Ngoài thông tin về Tại sao mọi người bảo tôi không sử dụng Vlan để bảo mật? Dưới đây là một số bit cụ thể và chung hơn để xem xét:
Những suy nghĩ chung về bảo
mật Hệ thống an toàn nhất là một trong đó mỗi máy chủ của mạng con được kết nối với một bộ chuyển mạch có chính xác số lượng cổng sẽ được sử dụng bởi các thiết bị được kết nối. Trong cấu hình như vậy, bạn không thể cắm các máy ngẫu nhiên vào các mạng an toàn của mình, vì làm như vậy sẽ yêu cầu rút phích cắm một cái gì đó (và về mặt lý thuyết, hệ thống giám sát của bạn sẽ nhận thấy điều đó).
Các Vlan cung cấp cho bạn một cái gì đó tương tự về bảo mật, phá vỡ chuyển đổi của bạn thành các công tắc ảo nhỏ hơn (LAN ảo: Vlan) được cách ly với nhau một cách hợp lý và với cấu hình phù hợp có thể xuất hiện cho tất cả các hệ thống được kết nối với chúng như thể chúng là vật lý bị cô lập.
Những suy nghĩ chung về thiết lập Vlan tương đối an toàn
Thực tiễn của tôi đối với các thiết bị chuyển mạch có khả năng Vlan là tất cả lưu lượng phải được gán cho Vlan, với cấu hình cơ bản sau:
Chỉ định tất cả các cổng không sử dụng cho Vlan "không sử dụng".
Tất cả các cổng kết nối với một máy tính cụ thể phải được gán nguyên bản cho Vlan mà máy tính đó nên có. Các cổng này phải ở một và chỉ một Vlan (loại bỏ một số ngoại lệ nhất định mà chúng tôi sẽ bỏ qua ngay bây giờ).
Trên các cổng này, tất cả các gói đến (với bộ chuyển mạch) được gắn thẻ Vlan gốc và các gói đi (từ bộ chuyển mạch) sẽ (a) chỉ bắt nguồn từ vlan được gán và (b) không được gắn thẻ và xuất hiện giống như bất kỳ ethernet thông thường nào gói.
Các cổng duy nhất phải là "trung kế Vlan" (các cổng trong nhiều Vlan) là các cổng trung kế - những cổng mang lưu lượng giữa các thiết bị chuyển mạch hoặc kết nối với tường lửa sẽ tự phân chia lưu lượng Vlan.
Trên các cổng trung kế, các thẻ vlan đi vào công tắc sẽ được tuân thủ và các thẻ vlan sẽ không bị tước khỏi các gói rời khỏi công tắc.
Cấu hình được mô tả ở trên có nghĩa là nơi duy nhất bạn có thể dễ dàng lưu lượng truy cập "nhảy Vlan" là trên một cổng trung kế (chặn sự cố phần mềm trong quá trình triển khai Vlan của thiết bị chuyển mạch của bạn), và giống như trong kịch bản "an toàn nhất", điều này có nghĩa là rút phích cắm thứ gì đó quan trọng và gây ra một báo động giám sát. Tương tự như vậy nếu bạn rút phích cắm máy chủ để kết nối với Vlan, nó sống trong hệ thống giám sát của bạn sẽ nhận thấy sự biến mất bí ẩn của máy chủ đó và cảnh báo bạn.
Trong cả hai trường hợp này, chúng tôi đều nói về một cuộc tấn công liên quan đến quyền truy cập vật lý vào máy chủ - Mặc dù có thể không hoàn toàn không thể phá vỡ sự cô lập Vlan, nhưng ở mức tối thiểu rất khó khăn trong một môi trường được thiết lập như mô tả ở trên.
Những suy nghĩ cụ thể về VMWare và Vlan Security
Công tắc ảo VMWare có thể được gán cho Vlan - Khi các công tắc ảo này được kết nối với giao diện vật lý trên máy chủ VMWare, bất kỳ lưu lượng truy cập nào được phát ra sẽ có Thẻ Vlan phù hợp.
Giao diện vật lý của máy VMWare của bạn sẽ cần phải được kết nối với cổng trung kế Vlan (mang Vlan mà nó sẽ cần truy cập).
Trong những trường hợp như thế này, điều quan trọng gấp đôi là phải chú ý đến Thực tiễn tốt nhất của VMWare để tách NIC Quản lý khỏi NIC Máy ảo: NIC quản lý của bạn phải được kết nối với một cổng gốc trong Vlan thích hợp và NIC Máy ảo của bạn sẽ kết nối với một trung kế có Vlan mà các máy ảo cần (lý tưởng nhất là không nên mang Vlan quản lý VMWare).
Trong thực tế thực thi sự tách biệt đó, kết hợp với các mục tôi đã đề cập và những gì tôi chắc chắn những người khác sẽ đưa ra, sẽ mang lại một môi trường an toàn hợp lý.