Конфигурација VLAN-а и безбедност мреже: комплетан водич

Информатек Дигитал » Средства » Конфигурација VLAN-а и безбедност мреже: комплетан водич

Ако управљате корпоративном мрежом, знаћете да је њено довођење до Све ради брзо и безбедно Истовремено, то није лак задатак. Како тимови, услуге и апликације расту, емитовања, уска грла и безбедносни проблеми почињу да се појављују свуда.

Једно од најмоћнијих оруђа за увођење реда у тај хаос је... ВЛАН (виртуелни ЛАН)Добро дизајнирани и конфигурисани, они вам омогућавају да сегментирате мрежу, смањите бескорисни саобраћај, изолујете одељења и заштитите критичне сервисе... али лоше испланирани могу постати безбедносно сито или ноћна мора администрације.

Шта је тачно VLAN и зашто је важан за безбедност?

VLAN је, у суштини, независна логичка мрежа који се налазе на истој физичкој инфраструктури: исти прекидачи, исто каблирање, исте Wi-Fi приступне тачке. На логичком нивоу, уређаји у VLAN-у се понашају као да су на посебној LAN мрежи, чак и ако су распоређени по различитим спратовима или зградама.

Ово омогућава групи рачунара, сервера, IP телефона, штампача или IP камера да формирају сопствени домен за емитовањеизоловани од других група. Пакети емитовања и мултикаста остају унутар њихове VLAN мреже уместо да преплављују целу мрежу, побољшавајући перформансе и олакшавајући контролу ко кога може да види.

У пословним окружењима је уобичајено креирати VLAN мреже за одељења (рачуноводство, инжењеринг, маркетинг)да одвоји саобраћај за управљање, глас, госте, IoT или чак наменску резервну VLAN мрежу. Свака са својим правилима рутирања, безбедности и квалитета услуге.

Штавише, VLAN мреже су кључна компонента у стратегијама за Сегментација и нулто поверењеВише се не претпоставља да су мреже „потпуно поуздане“ и дефинишу се површине за напад. Квар или инфекција у једној VLAN мрежи не би требало да изазове колапс целе организације у домино ефекту.

Основни концепти: приступни портови, транк мреже и нативна VLAN мрежа

Да бисте у потпуности разумели конфигурацију и безбедност VLAN-а, постоје три кључне идеје које морају бити кристално јасне: приступни портови, трунк портови и нативна VLAN мрежаАко савладате ова три концепта, све остало ће много боље доћи на своје место.

Un приступни порт То је порт свитча који преноси саобраћај са једне VLAN мреже на крајњи уређај: рачунар, штампач, IP камеру, телефон итд. Саобраћај тече од свитча до тог уређаја. Без ознаке 802.1Q (неозначено). Интерно, свич зна којој VLAN мрежи припада, али опрема не види ознаку.

Un порт за магистралу То је веза између мрежних уређаја (свич-свич, свич-рутер, свич-АП) кроз коју подаци путују више VLAN-ова истовременоУ овом случају, фрејмови носе ознаку 802.1Q која указује којој VLAN мрежи припадају. Ово омогућава проширење VLAN мрежа кроз топологију и усмеравање више логичких мрежа преко исте физичке везе.

La Нативна VLAN мрежа Ово је VLAN мрежа која се користи за неозначени саобраћај на 802.1Q вези. Сваки оквир који улази у магнетну мрежу без ознаке додељује се овој изворној VLAN мрежи. Подразумевано, на многим уређајима то је VLAN 1, и ту почињу безбедносни проблеми ако се ова конфигурација не промени.

Мрежна архитектура и дизајн са VLAN-овима

У средњим и великим мрежама уобичајено је користити трослојна топологијаЈезгро, дистрибутивни и приступни слој. Сваки слој има улогу, а начин на који се комбинују са VLAN мрежама има значајан практични значај.

