ฉันจะตั้งค่า VLAN ในวิธีที่จะไม่ทำให้ฉันเสี่ยงต่อการกระโดดของ VLAN ได้อย่างไร

เราวางแผนที่จะโยกย้ายเครือข่ายการผลิตของเราจากการกำหนดค่าแบบ VLAN แบบไม่ต้องไร้สายไปเป็นการกำหนดค่าแบบ VLAN ที่ติดแท็ก (802.1q) แผนภาพนี้สรุปการกำหนดค่าที่วางแผนไว้:

รายละเอียดที่สำคัญอย่างหนึ่งคือส่วนใหญ่ของโฮสต์เหล่านี้จะเป็น VMs บนเครื่องโลหะเปลือยเพียงเครื่องเดียว ในความเป็นจริงเครื่องทางกายภาพเท่านั้นจะเป็น DB01, DB02, ไฟร์วอลล์และสวิตช์ เครื่องอื่น ๆ ทั้งหมดจะถูกจำลองเสมือนบนโฮสต์เดียว

สิ่งที่น่ากังวลอย่างหนึ่งคือวิธีนี้มีความซับซ้อน ( โดยนัยที่ซับซ้อน ) และ VLANs นั้นเป็นเพียงการให้ภาพลวงตาด้านความปลอดภัยเท่านั้นเพราะ "การกระโดดของ VLAN นั้นง่าย"

นี่เป็นข้อกังวลที่ถูกต้องหรือไม่เนื่องจาก VLAN หลายตัวจะถูกใช้สำหรับพอร์ตสวิตช์เดียวเนื่องจากการจำลองเสมือน ฉันจะตั้งค่า VLAN ของฉันอย่างเหมาะสมเพื่อป้องกันความเสี่ยงนี้ได้อย่างไร

นอกจากนี้ฉันเคยได้ยินว่า VMWare ESX มีสิ่งที่เรียกว่า "สวิตช์เสมือน" นี่เป็นเอกลักษณ์ของ VMWare hypervisor หรือไม่? หากไม่สามารถใช้งานได้กับ KVM (ตัวเลือกไฮเปอร์ไวเซอร์ที่ฉันวางแผนไว้) หรือไม่? สิ่งนั้นเกิดขึ้นได้อย่างไร?

นอกเหนือจากข้อมูลเกี่ยวกับเหตุใดผู้คนจึงบอกฉันว่าอย่าใช้ VLAN เพื่อความปลอดภัย นี่คือบิตที่เฉพาะเจาะจงและทั่วไปที่ควรพิจารณา:

ความคิดทั่วไปเกี่ยวกับความ
ปลอดภัยระบบที่ปลอดภัยที่สุดคือระบบที่โฮสต์ของแต่ละซับเน็ตเชื่อมต่อกับสวิตช์ที่มีจำนวนพอร์ตที่จะใช้โดยอุปกรณ์ที่เชื่อมต่อ ในการกำหนดค่าดังกล่าวคุณไม่สามารถเสียบเครื่องสุ่มเข้ากับเครือข่ายที่ปลอดภัยของคุณได้เนื่องจากการทำเช่นนั้นจะต้องถอดปลั๊กบางสิ่ง (และในทางทฤษฎีระบบการตรวจสอบของคุณจะสังเกตเห็นว่า)

VLAN ให้สิ่งที่คล้ายกันในแง่ของการรักษาความปลอดภัยแบ่งสวิตช์ของคุณเป็นสวิตช์เสมือนขนาดเล็ก (LAN เสมือน: VLANs) ที่แยกจากกันอย่างมีเหตุผลและมีการกำหนดค่าที่เหมาะสมสามารถปรากฏกับทุกระบบที่เชื่อมต่อกับพวกเขาราวกับว่าพวกเขา แยก

