Sử dụng Vlan / mạng con để tách quản lý khỏi các dịch vụ?

Lý lịch: Gần đây tôi đã mua một máy chủ và một công tắc được quản lý cho nhà của tôi với hy vọng có thêm kinh nghiệm và một số đồ chơi thú vị để chơi. Các thiết bị và thiết bị tôi có hoặc có kế hoạch bao phủ phổ rộng: bộ định tuyến, DD-WRT AP, bộ chuyển mạch Dell, máy chủ OpenLDAP, máy chủ FreeRADIUS, cổng OpenVPN, máy tính gia đình, máy chơi game, v.v. Vlan và các mạng con liên quan (ví dụ: VID10 được các thiết bị đưa vào ngày 192.168.10.0/24). Ý tưởng là bảo mật các thiết bị nhạy cảm hơn bằng cách buộc lưu lượng truy cập thông qua bộ định tuyến / FW của tôi.

Thiết lập: Sau khi suy nghĩ và lên kế hoạch một thời gian, tôi đã quyết định tạm thời về 4 Vlan: một cho kết nối WAN, một cho máy chủ, một cho thiết bị gia đình / cá nhân và một cho quản lý. Về lý thuyết, Vlan gia đình sẽ có quyền truy cập hạn chế vào các máy chủ và Vlan quản lý sẽ hoàn toàn bị cô lập để bảo mật.

Câu hỏi: Vì tôi muốn hạn chế quyền truy cập vào các giao diện quản lý, nhưng một số thiết bị phải có thể truy cập được với các thiết bị khác, nên chỉ có thể quản lý (SSH, HTTP, RDP) trên một Vlan / IP và chỉ các dịch vụ (LDAP, DHCP , RADIUS, VPN) có sẵn trên khác? Đây có phải là một điều được thực hiện? Liệu nó có mang lại cho tôi sự an toàn mà tôi nghĩ nó làm, hoặc làm tổn thương tôi theo một cách nào đó?

Có, loại phân khúc dịch vụ logic này được thực hiện trong các mạng công nghiệp và cực kỳ an toàn, mặc dù hiếm khi được triển khai ở quy mô nhỏ như mạng SOHO. Vlan về bản chất không phải là một rào cản bảo mật. Các mạng quy mô lớn cần chia miền phát sóng của họ thành các phân đoạn nhỏ hơn nhiều, vì mục đích hiệu quả, nhưng để làm như vậy, bạn thường phải thực hiện thay đổi đó trong phần cứng, thường tốn kém hơn. Vlan là một nỗ lực để cho phép các miền quảng bá linh hoạt được chế tạo trong phần mềm / phần mềm thay vì hoàn toàn thông qua hệ thống dây.

Bạn có được một số lợi thế liên quan đến bảo mật từ cách ly vlan quản lý

• Nó không được tiếp xúc với các cuộc tấn công Lớp 2 xảy ra trên các vlans khác (thông qua chuyển đổi khai thác hành vi như một trận lũ ARP có thể sẽ phơi bày tất cả các vlans, trừ khi nhà sản xuất có giảm thiểu tại chỗ).
• Bạn có thể tường lửa vlan sao cho chỉ các trạm cục bộ có thể truy cập các dịch vụ quản lý và chính xác điều khiển từ bộ định tuyến, ngoài các tường lửa máy chủ.
• Vlan quản lý sẽ mang lưu lượng truy cập ít hơn rất nhiều và sẽ là nơi tốt để triển khai IDPS hoặc các công cụ giám sát khác mà không phản chiếu cổng vụng về.

Tuy nhiên, có một số chi phí đáng kể, cả về phần cứng và thời gian quản lý.

• Tất cả các máy chủ của bạn sẽ cần nhiều nics và cáp (hoặc thực sự cao kết thúc nics với các tính năng vlan), vì vậy bạn có thể liên kết các dịch vụ khách hàng trên một và các dịch vụ quản lý khác.
• Bạn cần một bộ định tuyến khá mạnh để không nhận thấy một số độ trễ bất lợi trên các dịch vụ của bạn.
• Quản trị DNS và IP của bạn trở nên liên quan hơn 4 lần và sẽ có một số quản trị tường lửa và quản lý định tuyến cần thiết.
• Một số dịch vụ sẽ yêu cầu cấu hình đặc biệt để hiển thị cho tất cả các máy chủ và công cụ avahi / zeroconf có thể không hoạt động tốt.

Trong mạng giả định của bạn, mọi kết nối của máy chủ đến dịch vụ lan sẽ phải được chuyển sang mạng dịch vụ và quay lại. trong khi phần cứng bộ định tuyến được chuyển đổi, định tuyến là một quá trình liên quan nhiều hơn so với chuyển đổi lớp 2 đơn giản và dựa trên một phần mềm. Có một bộ định tuyến ở giữa chức năng LAN lõi có thể gây gián đoạn, về hiệu suất, hỗ trợ giao thức và khả năng hiển thị dịch vụ, do đó, bộ định tuyến SOHO giá rẻ có lẽ không phải là một lựa chọn tốt cho vai trò đó.

Vì vậy, tóm lại, có các doanh nghiệp lớn và các hệ thống cực kỳ an toàn như mạng ngân hàng hoặc SCADA phân khúc dịch vụ / hoạt động của họ khỏi quản lý của họ và nó cung cấp một số lợi ích. Tuy nhiên, chi phí có thể lớn hơn lợi ích trong việc triển khai quy mô nhỏ. Tất cả phụ thuộc vào bao nhiêu thời gian và tiền bạc bạn muốn chi tiêu.