Bagaimana saya bisa mengatur VLAN dengan cara yang tidak akan membahayakan saya untuk VLAN hopping?

14

Kami berencana untuk memigrasikan jaringan produksi kami dari konfigurasi tanpa-VLAN ke konfigurasi VLAN (802.1q) yang ditandai. Diagram ini merangkum konfigurasi yang direncanakan:

Konfigurasi VLAN

Satu detail penting adalah bahwa sebagian besar host ini sebenarnya adalah VM pada mesin bare-metal tunggal. Bahkan, satu-satunya mesin fisik akan menjadi DB01, DB02, firewall dan sakelar. Semua mesin lain akan divirtualisasi pada satu host.

Salah satu perhatian yang telah adalah bahwa pendekatan ini rumit ( overcomplicated tersirat), dan bahwa VLAN hanya memberikan ilusi keamanan, karena "VLAN hopping mudah".

Apakah ini masalah yang valid, mengingat beberapa VLAN akan digunakan untuk satu port switch fisik karena virtualisasi? Bagaimana cara saya mengatur VLAN saya secara tepat untuk mencegah risiko ini?

Juga, saya pernah mendengar bahwa VMWare ESX memiliki sesuatu yang disebut "switch virtual". Apakah ini unik untuk hypervisor VMWare? Jika tidak, apakah tersedia dengan KVM (hypervisor yang saya pilih) ?. Bagaimana hal itu berperan?

hobodave
sumber
2
Sebelum Anda bertanya .. Omnigraffle.
hobodave
1
Bukan duplikat, tetapi serverfault.com/questions/220442 relevan
voretaq7
7
Jangan salah paham: Anda tidak memiliki keamanan layer 2 sekarang, tetapi Anda khawatir akan memperkenalkan cacat keamanan yang mungkin, namun tidak mungkin, dengan menerapkan keamanan layer 2 dalam bentuk VLAN?
joeqwerty
@joeqwerty: Jangan tersinggung. Kekhawatiran itu bukan milik saya.
hobodave

Jawaban:

16

Selain info tentang Mengapa orang mengatakan kepada saya untuk tidak menggunakan VLAN untuk keamanan? berikut adalah beberapa bit yang lebih spesifik & umum untuk dipertimbangkan:


Pikiran Umum tentang Keamanan
Sistem yang paling aman adalah sistem di mana masing-masing host subnet terhubung ke sakelar yang memiliki jumlah port yang tepat yang akan digunakan oleh perangkat yang terhubung. Dalam konfigurasi seperti itu, Anda tidak dapat menyambungkan mesin acak ke jaringan aman Anda, karena hal itu akan membutuhkan mencabut sesuatu (dan secara teoritis sistem pemantauan Anda akan memperhatikan hal itu).

VLAN memberi Anda sesuatu yang serupa dalam hal keamanan, memecah switch Anda menjadi switch virtual yang lebih kecil (virtual LAN: VLAN) yang diisolasi satu sama lain secara logis, dan dengan konfigurasi yang tepat dapat tampak semua sistem yang terhubung dengannya seolah-olah secara fisik terpencil.


Umum Pemikiran tentang relatif aman VLAN Setup
praktek saya untuk switch VLAN-mampu adalah bahwa semua lalu lintas harus ditugaskan ke VLAN, dengan konfigurasi dasar sebagai berikut:

Tetapkan semua port yang tidak digunakan ke VLAN "tidak digunakan".

Semua port yang terhubung ke komputer tertentu harus ditetapkan secara native ke VLAN di mana komputer harus berada. Port-port ini harus dalam satu dan hanya satu VLAN (kecuali pengecualian tertentu yang akan kami abaikan untuk saat ini).
Pada port ini semua paket yang masuk (ke switch) ditandai dengan VLAN asli, dan paket keluar (dari switch) akan (a) hanya berasal dari vlan yang ditugaskan, dan (b) tidak di-tag dan muncul seperti ethernet biasa paket.

Satu-satunya port yang seharusnya "VLAN trunks" (port di lebih dari satu VLAN) adalah port trunk - port yang membawa traffic antar switch, atau menghubungkan ke firewall yang akan membagi traffic VLAN sendiri.
Pada port trunk tag vlan yang masuk ke switch akan dihormati, dan tag vlan tidak akan dilepaskan dari paket yang meninggalkan switch.

Konfigurasi yang dijelaskan di atas berarti bahwa satu-satunya tempat Anda dapat dengan mudah menyuntikkan lalu lintas "VLAN hopping" adalah pada port trunk (kecuali masalah perangkat lunak dalam implementasi VLAN switch Anda), dan seperti halnya dalam skenario "paling aman" ini berarti melepaskan sesuatu penting dan menyebabkan alarm pemantauan. Demikian pula jika Anda mencabut host untuk terhubung ke VLAN, ia tinggal di sistem pemantauan Anda harus memperhatikan bahwa hilangnya misterius host dan mengingatkan Anda.
Dalam kedua kasus ini kita berbicara tentang serangan yang melibatkan akses fisik ke server - Meskipun mungkin tidak sepenuhnya mustahil untuk memutus isolasi VLAN, itu adalah minimal sangat sulit dalam lingkungan yang diatur seperti dijelaskan di atas.


