VLAN /サブネットを使用して管理をサービスから分離しますか?
背景:私は最近、より多くの経験と楽しいおもちゃで遊ぶことを期待して、自宅用のサーバーとマネージドスイッチを購入しました。ルーター、DD-WRT AP、Dellスイッチ、OpenLDAPサーバー、FreeRADIUSサーバー、OpenVPNゲートウェイ、家庭用PC、ゲーム機など、私が持っている、または持つ予定のデバイスとアプライアンスは、幅広い範囲をカバーする予定です。 VLANおよび関連するサブネット(たとえば、VID10は192.168.10.0/24上のデバイスによって設定されます)。アイデアは、ルーター/ FWを介してトラフィックを強制することにより、より機密性の高いアプライアンスを保護することです。
セットアップ:しばらく考えて計画した後、4つのVLANを暫定的に決定しました。1つはWAN接続用、1つはサーバー用、もう1つはホーム/パーソナルデバイス用です。 、および1つは管理用です。理論的には、ホームVLANはサーバーへのアクセスが制限され、管理VLANはセキュリティのために完全に分離されます。
質問:管理インターフェイスへのアクセスを制限したいのですが、一部のアプライアンスは他のデバイスからアクセスできる必要があるため、1つのVLANで管理(SSH、HTTP、RDP)のみを使用できるようにすることは可能/賢明です/ IPと他で利用可能なサービス(LDAP、DHCP、RADIUS、VPN)のみ?これは行われていることですか?それは私が思うセキュリティを私に与えますか、それとも何らかの方法で私を傷つけますか?
はい、この種の論理サービスのセグメンテーションは、SOHOネットワークのような小規模な展開ではめったにありませんが、産業用および超安全なネットワークで実行されます。 VLANは、本質的にそれ自体がセキュリティバリアではありません。大規模なネットワークでは、効率を上げるためにブロードキャストドメインをはるかに小さなセグメントに分割する必要がありますが、そのためには、ハードウェアに変更を加える必要があり、多くの場合、コストが高くなります。 VLANは、純粋に配線を介してではなく、柔軟なブロードキャストドメインをソフトウェア/ファームウェアで作成できるようにする試みです。
管理VLANを分離することで、セキュリティ関連の利点が得られます。
- 他のVLANで発生するレイヤ2攻撃にはさらされません(ただし、製造元が緩和策を講じていない限り、ARPフラッドなどのスイッチ動作のエクスプロイトはすべてのVLANをさらす可能性があります)。
- ローカルステーションのみが管理サービスにアクセスできるようにVLANをファイアウォールで保護し、サーバーのファイアウォールに加えて、ルーター自体からその制御を正確に行うことができます。
- 管理VLANはトラフィックが大幅に少なくなり、不器用なポートミラーリングなしでIDPSまたはその他の監視ツールを展開するのに適した場所になります。
ただし、ハードウェアと管理時間の両方でかなりのコストがかかります。
- すべてのサーバーに複数のNICとケーブル接続(またはVLAN機能を備えた実際のハイエンドNIC)が必要になるため、一方にクライアントサービスをバインドし、もう一方に管理サービスをバインドできます。
- サービスの有害な遅延に気付かないようにするには、かなり強力なルーターが必要です。
- DNSとIPの管理は4倍複雑になり、ファイアウォールの管理とルーティングの管理が必要になります。
- 一部のサービスでは、すべてのホストに表示されるように特別な構成が必要になり、avahi/zeroconfのものが正しく機能しない場合があります。
架空のネットワークでは、LANサービスへのすべてのホストの接続をサービスネットワークにルーティングし、再度ルーティングする必要があります。ルーターのハードウェアが切り替えられる間、ルーティングは単純なレイヤー2切り替えよりもはるかに複雑なプロセスであり、部分的にソフトウェアベースです。コアLAN機能の中間にルーターを配置すると、パフォーマンス、プロトコルサポート、およびサービスの可視性の点で混乱を招く可能性があるため、安価なSOHOルーターはおそらくその役割には適していません。
したがって、要約すると、はい、大企業や銀行やSCADAネットワークなどの超安全なシステムは、サービス/運用を管理からセグメント化し、いくつかのメリットを提供します。ただし、小規模な展開では、コストがメリットを上回る場合があります。それはすべてあなたがどれだけの時間とお金を使いたいかによります。