Come posso configurare le VLAN in un modo che non mi metta a rischio per il salto delle VLAN?


14

Stiamo programmando di migrare la nostra rete di produzione da una configurazione senza VLAN a una configurazione VLAN con tag (802.1q). Questo diagramma riassume la configurazione pianificata:

Configurazione VLAN

Un dettaglio significativo è che gran parte di questi host saranno in realtà macchine virtuali su una singola macchina bare metal. In effetti, le uniche macchine fisiche saranno DB01, DB02, i firewall e gli switch. Tutte le altre macchine verranno virtualizzate su un singolo host.

Una preoccupazione che è stata è che questo approccio è complicato ( implicito eccessivamente complicato ) e che le VLAN forniscono solo un'illusione di sicurezza, perché "il salto delle VLAN è facile".

Si tratta di una preoccupazione valida, dato che verranno utilizzate più VLAN per una singola porta dello switch fisico a causa della virtualizzazione? Come configurerei le mie VLAN in modo appropriato per prevenire questo rischio?

Inoltre, ho sentito che VMWare ESX ha qualcosa chiamato "switch virtuali". È unico per l'hypervisor VMWare? In caso contrario, è disponibile con KVM (il mio hypervisor pianificato di scelta)? Come entra in gioco?


2
Prima di chiedere ... Omnigraffle.
Hobodave,

1
Non è un duplicato, ma serverfault.com/questions/220442 è rilevante
voretaq7,

7
Non prenderlo nel modo sbagliato: non hai sicurezza di livello 2 ora ma sei preoccupato di introdurre un possibile, ma improbabile, difetto di sicurezza implementando la sicurezza di livello 2 sotto forma di VLAN?
joeqwerty,

@joeqwerty: nessuna offesa. La preoccupazione non è mia.
hobodave,

Risposte:


16

Oltre alle informazioni su Perché le persone mi dicono di non usare le VLAN per motivi di sicurezza? ecco alcuni bit più specifici e generali da considerare:


Considerazioni generali sulla sicurezza
Il sistema più sicuro è quello in cui gli host di ciascuna subnet sono collegati a uno switch con esattamente il numero di porte che verranno utilizzate dai dispositivi collegati. In una tale configurazione non è possibile collegare macchine casuali nelle reti sicure, poiché ciò richiederebbe la disconnessione di qualcosa (e teoricamente il sistema di monitoraggio lo noterebbe).

Le VLAN ti offrono qualcosa di simile in termini di sicurezza, suddividendo il tuo switch in switch virtuali più piccoli (LAN virtuali: VLAN) che sono isolati l'uno dall'altro logicamente e con una corretta configurazione possono apparire a tutti i sistemi ad essi collegati come se fossero fisicamente isolato.


Considerazioni generali su
configurazioni VLAN relativamente sicure La mia pratica per switch abilitati per VLAN è che tutto il traffico deve essere assegnato a una VLAN, con la seguente configurazione di base:

Assegnare tutte le porte non utilizzate a una VLAN "non utilizzata".

Tutte le porte che si collegano a un computer specifico dovrebbero essere assegnate in modo nativo alla VLAN in cui dovrebbe trovarsi il computer. Queste porte dovrebbero trovarsi in una e una sola VLAN (salvo alcune eccezioni che per il momento ignoreremo).
Su queste porte tutti i pacchetti in entrata (allo switch) sono taggati con la VLAN nativa, e i pacchetti in uscita (dallo switch) (a) provengono solo dal vlan assegnato e (b) non sono taggati e appaiono esattamente come qualsiasi normale Ethernet pacchetto.

Le uniche porte che dovrebbero essere "trunk VLAN" (porte in più di una VLAN) sono le porte trunk: quelle che trasportano traffico tra switch o si collegano a un firewall che suddividerà il traffico VLAN da solo.
Sulle porte trunk i tag vlan che entrano nello switch verranno rispettati e i tag vlan non verranno rimossi dai pacchetti che escono dallo switch.

La configurazione sopra descritta significa che l'unico posto in cui è possibile iniettare facilmente il traffico "VLAN hopping" è su una porta trunk (salvo un problema software nell'implementazione VLAN degli switch) e, molto simile allo scenario "più sicuro", ciò significa scollegare qualcosa importante e causa un allarme di monitoraggio. Allo stesso modo, se si scollega un host per connettersi alla VLAN che vive nel sistema di monitoraggio, si dovrebbe notare la misteriosa scomparsa dell'host e avvisare l'utente.
In entrambi questi casi stiamo parlando di un attacco che comporta l'accesso fisico ai server - Anche se potrebbe non essere del tutto impossibile interrompere l'isolamento VLAN, è almeno molto difficile in un ambiente impostato come descritto sopra.