Приступни слој се састоји од прекидача који Они директно повезују кориснике и крајњи уређаји. Они имају највише приступних портова и ту је дефинисана већина корисничких, гласовних, IoT итд. VLAN мрежа. Овде је потребно највише пажње посветити расподели портова и добрим праксама физичке безбедности (осигуравање да нико не може само да прикључи каблове).

Дистрибутивни слој садржи прекидаче који Они агрегирају саобраћај са више приступних прекидачаОбично је то тачка где се врши рутирање између VLAN мрежа, примењују се финији ACL-ови, прекидају се оптичке везе, додају се везе (EtherChannel) и примењују се напредније политике (QoS, контрола олуја итд.).

Основни слој садржи дистрибутивне везе и капију ка интернету или екстерним мрежама. У веома великим мрежама уобичајено је да Језгро је искључиво одговорно за брзо пребацивањеса врло мало додатних функција, како би се смањила латенција и сложеност.

Приликом пројектовања мреже са VLAN-овима, препоручљиво је прво дефинисати које логичке групе су потребне (по функцији, критичности, нивоу поузданости итд.) а затим га сместити у добро испланирану IP шему (подмреже, маске, VLSM, динамички и статички опсези) и у јасну расподелу портова на сваком прекидачу.

Типови VLAN-ова и уобичајена употреба

Најраспрострањенији стандард за обележавање оквира у магистралним везама је ИЕЕЕ 802.1КДодаје 4 бајта у Ethernet заглавље са VLAN ID-ом и другим пољима, тако да прекидач тачно зна којој VLAN мрежи припада сваки оквир без енкапсулирања целог оквира.

Када су VLAN мреже конфигурисане са 802.1Q на прекидачима, сваки порт може бити означен као означено или неозначено за одређену VLAN мрежу. Порт може бити означен у неколико VLAN мрежа (типично за транк), али неозначен само у једној од њих (оној коју ће крајњи уређај видети ако је у питању приступни порт).

Поред „нормалних“ VLAN мрежа заснованих на 802.1Q, постоје и други модалитети који се широко користе у корпоративним окружењима: VLAN-ови засновани на портовима, VLAN-ови засновани на MAC адресама, VLAN-ови за управљање, VLAN-ови за контролу, прилагођени VLAN-ови, хибридни VLAN-ови или чак VXLAN-ови у центрима података и облачним окружењима где су потребни милиони логичких мрежа. Такође је вредно размотрити технологије као што су 802.1X и динамичке VLAN мреже за алокацију и напредну безбедност.

La Управљачка VLAN Користи се искључиво за административни приступ прекидачима, рутерима, приступним тачкама, заштитним зидовима (фајерволима) и системима за праћење. Обично има сопствену IP подмрежу и строге ACL-ове који контролишу ко може да јој приступи. Управљање уређајима са истих VLAN мрежа као и корисници је веома лоша идеја.

ла лламада контролна VLAN мрежа Намењен је интерном мрежном протоколском саобраћају: STP, протоколима рутирања, CDP, LLDP, VTP, итд. Одвајање овог саобраћаја од саобраћаја података или управљања смањује шум, побољшава стабилност и омогућава примену специфичних безбедносних мера.

VLAN 1, нативна VLAN мрежа и зашто представљају безбедносни проблем

На већини прекидача, VLAN 1 долази унапред конфигурисан као подразумевана и нативна VLAN на свим портовима. То значи да, ако се ништа не промени, сав неозначени саобраћај који улази у транк се смешта у VLAN 1, а сви портови су део ње.

Проблем је што сваки умерено вешт нападач ово зна. VLAN 1 је једна од главних мета напада. Напади преко VLAN-а, лажно представљање прекидача и други изуми који користе подразумеване конфигурације да би се ушуњали у друге VLAN мреже.

На пример, у нападу лажног представљања прекидача, нападач повезује свој уређај са портом где је DTP активан у динамичком режиму и преговарати о магистралној вези са прекидачем, добијајући приступ вишеструким VLAN мрежама које никада не би требало да дођу до хоста.

