Como posso configurar VLANs de uma maneira que não me coloque em risco com o salto de VLAN?

14

Planejamos migrar nossa rede de produção de uma configuração sem VLAN para uma configuração marcada de VLAN (802.1q). Este diagrama resume a configuração planejada:

Configuração de VLAN

Um detalhe significativo é que uma grande parte desses hosts será realmente VMs em uma única máquina bare-metal. De fato, as únicas máquinas físicas serão DB01, DB02, os firewalls e os switches. Todas as outras máquinas serão virtualizadas em um único host.

Uma preocupação que tem sido é que essa abordagem é complicada ( implícita em excesso ) e que as VLANs estão apenas fornecendo uma ilusão de segurança, porque "o salto de VLAN é fácil".

Isso é uma preocupação válida, já que várias VLANs serão usadas para uma única porta de switch físico devido à virtualização? Como eu configuraria minhas VLANs adequadamente para evitar esse risco?

Além disso, ouvi dizer que o VMWare ESX tem algo chamado "comutadores virtuais". Isso é exclusivo para o hypervisor VMWare? Caso contrário, ele está disponível no KVM (meu hipervisor planejado de escolha) ?. Como isso entra em jogo?

Hobobave
fonte
2
Antes que você pergunte .. Omnigraffle.
hobodave
1
Não é um duplicado, mas serverfault.com/questions/220442 é relevante
voretaq7
7
Não tome isso da maneira errada: você não tem segurança na camada 2 agora, mas está preocupado em introduzir uma falha de segurança possível, mas improvável, implementando a segurança da camada 2 na forma de VLANs?
Joeqwerty
@joeqwerty: Nenhuma ofensa tomada. A preocupação não é minha.
hobodave

Respostas:

16

Além das informações sobre Por que as pessoas me dizem para não usar VLANs por segurança? Aqui estão alguns bits mais específicos e gerais a serem considerados:



Considerações gerais sobre segurança O sistema mais seguro é aquele em que os hosts de cada sub-rede estão conectados a um switch com exatamente o número de portas que serão usadas pelos dispositivos conectados. Nessa configuração, você não pode conectar máquinas aleatórias em suas redes seguras, pois isso exigiria desconectar algo (e teoricamente seu sistema de monitoramento perceberia isso).

As VLANs oferecem algo semelhante em termos de segurança, dividindo seu switch em comutadores virtuais menores (LANs virtuais: VLANs) que são isolados um do outro logicamente, e com a configuração adequada pode aparecer em todos os sistemas conectados a eles como se estivessem fisicamente isolado.


Considerações gerais sobre configurações de VLAN relativamente seguras
Minha prática para switches compatíveis com VLAN é que todo o tráfego deve ser atribuído a uma VLAN, com a seguinte configuração básica:

Atribua todas as portas não utilizadas a uma VLAN "não utilizada".

Todas as portas que se conectam a um computador específico devem ser atribuídas nativamente à VLAN em que o computador deve estar. Essas portas devem estar em uma e apenas uma VLAN (exceto algumas exceções que ignoraremos por enquanto).
Nessas portas, todos os pacotes de entrada (para o switch) são marcados com a VLAN nativa, e os pacotes de saída (do switch) (a) se originam apenas da vlan atribuída e (b) não têm marcação e aparecem como qualquer Ethernet comum pacote.

As únicas portas que devem ser "troncos de VLAN" (portas em mais de uma VLAN) são portas de tronco - aquelas que transportam tráfego entre comutadores ou se conectam a um firewall que divide o tráfego da VLAN por conta própria.
Nas portas de tronco, os tags vlan recebidos no switch serão respeitados e os tags vlan não serão retirados dos pacotes que saem do switch.

A configuração descrita acima significa que o único lugar em que você pode facilmente injetar tráfego de "salto de VLAN" é em uma porta de tronco (impedindo um problema de software na implementação de VLAN dos seus comutadores) e, assim como no cenário "mais seguro", isso significa desconectar algo importante e causando um alarme de monitoramento. Da mesma forma, se você desconectar um host para conectar-se à VLAN, ela vive em seu sistema de monitoramento, observe o misterioso desaparecimento do host e o alertará.
Nos dois casos , estamos falando de um ataque que envolve acesso físico aos servidores - embora possa não ser completamente impossível interromper o isolamento da VLAN, é no mínimo muito difícil em um ambiente configurado como descrito acima.


