VLAN'ları, beni VLAN atlaması için riske atmayacak şekilde nasıl ayarlayabilirim?

Üretim ağımızı VLAN'sız yapılandırmadan etiketli VLAN (802.1q) yapılandırmasına taşımayı planlıyoruz. Bu diyagram planlanan yapılandırmayı özetler:

Önemli bir ayrıntı, bu ana makinelerin büyük bir bölümünün aslında tek bir çıplak metal makinede VM'ler olacağıdır. Aslında, tek fiziksel makineler DB01, DB02, güvenlik duvarları ve anahtarlar olacaktır. Diğer tüm makineler tek bir ana bilgisayarda sanallaştırılacaktır.

Bunun bir endişesi, bu yaklaşımın karmaşık olması ( aşırı karmaşık imalar ) ve VLAN'ların yalnızca bir güvenlik yanılsaması sağlamasıdır, çünkü "VLAN atlaması kolaydır".

Sanallaştırma nedeniyle tek bir fiziksel anahtar bağlantı noktası için birden çok VLAN kullanılacağı düşünüldüğünde, bu geçerli bir endişe kaynağı mıdır? Bu riski önlemek için VLAN'larımı nasıl uygun şekilde kurabilirim?

Ayrıca VMWare ESX'in "sanal anahtarlar" adı verilen bir şeyi olduğunu duydum. Bu VMWare hipervizörüne özgü mü? Değilse, KVM (planlanan seçim hipervizörüm) ile kullanılabilir mi? Bu nasıl ortaya çıkıyor?

Hakkındaki bilgilere ek olarak Why güvenliği için VLAN kullanmamayı insanlar bana anlatır? dikkate almanız gereken bazı daha spesifik ve genel bitler:

Güvenlikle
İlgili Genel Düşünceler En güvenli sistem, her alt ağın ana bilgisayarlarının, bağlı aygıtlar tarafından kullanılacak bağlantı noktalarının tam sayısına sahip bir anahtara bağlandığı sistemdir. Böyle bir yapılandırmada, rastgele makineleri güvenli ağlarınıza bağlayamazsınız, çünkü bunu yapmak bir şeyin fişini çekmenizi gerektirir (ve teorik olarak izleme sisteminiz bunu fark eder).

VLAN'lar, güvenlik açısından benzer bir şey verir, anahtarınızı mantıksal olarak birbirinden izole edilmiş daha küçük sanal anahtarlara (sanal LAN'lar: VLAN'lar) ayırır ve uygun yapılandırmayla, fiziksel olarak sanki kendilerine bağlı tüm sistemlere görünebilir yalıtılmış.

Nispeten güvenli VLAN Kurulumları Hakkında Genel Düşünceler
VLAN özellikli anahtarlar için uyguladığım, tüm trafiğin bir VLAN'a atanması ve aşağıdaki temel yapılandırmayla yapılmasıdır:

Kullanılmayan tüm bağlantı noktalarını bir "kullanılmayan" VLAN'a atayın.

Belirli bir bilgisayara bağlanan tüm bağlantı noktaları yerel olarak bilgisayarın içinde olması gereken VLAN'a atanmalıdır. Bu bağlantı noktaları bir ve yalnızca bir VLAN'da olmalıdır (şimdilik göz ardı edeceğimiz belirli istisnaları engeller).
Bu bağlantı noktalarında tüm gelen paketler (anahtara) yerel VLAN ile etiketlenir ve giden paketler (anahtara göre) (a) yalnızca atanan vlandan kaynaklanır ve (b) etiketlenmez ve herhangi bir normal ethernet gibi görünür paket.

"VLAN santralleri" (birden fazla VLAN'daki portlar) olması gereken tek port, bagaj portlarıdır - anahtarlar arasında trafik taşıyan veya VLAN trafiğini kendi başına ayıracak bir güvenlik duvarına bağlanan portlardır.
Gövde bağlantı noktalarında anahtara gelen vlan etiketler uyulacaktır ve vlan etiketleri olacak değil anahtarı bırakarak paketleri şeritli.

