- VLAN segmentujú fyzickú sieť do izolovaných logických sietí, čím znižujú vysielaciu prevádzku a zlepšujú výkon.
- Správne používanie prístupových portov, kmeňových sietí a natívnych sietí VLAN je kľúčom k prevencii útokov typu VLAN hopping a spoofing.
- Smerovanie medzi sieťami VLAN by malo byť vždy sprevádzané zoznamami ACL alebo firewallmi, ktoré presne kontrolujú, kto môže s kým komunikovať.
- VACL, PVLAN a prísna správa nepoužívaných portov posilňujú bezpečnosť a kontrolu v komplexných podnikových sieťach.

Ak spravujete firemnú sieť, viete, že jej dosiahnutie Všetko funguje rýchlo a bezpečne Zároveň to nie je jednoduchá úloha. S rastom tímov, služieb a aplikácií sa všade začínajú objavovať vysielania, úzke miesta a bezpečnostné problémy.
Jedným z najsilnejších nástrojov na nastolenie poriadku v tomto chaose je... VLAN (virtuálna LAN)Dobre navrhnuté a nakonfigurované vám umožňujú segmentovať sieť, znížiť zbytočnú prevádzku, izolovať oddelenia a chrániť kritické služby... ale zle naplánované sa môžu stať bezpečnostným sitom alebo nočnou morou pre administrátorov.
Čo presne je VLAN a prečo je dôležitá pre bezpečnosť?
VLAN je v podstate nezávislá logická sieť ktoré sa nachádzajú na rovnakej fyzickej infraštruktúre: rovnaké prepínače, rovnaká kabeláž, rovnaké prístupové body Wi-Fi. Na logickej úrovni sa zariadenia vo VLAN správajú, akoby boli na samostatnej LAN, aj keď sú rozmiestnené na rôznych poschodiach alebo v rôznych budovách.
To umožňuje skupine počítačov, serverov, IP telefónov, tlačiarní alebo IP kamier vytvoriť vlastnú vysielaciu doménuizolované od ostatných skupín. Vysielacie a multicastové pakety zostávajú v rámci ich VLAN namiesto zahlcovania celej siete, čím sa zlepšuje výkon a uľahčuje sa kontrola toho, kto koho vidí.
V obchodnom prostredí je bežné vytvárať VLAN pre oddelenia (účtovníctvo, inžinierstvo, marketing)oddeliť prevádzku pre správu, hlas, hostí, IoT alebo dokonca vyhradenú záložnú VLAN. Každá s vlastnými pravidlami smerovania, zabezpečenia a kvality služieb.
Okrem toho sú VLAN kľúčovou súčasťou stratégií pre Segmentácia a nulová dôveraSiete sa už nepovažujú za „úplne spoľahlivé“ a definujú sa oblasti útoku. Porucha alebo infekcia v jednej VLAN by nemala spôsobiť dominový efekt, ktorý by zrútil celú organizáciu.
Základné pojmy: prístupové porty, trunky a natívna VLAN
Pre úplné pochopenie konfigurácie a zabezpečenia VLAN sú potrebné tri kľúčové myšlienky, ktoré musia byť krištáľovo jasné: prístupové porty, trunk porty a natívna VLANAk zvládnete tieto tri koncepty, všetko ostatné vám pôjde oveľa lepšie.
Un prístupový port Je to port prepínača, ktorý prenáša prevádzku z jednej siete VLAN do koncového zariadenia: počítača, tlačiarne, IP kamery, telefónu atď. Prevádzka prúdi zo prepínača do tohto zariadenia. Bez označenia 802.1Q (neoznačené). Prepínač interne vie, do ktorej VLAN patrí, ale zariadenie značku nevidí.
Un kmeňový port Ide o prepojenie medzi sieťovými zariadeniami (switch-switch, switch-router, switch-AP), cez ktoré prechádzajú dáta. viacero VLAN súčasneV tomto prípade rámce nesú značku 802.1Q, ktorá označuje, do ktorej VLAN patria. To umožňuje rozšírenie VLAN v celej topológii a smerovanie viacerých logických sietí cez to isté fyzické prepojenie.
