VLAN 호핑 위험에 노출되지 않는 방식으로 VLAN을 설정하려면 어떻게해야합니까?


14

프로덕션 네트워크를 VLAN이없는 구성에서 태그가있는 VLAN (802.1q) 구성으로 마이그레이션 할 계획입니다. 이 다이어그램은 계획된 구성을 요약합니다.

VLAN 구성

한 가지 중요한 세부 사항은 이러한 호스트의 많은 부분이 실제로 단일 베어 메탈 머신의 VM이라는 것입니다. 실제로 유일한 물리적 머신은 DB01, DB02, 방화벽 및 스위치입니다. 다른 모든 머신은 단일 호스트에서 가상화됩니다.

한 가지 우려 사항은이 접근 방식이 복잡하고 ( 과도하게 복잡함 ) "VLAN 호핑이 쉬워"VLAN이 보안에 대한 환상만을 제공한다는 것입니다.

가상화로 인해 단일 물리적 스위치 포트에 여러 개의 VLAN이 사용된다는 점을 고려할 때 이것이 유효한 문제입니까? 이 위험을 방지하기 위해 VLAN을 적절하게 설정하려면 어떻게해야합니까?

또한 VMWare ESX에는 "가상 스위치"라는 것이 있다고 들었습니다. 이것이 VMWare 하이퍼 바이저에 고유합니까? 그렇지 않은 경우 KVM (선택한 하이퍼 바이저 선택)과 함께 사용할 수 있습니까? 그것이 어떻게 작용합니까?


2
물어보기 전에 .. Omnigraffle.
hobodave

1
중복은 아니지만 serverfault.com/questions/220442 는 관련이 있습니다
voretaq7

7
잘못된 방법으로 사용하지 마십시오. 이제 계층 2 보안이 없지만 VLAN 형식으로 계층 2 보안을 구현하여 발생할 수 있지만 불가능한 보안 결함이 발생 할까 걱정됩니까?
joeqwerty

@joeqwerty : 위반이 없습니다. 걱정은 내 자신이 아니다.
hobodave

답변:


16

사람들이 왜 보안을 위해 VLAN을 사용하지 말라고 알려주 는가 에 대한 정보 외에도 ? 고려해야 할 좀 더 구체적이고 일반적인 비트는 다음과 같습니다.


보안에 대한 일반적인 생각
가장 안전한 시스템은 각 서브넷의 호스트가 연결된 장치에서 사용할 포트 수를 정확히 가진 스위치에 연결된 시스템입니다. 이러한 구성에서는 임의의 시스템을 보안 네트워크에 꽂을 수 없습니다. 그렇게하려면 무언가 플러그를 뽑아야합니다 (이론적으로는 모니터링 시스템에서이를 알 수 있습니다).

VLAN은 보안 측면에서 유사한 것을 제공하여 스위치를 논리적으로 서로 분리 된 더 작은 가상 스위치 (가상 LAN : VLAN)로 분리하며 적절한 구성을 사용하면 연결된 것처럼 모든 시스템에 물리적으로있는 것처럼 보일 수 있습니다 외딴.


비교적 안전한 VLAN 설정에 대한 일반적인 생각
VLAN 지원 스위치를 사용하려면 다음과 같은 기본 구성으로 모든 트래픽을 VLAN에 할당해야합니다.

사용하지 않는 모든 포트를 "사용하지 않은"VLAN에 할당하십시오.

특정 컴퓨터에 연결하는 모든 포트는 컴퓨터가 있어야하는 VLAN에 기본적으로 할당되어야합니다.이 포트는 하나의 VLAN 에만 있어야 합니다 (지금은 무시할 특정 예외는 제외).
이 모든 포트에서 수신 (스위치에) 패킷을 네이티브 VLAN 태그하고, 나가는 (스위치)에서 패킷 것이다 (A)에만 할당 된 VLAN에서 발생한, 그리고 (b) 태그 화하고 그냥 일반 이더넷과 같이 표시 패킷.

"VLAN 트렁크"(VLAN 트렁크 이상)의 유일한 포트는 스위치간에 트래픽을 전달하거나 VLAN 트래픽을 자체적으로 분리하는 방화벽에 연결하는 트렁크 포트입니다.
트렁크 포트에서는 스위치로 들어오는 VLAN 태그가 존중 되며 스위치를 떠나는 패킷에서 VLAN 태그가 제거 되지 않습니다 .

