Oltre alle informazioni su Perché le persone mi dicono di non usare le VLAN per motivi di sicurezza? ecco alcuni bit più specifici e generali da considerare:
Considerazioni generali sulla sicurezza
Il sistema più sicuro è quello in cui gli host di ciascuna subnet sono collegati a uno switch con esattamente il numero di porte che verranno utilizzate dai dispositivi collegati. In una tale configurazione non è possibile collegare macchine casuali nelle reti sicure, poiché ciò richiederebbe la disconnessione di qualcosa (e teoricamente il sistema di monitoraggio lo noterebbe).
Le VLAN ti offrono qualcosa di simile in termini di sicurezza, suddividendo il tuo switch in switch virtuali più piccoli (LAN virtuali: VLAN) che sono isolati l'uno dall'altro logicamente e con una corretta configurazione possono apparire a tutti i sistemi ad essi collegati come se fossero fisicamente isolato.
Considerazioni generali su
configurazioni VLAN relativamente sicure La mia pratica per switch abilitati per VLAN è che tutto il traffico deve essere assegnato a una VLAN, con la seguente configurazione di base:
Assegnare tutte le porte non utilizzate a una VLAN "non utilizzata".
Tutte le porte che si collegano a un computer specifico dovrebbero essere assegnate in modo nativo alla VLAN in cui dovrebbe trovarsi il computer. Queste porte dovrebbero trovarsi in una e una sola VLAN (salvo alcune eccezioni che per il momento ignoreremo).
Su queste porte tutti i pacchetti in entrata (allo switch) sono taggati con la VLAN nativa, e i pacchetti in uscita (dallo switch) (a) provengono solo dal vlan assegnato e (b) non sono taggati e appaiono esattamente come qualsiasi normale Ethernet pacchetto.
Le uniche porte che dovrebbero essere "trunk VLAN" (porte in più di una VLAN) sono le porte trunk: quelle che trasportano traffico tra switch o si collegano a un firewall che suddividerà il traffico VLAN da solo.
Sulle porte trunk i tag vlan che entrano nello switch verranno rispettati e i tag vlan non verranno rimossi dai pacchetti che escono dallo switch.
La configurazione sopra descritta significa che l'unico posto in cui è possibile iniettare facilmente il traffico "VLAN hopping" è su una porta trunk (salvo un problema software nell'implementazione VLAN degli switch) e, molto simile allo scenario "più sicuro", ciò significa scollegare qualcosa importante e causa un allarme di monitoraggio. Allo stesso modo, se si scollega un host per connettersi alla VLAN che vive nel sistema di monitoraggio, si dovrebbe notare la misteriosa scomparsa dell'host e avvisare l'utente.
In entrambi questi casi stiamo parlando di un attacco che comporta l'accesso fisico ai server - Anche se potrebbe non essere del tutto impossibile interrompere l'isolamento VLAN, è almeno molto difficile in un ambiente impostato come descritto sopra.
Considerazioni specifiche sulla sicurezza VMWare e VLAN
Gli switch virtuali VMWare possono essere assegnati a una VLAN: quando questi switch virtuali sono collegati a un'interfaccia fisica sull'host VMWare, qualsiasi traffico emesso avrà il tag VLAN appropriato.
L'interfaccia fisica della macchina VMWare dovrebbe essere connessa a una porta trunk VLAN (che trasporta le VLAN a cui dovrà accedere).
In casi come questo è doppiamente importante prestare attenzione alle migliori pratiche VMWare per separare la NIC di gestione dalla NIC della macchina virtuale: la NIC di gestione deve essere connessa a una porta nativa in una VLAN appropriata e la NIC della macchina virtuale deve connettersi a un trunk con le VLAN di cui hanno bisogno le macchine virtuali (che idealmente non dovrebbero contenere la VLAN di gestione VMWare).
In pratica, applicare tale separazione, di concerto con gli articoli che ho citato e con ciò che sono sicuro che altri escogiteranno, produrrà un ambiente ragionevolmente sicuro.