La Natívna VLAN Toto je VLAN používaná pre neoznačenú prevádzku na linke 802.1Q. Každý rámec vstupujúci do kmeňového portu bez značky je priradený k tejto natívnej VLAN. Na mnohých zariadeniach je to štandardne VLAN 1 a tu začínajú problémy s bezpečnosťou, ak sa táto konfigurácia nezmení.
Architektúra a návrh siete s VLAN
V stredných a veľkých sieťach je bežné používať trojvrstvová topológiaJadrová, distribučná a prístupová vrstva. Každá vrstva má svoju úlohu a spôsob, akým sa kombinujú s VLAN, má značný praktický význam.
Prístupová vrstva pozostáva z prepínačov, ktoré Priamo spájajú používateľov a koncové zariadenia. Tieto majú najviac prístupových portov a sú miestom, kde je definovaných najviac používateľských, hlasových, IoT atď. VLAN. Tu si prideľovanie portov a osvedčené postupy fyzického zabezpečenia (zabezpečenie toho, aby nikto nemohol len tak zapojiť káble) vyžadujú najväčšiu pozornosť.
Distribučná vrstva obsahuje prepínače, ktoré Zhromažďujú prevádzku z viacerých prístupových prepínačovZvyčajne je to bod, kde sa vykonáva smerovanie medzi VLAN, aplikujú sa jemnejšie ACL, ukončujú sa optické linky, pridávajú sa linky (EtherChannel) a aplikujú sa pokročilejšie politiky (QoS, kontrola búrok atď.).
Jadrová vrstva obsahuje distribučné prepojenia a bránu do internetu alebo externých sietí. Vo veľmi veľkých sieťach je bežné, že Jadro je výlučne zodpovedné za vysokorýchlostné prepínanies veľmi malým počtom ďalších funkcií, aby sa znížila latencia a zložitosť.
Pri navrhovaní siete s VLAN je vhodné najprv definovať ktoré logické skupiny sú potrebné (podľa funkcie, kritickosti, úrovne dôveryhodnosti atď.) a potom ho umiestniť do dobre naplánovanej IP schémy (podsiete, masky, VLSM, dynamické a statické rozsahy) a do jasnej alokácie portov na každom prepínači.
Typy VLAN a bežné použitie
Najrozšírenejším štandardom pre označovanie rámcov v kmeňových spojoch je IEEE 802.1QPridá 4 bajty do ethernetovej hlavičky s VLAN ID a ďalšími poľami, takže prepínač presne vie, do ktorej VLAN patrí každý rámec, bez toho, aby zapuzdroval celý rámec.
Keď sú siete VLAN nakonfigurované s protokolom 802.1Q na prepínačoch, každý port môže byť označený ako označené alebo neoznačené pre konkrétnu VLAN. Port môže byť označený vo viacerých VLAN (typické pre trunk), ale neoznačený môže byť iba v jednej z nich (tej, ktorú koncové zariadenie uvidí, ak ide o prístupový port).
Okrem „normálnych“ VLAN založených na štandarde 802.1Q existujú aj iné modality, ktoré sa v podnikových prostrediach bežne používajú: VLAN založené na portoch, VLAN založené na MAC adresách, VLAN pre správu, VLAN pre riadenie, vlastné natívne VLAN, hybridné VLAN alebo dokonca VXLAN v dátových centrách a cloudových prostrediach, kde sú potrebné milióny logických sietí. Za zváženie stojí aj technológia ako napríklad 802.1X a dynamické VLAN pre alokáciu a pokročilé zabezpečenie.
