Làm cách nào tôi có thể thiết lập Vlan theo cách không khiến tôi gặp rủi ro khi nhảy Vlan?

14

Chúng tôi đang lên kế hoạch chuyển mạng sản xuất của chúng tôi từ cấu hình không có Vlan sang cấu hình Vlan được gắn thẻ (802.1q). Sơ đồ này tóm tắt cấu hình theo kế hoạch:

Cấu hình Vlan

Một chi tiết quan trọng là một phần lớn các máy chủ này sẽ thực sự là máy ảo trên một máy kim loại đơn. Trên thực tế, các máy vật lý duy nhất sẽ là DB01, DB02, tường lửa và công tắc. Tất cả các máy khác sẽ được ảo hóa trên một máy chủ duy nhất.

Một vấn đề đáng lo ngại là cách tiếp cận này rất phức tạp ( ngụ ý quá phức tạp ) và Vlan chỉ cung cấp một ảo ảnh về bảo mật, bởi vì "nhảy Vlan rất dễ dàng".

Đây có phải là một mối quan tâm hợp lệ, cho rằng nhiều Vlan sẽ được sử dụng cho một cổng chuyển đổi vật lý duy nhất do ảo hóa? Làm cách nào để thiết lập Vlan phù hợp để ngăn ngừa rủi ro này?

Ngoài ra, tôi đã nghe nói rằng VMWare ESX có một thứ gọi là "công tắc ảo". Đây có phải là duy nhất cho trình ảo hóa VMWare? Nếu không, nó có sẵn với KVM (nhà cung cấp dịch vụ lựa chọn theo kế hoạch của tôi) không? Làm thế nào mà đi vào chơi?

security  virtualization  vlan 
hobodave
nguồn
2
Trước khi bạn hỏi .. Omnigraffle.
hobodave
1
Không phải là một bản sao, nhưng serverfault.com/questions/220442 có liên quan
voretaq7
7
Đừng hiểu sai cách này: Hiện tại bạn không có bảo mật lớp 2 nhưng bạn lo lắng về việc giới thiệu một lỗ hổng bảo mật có thể, nhưng không thể thực hiện được bằng cách triển khai bảo mật lớp 2 dưới dạng Vlan?
joeqwerty
@joeqwerty: Không có hành vi phạm tội. Mối quan tâm không phải là của riêng tôi.
hobodave

Câu trả lời:

16

Ngoài thông tin về Tại sao mọi người bảo tôi không sử dụng Vlan để bảo mật? Dưới đây là một số bit cụ thể và chung hơn để xem xét:

Những suy nghĩ chung về bảo
mật Hệ thống an toàn nhất là một trong đó mỗi máy chủ của mạng con được kết nối với một bộ chuyển mạch có chính xác số lượng cổng sẽ được sử dụng bởi các thiết bị được kết nối. Trong cấu hình như vậy, bạn không thể cắm các máy ngẫu nhiên vào các mạng an toàn của mình, vì làm như vậy sẽ yêu cầu rút phích cắm một cái gì đó (và về mặt lý thuyết, hệ thống giám sát của bạn sẽ nhận thấy điều đó).

Các Vlan cung cấp cho bạn một cái gì đó tương tự về bảo mật, phá vỡ chuyển đổi của bạn thành các công tắc ảo nhỏ hơn (LAN ảo: Vlan) được cách ly với nhau một cách hợp lý và với cấu hình phù hợp có thể xuất hiện cho tất cả các hệ thống được kết nối với chúng như thể chúng là vật lý bị cô lập.

Những suy nghĩ chung về thiết lập Vlan tương đối an toàn
Thực tiễn của tôi đối với các thiết bị chuyển mạch có khả năng Vlan là tất cả lưu lượng phải được gán cho Vlan, với cấu hình cơ bản sau:

Chỉ định tất cả các cổng không sử dụng cho Vlan "không sử dụng".

Tất cả các cổng kết nối với một máy tính cụ thể phải được gán nguyên bản cho Vlan mà máy tính đó nên có. Các cổng này phải ở một và chỉ một Vlan (loại bỏ một số ngoại lệ nhất định mà chúng tôi sẽ bỏ qua ngay bây giờ).
Trên các cổng này, tất cả các gói đến (với bộ chuyển mạch) được gắn thẻ Vlan gốc và các gói đi (từ bộ chuyển mạch) sẽ (a) chỉ bắt nguồn từ vlan được gán và (b) không được gắn thẻ và xuất hiện giống như bất kỳ ethernet thông thường nào gói.

Các cổng duy nhất phải là "trung kế Vlan" (các cổng trong nhiều Vlan) là các cổng trung kế - những cổng mang lưu lượng giữa các thiết bị chuyển mạch hoặc kết nối với tường lửa sẽ tự phân chia lưu lượng Vlan.
Trên các cổng trung kế, các thẻ vlan đi vào công tắc sẽ được tuân thủ và các thẻ vlan sẽ không bị tước khỏi các gói rời khỏi công tắc.