위에서 설명한 구성은 "VLAN 호핑"트래픽을 쉽게 주입 할 수있는 유일한 장소는 트렁크 포트에 있고 (스위치의 VLAN 구현에서 소프트웨어 문제는 제외 함) "가장 안전한"시나리오에서와 마찬가지로 무언가 플러그를 뽑는 것을 의미합니다 중요하고 모니터링 경보가 발생합니다. 마찬가지로 호스트의 플러그를 뽑아 VLAN에 연결하면 모니터링 시스템에 호스트의 신비한 실종을 알리고 경고합니다.
이 두 가지 경우 모두 서버에 대한 물리적 액세스와 관련된 공격에 대해 이야기하고 있습니다. VLAN 격리를 완전히 해제하는 것은 불가능 하지는 않지만 위에서 설명한 환경 설정 에서는 최소한 매우 어렵습니다.


VMWare 및 VLAN 보안에 대한 특정 생각

VMWare 가상 스위치는 VLAN에 할당 될 수 있습니다. 이러한 가상 스위치가 VMWare 호스트의 물리적 인터페이스에 연결되면 생성 된 모든 트래픽에 적절한 VLAN 태그가 있습니다.
VMWare 시스템의 물리적 인터페이스는 VLAN 트렁크 포트에 연결해야합니다 (VLAN을 액세스해야 함).

이와 같은 경우 가상 시스템 NIC에서 관리 NIC를 분리하기위한 VMWare 모범 사례에주의를 기울여야합니다. 관리 NIC는 적절한 VLAN의 기본 포트에 연결되어야하며 가상 시스템 NIC는 가상 머신에 필요한 VLAN이있는 트렁크 (VMWare 관리 VLAN을 전달하지 않는 것이 이상적임)

실제로, 언급 한 항목 및 다른 사람들이 제시 할 내용과 함께 분리를 적용하면 합리적으로 안전한 환경을 얻을 수 있습니다.


12

불량 장치가 VLAN 태그없이 트렁크에서 패킷을 전송하도록 허용 된 경우에만 VLan 호핑이 용이 합니다.

이것은 다음 상황에서 가장 일반적입니다. '정상적인'트래픽 에는 태그 가 없습니다 . 태그 지정된 '보안'vlan이 있습니다. '정상적인'네트워크상의 기계는 태그 검사되지 않은 패킷을 전송할 수 있기 때문에 (가장 일반적으로 액세스 스위치에 의해) 패킷에 잘못된 VLAN 태그가 생겨 VLAN에 홉할 수 있습니다.

이를 방지하는 쉬운 방법 : 모든 트래픽에 액세스 스위치가 표시됩니다 (네트워크 구성 방법에 따라 방화벽 / 라우터는 예외 일 수 있음). 액세스 스위치가 '정상적인'트래픽에 태그를 지정하면 해당 포트가 태그에 액세스 할 수 없기 때문에 불량 클라이언트가 위조 한 태그가 액세스 스위치에 의해 삭제됩니다.

즉, VLAN 태깅을 사용하는 경우 모든 태그를 트렁크에 태그하여 안전하게 유지해야합니다.


vlan에 대해 이야기 할 때 "캡슐화 된"이라는 용어를 사용할지 확실하지 않습니다. 태그 만있는 것이 아닙니다.
SpacemanSpiff

2
특정 포트의 모든 트래픽을 VLAN에 태그를 추가하면 호스트의 모든 트래픽이 해당 VLAN에 포함되므로 도약하지 않아도됩니다.
Joris

기본 문제는 믹스에 VM도 있으며 VM이 스위치만큼 신뢰할 수 있음을 신뢰해야한다는 것입니다.
chris

3
@ chris, VM 호스트에 트렁크 라인이 있으면 호스트를 신뢰해야합니다. 그러나 호스트의 하이퍼 바이저 소프트웨어는 태그 자체를 수행해야하므로 VM을 신뢰할 필요가 없습니다. ESXi와 Hyper-V 가이 작업을 수행하고 다른 사람들 도이 작업을 수행한다는 것을 알고 있습니다.
Chris S

4

가상 환경에서 상당한 양의 침투 테스트를 수행 한 후 다음 두 가지 항목을 추가하여 살펴 봅니다.

실제 환경에서 와 동일한 방식으로 가상 환경을 계획하십시오 . 실제 환경에서 도입 한 구조적 또는 건축 적 취약점으로 인해 가상 환경으로 잘 변환 될 수 있습니다.

가상 구성을 올바르게 수행하십시오. VM 또는 LPAR에 성공적으로 침투 한 전체 침투의 99 %가 잘못 구성되었거나 자격 증명을 재사용 한 것입니다.

그리고 기술적 인 내용이 적 으면서 업무 분리에 대해서도 생각 하십시오 . 네트워크 팀, 서버 팀 등에 의해 처리되었을 수있는 것은 이제 하나의 팀이 될 수 있습니다. 감사가이 사실을 알게 될 것입니다!


1
물리적 환경과 같은 방식으로 VM 환경을 계획하는 데 +1-이 취약점은 일대일로 매핑되지 않을 수 있지만 일반적으로 매우 가깝습니다.
voretaq7
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.