La Správa VLAN Používa sa výlučne na administratívny prístup k prepínačom, smerovačom, prístupovým bodom, firewallom a monitorovacím systémom. Zvyčajne má vlastnú IP podsieť a prísne ACL, ktoré kontrolujú, kto k nej má prístup. Spravovať zariadenia z rovnakých VLAN ako používatelia je veľmi zlý nápad.
Hovor riadiaca VLAN Je určený pre prevádzku interných sieťových protokolov: STP, smerovacie protokoly, CDP, LLDP, VTP atď. Oddelenie tejto prevádzky od dátovej alebo riadiacej prevádzky znižuje šum, zlepšuje stabilitu a umožňuje uplatňovanie špecifických bezpečnostných opatrení.
VLAN 1, natívna VLAN a prečo predstavujú bezpečnostný problém
Na väčšine prepínačov je VLAN 1 predkonfigurovaná ako predvolená a natívna VLAN na všetkých portoch. To znamená, že ak sa nič nezmení, všetka neoznačená prevádzka vstupujúca do kmeňa sa umiestni do VLAN 1 a všetky porty sú jej súčasťou.
Problém je, že to vie každý mierne zdatný útočník. VLAN 1 je jedným z hlavných cieľov útoku. Útoky cez VLAN, falšovanie prepínačov a iné vynálezy, ktoré využívajú predvolené konfigurácie na prenikanie do iných VLAN.
Napríklad pri útoku typu spoofing prepínača útočník pripojí svoje zariadenie k portu, kde je DTP aktívny v dynamickom režime a vyjednať kmeňové spojenie s prepínačom získanie prístupu k viacerým VLAN, ktoré by sa nikdy nemali dostať k hostiteľovi.
Pri útoku s dvojitým označovaním sa v tom istom rámci zmiešajú dva tagy 802.1Q, pričom sa využíva skutočnosť, že natívna VLAN sa prenáša bez označenia, a pokúša sa preskočiť z jednej VLAN do druhej cez slabo zabezpečený kmeň.
Preto sú súčasné bezpečnostné odporúčania jasné: Nepoužívajte VLAN 1 pre používateľovNenechávajte ho ako natívnu VLAN na trunkoch, nedávajte mu manažmentovú IP adresu a ak je to možné, izolujte ho alebo ho dokonca filtrujte, aby neprenášal produkčnú prevádzku.
Najlepšie postupy pre návrh a alokáciu prístavov
Jedným z kľúčových rozhodnutí pri konfigurácii VLAN je ako sú priradené porty prepínača pre každú VLAN a čo robiť s nepoužívanými portami. Zdá sa to triviálne, ale závisí od toho výkon aj bezpečnosť.
Vždy je dobrý nápad nechať prístupové porty otvorené. jedna VLAN ako neoznačená (daného používateľa alebo zariadenia) a zvyšok označiť ako vylúčené. Toto zabráni rozhraniu „vidieť“ VLAN, ktoré k nemu nepatria, aj keď niekto omylom zmení nastavenia.
V kmeňových linkách sa odporúča explicitne konfigurovať ktoré VLAN sú povolené (napr. trunk switchportu povoľuje VLAN 10, 20, 99) namiesto prepúšťania všetkých VLAN v sieti. Každý trunk by mal niesť iba tie VLAN, ktoré skutočne potrebuje.
Pre porty, ktoré sa nepoužívajú, je najbezpečnejším postupom vypnúť ich (vypnúť)Priraďte ich k „čiernej diere“ VLAN bez brány alebo DHCP a uistite sa, že nie sú označené ako trunk alebo nemajú povolené DTP. Tým sa zabráni niekomu pripojiť zariadenie a náhle sa objaviť v produkčnej sieti.
V prostrediach s veľmi vysokým počtom portov je vhodné ich dobre zdokumentovať. čo sa pripája do každého rozhraniaOznačte káble a aktualizujte schémy. Mnohé problémy s pripojením k VLAN sú spôsobené jednoducho presunutím káblov bez aktualizovanej dokumentácie; sprievodca zapojením Pomáha to vyhnúť sa chybám.