ความคิดทั่วไปเกี่ยวกับการติดตั้ง VLAN ที่ค่อนข้างปลอดภัย
การฝึกฝนของฉันสำหรับสวิตช์ที่รองรับ VLAN คือการรับส่งข้อมูลทั้งหมดจะต้องกำหนดให้กับ VLAN ด้วยการกำหนดค่าพื้นฐานต่อไปนี้:

กำหนดพอร์ตที่ไม่ได้ใช้ทั้งหมดให้เป็น "ไม่ได้ใช้" VLAN

พอร์ตทั้งหมดที่เชื่อมต่อกับคอมพิวเตอร์เฉพาะควรได้รับการกำหนดให้กับ VLAN ที่คอมพิวเตอร์ควรมีพอร์ตเหล่านี้ควรอยู่ในVLAN หนึ่งพอร์ตและพอร์ตเดียวเท่านั้น (ยกเว้นข้อยกเว้นบางอย่างที่เราจะไม่สนใจในตอนนี้)
บนพอร์ตเหล่านี้แพ็คเก็ตที่เข้ามาทั้งหมด(ไปที่สวิทช์) จะถูกแท็กด้วย native VLAN และแพ็กเก็ตขาออก (จากสวิทช์) จะ (a) มาจาก vlan ที่กำหนดเท่านั้นและ (b) ไม่ได้ติดแท็ก ห่อ

พอร์ตเดียวที่ควรจะเป็น "VLAN trunks" (พอร์ตที่มากกว่าหนึ่ง VLAN) คือพอร์ตพอร์ต - การรับส่งข้อมูลระหว่างสวิตช์หรือการเชื่อมต่อกับไฟร์วอลล์ที่จะแยกการรับส่งข้อมูล VLAN ด้วยตัวเอง
ที่พอร์ต trunk แท็ก vlan ที่เข้ามาในสวิตช์จะได้รับการเคารพและแท็ก vlan จะไม่ถูกถอดออกจากแพ็กเก็ตที่ออกจากสวิตช์

การกำหนดค่าที่อธิบายไว้ข้างต้นหมายความว่าที่เดียวที่คุณสามารถฉีดทราฟฟิก "VLAN hopping" ได้อย่างง่ายดายนั้นอยู่ที่ trunk port (ยกเว้นปัญหาซอฟต์แวร์ในการใช้งาน VLAN ของสวิทช์ของคุณ) และเหมือนในสถานการณ์ "ปลอดภัยที่สุด" สำคัญและก่อให้เกิดสัญญาณเตือนการตรวจสอบ ในทำนองเดียวกันถ้าคุณถอดปลั๊กโฮสต์เพื่อเชื่อมต่อกับ VLAN มันอาศัยอยู่ในระบบการตรวจสอบของคุณควรสังเกตว่าโฮสต์นั้นหายตัวไปอย่างลึกลับและแจ้งเตือนคุณ
ในทั้งสองกรณีนี้เรากำลังพูดถึงการโจมตีที่เกี่ยวข้องกับการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์ - ในขณะที่มันอาจเป็นไปไม่ได้เลยที่จะแยกการแยก VLAN อย่างน้อยก็ยากมากในสภาพแวดล้อมที่ตั้งค่าตามที่อธิบายไว้ข้างต้น

ความคิดเฉพาะเกี่ยวกับ VMWare และ VLAN Security

VMWare Virtual Switches สามารถกำหนดให้กับ VLAN - เมื่อสวิตช์เสมือนเหล่านี้เชื่อมต่อกับส่วนต่อประสานทางกายภาพบนโฮสต์ VMWare ทราฟฟิกใด ๆ ที่ปล่อยออกมาจะมีแท็ก VLAN ที่เหมาะสม
อินเทอร์เฟซทางกายภาพของเครื่อง VMWare ของคุณจะต้องเชื่อมต่อกับพอร์ต trunk VLAN (แบก VLANs ที่จะต้องเข้าถึง)