У нападу двоструког означавања, две 802.1Q ознаке се мешају у истом фрејму, користећи чињеницу да се изворна VLAN мрежа креће неозначена, како би покушале да пређу са једне VLAN мреже на другу кроз лоше обезбеђену магистралу.

Стога су тренутне препоруке за безбедност јасне: Не користите VLAN 1 за корисникеНе остављајте га као нативну VLAN мрежу на магнетним линијама, немојте му давати управљачку IP адресу и, ако је могуће, изолујте га или чак филтрирајте тако да не носи продукцијски саобраћај.

Најбоље праксе за пројектовање и расподелу лука

Једна од кључних одлука приликом конфигурисања VLAN-ова је Како су додељени портови прекидача за сваку VLAN и шта радити са неискоришћеним портовима. Делује тривијално, али и перформансе и безбедност зависе од тога.

Увек је добра идеја оставити приступне портове отворене. једна VLAN мрежа као неозначена (тог корисника или уређаја) и означи остатак као искључен. Ово спречава интерфејс да „види“ VLAN-ове који му не припадају, чак и ако неко случајно промени подешавања.

У магистралним везама, препоручује се експлицитно конфигурисање које су VLAN мреже дозвољене (нпр., магистрала свичпорта је дозвољавала vlan 10, 20, 99) уместо да пропушта све VLAN-ове на мрежи. Свака магистрала треба да носи само VLAN-ове који су јој заправо потребни.

За портове који се не користе, најбезбеднија пракса је да искључите их (искључите их)Доделите их „црној рупи“ VLAN-а без gateway-а или DHCP-а и уверите се да нису означени као trunk или да немају омогућен DTP. Ово спречава да неко повеже уређај и изненада се појави на продукцијској мрежи.

У окружењима где је број портова веома велики, препоручљиво је добро документовати. шта се укључује у сваки интерфејсОзначите каблове и редовно ажурирајте дијаграме. Многи проблеми са повезивањем VLAN-а једноставно настају због тога што се каблови померају без ажуриране документације; водич за ожичење Помаже у избегавању грешака.

„Неизлазне“ VLAN мреже и неискоришћени портови

Једноставна и веома ефикасна техника за заштиту слободних лука састоји се у стварању VLAN „Без излаза“То јест, VLAN без DHCP-а, без рутирања и без сервиса, и у њега ставити све приступне портове који се не користе.

Идеја је да чак и ако неко повеже уређај на један од тих портова, тај хост неће добити IP адресу, неће имати gateway, неће моћи да досегне друге уређаје, а његов саобраћај ће остати потпуно изолован. То је нека врста мрежног лимба.

У многим окружењима се користи препознатљиви идентификатор, као што је VLAN 777, 999 или 4094У ту сврху, свич је конфигурисан да искључи остатак VLAN-ова из тих портова, није дефинисан интерфејс Layer 3 за тај VLAN и он се не оглашава ни на једном рутеру.

Поред тога, препоручује се да се DTP онемогући на приступним портовима свих прекидача са преклопни порт без преговоратако да никада не покушавају аутоматски да постану магистралне линије кроз преговоре са суседом.

VLAN-ови за глас, податке и посебне уређаје

У мрежама где постоје IP телефонија и гласовни саобраћајСтандардна пракса је одвајање гласовног саобраћаја у посебну VLAN мрежу, различиту од оне на рачунарима. То је из два разлога: захтеви за квалитет услуге и безбедност.

Гласовни саобраћај је веома осетљив на латенцију, подрхтавање и губитак пакета. Ако се неконтролисано меша са великим бројем преузимања, стримовањем видеа или резервним копијама, позиви брзо опадају. Одвајање гласа у вашу VLAN мрежу вам омогућава управо то. дајте приоритет помоћу QoS-а и спровести прецизније политике.

