VLAN 호핑 위험에 노출되지 않는 방식으로 VLAN을 설정하려면 어떻게해야합니까?

프로덕션 네트워크를 VLAN이없는 구성에서 태그가있는 VLAN (802.1q) 구성으로 마이그레이션 할 계획입니다. 이 다이어그램은 계획된 구성을 요약합니다.

한 가지 중요한 세부 사항은 이러한 호스트의 많은 부분이 실제로 단일 베어 메탈 머신의 VM이라는 것입니다. 실제로 유일한 물리적 머신은 DB01, DB02, 방화벽 및 스위치입니다. 다른 모든 머신은 단일 호스트에서 가상화됩니다.

한 가지 우려 사항은이 접근 방식이 복잡하고 ( 과도하게 복잡함 ) "VLAN 호핑이 쉬워"VLAN이 보안에 대한 환상만을 제공한다는 것입니다.

가상화로 인해 단일 물리적 스위치 포트에 여러 개의 VLAN이 사용된다는 점을 고려할 때 이것이 유효한 문제입니까? 이 위험을 방지하기 위해 VLAN을 적절하게 설정하려면 어떻게해야합니까?

또한 VMWare ESX에는 "가상 스위치"라는 것이 있다고 들었습니다. 이것이 VMWare 하이퍼 바이저에 고유합니까? 그렇지 않은 경우 KVM (선택한 하이퍼 바이저 선택)과 함께 사용할 수 있습니까? 그것이 어떻게 작용합니까?

사람들이 왜 보안을 위해 VLAN을 사용하지 말라고 알려주 는가 에 대한 정보 외에도 ? 고려해야 할 좀 더 구체적이고 일반적인 비트는 다음과 같습니다.

보안에 대한 일반적인 생각
가장 안전한 시스템은 각 서브넷의 호스트가 연결된 장치에서 사용할 포트 수를 정확히 가진 스위치에 연결된 시스템입니다. 이러한 구성에서는 임의의 시스템을 보안 네트워크에 꽂을 수 없습니다. 그렇게하려면 무언가 플러그를 뽑아야합니다 (이론적으로는 모니터링 시스템에서이를 알 수 있습니다).

VLAN은 보안 측면에서 유사한 것을 제공하여 스위치를 논리적으로 서로 분리 된 더 작은 가상 스위치 (가상 LAN : VLAN)로 분리하며 적절한 구성을 사용하면 연결된 것처럼 모든 시스템에 물리적으로있는 것처럼 보일 수 있습니다 외딴.

비교적 안전한 VLAN 설정에 대한 일반적인 생각
VLAN 지원 스위치를 사용하려면 다음과 같은 기본 구성으로 모든 트래픽을 VLAN에 할당해야합니다.

사용하지 않는 모든 포트를 "사용하지 않은"VLAN에 할당하십시오.

특정 컴퓨터에 연결하는 모든 포트는 컴퓨터가 있어야하는 VLAN에 기본적으로 할당되어야합니다.이 포트는 하나의 VLAN 에만 있어야 합니다 (지금은 무시할 특정 예외는 제외).
이 모든 포트에서 수신 (스위치에) 패킷을 네이티브 VLAN 태그하고, 나가는 (스위치)에서 패킷 것이다 (A)에만 할당 된 VLAN에서 발생한, 그리고 (b) 태그 화하고 그냥 일반 이더넷과 같이 표시 패킷.

"VLAN 트렁크"(VLAN 트렁크 이상)의 유일한 포트는 스위치간에 트래픽을 전달하거나 VLAN 트래픽을 자체적으로 분리하는 방화벽에 연결하는 트렁크 포트입니다.
트렁크 포트에서는 스위치로 들어오는 VLAN 태그가 존중 되며 스위치를 떠나는 패킷에서 VLAN 태그가 제거 되지 않습니다 .

