जानकारी के अलावा लोग मुझे सुरक्षा के लिए वीएलएएन का उपयोग न करने के लिए क्यों कहते हैं? यहाँ कुछ और विशिष्ट और सामान्य बिट्स पर विचार किया गया है:
सुरक्षा पर सामान्य विचार
सबसे सुरक्षित प्रणाली वह है जहां प्रत्येक सबनेट के होस्ट एक स्विच से जुड़े होते हैं, जो पोर्ट की संख्या है जो कनेक्टेड डिवाइस द्वारा उपयोग किया जाएगा। इस तरह के कॉन्फ़िगरेशन में आप अपने सुरक्षित नेटवर्क में यादृच्छिक मशीनों को प्लग नहीं कर सकते हैं, क्योंकि ऐसा करने के लिए कुछ को अनप्लग करना होगा (और सैद्धांतिक रूप से आपका मॉनिटरिंग सिस्टम नोटिस करेगा)।
वीएलएएन आपको सुरक्षा के मामले में कुछ ऐसा ही देता है, जो आपके स्विच को छोटे वर्चुअल स्विच (वर्चुअल लैन: वीएलएएन) में तोड़ देता है, जो एक दूसरे से तार्किक रूप से अलग-थलग हैं, और उचित कॉन्फ़िगरेशन के साथ उनसे जुड़े सभी सिस्टमों को प्रकट कर सकते हैं जैसे कि वे शारीरिक रूप से थे पृथक किया।
अपेक्षाकृत सुरक्षित वीएलएएन सेटअप पर सामान्य विचार
वीएलएएन-सक्षम स्विच के लिए मेरा अभ्यास यह है कि सभी ट्रैफ़िक को एक वीएलएएन को सौंपा जाना चाहिए, जिसमें निम्नलिखित बुनियादी कॉन्फ़िगरेशन हैं:
"अप्रयुक्त" वीएलएएन के लिए सभी अप्रयुक्त बंदरगाहों को असाइन करें।
किसी विशिष्ट कंप्यूटर से जुड़ने वाले सभी पोर्ट को स्थानीय रूप से VLAN को सौंपा जाना चाहिए जो कंप्यूटर में होना चाहिए। ये पोर्ट एक और केवल एक VLAN में होने चाहिए (कुछ अपवादों को छोड़कर जिन्हें हम अभी अनदेखा कर देंगे)।
इन बंदरगाहों पर सभी आवक पैकेट (स्विच पर) देशी वीएलएएन के साथ टैग किए गए हैं, और आउटगोइंग पैकेट (स्विच से) (ए) केवल निर्दिष्ट व्लान से ही उत्पन्न होंगे, और (बी) को किसी भी नियमित एथरगेट की तरह ही देखा जा सकता है। पैकेट।
एकमात्र पोर्ट जो "वीएलएएन ट्रंक" होना चाहिए (एक से अधिक वीएलएएन में पोर्ट) ट्रंक पोर्ट हैं - जो स्विच के बीच ट्रैफ़िक ले जा रहे हैं, या एक फ़ायरवॉल से कनेक्ट हो रहे हैं जो वीएलएएन ट्रैफ़िक को अपने आप विभाजित कर देगा।
ट्रंक पोर्ट पर स्विच में आने वाले वलान टैग का सम्मान किया जाएगा, और स्विच छोड़ने वाले पैकेट से वलान टैग नहीं छीने जाएंगे।
ऊपर वर्णित कॉन्फ़िगरेशन का मतलब है कि एकमात्र स्थान जिसे आप आसानी से "वीएलएएन होपिंग" ट्रैफ़िक को इंजेक्ट कर सकते हैं, एक ट्रंक पोर्ट पर है (आपके स्विच 'वीएलएएन कार्यान्वयन में एक सॉफ़्टवेयर समस्या को रोकते हुए), और "सबसे सुरक्षित" परिदृश्य में बहुत पसंद है इसका मतलब यह है कि कुछ को अनप्लग करना महत्वपूर्ण और निगरानी अलार्म के कारण। इसी तरह यदि आप वीएलएएन से जुड़ने के लिए एक होस्ट को अनप्लग करते हैं तो यह आपके मॉनिटरिंग सिस्टम में रहता है, आपको उस होस्ट के रहस्यमय ढंग से गायब होने की सूचना देनी चाहिए और आपको सचेत करना चाहिए।
इन दोनों मामलों में हम एक हमले की बात कर रहे हैं जिसमें सर्वर तक शारीरिक पहुंच शामिल है - जबकि वीएलएएन अलगाव को तोड़ना पूरी तरह से असंभव नहीं हो सकता है, जैसा कि ऊपर वर्णित वातावरण में सेट किया गया यह न्यूनतम बहुत मुश्किल है।
VMWare और VLAN सुरक्षा पर विशिष्ट विचार
VMWare वर्चुअल स्विचेस को VLAN को सौंपा जा सकता है - जब ये वर्चुअल स्विच VMWare होस्ट पर एक भौतिक इंटरफ़ेस से जुड़े होते हैं, तो उत्सर्जित किसी भी ट्रैफ़िक में उपयुक्त VLAN टैग होगा।
आपके VMWare मशीन के भौतिक इंटरफ़ेस को एक VLAN ट्रंक पोर्ट (VLANs को ले जाने की आवश्यकता होगी जो इसे एक्सेस करना होगा) से जुड़ा होना चाहिए।
ऐसे मामलों में वर्चुअल मशीन NIC से प्रबंधन NIC को अलग करने के लिए VMWare बेस्ट प्रैक्टिसेस पर ध्यान देना दोगुना महत्वपूर्ण है: आपका प्रबंधन NIC एक उपयुक्त VLAN में एक मूल पोर्ट से जुड़ा होना चाहिए, और आपका वर्चुअल मशीन NIC एक से कनेक्ट हो सकता है ट्रंक जिसमें VLANs की वर्चुअल मशीन की जरूरत है (जो कि आदर्श रूप से VMWare मैनेजमेंट VLAN को नहीं ले जाना चाहिए)।
व्यवहार में उस अलगाव को लागू करने के लिए, जिन वस्तुओं का मैंने उल्लेख किया है और जो मुझे यकीन है कि अन्य लोगों के साथ आएंगे, उनके साथ एक समान रूप से सुरक्षित वातावरण मिलेगा।