Штавише, IP телефони обично имају сопствене могућности означавања VLAN-а (802.1Q): каскадно су повезани са рачунаром, порт ка мрежи делује као магистрала (означени глас, неозначени подаци), а порт ка рачунару делује као приступни порт. Ово захтева мало финије конфигурације портова како би се избегло остављање безбедносних празнина.

Такође је добра идеја раздвојити [нејасно] на одређене VLAN-ове. IoT уређаји, кућна аутоматизација, IP камере, телевизори, паметни утикачиитд. То су уређаји који често имају лош ниво безбедности и лоше одржаван фирмвер, и препоручљиво је да не буду на истој логичкој мрежи као и управљачки рачунари или критични сервери.

У свету WiFi-ја, већина професионалних приступних тачака вам омогућава повезивање један SSID за сваку VLANНа овај начин, сегментација жичане мреже се протеже и на бежичну мрежу: управљачка VLAN, корпоративна VLAN, IoT VLAN, гостујућа VLAN, свака са својим SSID-ом и правилима.

Рутирање између VLAN-ова, ACL-ова и заштитних зидова

По дизајну, VLAN мреже Они се не „виде“ на нивоу 2Ако желите да уређаји на различитим VLAN мрежама комуницирају, потребно је да пређете на 3. слој: рутирање између VLAN мрежа. Ово се обично ради на рутеру, заштитном зиду (фајерволу) или свичу 3. слоја (Layer 3 switch).

Постоје два главна обрасца. Први је коришћење рутер или заштитни зид са подршком за 802.1Q повезан са комутационом магистралом. Рутер креира подинтерфејсе (један по VLAN-у), додељује им IP адресе и делује као гејтвеј. фиреваллШтавише, примењује фина правила о томе ко може са ким да разговара.

Други образац је коришћење Управљани прекидач слоја 3 на дистрибутивном или основном слоју. На њему се креирају VLAN интерфејси (SVI), који делују као gateway-и за сваку подмрежу. Сам комутатор обрађује интерно рутирање и одговарајуће ACL-ове, растерећујући посао са edge рутера.

У оба случаја, неопходно је пратити ово усмеравање са листе контроле приступа (ACL) или правила заштитног зида Строго. Постојање IP путање између VLAN мрежа не значи да сав саобраћај треба да буде дозвољен. Филтрирање мора да се врши на основу извора, одредишта, портова, протокола и смера веза.

Типичан пример: гостујући VLAN може приступити само интернету, IoT VLAN може комуницирати само са одређеним серверима (као што су NTP, syslog или MQTT брокер), студентски VLAN не може приступити управљачком VLAN-у, резервни VLAN само иницира везе са резервним сервером итд.

Протоколи за управљање VLAN-ом: VTP и компанија

У великим мрежама са много прекидача, ручно креирање VLAN-ова на сваком уређају је непрактично и склоно грешкама. Зато протоколи попут VTP (VLAN Trunking Protocol) у Cisco свету, који омогућавају централизовану дистрибуцију VLAN листе.

VTP дефинише три режима рада у прекидачу: сервер, клијент и транспарентноСервери могу да креирају, преименују или бришу VLAN мреже и шаљу те информације клијентима унутар истог домена. Клијенти примају и примењују промене, али их не модификују. Транспарентни сервери не обрађују VLAN базу података; они само преносе информације.

Ове врсте протокола знатно поједностављују живот, али имају своје недостатке: грешка у прекидачу сервера, лоше управљана VTP лозинка или стари прекидач поново уведен у мрежу са застарелом базом података могу изазвати проблеме. да потпуно уништи VLAN конфигурацију у целој организацији.

Стога је у многим тренутним дизајнима пожељнији VTP режим. транспарентан или га једноставно не користити, управљање VLAN-овима помоћу алата аутоматизација (Ansible, шаблони, централизовани контролери итд.) или са статичнијим и контролисанијим дизајном.