Pensamentos específicos sobre VMWare e VLAN Security

Os comutadores virtuais VMWare podem ser atribuídos a uma VLAN - Quando esses comutadores virtuais são conectados a uma interface física no host VMWare, qualquer tráfego emitido terá o tag VLAN apropriado.
A interface física da sua máquina VMWare precisaria estar conectada a uma porta de tronco da VLAN (carregando as VLANs às quais ele precisará acessar).

Em casos como esse, é duplamente importante prestar atenção às práticas recomendadas do VMWare para separar a NIC de gerenciamento da NIC da máquina virtual: sua NIC de gerenciamento deve estar conectada a uma porta nativa em uma VLAN apropriada e a NIC da máquina virtual deve se conectar a um tronco que possui as VLANs que as máquinas virtuais precisam (que, idealmente, não devem transportar a VMWare Management VLAN).

Na prática, impor essa separação, em sintonia com os itens que mencionei e com o que tenho certeza de que outros irão criar, produzirá um ambiente razoavelmente seguro.

voretaq7
fonte
12

O salto do VLan é fácil se, e somente se, os dispositivos não autorizados puderem transmitir pacotes em troncos sem tags vlan.

Isso é mais comum na seguinte situação. O tráfego 'normal' não está marcado; você tem uma vlan 'segura' que está marcada. Como as máquinas na rede 'normal' podem transmitir pacotes que não são inspecionados por tags (normalmente seriam pelos comutadores de acesso), o pacote pode ter uma tag vlan falsa e, portanto, entrar na vlan.

A maneira mais fácil de evitar isso: todo o tráfego é marcado por switches de acesso (firewalls / roteadores podem ser uma exceção, dependendo de como sua rede está configurada). Se o tráfego 'normal' for marcado pelo switch de acesso, qualquer tag forjada pelo cliente não autorizado será eliminada pelo switch de acesso (porque essa porta não teria acesso ao tag).

Em resumo, se você usar a marcação vlan, tudo deverá ser marcado nos troncos para mantê-lo seguro.

Chris S
fonte
Não tenho certeza se usaria o termo "encapsulado" ao falar sobre vlans ... é apenas uma tag, não é?
SpacemanSpiff
2
Apenas adicionando que todo o tráfego de uma porta específica pode ser marcado em uma vlan, garantindo assim que todo o tráfego de um host esteja contido nessa vlan, para que não haja pulos.
Joris
O problema básico é que também existem VMs na mistura e ele deve confiar que as VMs são tão confiáveis ​​quanto os comutadores.
Chris
3
@chris, Se o host da VM tiver uma linha troncalizada, sim, você deve confiar no host. No entanto, o software de hipervisor do host deve fazer a marcação sozinho, para que você não precise confiar nas VMs. Eu sei que o ESXi e o Hyper-V farão isso, outros provavelmente também o farão.
22711 Chris S
4

Ao realizar uma quantidade razoável de testes de penetração em ambientes virtuais, eu adicionaria esses dois itens para observar:

Planeje seu ambiente virtual exatamente como você faria em um ambiente real - como qualquer vulnerabilidade estrutural ou arquitetural que você introduzir no mundo real se traduza bem no mundo virtual.

Acerte sua configuração virtual - 99% de toda a penetração bem-sucedida que eu gerenciei nas VMs ou LPARs foram por configuração incorreta ou reutilização de credenciais.

E em uma nota menos técnica, pense também na segregação de funções . O que pode ter sido tratado por equipes de rede, equipes de servidores etc. pode agora ser uma equipe. Seu auditor pode achar isso importante!

Rory Alsop
fonte
1
+1 para planejar um ambiente de VM como se fosse físico - as vulnerabilidades podem não ser mapeadas de 1 para 1, mas geralmente são muito próximas.
voretaq7