如何以不会让我面临VLAN跳跃风险的方式设置VLAN?

Modified on: Wed, 21 Aug 2019 12:20:02 +0800

我们计划将生产网络从无VLAN配置迁移到标记VLAN(802.1q)配置。此图总结了计划的配置:

一个重要的细节是,这些主机的很大一部分实际上是一台裸机上的虚拟机。实际上,唯一的物理机器是DB01,DB02,防火墙和交换机。所有其他计算机将在单个主机上进行虚拟化。

一直存在的一个问题是这种方法很复杂(过于复杂的暗示),并且VLAN只提供安全错觉,因为“VLAN跳跃很容易”。

这是一个有效的问题,因为虚拟化会将多个VLAN用于单个物理交换机端口吗?如何正确设置VLAN以防止此风险?

另外,我听说VMWare ESX有一种叫做“虚拟交换机”的东西。这是VMWare管理程序的独特之处吗?如果没有,是否可以使用KVM(我选择的计划管理程序)?这是如何发挥作用的?

作者:hobodave

最佳答案

除了有关为什么人们告诉我不要使用VLAN进行安全保护?的信息之外,还有一些更具体的信息。要考虑的一般比特:


关于安全的一般思考
最安全的系统是每个子网的主机连接到交换机的系统,该交换机具有将由连接的设备使用的端口数量。在这样的配置中,您无法将随机机器插入安全网络,因为这样做需要拔掉某些东西(理论上您的监控系统会注意到这一点)。

VLAN在安全性方面为您提供类似的功能,将您的交换机分解为逻辑上彼此隔离的较小虚拟交换机(虚拟LAN:VLAN),并且对于连接到它们的所有系统,可以看到正确的配置,就像他们身体孤立。


关于相对安全的VLAN设置的一般想法
我对支持VLAN的交换机的做法是必须将所有流量分配给VLAN,具有以下基本配置:

将所有未使用的端口分配给“未使用”的VLAN。

连接到特定计算机的所有端口都应本地分配给计算机所在的VLAN。这些端口应位于一个且只有一个 VLAN中(除非我们将忽略某些例外情况)现在)。
在这些端口上,所有传入数据包(到交换机)都标记有本地VLAN,而传出数据包(来自交换机)将(a)仅来自指定的vlan ,(b)没有标记,看起来就像任何常规以太网数据包一样。

唯一应该是“VLAN中继”(多个VLAN中的端口)的端口是中继端口 - 在交换机之间传输流量的端口,或者连接到将自行拆分VLAN流量的防火墙。 />
在中继端口上,将遵循进入交换机的vlan标签,并且将从离开交换机的数据包中剥离vlan标签。

上述配置意味着您可以轻松注入“VLAN跳跃”流量的唯一位置在中继端口上(除非交换机的VLAN实施中存在软件问题),就像在“最安全”方案中一样意味着拔掉重要的东西并导致监控警报。同样,如果拔下主机连接到监控系统中的VLAN,应该注意到主机的神秘消失并提醒您。
在这两种情况下我们谈论的是涉及对服务器进行物理访问的攻击 - 虽然它可能完全不可能打破VLAN隔离但它至少是在如上所述设置的环境中非常困难。


关于VMWare和VLAN安全的具体想法

可以将VMWare虚拟交换机分配到VLAN - 当这些虚拟交换机连接到VMWare主机上的物理接口时,所发出的任何流量都将具有相应的VLAN标记。
您的VMWare计算机的物理接口需要连接到VLAN中继端口(承载它需要访问的VLAN)。

在这种情况下,关注VMWare最佳实践以将管理NIC与虚拟机NIC分离是非常重要的:您的管理NIC应连接到适当VLAN中的本机端口,并且您的虚拟机NIC应该连接到具有虚拟机所需VLAN的中继(理想情况下不应携带VMWare管理VLAN)。

在实践中,强制执行这种分离,与我提到的项目以及我相信其他人会提出的项目一致,将产生一个相当安全的环境。

作者:Community,voretaq7

相关问答

添加新评论