ในกรณีเช่นนี้สิ่งสำคัญคือต้องใส่ใจกับแนวทางปฏิบัติที่ดีที่สุดของ VMWare สำหรับการแยกการจัดการ NIC จากเครื่องเสมือน NIC: การจัดการของคุณควรเชื่อมต่อกับพอร์ตเนทีฟใน VLAN ที่เหมาะสมและเครื่องเสมือนของคุณควรเชื่อมต่อกับ ลำตัวที่มี VLANs ที่เครื่องเสมือนต้องการ (ซึ่งในอุดมคติไม่ควรพก VMWare Management VLAN)

ในทางปฏิบัติบังคับให้มีการแยกทางนั้นพร้อมกับสิ่งที่ฉันพูดถึงและสิ่งที่ฉันแน่ใจว่าคนอื่นจะเกิดขึ้นจะให้สภาพแวดล้อมที่ปลอดภัยพอสมควร

การกระโดด VLan เป็นเรื่องง่ายถ้าหากอุปกรณ์อันธพาลได้รับอนุญาตให้ส่งแพ็กเก็ตบน trunks โดยไม่มีแท็ก vlan

นี่เป็นเรื่องธรรมดาที่สุดในสถานการณ์ต่อไปนี้ การเข้าชม 'ปกติ' ของคุณไม่ได้ติดแท็ก คุณมี vlan ที่ 'ปลอดภัย' ที่ถูกแท็ก เนื่องจากเครื่องในเครือข่าย 'ปกติ' สามารถส่งแพ็กเก็ตที่ไม่ได้ตรวจสอบแท็ก (โดยทั่วไปแล้วพวกเขาจะใช้สวิตช์การเข้าถึง) แพ็กเก็ตอาจมีแท็ก vlan ที่เป็นเท็จและกระโดดไปบน vlan

วิธีง่าย ๆ ในการป้องกันสิ่งนี้: ทราฟฟิกทั้งหมดจะถูกแท็กโดยสวิตช์การเข้าถึง (ไฟร์วอลล์ / เราเตอร์อาจมีข้อยกเว้นขึ้นอยู่กับการกำหนดค่าเครือข่ายของคุณ) หากทราฟฟิก 'ปกติ' ถูกแท็กโดยสวิตช์การเข้าถึงดังนั้นแท็กใด ๆ ที่ลูกค้าปลอมแปลงจะถูกทิ้งโดยสวิตช์การเข้าถึง (เนื่องจากพอร์ตนั้นจะไม่มีสิทธิ์เข้าถึงแท็ก)

ในระยะสั้นหากคุณใช้การติดแท็ก vlan ทุกอย่างจะต้องติดแท็กในลำต้นเพื่อให้มันปลอดภัย

จากการทดสอบการเจาะระบบในสภาพแวดล้อมเสมือนจริงฉันจะเพิ่มสองรายการนี้เพื่อดู:

วางแผนสภาพแวดล้อมเสมือนจริงของคุณตามสภาพแวดล้อมจริงเช่นเดียวกับช่องโหว่เชิงโครงสร้างหรือสถาปัตยกรรมที่คุณนำเสนอในโลกแห่งความเป็นจริงจะแปลผลดีสู่โลกเสมือนจริง

รับการกำหนดค่าเสมือนของคุณถูกต้อง - 99% ของการรุกที่ประสบความสำเร็จทั้งหมดที่ฉันจัดการลงใน VM หรือ LPAR นั้นได้ผ่านการกำหนดค่าผิดพลาดหรือการใช้ข้อมูลประจำตัวซ้ำ

และเมื่อทราบเทคนิคน้อยยังคิดเกี่ยวกับการแบ่งแยกหน้าที่ สิ่งที่อาจได้รับการจัดการโดยทีมเครือข่ายทีมเซิร์ฟเวอร์ ฯลฯ อาจเป็นทีมเดียว ผู้ตรวจสอบของคุณอาจพบว่าสิ่งนี้สำคัญ!