„Nevýchodové“ VLAN a nepoužívané porty
Jednoduchá a veľmi účinná technika na ochranu voľných prístavov spočíva vo vytvorení VLAN „Bez východu“Teda VLAN bez DHCP, bez smerovania a bez služieb a do nej vložiť všetky nepoužívané prístupové porty.
Myšlienka je taká, že aj keď niekto pripojí zariadenie k jednému z týchto portov, tento hostiteľ nedostane IP adresu, nebude mať bránu, nebude sa môcť spojiť s inými zariadeniami a jeho prevádzka zostane úplne izolovaná. Je to akýsi sieťový limbu.
V mnohých prostrediach sa používa rozpoznateľné ID, ako napríklad VLAN 777, 999 alebo 4094Na tento účel je prepínač nakonfigurovaný tak, aby z týchto portov vylúčil zvyšok sietí VLAN, pre túto sieť VLAN nie je definované žiadne rozhranie vrstvy 3 a nie je inzerovaná na žiadnom smerovači.
Okrem toho sa odporúča vypnúť DTP na prístupových portoch všetkých prepínačov s prepínač bez vyjednávaniaaby sa nikdy nepokúšali automaticky stať hlavnými vedeniami prostredníctvom rokovaní so susedom.
VLAN pre hlas, dáta a špeciálne zariadenia
V sieťach, kde sa nachádzajú IP telefónia a hlasová prevádzkaŠtandardnou praxou je oddelenie hlasovej prevádzky do špecifickej VLAN, odlišnej od VLAN počítačov. Je to z dvoch dôvodov: požiadavky na kvalitu služieb a bezpečnosť.
Hlasová prevádzka je veľmi citlivá na latenciu, jitter a stratu paketov. Ak sa nekontrolovateľne mieša s intenzívnym sťahovaním, streamovaním videa alebo zálohovaním, hovory sa rýchlo zhoršujú. Oddelenie hlasu do vašej VLAN vám to umožňuje. uprednostniť ho pomocou QoS a zavádzať presnejšie politiky.
Okrem toho majú IP telefóny zvyčajne vlastné možnosti označovania VLAN (802.1Q): sú kaskádovo zapojené s počítačom, port do siete funguje ako trunk (označený hlas, neoznačené dáta) a port do počítača funguje ako prístupový port. To si vyžaduje mierne jemnejšie konfigurácie portov aby sa predišlo zanechaniu bezpečnostných medzier.
Je tiež dobrý nápad oddeliť [nejasné] do špecifických VLAN. IoT zariadenia, domáca automatizácia, IP kamery, televízory, inteligentné zásuvkyatď. Ide o zariadenia, ktoré majú často nízku úroveň zabezpečenia a zle udržiavaný firmvér, a preto je vhodné, aby neboli v rovnakej logickej sieti ako riadiace počítače alebo kritické servery.
Vo svete WiFi vám väčšina profesionálnych prístupových bodov umožňuje pripojiť sa jedno SSID pre každú VLANTýmto spôsobom sa segmentácia káblovej siete rozširuje aj na bezdrôtovú sieť: manažmentová VLAN, firemná VLAN, IoT VLAN, hosťovská VLAN, každá s vlastným SSID a pravidlami.
Smerovanie medzi VLAN, ACL a firewallmi
VLAN sú zámerne Na úrovni 2 sa navzájom „nevidia“.Ak chcete, aby zariadenia v rôznych sieťach VLAN komunikovali, musíte prejsť na 3. vrstvu: smerovanie medzi sieťami VLAN. Toto sa zvyčajne vykonáva na smerovači, firewalle alebo prepínači 3. vrstvy.
Existujú dva hlavné vzory. Prvým je použitie router alebo firewall s podporou 802.1Q pripojený k prepínaciemu kmeňu. Router vytvára podrozhrania (jedno na VLAN), priraďuje im IP adresy a funguje ako brána. firewallOkrem toho uplatňuje presné pravidlá o tom, kto môže s kým hovoriť.
