मैं वीएलएएन को एक तरह से कैसे स्थापित कर सकता हूं जो मुझे वीएलएएन हॉपिंग के लिए जोखिम में नहीं डालेगा?


14

हम अपने उत्पादन नेटवर्क को VLAN- कम कॉन्फ़िगरेशन से टैग किए गए VLAN (802.1q) कॉन्फ़िगरेशन से माइग्रेट करने की योजना बना रहे हैं। यह आरेख योजनाबद्ध विन्यास को सारांशित करता है:

वीएलएएन कॉन्फ़िगरेशन

एक महत्वपूर्ण विवरण यह है कि इन मेजबानों का एक बड़ा हिस्सा वास्तव में एक एकल नंगे धातु मशीन पर VMs होगा। वास्तव में, केवल भौतिक मशीनें DB01, DB02, फायरवॉल और स्विच होंगी। अन्य सभी मशीनों को एक ही मेजबान पर वर्चुअलाइज किया जाएगा।

एक चिंता जो यह है कि यह दृष्टिकोण जटिल है ( अतिव्याप्त निहित), और यह कि VLAN केवल सुरक्षा का भ्रम प्रदान कर रहे हैं, क्योंकि "VLAN hopping आसान है"।

क्या यह एक वैध चिंता है, यह देखते हुए कि वर्चुअलाइजेशन के कारण एक ही भौतिक स्विच पोर्ट के लिए कई वीएलएएन का उपयोग किया जाएगा? इस जोखिम को रोकने के लिए मैं अपने वीएलएएन को उचित रूप से कैसे स्थापित करूंगा?

इसके अलावा, मैंने सुना है कि VMWare ESX में "वर्चुअल स्विच" नामक कुछ है। क्या यह VMWare हाइपरवाइज़र के लिए अद्वितीय है? यदि नहीं, तो यह KVM (मेरी पसंद के योजनाबद्ध हाइपरविजर) के साथ उपलब्ध है? कैसे खेल में आता है?


2
पूछने से पहले .. Omnigraffle।
हॉबोडवे

1
डुप्लिकेट नहीं, लेकिन serverfault.com/questions/220442 प्रासंगिक है
voretaq7

7
इसे गलत तरीके से न लें: आपके पास अब कोई लेयर 2 सुरक्षा नहीं है, लेकिन आप वीएलएएन के रूप में लेयर 2 सुरक्षा को लागू करके एक संभावित, लेकिन अनुचित, सुरक्षा दोष के बारे में चिंतित हैं?
21

@joeqwerty: कोई अपराध नहीं हुआ। चिंता मेरी खुद की नहीं है।
हॉबोव्वे

जवाबों:


16

जानकारी के अलावा लोग मुझे सुरक्षा के लिए वीएलएएन का उपयोग न करने के लिए क्यों कहते हैं? यहाँ कुछ और विशिष्ट और सामान्य बिट्स पर विचार किया गया है:


सुरक्षा पर सामान्य विचार
सबसे सुरक्षित प्रणाली वह है जहां प्रत्येक सबनेट के होस्ट एक स्विच से जुड़े होते हैं, जो पोर्ट की संख्या है जो कनेक्टेड डिवाइस द्वारा उपयोग किया जाएगा। इस तरह के कॉन्फ़िगरेशन में आप अपने सुरक्षित नेटवर्क में यादृच्छिक मशीनों को प्लग नहीं कर सकते हैं, क्योंकि ऐसा करने के लिए कुछ को अनप्लग करना होगा (और सैद्धांतिक रूप से आपका मॉनिटरिंग सिस्टम नोटिस करेगा)।

वीएलएएन आपको सुरक्षा के मामले में कुछ ऐसा ही देता है, जो आपके स्विच को छोटे वर्चुअल स्विच (वर्चुअल लैन: वीएलएएन) में तोड़ देता है, जो एक दूसरे से तार्किक रूप से अलग-थलग हैं, और उचित कॉन्फ़िगरेशन के साथ उनसे जुड़े सभी सिस्टमों को प्रकट कर सकते हैं जैसे कि वे शारीरिक रूप से थे पृथक किया।


अपेक्षाकृत सुरक्षित वीएलएएन सेटअप पर सामान्य विचार
वीएलएएन-सक्षम स्विच के लिए मेरा अभ्यास यह है कि सभी ट्रैफ़िक को एक वीएलएएन को सौंपा जाना चाहिए, जिसमें निम्नलिखित बुनियादी कॉन्फ़िगरेशन हैं:

"अप्रयुक्त" वीएलएएन के लिए सभी अप्रयुक्त बंदरगाहों को असाइन करें।

किसी विशिष्ट कंप्यूटर से जुड़ने वाले सभी पोर्ट को स्थानीय रूप से VLAN को सौंपा जाना चाहिए जो कंप्यूटर में होना चाहिए। ये पोर्ट एक और केवल एक VLAN में होने चाहिए (कुछ अपवादों को छोड़कर जिन्हें हम अभी अनदेखा कर देंगे)।
इन बंदरगाहों पर सभी आवक पैकेट (स्विच पर) देशी वीएलएएन के साथ टैग किए गए हैं, और आउटगोइंग पैकेट (स्विच से) (ए) केवल निर्दिष्ट व्लान से ही उत्पन्न होंगे, और (बी) को किसी भी नियमित एथरगेट की तरह ही देखा जा सकता है। पैकेट।

एकमात्र पोर्ट जो "वीएलएएन ट्रंक" होना चाहिए (एक से अधिक वीएलएएन में पोर्ट) ट्रंक पोर्ट हैं - जो स्विच के बीच ट्रैफ़िक ले जा रहे हैं, या एक फ़ायरवॉल से कनेक्ट हो रहे हैं जो वीएलएएन ट्रैफ़िक को अपने आप विभाजित कर देगा।
ट्रंक पोर्ट पर स्विच में आने वाले वलान टैग का सम्मान किया जाएगा, और स्विच छोड़ने वाले पैकेट से वलान टैग नहीं छीने जाएंगे।

ऊपर वर्णित कॉन्फ़िगरेशन का मतलब है कि एकमात्र स्थान जिसे आप आसानी से "वीएलएएन होपिंग" ट्रैफ़िक को इंजेक्ट कर सकते हैं, एक ट्रंक पोर्ट पर है (आपके स्विच 'वीएलएएन कार्यान्वयन में एक सॉफ़्टवेयर समस्या को रोकते हुए), और "सबसे सुरक्षित" परिदृश्य में बहुत पसंद है इसका मतलब यह है कि कुछ को अनप्लग करना महत्वपूर्ण और निगरानी अलार्म के कारण। इसी तरह यदि आप वीएलएएन से जुड़ने के लिए एक होस्ट को अनप्लग करते हैं तो यह आपके मॉनिटरिंग सिस्टम में रहता है, आपको उस होस्ट के रहस्यमय ढंग से गायब होने की सूचना देनी चाहिए और आपको सचेत करना चाहिए।
इन दोनों मामलों में हम एक हमले की बात कर रहे हैं जिसमें सर्वर तक शारीरिक पहुंच शामिल है - जबकि वीएलएएन अलगाव को तोड़ना पूरी तरह से असंभव नहीं हो सकता है, जैसा कि ऊपर वर्णित वातावरण में सेट किया गया यह न्यूनतम बहुत मुश्किल है।


VMWare और VLAN सुरक्षा पर विशिष्ट विचार

VMWare वर्चुअल स्विचेस को VLAN को सौंपा जा सकता है - जब ये वर्चुअल स्विच VMWare होस्ट पर एक भौतिक इंटरफ़ेस से जुड़े होते हैं, तो उत्सर्जित किसी भी ट्रैफ़िक में उपयुक्त VLAN टैग होगा।
आपके VMWare मशीन के भौतिक इंटरफ़ेस को एक VLAN ट्रंक पोर्ट (VLANs को ले जाने की आवश्यकता होगी जो इसे एक्सेस करना होगा) से जुड़ा होना चाहिए।

ऐसे मामलों में वर्चुअल मशीन NIC से प्रबंधन NIC को अलग करने के लिए VMWare बेस्ट प्रैक्टिसेस पर ध्यान देना दोगुना महत्वपूर्ण है: आपका प्रबंधन NIC एक उपयुक्त VLAN में एक मूल पोर्ट से जुड़ा होना चाहिए, और आपका वर्चुअल मशीन NIC एक से कनेक्ट हो सकता है ट्रंक जिसमें VLANs की वर्चुअल मशीन की जरूरत है (जो कि आदर्श रूप से VMWare मैनेजमेंट VLAN को नहीं ले जाना चाहिए)।

व्यवहार में उस अलगाव को लागू करने के लिए, जिन वस्तुओं का मैंने उल्लेख किया है और जो मुझे यकीन है कि अन्य लोगों के साथ आएंगे, उनके साथ एक समान रूप से सुरक्षित वातावरण मिलेगा।