Pikiran Khusus tentang Keamanan VMWare dan VLAN

VMWare Virtual Switches dapat ditetapkan ke VLAN - Ketika switch virtual ini terhubung ke antarmuka fisik pada host VMWare, lalu lintas apa pun yang dipancarkan akan memiliki Tag VLAN yang sesuai.
Antarmuka fisik mesin VMWare Anda harus terhubung ke port trunk VLAN (membawa VLAN yang memerlukan akses ke sana).

Dalam kasus seperti ini, sangat penting untuk memperhatikan VMWare Praktik Terbaik untuk memisahkan NIC Manajemen dari Mesin Virtual NIC: Manajemen Anda NIC harus terhubung ke port asli di VLAN yang sesuai, dan Mesin Virtual NIC Anda harus terhubung ke sebuah trunk yang memiliki VLAN yang dibutuhkan mesin virtual (yang idealnya tidak membawa VMWare Management VLAN).

Dalam praktik menegakkan pemisahan itu, bersamaan dengan item yang saya sebutkan dan apa yang saya yakin orang lain akan buat, akan menghasilkan lingkungan yang cukup aman.

voretaq7
sumber
12

VLan hopping mudah jika dan hanya jika perangkat jahat diizinkan untuk trasmit paket pada trunks tanpa tag vlan.

Ini paling umum dalam situasi berikut. Lalu lintas 'normal' Anda tidak ditandai; Anda memiliki vlan 'aman' yang sedang ditandai. Karena mesin-mesin di jaringan 'normal' dapat mengirimkan paket-paket yang tidak diinspeksi-tag (paling umum mereka adalah oleh sakelar akses) paket tersebut dapat memiliki tag vlan palsu, dan dengan demikian melompati vlan.

Cara mudah untuk mencegah ini: semua lalu lintas akan ditandai oleh sakelar akses (firewall / router mungkin merupakan pengecualian, tergantung pada bagaimana jaringan Anda dikonfigurasi). Jika lalu lintas 'normal' ditandai oleh saklar akses, maka setiap tag yang dipalsukan oleh klien jahat akan dijatuhkan oleh saklar akses (karena port itu tidak akan memiliki akses ke tag).

Singkatnya, jika Anda menggunakan penandaan vlan, maka semuanya harus ditandai di batang agar tetap aman.

Chris S
sumber
tidak yakin saya akan menggunakan istilah "dienkapsulasi" ketika berbicara tentang vlan ... ini hanya sebuah tag bukan?
SpacemanSpiff
2
Hanya menambahkan bahwa semua lalu lintas dari port tertentu dapat dibuat ditandai dalam vlan, sehingga memastikan semua lalu lintas dari host terkandung ke vlan itu, jadi jangan melompat.
Joris
Masalah dasar adalah bahwa ada juga VMs dalam campuran dan dia harus percaya bahwa VMs dapat dipercaya seperti switch.
chris
3
@ Chris, Jika VM Host memiliki saluran berbatang, maka ya Anda harus mempercayai tuan rumah. Namun, perangkat lunak hypervisor tuan rumah harus melakukan penandaan sendiri, sehingga Anda tidak harus mempercayai para VM. Saya tahu ESXi dan Hyper-V akan melakukan ini, orang lain mungkin juga akan melakukannya.
Chris S
4

Dari melakukan sejumlah pengujian penetrasi pada lingkungan virtual saya akan menambahkan dua item ini untuk ditonton:

Rencanakan lingkungan virtual Anda persis seperti yang Anda lakukan dengan lingkungan nyata - karena setiap kerentanan struktural atau arsitektur yang Anda perkenalkan di dunia nyata akan diterjemahkan dengan baik ke dalam dunia virtual.

Dapatkan konfigurasi virtual Anda dengan benar - 99% dari semua penetrasi yang berhasil saya kelola ke VM atau LPAR telah melalui kesalahan konfigurasi atau penggunaan kembali kredensial.

Dan dengan catatan yang kurang teknis, pikirkan juga pemisahan tugas . Apa yang mungkin telah ditangani oleh tim jaringan, tim server, dll. Sekarang mungkin menjadi satu tim. Auditor Anda mungkin menganggap ini penting!

Rory Alsop
sumber
1
+1 untuk perencanaan lingkungan VM biasanya seperti itu fisik - kerentanan mungkin tidak memetakan 1-ke-1, tetapi biasanya sangat dekat.
voretaq7