Considerazioni specifiche sulla sicurezza VMWare e VLAN

Gli switch virtuali VMWare possono essere assegnati a una VLAN: quando questi switch virtuali sono collegati a un'interfaccia fisica sull'host VMWare, qualsiasi traffico emesso avrà il tag VLAN appropriato.
L'interfaccia fisica della macchina VMWare dovrebbe essere connessa a una porta trunk VLAN (che trasporta le VLAN a cui dovrà accedere).

In casi come questo è doppiamente importante prestare attenzione alle migliori pratiche VMWare per separare la NIC di gestione dalla NIC della macchina virtuale: la NIC di gestione deve essere connessa a una porta nativa in una VLAN appropriata e la NIC della macchina virtuale deve connettersi a un trunk con le VLAN di cui hanno bisogno le macchine virtuali (che idealmente non dovrebbero contenere la VLAN di gestione VMWare).

In pratica, applicare tale separazione, di concerto con gli articoli che ho citato e con ciò che sono sicuro che altri escogiteranno, produrrà un ambiente ragionevolmente sicuro.


12

VLan hopping è facile se e solo se i dispositivi non autorizzati sono autorizzati a trasmettere pacchetti su trunk senza tag vlan.

Questo è più comune nella seguente situazione. Il tuo traffico "normale" non è taggato; hai un vlan "sicuro" che è taggato. Poiché le macchine sulla rete "normale" possono trasmettere pacchetti che non sono controllati da tag (più comunemente lo sarebbero dagli switch di accesso), il pacchetto potrebbe avere un tag vlan falso e quindi saltare su vlan.

Il modo più semplice per evitarlo: tutto il traffico viene taggato dagli switch di accesso (i firewall / router possono costituire un'eccezione, a seconda della configurazione della rete). Se il traffico "normale" viene taggato dallo switch di accesso, qualsiasi tag forgiato dal client non autorizzato verrà eliminato dallo switch di accesso (poiché quella porta non avrebbe accesso al tag).

In breve, se si utilizza la codifica Vlan, tutto deve essere taggato nei trunk per mantenerlo sicuro.


non sono sicuro che userei il termine "incapsulato" quando parlo di Vlan ... è solo un tag non è vero?
SpacemanSpiff il

2
Aggiungendo semplicemente che tutto il traffico proveniente da una porta specifica può essere taggato in un vlan, garantendo così tutto il traffico proveniente da un host è contenuto in quel vlan, quindi nessun salto.
Joris,

Il problema di base è che ci sono anche macchine virtuali nel mix e deve fidarsi che le macchine virtuali sono affidabili quanto gli switch.
chris,

3
@chris, se l'host di macchine virtuali ha una linea trunked, quindi sì, è necessario considerare attendibile l'host. Il software dell'hypervisor dell'host dovrebbe comunque eseguire il tagging stesso, quindi non devi fidarti delle VM. So che ESXi e Hyper-V faranno questo, altri probabilmente lo faranno anche.
Chris S,

4

Eseguendo una buona dose di test di penetrazione in ambienti virtuali, aggiungerei questi due elementi da guardare:

Pianifica il tuo ambiente virtuale esattamente come faresti con un ambiente reale, poiché qualsiasi vulnerabilità strutturale o architettonica che introduci nel mondo reale si tradurrà bene nel mondo virtuale.

Ottimizza la tua configurazione virtuale : il 99% di tutte le penetrazioni riuscite che ho gestito in VM o LPAR è stato causato da un'errata configurazione o dal riutilizzo delle credenziali.

E su una nota meno tecnica, pensa anche alla separazione dei compiti . Ciò che potrebbe essere stato gestito da team di rete, team di server ecc. Potrebbe ora essere un team. Il tuo revisore può trovare questo importante!


1
+1 per la pianificazione di un ambiente di macchine virtuali come se fosse fisico: le vulnerabilità potrebbero non essere mappate da 1 a 1, ma di solito sono piuttosto dannatamente vicine.
voretaq7,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.