многие проблемы с подключением VLAN возникают просто из-за перемещения кабелей без обновления документации; схема подключения Это помогает избежать ошибок.

VLAN-сети, не предназначенные для выхода, и неиспользуемые порты

Простой и очень эффективный метод защиты свободных портов заключается в создании VLAN «Выхода нет»То есть, VLAN без DHCP, без маршрутизации и без служб, и все неиспользуемые порты доступа следует поместить в него.

Идея заключается в том, что даже если кто-то подключит устройство к одному из этих портов, этот хост не получит IP-адрес, не будет иметь шлюза, не сможет связаться с другими устройствами, и его трафик останется полностью изолированным. Это своего рода сетевое небытие.

Во многих средах используется узнаваемый идентификатор, например: VLAN 777, 999 или 4094С этой целью коммутатор настроен таким образом, чтобы исключить остальные VLAN из доступа к этим портам, для данного VLAN не определен интерфейс уровня 3, и он не анонсируется ни на одном маршрутизаторе.

Кроме того, рекомендуется отключить DTP на портах доступа всех коммутаторов. switchport nonegotiateчтобы они никогда не пытались автоматически стать магистральными линиями путем переговоров с соседом.

Виртуальные локальные сети (VLAN) для голосовой связи, передачи данных и специальных устройств.

В сетях, где существуют IP-телефония и голосовой трафикСтандартная практика заключается в выделении голосового трафика в отдельную виртуальную локальную сеть (VLAN), отличную от сети персональных компьютеров. Это делается по двум причинам: требования к качеству обслуживания и безопасность.

Голосовой трафик крайне чувствителен к задержкам, дрожанию и потере пакетов. Если он бесконтрольно смешивается с большими объемами загрузки, потоковым видео или резервным копированием, качество связи быстро ухудшается. Разделение голосового трафика на отдельные VLAN позволяет решить именно эту проблему. расставьте приоритеты с помощью QoS. и внедрить более точные стратегии.

Кроме того, IP-телефоны обычно имеют собственные возможности маркировки VLAN (802.1Q): они соединены каскадно с ПК, порт, ведущий в сеть, действует как магистральный канал (сигнал с метками, данные без меток), а порт, ведущий в ПК, действует как порт доступа. Это требует немного более тонкие настройки портов чтобы избежать появления пробелов в безопасности.

Также неплохо было бы разделить [неясно] на отдельные VLAN. Устройства Интернета вещей, домашняя автоматизация, IP-камеры, телевизоры, умные розетки.и т. д. Эти устройства часто имеют низкий уровень безопасности и плохо поддерживаемое программное обеспечение, поэтому желательно не размещать их в одной логической сети с управляющими ПК или критически важными серверами.

В мире Wi-Fi большинство профессиональных точек доступа позволяют подключаться к сети. один SSID для каждой VLANТаким образом, сегментация проводной сети распространяется и на беспроводную сеть: VLAN управления, VLAN корпорации, VLAN для IoT, VLAN гостей, каждая со своим SSID и правилами.

Маршрутизация между VLAN, списки контроля доступа (ACL) и межсетевые экраны.

По своей природе VLANы На втором уровне они не "видят" друг друга.Если вам необходимо обеспечить взаимодействие устройств в разных VLAN, вам потребуется перейти на третий уровень: маршрутизацию между VLAN. Обычно это делается на маршрутизаторе, межсетевом экране или коммутаторе третьего уровня.

Существует два основных подхода. Первый заключается в использовании маршрутизатор или межсетевой экран с поддержкой 802.1Q Подключен к магистральному коммутатору. Маршрутизатор создает субинтерфейсы (по одному на каждую VLAN), назначает им IP-адреса и выступает в качестве шлюза. брандмауэрКроме того, в нем применяются тонкие правила относительно того, кто с кем может разговаривать.

Второй вариант — использовать Управляемый коммутатор уровня 3 на уровне распределения или ядра сети. На нем создаются интерфейсы VLAN (SVI), выступающие в качестве шлюзов для каждой подсети. Сам коммутатор обрабатывает внутреннюю маршрутизацию и соответствующие списки контроля доступа (ACL), разгружая от этого граничный маршрутизатор.

В обоих случаях крайне важно дополнить эту маршрутизацию следующими данными: списки контроля доступа (ACL) или правила брандмауэра Строго. Наличие IP-пути между VLAN не означает, что весь трафик должен быть разрешен. Фильтрация должна осуществляться на основе источника, назначения, портов, протоколов и направления соединений.

Типичный пример: гостевая VLAN может получить доступ только к Интернету, IoT VLAN может взаимодействовать только с определенными серверами (такими как NTP, syslog или брокер MQTT), студенческая VLAN не может получить доступ к управляющей VLAN, резервная VLAN инициирует соединения только с резервным сервером и т. д.

Протоколы управления VLAN: VTP и корпоративный.