Druhým vzorom je použitie Spravovaný prepínač vrstvy 3 na distribučnej alebo jadrovej vrstve. Na nej sa vytvárajú rozhrania VLAN (SVI), ktoré fungujú ako brány pre každú podsieť. Samotný prepínač spracováva interné smerovanie a zodpovedajúce zoznamy ACL, čím odľahčuje prácu z okrajového smerovača.
V oboch prípadoch je nevyhnutné doplniť toto smerovanie o zoznamy riadenia prístupu (ACL) alebo pravidlá brány firewall Prísne. Existencia IP cesty medzi VLAN neznamená, že všetka prevádzka by mala byť povolená. Filtrovanie sa musí vykonávať na základe zdroja, cieľa, portov, protokolov a smeru pripojenia.
Typický príklad: hosťovská VLAN má prístup iba na internet, IoT VLAN môže komunikovať iba s konkrétnymi servermi (ako napríklad NTP, syslog alebo MQTT broker), študentská VLAN nemá prístup k riadiacej VLAN, záložná VLAN iba iniciuje pripojenia k záložnému serveru atď.
Protokoly správy VLAN: VTP a spoločnosť
Vo veľkých sieťach s mnohými prepínačmi je manuálne vytváranie VLAN na každom zariadení nepraktické a náchylné na chyby. Preto protokoly ako VTP (VLAN Trunking Protocol) vo svete Cisco, ktoré umožňujú centralizovanú distribúciu zoznamu VLAN.
VTP definuje tri prevádzkové režimy v prepínači: server, klient a transparentnosťServery môžu vytvárať, premenovávať alebo mazať siete VLAN a odosielať tieto informácie klientom v rámci tej istej domény. Klienti prijímajú a aplikujú zmeny, ale neupravujú ich. Transparentné servery nespracovávajú databázu sietí VLAN; iba prenášajú informácie.
Tieto typy protokolov výrazne zjednodušujú život, ale majú svoje nevýhody: chyba v prepínači servera, zle spravované heslo VTP alebo starý prepínač znovu zavedený do siete so zastaranou databázou môže spôsobiť problémy. úplne zničiť konfiguráciu VLAN v celej organizácii.
Preto sa v mnohých súčasných návrhoch uprednostňuje režim VTP. priehľadný alebo ho jednoducho nepoužívať, spravovať VLAN pomocou nástrojov automatizácia (Ansible, šablóny, centralizované ovládače atď.) alebo so statickejším a kontrolovanejším dizajnom.
Pokročilé zabezpečenie: VACL, PVLAN a zmierňovanie útokov
S rastom siete a zvyšujúcou sa kritickosťou samotné siete VLAN zaostávajú. Na presnejšie riadenie prevádzky v rámci siete VLAN je možné použiť iné metódy. VACL (VLAN ACL alebo mapy VLAN)ktoré umožňujú filtrovanie alebo presmerovanie prevádzky na úrovni VLAN, nielen na konkrétnych rozhraniach.
VACL sa konfigurujú definovaním Mapy prístupu k VLAN Používajú zoznamy prístupových IP alebo MAC adries a určujú, čo robiť so zodpovedajúcou prevádzkou: prepustiť ju, zablokovať, poslať ju na monitorovací port, presmerovať ju… Potom sa globálne aplikujú na jednu alebo viac VLAN na prepínači.
V prípadoch, keď chcete izolovať hostiteľov v rámci tej istej podsiete, existujú Súkromné VLAN (PVLAN)Začína sa primárnou VLAN, ktorá je zvyčajne miestom, kde sa nachádza brána, a vytvárajú sa pridružené sekundárne VLAN dvoch typov: izolované a komunitné.