Yukarıda açıklanan yapılandırma, "VLAN atlamalı" trafiğini kolayca enjekte edebileceğiniz tek yerin bir bagaj bağlantı noktasında olduğu anlamına gelir (anahtarlarınızın VLAN uygulamasında bir yazılım sorununu engelleme) ve "en güvenli" senaryoda olduğu gibi bu da bir şeyin fişini çekmek anlamına gelir önemli ve bir izleme alarmına neden olur. Benzer şekilde, izleme sisteminizde yaşayan VLAN'a bağlanmak için bir ana bilgisayarı çıkarırsanız, ana bilgisayarın gizemli kayboluşunu fark etmeli ve sizi uyarmalıdır.
Her iki durumda da, sunuculara fiziksel erişimi içeren bir saldırıdan bahsediyoruz - VLAN izolasyonunu kırmak tamamen imkansız olmasa da , yukarıda açıklandığı gibi kurulmuş bir ortamda en azından çok zor.

VMWare ve VLAN Güvenliği Hakkında Özel Düşünceler

VMWare Sanal Anahtarları bir VLAN'a atanabilir - Bu sanal anahtarlar VMWare ana bilgisayarındaki fiziksel bir arabirime bağlandığında, yayılan trafikte uygun VLAN Etiketi bulunur.
VMWare makinenizin fiziksel arabiriminin bir VLAN devre bağlantı noktasına bağlanması gerekir (erişmesi gereken VLAN'ları taşır).

Bu gibi durumlarda, Yönetim NIC'ini Sanal Makine NIC'den ayırmak için VMWare En İyi Uygulamalarına dikkat etmek iki kat önemlidir: Yönetim NIC'iniz uygun bir VLAN'daki yerel bir bağlantı noktasına bağlanmalı ve Sanal Makine NIC'iniz sanal makinelerin ihtiyaç duyduğu VLAN'lara sahip (ideal olarak VMWare Management VLAN'ı taşımamalıdır).

Uygulamada, ayrılmayı zorunlu kılmak, bahsettiğim maddelerle ve başkalarının ortaya çıkacağından emin olduğumla uyumlu olarak, oldukça güvenli bir ortam sağlayacaktır.

VLan atlaması, yalnızca hileli cihazların vlan etiketi olmayan gövdelerde paketleri teslim etmesine izin verilirse kolaydır.

Bu, aşağıdaki durumda en yaygın olanıdır. Sizin 'normal' trafik değil etiketlendi; Eğer bir 'güvenli' vlan var olduğunu etiketledi. 'Normal' ağdaki makineler etiket tarafından denetlenmeyen paketleri iletebildiğinden (en yaygın olarak erişim anahtarları tarafından yapılır) paketin yanlış bir vlan etiketi olabilir ve bu nedenle vlana atlayabilir.

Bunu önlemenin kolay yolu: tüm trafik erişim anahtarlarıyla etiketlenir (ağınızın nasıl yapılandırıldığına bağlı olarak güvenlik duvarları / yönlendiriciler bir istisna olabilir). 'Normal' trafik erişim anahtarı tarafından etiketlenirse, sahte istemcinin taktığı tüm etiketler erişim anahtarı tarafından bırakılır (çünkü bu bağlantı noktasının etikete erişimi olmaz).

Kısacası, vlan etiketleme kullanıyorsanız, güvenli tutmak için her şey gövdede etiketlenmelidir.

Sanal ortamlarda makul miktarda penetrasyon testi yapmaktan, izlemek için şu iki öğeyi eklerdim:

Sanal ortamınızı tam olarak gerçek bir ortam gibi planlayın - gerçek dünyada tanıttığınız yapısal veya mimari güvenlik açıkları sanal dünyaya iyi bir şekilde dönüşeceğinden.

Sanal yapılandırmanızı doğru yapın - VM'lere veya LPAR'lara yönettiğim başarılı penetrasyonların% 99'u kimlik bilgilerinin yanlış yapılandırılması veya yeniden kullanılması olmuştur.

Ve daha az teknik bir kayda göre, görevlerin ayrılmasını da düşünün . Ağ ekipleri, sunucu ekipleri vb. Tarafından ele alınanlar artık tek bir ekip olabilir. Denetçiniz bunu önemli bulabilir!