web-dev-qa-db-ja.com

VLANホッピングの危険にさらされない方法でVLANを設定するにはどうすればよいですか?

本番ネットワークをVLANなしの構成からタグ付きのVLAN(802.1q)構成に移行する予定です。この図は、計画された構成を要約したものです。

VLAN configuration

重要な詳細の1つは、これらのホストの大部分が実際には単一のベアメタルマシン上のVMであることです。実際、唯一の物理マシンは、DB01、DB02、ファイアウォール、およびスイッチです。他のすべてのマシンは単一のホスト上で仮想化されます。

これまでの懸念の1つは、このアプローチが複雑(複雑すぎる暗示)であり、VLANは「VLANのホッピングが簡単」であるため、セキュリティの幻想を提供しているだけであることです。

仮想化のために単一の物理スイッチポートに複数のVLANが使用されることを考えると、これは有効な懸念事項ですか?このリスクを防ぐために、VLANを適切に設定するにはどうすればよいですか?

また、VMWare ESXには「仮想スイッチ」と呼ばれるものがあると聞きました。これはVMWareハイパーバイザーに固有のものですか?そうでない場合、KVM(選択した私の計画されたハイパーバイザー)?)で利用できますか?それはどのように機能しますか?

14
hobodave

セキュリティのためにVLANを使用しないように言われるのはなぜですか? に加えて、考慮すべきいくつかのより具体的で一般的なビットがあります。


セキュリティに関する一般的な考え
最も安全なシステムは、各サブネットのホストが、接続されたデバイスが使用するポート数とまったく同じ数のスイッチに接続されているシステムです。このような構成では、ランダムなマシンを安全なネットワークに接続することはできません。これを行うには、何かを取り外す必要があるためです(理論的には、監視システムがそれに気付くでしょう)。

VLANは、セキュリティの点で似たようなものを提供し、スイッチを論理的に相互に分離された小さな仮想スイッチ(仮想LAN:VLAN)に分割します。適切に構成すると、接続されているすべてのシステムから物理的に接続されているように見えます。分離されました。


比較的安全な一般的な考え方VLAN Setups
VLAN対応スイッチの私の習慣は、次の基本構成で、すべてのトラフィックをVLANに割り当てる必要があることです。

未使用のポートをすべて「未使用」のVLANに割り当てます。

特定のコンピューターに接続するすべてのポートは、ネイティブでVLANに割り当てられる必要があります。これらのポートは、1つだけである必要があります VLAN(今のところ無視する特定の例外を除いて)。
これらのポートでは、(スイッチへの)すべての着信パケットにネイティブVLAN、および発信パケットがタグ付けされています(スイッチから)(a)割り当てられたVLANからのみ発信され、(b)タグ付けされず、通常のイーサネットパケットと同じように表示されます。

「VLANトランク」(複数のVLANのポート)である必要がある唯一のポートは、トランクポートです。スイッチ間でトラフィックを伝送するポート、またはVLANトラフィックを分割するファイアウォールに接続するポートそのままで。
トランクポートでは、スイッチに着信するvlanタグが考慮され、vlanタグはスイッチを離れるパケットから削除されません

上記の構成は、「VLANホッピング」トラフィックを簡単に注入できる唯一の場所がトランクポート上にあることを意味します(スイッチのソフトウェアの問題がない場合)VLAN実装)、および「最も安全な」シナリオとは、重要なものを取り外して監視アラームを発生させることを意味します。同様に、ホストを取り外してVLANに接続している場合、監視システムに存在していると、ホストの不可解な消失と警告に気付くはずです。君は。
どちらの場合もサーバーへの物理アクセスを伴う攻撃について話している-それは完全に不可能に破壊するVLAN分離することは最低限である非常に難しい上記のように設定された環境で。


VMWareおよびVLAN Securityに関する特定の考え

VMWare仮想スイッチをVLAN-に割り当てることができます-これらの仮想スイッチがVMWareホストの物理インターフェースに接続されている場合、発生するトラフィックには適切なVLAN =タグ。
VMWareマシンの物理インターフェイスは、VLANトランクポート(アクセスが必要なVLANを搭載)に接続されている必要があります)。

このような場合、管理を分離するためのVMWareのベストプラクティスに注意を払うことは二重に重要ですNIC仮想マシンNICから:管理NICを接続する必要があります適切なVLANのネイティブポートに接続し、仮想マシンNICは、仮想マシンが必要とするVLAN(理想的には、VMWare管理VLANを実行しない)を持つトランクに接続する必要があります)。

実際、その分離を強制することは、私が言及した項目や他の人が思いつくであろうことと一致して、合理的に安全な環境を生み出します。

16
voretaq7

VLanホッピングは簡単ですif if only only不正なデバイスは、vlanタグなしでトランク上のパケットを送信できます。

これは、次の状況で最も一般的です。 「通常の」トラフィックはタグ付けされていませんがタグ付けされた「セキュア」VLANがあります。 「通常の」ネットワーク上のマシンはタグ検査されていないパケットを送信できるため(ほとんどの場合、アクセススイッチによるものです)、パケットに誤ったVLANタグがあり、VLANにホップする可能性があります。

これを防ぐ簡単な方法:すべてのトラフィックはアクセススイッチによってタグ付けされます(ネットワークの構成方法によっては、ファイアウォール/ルーターは例外になる場合があります)。 「通常の」トラフィックがアクセススイッチによってタグ付けされると、不正なクライアントが偽造したタグは、アクセススイッチによってドロップされます(そのポートはタグにアクセスできないため)。

つまり、VLANタギングを使用する場合は、トランク内のすべてにタグを付けて、安全に保つ必要があります。

12
Chris S

仮想環境でかなりの量の侵入テストを実行してから、次の2つの項目を追加して監視します。

仮想環境を計画する現実の環境とまったく同じように-現実の世界で導入する構造的または建築的な脆弱性は仮想世界にうまく変換されます。

仮想構成を正しく設定する-VMまたはLPARへの侵入を成功させたすべての99%は、構成の誤りまたは資格情報の再利用によるものです。

そして、あまり技術的ではないメモでは、義務の分離について考えてください。ネットワークチーム、サーバーチームなどによって処理されていたものが1つのチームになる場合があります。あなたの監査人はこれが重要だと思うかもしれません!

4
Rory Alsop