Как я могу настроить сети VLAN таким образом, чтобы не подвергать меня риску переключения VLAN?

В дополнение к информации о Почему люди говорят мне не использовать VLAN для обеспечения безопасности? Вот некоторые более конкретные и общие моменты, которые следует учитывать:

Общие мысли о безопасности
Самая безопасная система - это система, в которой узлы каждой подсети подключены к коммутатору, имеющему точно такое же количество портов, которые будут использоваться подключенными устройствами. В такой конфигурации вы не можете подключить случайные машины к своим защищенным сетям, поскольку для этого потребуется что-то отключить (и теоретически ваша система мониторинга это заметит).

VLAN дают вам нечто подобное с точки зрения безопасности, разбивая ваш коммутатор на более мелкие виртуальные коммутаторы (виртуальные локальные сети: VLAN), которые логически изолированы друг от друга и при правильной конфигурации могут отображаться для всех подключенных к ним систем, как если бы они были физически. изолированные.

Общие соображения об относительно безопасных настройках VLAN
Моя практика для коммутаторов с поддержкой VLAN заключается в том, что весь трафик должен быть назначен на VLAN со следующей базовой конфигурацией:

Назначьте все неиспользуемые порты «неиспользуемой» VLAN.

Все порты, подключающиеся к конкретному компьютеру, должны быть изначально назначены той VLAN, в которой должен находиться компьютер. Эти порты должны быть в один и только один VLAN (за исключением некоторых исключений, которые мы пока проигнорируем).
На этих портах все входящий пакеты (к коммутатору) помечаются собственной VLAN, и исходящий пакеты (от коммутатора) будут (а) исходить только из назначенного vlan, и (б) не будут помечены и будут выглядеть так же, как любой обычный пакет Ethernet.

Единственные порты, которые должны быть «магистралями VLAN» (порты в более чем одной VLAN), это магистральные порты - те, которые передают трафик между коммутаторами или подключаются к межсетевому экрану, который самостоятельно разделяет трафик VLAN.
На магистральных портах теги vlan, поступающие на коммутатор, будут учитываться, а теги vlan будут не быть очищенным от пакетов, выходящих из коммутатора.

Конфигурация, описанная выше, означает, что единственное место, где вы можете легко ввести трафик с "перескоком VLAN", - это магистральный порт (исключая программную проблему в реализации VLAN ваших коммутаторов), и, как и в "самом безопасном" сценарии, это означает отключение чего-либо важно и вызывает тревогу мониторинга. Точно так же, если вы отключите хост для подключения к VLAN, он находится в вашей системе мониторинга, должен заметить загадочное исчезновение этого хоста и предупредить вас.
В обоих случаях мы говорим об атаке с использованием физического доступа к серверам - хотя это может и не быть совершенно невозможно чтобы нарушить изоляцию VLAN необходимо как минимум очень сложно в среде, созданной, как описано выше.

Особые мысли о VMWare и безопасности VLAN

Виртуальные коммутаторы VMWare могут быть назначены для VLAN - когда эти виртуальные коммутаторы подключены к физическому интерфейсу на хосте VMWare, любой излучаемый трафик будет иметь соответствующий тег VLAN.
Физический интерфейс вашей машины VMWare должен быть подключен к магистральному порту VLAN (несущему VLAN, к которым ему потребуется доступ).

В подобных случаях вдвойне важно обратить внимание на рекомендации VMWare по разделению сетевого адаптера управления от сетевого адаптера виртуальной машины: ваша сетевая карта управления должна быть подключена к собственному порту в соответствующей VLAN, а сетевая карта виртуальной машины должна подключаться к магистраль, в которой находятся VLAN, необходимые виртуальным машинам (которые в идеале не должны содержать VLAN управления VMWare).

На практике обеспечение такого разделения в сочетании с пунктами, которые я упомянул, и тем, что, я уверен, придумают другие, даст достаточно безопасную среду.

Переход по VLan прост если и только если мошенническим устройствам разрешено передавать пакеты по магистралям без тегов vlan.

Чаще всего это происходит в следующей ситуации. Ваш "нормальный" трафик не является помечен; у вас есть "безопасный" vlan, который является отмечен. Поскольку машины в «нормальной» сети могут передавать пакеты, которые не проверяются тегами (чаще всего это делают переключатели доступа), пакет может иметь ложный тег vlan и, таким образом, переключаться на vlan.

Самый простой способ предотвратить это: весь трафик помечается переключателями доступа (брандмауэры / маршрутизаторы могут быть исключением, в зависимости от того, как настроена ваша сеть). Если «нормальный» трафик помечается коммутатором доступа, то любой тег, который подделывает мошеннический клиент, будет сброшен коммутатором доступа (потому что этот порт не будет иметь доступа к тегу).

Короче говоря, если вы используете теги vlan, то все должно быть тегировано в транках, чтобы обеспечить безопасность.

Проведя изрядное количество тестов на проникновение в виртуальных средах, я бы добавил следующие два момента, на которые стоит обратить внимание:

Планируйте свою виртуальную среду точно так же, как и в реальной среде - поскольку любые структурные или архитектурные уязвимости, которые вы вносите в реальный мир, хорошо переносятся в виртуальный мир.

Получите правильную виртуальную конфигурацию - 99% всех успешных попыток проникновения в виртуальные машины или LPAR, которые мне удалось осуществить, было связано с неправильной конфигурацией или повторным использованием учетных данных.

И в менее технической ноте, также подумайте о разделении обязанностей. То, чем могли заниматься сетевые команды, серверные команды и т. Д., Теперь может быть одной командой. Ваш аудитор может счесть это важным!