В больших сетях с множеством коммутаторов ручное создание VLAN на каждом устройстве нецелесообразно и чревато ошибками. Именно поэтому используются такие протоколы, как... VTP (протокол транкинга VLAN) В мире Cisco это позволяет централизованно распространять списки VLAN.

Технология VTP определяет три режима работы коммутатора: сервер, клиент и прозрачныйСерверы могут создавать, переименовывать или удалять VLAN и отправлять эту информацию клиентам в том же домене. Клиенты получают и применяют изменения, но не модифицируют их. Прозрачные серверы не обрабатывают базу данных VLAN; они только передают информацию.

Протоколы такого типа значительно упрощают жизнь, но у них есть и недостатки: ошибка в коммутаторе сервера, плохо управляемый пароль VTP или повторное подключение к сети старого коммутатора с устаревшей базой данных могут вызвать проблемы. полностью уничтожить конфигурацию VLAN во всей организации.

Поэтому во многих современных конструкциях предпочтительнее использовать режим VTP. прозрачный или просто не использовать его, управляя VLAN с помощью инструментов. автоматизация (Ansible, шаблоны, централизованные контроллеры и т. д.) или с более статичной и контролируемой архитектурой.

Расширенные возможности безопасности: VACL, PVLAN и защита от атак.

По мере роста сети и повышения ее критичности одних только VLAN недостаточно. Для более детального управления трафиком внутри VLAN можно использовать другие методы. VACL (VLAN ACL или карты VLAN)которые позволяют фильтровать или перенаправлять трафик на уровне VLAN, а не только на отдельных интерфейсах.

Списки контроля доступа (VACL) настраиваются путем определения Карты доступа VLAN Они используют списки доступа по IP или MAC-адресам и определяют, что делать с соответствующим трафиком: пропускать, блокировать, направлять на порт мониторинга, перенаправлять… Затем они применяются глобально к одной или нескольким VLAN на коммутаторе.

В случаях, когда необходимо изолировать хосты в пределах одной подсети, существуют следующие решения: Частные виртуальные локальные сети (PVLAN)Процесс начинается с основной VLAN, которая обычно находится там, где расположен шлюз, и затем создаются связанные с ней вторичные VLAN двух типов: изолированные и общие.

Вторичные VLAN типа изолированный Они позволяют каждому хосту видеть только шлюз, но не другие хосты, даже если они находятся в одной изолированной вторичной VLAN. Это устройства следующего типа: сообщество Они позволяют группе хостов видеть друг друга и шлюз, но не другие группы на том же основном сервере.

Что касается конкретных атак, помимо уже сказанного о VLAN 1 и DTP, крайне важно смягчить последствия Переключение между VLAN с помощью двойной маркировкиДля этого рекомендуется изменить собственный VLAN на VLAN, который не используется с хостами, по возможности удалить этот собственный VLAN из транковых соединений, отключить DTP, явно определить порты как доступ или транк, а также использовать команды, чтобы собственный VLAN всегда передавался с тегами, отбрасывая нетегированный трафик.

Диагностика и техническое обслуживание сетей с VLAN.

Настройка сети с использованием VLAN — это только половина дела; вторая половина — это... поддерживайте его в рабочем состоянии и устраняйте неполадки. Не стоит сходить с ума. Типичные проблемы с подключением к VLAN обычно имеют довольно распространенные причины. Для получения руководств и практических инструкций обратитесь к ресурсам на [ссылка на ресурсы]. диагностика проблем в сети.

С одной стороны, существуют физические ошибки: кабели, переставленные с одного порта на другой без обновления документации, порты, настроенные как порты доступа там, где должен быть магистральный порт, или наоборот, плохо определенные резервные каналы связи, которые приводят к образованию петель, если протокол STP настроен неправильно.

С другой стороны, встречаются логические сбои: VLAN создаются на одних коммутаторах, но не на других. Разрешенные списки VLAN на неправильно настроенных транкахДиапазоны DHCP, не соответствующие маскам или шлюзам, неправильно установленным на конечных устройствах.

Ключевыми инструментами для диагностики являются обычные команды: show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, tracerouteи т. д. Сочетание их с перехватом трафика на конкретных портах и ​​хорошей системой мониторинга очень помогает.

Также целесообразно периодически пересматривать Списки контроля доступа (ACL), правила брандмауэра, PVLAN, списки контроля доступа к виртуальным средам (VACL) и конфигурация управления. чтобы гарантировать отсутствие пробелов после изменений, расширения или миграции проекта.

Четкая документация (схемы VLAN, диапазоны IP-адресов, назначение портов, описание политик доступа между VLAN) и тщательное ведение журнала изменений почти так же важны, как и сами команды конфигурации.

Благодаря продуманной сегментации, правильно обозначенным VLAN, грамотному управлению собственными VLAN, маршрутизации между VLAN с защитой ACL и последовательным методам обслуживания, корпоративная сеть может значительно повысить свою производительность. безопасность, производительность и управление без необходимости перестраивать всю физическую инфраструктуру.

Связанная статья:

Расширенные возможности настройки и обеспечения безопасности VLAN в корпоративных сетях.