Cấu hình được mô tả ở trên có nghĩa là nơi duy nhất bạn có thể dễ dàng lưu lượng truy cập "nhảy Vlan" là trên một cổng trung kế (chặn sự cố phần mềm trong quá trình triển khai Vlan của thiết bị chuyển mạch của bạn), và giống như trong kịch bản "an toàn nhất", điều này có nghĩa là rút phích cắm thứ gì đó quan trọng và gây ra một báo động giám sát. Tương tự như vậy nếu bạn rút phích cắm máy chủ để kết nối với Vlan, nó sống trong hệ thống giám sát của bạn sẽ nhận thấy sự biến mất bí ẩn của máy chủ đó và cảnh báo bạn.
Trong cả hai trường hợp này, chúng tôi đều nói về một cuộc tấn công liên quan đến quyền truy cập vật lý vào máy chủ - Mặc dù có thể không hoàn toàn không thể phá vỡ sự cô lập Vlan, nhưng ở mức tối thiểu rất khó khăn trong một môi trường được thiết lập như mô tả ở trên.

Những suy nghĩ cụ thể về VMWare và Vlan Security

Công tắc ảo VMWare có thể được gán cho Vlan - Khi các công tắc ảo này được kết nối với giao diện vật lý trên máy chủ VMWare, bất kỳ lưu lượng truy cập nào được phát ra sẽ có Thẻ Vlan phù hợp.
Giao diện vật lý của máy VMWare của bạn sẽ cần phải được kết nối với cổng trung kế Vlan (mang Vlan mà nó sẽ cần truy cập).

Trong những trường hợp như thế này, điều quan trọng gấp đôi là phải chú ý đến Thực tiễn tốt nhất của VMWare để tách NIC Quản lý khỏi NIC Máy ảo: NIC quản lý của bạn phải được kết nối với một cổng gốc trong Vlan thích hợp và NIC Máy ảo của bạn sẽ kết nối với một trung kế có Vlan mà các máy ảo cần (lý tưởng nhất là không nên mang Vlan quản lý VMWare).

Trong thực tế thực thi sự tách biệt đó, kết hợp với các mục tôi đã đề cập và những gì tôi chắc chắn những người khác sẽ đưa ra, sẽ mang lại một môi trường an toàn hợp lý.

voretaq7
nguồn
12

Nhảy VLan rất dễ dàng khi và chỉ khi các thiết bị giả mạo được phép truyền các gói trên các thân mà không có thẻ vlan.

Điều này là phổ biến nhất trong tình huống sau đây. Lưu lượng 'bình thường' của bạn không được gắn thẻ; bạn có một vlan "an toàn" được gắn thẻ. Vì các máy trên mạng 'bình thường' có thể truyền các gói không được kiểm tra bằng thẻ (thông thường nhất là bằng các công tắc truy cập), gói có thể có thẻ vlan sai và do đó nhảy vào vlan.

Cách dễ dàng để ngăn chặn điều này: tất cả lưu lượng truy cập được gắn thẻ bởi các công tắc truy cập (tường lửa / bộ định tuyến có thể là một ngoại lệ, tùy thuộc vào cách cấu hình mạng của bạn). Nếu lưu lượng truy cập 'bình thường' được gắn thẻ bởi công tắc truy cập, thì bất kỳ thẻ nào mà trình giả mạo khách hàng giả mạo sẽ bị bỏ qua bởi công tắc truy cập (vì cổng đó sẽ không có quyền truy cập vào thẻ).

Nói tóm lại, nếu bạn sử dụng gắn thẻ vlan, thì mọi thứ phải được gắn thẻ trong các thân cây để giữ an toàn.

Chris S
nguồn
không chắc chắn tôi sẽ sử dụng thuật ngữ "đóng gói" khi nói về vlans ... nó chỉ là một thẻ phải không?
SpacemanSpiff
2
Chỉ cần thêm rằng tất cả lưu lượng truy cập từ một cổng cụ thể có thể được gắn thẻ trong một vlan, do đó đảm bảo tất cả lưu lượng truy cập từ một máy chủ được chứa vào vlan đó, do đó không nhảy.
Joris
Vấn đề cơ bản là cũng có VM trong hỗn hợp và anh ta phải tin tưởng rằng VM cũng đáng tin như các thiết bị chuyển mạch.
chris
3
@chris, Nếu Máy chủ VM có một đường trung kế, thì có, bạn phải tin tưởng máy chủ lưu trữ. Tuy nhiên, phần mềm hypanneror của máy chủ sẽ tự gắn thẻ, vì vậy bạn không cần phải tin tưởng vào máy ảo. Tôi biết ESXi và Hyper-V sẽ làm điều này, những người khác có thể cũng sẽ như vậy.
Chris S
4

Từ việc thực hiện một số lượng thử nghiệm thâm nhập hợp lý trên môi trường ảo, tôi sẽ thêm hai mục này để xem:

Lập kế hoạch môi trường ảo của bạn chính xác như môi trường thực - vì bất kỳ lỗ hổng cấu trúc hoặc kiến ​​trúc nào bạn giới thiệu trong thế giới thực sẽ chuyển dịch tốt sang thế giới ảo.

Nhận cấu hình ảo của bạn đúng - 99% tất cả sự thâm nhập thành công mà tôi đã quản lý vào VM hoặc LPAR đã thông qua cấu hình sai hoặc sử dụng lại thông tin đăng nhập.

Và trên một lưu ý ít kỹ thuật hơn, cũng nghĩ về sự phân biệt nhiệm vụ . Những gì có thể đã được xử lý bởi các nhóm mạng, nhóm máy chủ, vv bây giờ có thể là một nhóm. Kiểm toán viên của bạn có thể thấy điều này quan trọng!

Rory Alsop
nguồn
1
+1 để lập kế hoạch cho môi trường VM giống như vật lý của nó - các lỗ hổng có thể không ánh xạ 1 đến 1, nhưng nó thường khá gần.
voretaq7
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.