12

वीएलएन hopping आसान है अगर और केवल अगर दुष्ट उपकरणों को vlan टैग के बिना चड्डी पर पैकेट को ट्रसमिट करने की अनुमति है।

यह निम्नलिखित स्थिति में सबसे आम है। आपके 'सामान्य' ट्रैफ़िक को टैग नहीं किया गया है; यदि आप एक 'सुरक्षित' VLAN कि है टैग किया। चूंकि 'सामान्य' नेटवर्क पर मशीनें पैकेटों को प्रसारित कर सकती हैं, जो टैग-निरीक्षण नहीं किए जाते हैं (आमतौर पर वे एक्सेस स्विच द्वारा होंगे) पैकेट में एक झूठा vlan टैग हो सकता है, और इस प्रकार vlan पर हॉप हो सकता है।

इसे रोकने का आसान तरीका: सभी ट्रैफ़िक एक्सेस स्विच द्वारा टैग किए जाते हैं (फ़ायरवॉल / राउटर एक अपवाद हो सकता है, यह इस बात पर निर्भर करता है कि आपका नेटवर्क कैसे कॉन्फ़िगर किया गया है)। यदि एक्सेस स्विच द्वारा 'सामान्य' ट्रैफ़िक को टैग किया जाता है, तो किसी भी टैग दुष्ट क्लाइंट फोर्सेस को एक्सेस स्विच द्वारा गिरा दिया जाएगा (क्योंकि उस पोर्ट में टैग तक पहुंच नहीं होगी)।

संक्षेप में, यदि आप वलन टैगिंग का उपयोग करते हैं, तो इसे सुरक्षित रखने के लिए सब कुछ चड्डी में टैग किया जाना चाहिए।


सुनिश्चित नहीं है कि जब मैं vlans के बारे में बात कर रहा हूं तो "एनकैप्सुलेटेड" शब्द का उपयोग किया जाएगा ... इसका सिर्फ एक टैग नहीं है?
SpacemanSpiff

2
बस यह कहते हुए कि एक विशिष्ट पोर्ट से सभी ट्रैफ़िक को वलान में टैग किया जा सकता है, इस प्रकार एक होस्ट से सभी ट्रैफ़िक को उस वलान में समाहित किया जाता है, इसलिए कोई रोक नहीं है।
जोरिस

मूल समस्या यह है कि मिश्रण में VM भी हैं और उसे भरोसा करना चाहिए कि VMs स्विच की तरह भरोसेमंद हैं।
क्रिस

3
@ क्रिस, अगर वीएम होस्ट की ट्रंक लाइन है, तो हाँ आपको होस्ट पर भरोसा करना चाहिए। मेजबान के हाइपरविजर सॉफ्टवेयर को हालांकि स्वयं टैगिंग करनी चाहिए, इसलिए आपको वीएम पर भरोसा नहीं करना चाहिए। मुझे पता है कि ईएक्ससीआई और हाइपर-वी ऐसा करेंगे, अन्य शायद भी करेंगे।
क्रिस एस

4

आभासी वातावरण पर पैठ परीक्षण की उचित मात्रा में ले जाने से मैं इन दो वस्तुओं को देखने के लिए जोड़ूंगा:

अपने आभासी वातावरण की योजना वैसे ही बनाएं जैसे कि आप एक वास्तविक वातावरण बनाते हैं - वास्तविक दुनिया में आपके द्वारा पेश की जाने वाली किसी भी संरचनात्मक या वास्तु संबंधी कमजोरियों का आभासी दुनिया में अच्छी तरह से अनुवाद होगा।

अपने आभासी कॉन्फ़िगरेशन को सही से प्राप्त करें - सभी सफल पैठ का 99% मैं वीएम या एलपीएआर में कामयाब रहा है जो गलतफहमी या क्रेडेंशियल्स के पुन: उपयोग के माध्यम से हुआ है।

और कम तकनीकी नोट पर, कर्तव्यों के अलगाव के बारे में भी सोचें । हो सकता है कि नेटवर्क टीमों, सर्वर टीमों आदि द्वारा संभाला गया हो, अब एक टीम हो सकती है। आपके ऑडिटर को यह महत्वपूर्ण लग सकता है!


1
वीएम पर्यावरण की योजना बनाने के लिए +1, जैसे कि यह भौतिक है - कमजोरियां 1 से 1 के नक्शे पर नहीं हो सकती हैं, लेकिन यह आमतौर पर बहुत सुंदर है।
voretaq7
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.