Напредна безбедност: VACL, PVLAN и ублажавање напада

Како мрежа расте и критичност се повећава, саме VLAN мреже постају недовољне. За прецизнију контролу саобраћаја унутар VLAN мреже, могу се користити друге методе. VACL (VLAN ACL или VLAN мапе)који омогућавају филтрирање или преусмеравање саобраћаја на нивоу VLAN-а, не само на одређеним интерфејсима.

VACL-ови се конфигуришу дефинисањем Мапе приступа VLAN-у Они користе IP или MAC листе приступа и одређују шта да раде са одговарајућим саобраћајем: да га пропусте, блокирају, пошаљу на порт за праћење, преусмере… Затим се глобално примењују на једну или више VLAN мрежа на свичу.

За случајеве када желите да изолујете хостове унутар исте подмреже, постоје Приватне VLAN мреже (PVLAN)Почиње са примарном VLAN мрежом, која је обично место где се налази gateway, и креира придружене секундарне VLAN мреже два типа: изоловане и заједничке.

Секундарне VLAN мреже типа изолован Они омогућавају сваком хосту да види само гејтвеј, али не и друге хостове, чак и ако су на истој изолованој секундарној VLAN мрежи. То су типа заједница Омогућавају групи хостова да виде једни друге и мрежни пролаз, али не и друге групе на истом примарном хосту.

Што се тиче специфичних напада, поред онога што је већ речено о VLAN 1 и DTP-у, кључно је ублажити Прескакање VLAN-а двоструким означавањемДа бисте то урадили, препоручује се да промените изворни VLAN у VLAN који се не користи са хостовима, уклоните тај изворни VLAN из транк мрежа ако је могуће, онемогућите DTP, експлицитно дефинишете портове као приступне или транк мреже и користите команде тако да изворни VLAN увек путује означен, одбацујући неозначени саобраћај.

Дијагноза и одржавање мрежа са VLAN-овима

Подешавање мреже са VLAN-овима је само пола посла; друга половина је одржавајте га и отклањајте грешке у инцидентима Без претеривања. Типични проблеми са повезивањем на VLAN обично имају прилично уобичајене узроке. За водиче и практичне процедуре, консултујте ресурсе на дијагноза проблема са мрежом.

С једне стране, постоје физичке грешке: каблови премештени са једног порта на други без ажурирања документације, портови конфигурисани као приступни тамо где би требало да буде транк, или обрнуто, лоше дефинисане редундантне везе које се завршавају у петљама ако STP није правилно подешен.

С друге стране, постоје логички кварови: VLAN-ови креирани на неким свитчевима, али не и на другима, дозвољене VLAN листе на погрешно конфигурисаним транковимаDHCP опсези који се не подударају са маскама или неправилно подешеним gateway-има на крајњим уређајима.

Кључни алати за дијагнозу су уобичајене команде: прикажи VLAN, прикажи trunk интерфејса, прикажи spanning-tree, прикажи бриф IP интерфејса, ping, tracerouteитд. Њихово комбиновање са снимањем саобраћаја на одређеним портовима и добрим системом за праћење много помаже.

Такође је препоручљиво периодично прегледати ACL-ови, правила заштитног зида, PVLAN, VACL-ови и конфигурација управљања како би се осигурало да нису остале отворене никакве празнине након измена, проширења или миграција пројекта.

Јасна документација (VLAN шеме, IP опсези, доделе портова, опис политика приступа између VLAN-ова) и ригорозно евидентирање промена су готово једнако важни као и саме команде за конфигурацију.

Са добро осмишљеном сегментацијом, правилно означеним VLAN мрежама, разумним управљањем VLAN мрежама, ACL-заштићеним међу-VLAN рутирањем и доследним праксама одржавања, пословна мрежа може значајно побољшати перформансе. безбедност, перформансе и контрола без потребе за обновом целокупне физичке инфраструктуре.