Sekundárne VLAN typu izolovaný Umožňujú každému hostiteľovi vidieť iba bránu, ale nie ostatné hostiteľské počítače, aj keď sú na rovnakej izolovanej sekundárnej sieti VLAN. Ide o typ obec Umožňujú skupine hostiteľov vidieť sa navzájom a bránu, ale nie iné skupiny na tom istom primárnom serveri.
Pokiaľ ide o konkrétne útoky, okrem toho, čo už bolo povedané o VLAN 1 a DTP, je nevyhnutné zmierniť Preskakovanie VLAN dvojitým označovanímNa tento účel sa odporúča zmeniť natívnu VLAN na VLAN, ktorá sa nepoužíva s hostiteľmi, ak je to možné, odstrániť túto natívnu VLAN z trunkov, vypnúť DTP, explicitne definovať porty ako prístupové alebo trunkové a používať príkazy tak, aby natívna VLAN vždy prenášala označenú prevádzku a neoznačená prevádzka sa zahodila.
Diagnostika a údržba sietí s VLAN
Nastavenie siete s VLAN je len polovica úlohy; druhá polovica je udržiavať ho a ladiť incidenty Bez toho, aby sme sa zbláznili. Typické problémy s pripojením k VLAN majú zvyčajne pomerne bežné príčiny. Sprievodcov a praktické postupy nájdete v zdrojoch na diagnostika problémov so sieťou.
Na jednej strane existujú fyzické chyby: káble presunuté z jedného portu do druhého bez aktualizácie dokumentácie, porty nakonfigurované ako prístupové tam, kde by mal byť trunk, alebo naopak, zle definované redundantné spojenia, ktoré končia v slučkách, ak STP nie je správne naladený.
Na druhej strane existujú logické zlyhania: VLAN vytvorené na niektorých prepínačoch, ale nie na iných, povolené zoznamy VLAN na nesprávne nakonfigurovaných kmeňových linkáchRozsahy DHCP, ktoré nezodpovedajú maskám alebo bránam nesprávne nastaveným na koncových zariadeniach.
Kľúčovými nástrojmi pre diagnostiku sú bežné príkazy: zobraziť VLAN, zobraziť trunk rozhraní, zobraziť spanning-tree, zobraziť stručný prehľad IP rozhraní, ping, tracerouteatď. Ich kombinácia so zachytávaním prevádzky na konkrétnych portoch a dobrým monitorovacím systémom veľmi pomáha.
Taktiež je vhodné pravidelne kontrolovať ACL, pravidlá firewallu, PVLAN, VACL a konfigurácia správy aby sa zabezpečilo, že po zmenách, rozšíreniach alebo migráciách projektu nezostali žiadne otvorené medzery.
Jasná dokumentácia (schémy VLAN, rozsahy IP adries, priradenia portov, popis politík prístupu medzi VLAN) a dôkladné protokolovanie zmien sú takmer rovnako dôležité ako samotné konfiguračné príkazy.
Vďaka premyslenej segmentácii, správne označeným VLAN, rozumnej natívnej správe VLAN, smerovaniu medzi VLAN chránenému ACL a konzistentným postupom údržby môže podniková sieť dosiahnuť značný skok vo výkone. bezpečnosť, výkon a kontrola bez nutnosti prestavby celej fyzickej infraštruktúry.
obsah
- Čo presne je VLAN a prečo je dôležitá pre bezpečnosť?
- Základné pojmy: prístupové porty, trunky a natívna VLAN
- Architektúra a návrh siete s VLAN
- Typy VLAN a bežné použitie
- VLAN 1, natívna VLAN a prečo predstavujú bezpečnostný problém
- Najlepšie postupy pre návrh a alokáciu prístavov
- „Nevýchodové“ VLAN a nepoužívané porty
- VLAN pre hlas, dáta a špeciálne zariadenia
- Smerovanie medzi VLAN, ACL a firewallmi
- Protokoly správy VLAN: VTP a spoločnosť
- Pokročilé zabezpečenie: VACL, PVLAN a zmierňovanie útokov
- Diagnostika a údržba sietí s VLAN