위에서 설명한 구성은 "VLAN 호핑"트래픽을 쉽게 주입 할 수있는 유일한 장소는 트렁크 포트에 있고 (스위치의 VLAN 구현에서 소프트웨어 문제는 제외 함) "가장 안전한"시나리오에서와 마찬가지로 무언가 플러그를 뽑는 것을 의미합니다 중요하고 모니터링 경보가 발생합니다. 마찬가지로 호스트의 플러그를 뽑아 VLAN에 연결하면 모니터링 시스템에 호스트의 신비한 실종을 알리고 경고합니다.
이 두 가지 경우 모두 서버에 대한 물리적 액세스와 관련된 공격에 대해 이야기하고 있습니다. VLAN 격리를 완전히 해제하는 것은 불가능 하지는 않지만 위에서 설명한 환경 설정 에서는 최소한 매우 어렵습니다.

VMWare 및 VLAN 보안에 대한 특정 생각

VMWare 가상 스위치는 VLAN에 할당 될 수 있습니다. 이러한 가상 스위치가 VMWare 호스트의 물리적 인터페이스에 연결되면 생성 된 모든 트래픽에 적절한 VLAN 태그가 있습니다.
VMWare 시스템의 물리적 인터페이스는 VLAN 트렁크 포트에 연결해야합니다 (VLAN을 액세스해야 함).

이와 같은 경우 가상 시스템 NIC에서 관리 NIC를 분리하기위한 VMWare 모범 사례에주의를 기울여야합니다. 관리 NIC는 적절한 VLAN의 기본 포트에 연결되어야하며 가상 시스템 NIC는 가상 머신에 필요한 VLAN이있는 트렁크 (VMWare 관리 VLAN을 전달하지 않는 것이 이상적임)

실제로, 언급 한 항목 및 다른 사람들이 제시 할 내용과 함께 분리를 적용하면 합리적으로 안전한 환경을 얻을 수 있습니다.

불량 장치가 VLAN 태그없이 트렁크에서 패킷을 전송하도록 허용 된 경우에만 VLan 호핑이 용이 합니다.

이것은 다음 상황에서 가장 일반적입니다. '정상적인'트래픽 에는 태그 가 없습니다 . 태그 가 지정된 '보안'vlan이 있습니다. '정상적인'네트워크상의 기계는 태그 검사되지 않은 패킷을 전송할 수 있기 때문에 (가장 일반적으로 액세스 스위치에 의해) 패킷에 잘못된 VLAN 태그가 생겨 VLAN에 홉할 수 있습니다.

이를 방지하는 쉬운 방법 : 모든 트래픽에 액세스 스위치가 표시됩니다 (네트워크 구성 방법에 따라 방화벽 / 라우터는 예외 일 수 있음). 액세스 스위치가 '정상적인'트래픽에 태그를 지정하면 해당 포트가 태그에 액세스 할 수 없기 때문에 불량 클라이언트가 위조 한 태그가 액세스 스위치에 의해 삭제됩니다.

즉, VLAN 태깅을 사용하는 경우 모든 태그를 트렁크에 태그하여 안전하게 유지해야합니다.

가상 환경에서 상당한 양의 침투 테스트를 수행 한 후 다음 두 가지 항목을 추가하여 살펴 봅니다.

실제 환경에서 와 동일한 방식으로 가상 환경을 계획하십시오 . 실제 환경에서 도입 한 구조적 또는 건축 적 취약점으로 인해 가상 환경으로 잘 변환 될 수 있습니다.

가상 구성을 올바르게 수행하십시오. VM 또는 LPAR에 성공적으로 침투 한 전체 침투의 99 %가 잘못 구성되었거나 자격 증명을 재사용 한 것입니다.

그리고 기술적 인 내용이 적 으면서 업무 분리에 대해서도 생각 하십시오 . 네트워크 팀, 서버 팀 등에 의해 처리되었을 수있는 것은 이제 하나의 팀이 될 수 있습니다. 감사가이 사실을 알게 될 것입니다!