背景:我最近为家里购买了一台服务器和一台托管交换机,希望能获得更多的使用体验和一些有趣的玩具。我拥有或计划拥有的设备和电器范围很广:路由器、DD-WRT AP、戴尔交换机、OpenLDAP 服务器、FreeRADIUS 服务器、OpenVPN 网关、家用电脑、游戏机等。我打算使用 VLAN 和相关子网对我的网络进行分段(例如,VID10 由 192.168.10.0/24 上的设备填充)。这个想法是通过强制流量通过我的路由器/FW 来保护更敏感的设备。
设置:经过一段时间的思考和规划,我初步决定使用 4 个 VLAN:一个用于 WAN 连接,一个用于服务器,一个用于家庭/个人设备,一个用于管理。理论上,家庭 VLAN 对服务器的访问将受到限制,而管理 VLAN 将完全隔离以确保安全。
问题:因为我想限制对管理接口的访问,但有些设备必须可供其他设备访问,那么是否可以/明智地在一个 VLAN/IP 上只提供管理(SSH、HTTP、RDP),而在其他 VLAN/IP 上只提供服务(LDAP、DHCP、RADIUS、VPN)?这是可以做到的吗?它是否为我带来了我认为的安全性,还是在某种程度上损害了我?
答案1
是的,这种逻辑服务分段是在工业和超安全网络中执行的,但在 SOHO 网络等小规模部署中很少见。VLAN 本身本质上并不是安全屏障。为了提高效率,大型网络需要将其广播域划分为更小的段,但要做到这一点,您过去需要在硬件上进行更改,而这通常需要花费更多。VLAN 是一种尝试,允许在软件/固件中而不是纯粹通过布线来构建灵活的广播域。
通过隔离管理 VLAN,您确实可以获得一些与安全相关的优势
- 它不会受到发生在其他 VLAN 上的第 2 层攻击(尽管交换机行为漏洞(如 ARP 洪水)可能会暴露所有 VLAN,除非制造商已采取缓解措施)。
- 您可以对 VLAN 设置防火墙,使得只有本地站才能访问管理服务,并且除了服务器防火墙之外,还从路由器本身进行精确控制。
- 管理 VLAN 将承载更少的流量,并且是部署 IDPS 或其他监控工具的好地方,无需笨拙的端口镜像。
然而,在硬件和管理时间方面,这会产生一些重大成本。
- 您的所有服务器都需要多个网卡和电缆(或具有 VLAN 功能的真正高端网卡),这样您就可以在一个服务器上绑定客户端服务,在另一个服务器上绑定管理服务。
- 您确实需要一个相当强大的路由器,以免注意到您的服务上的一些有害延迟。
- 您的 DNS 和 IP 管理将变得更加复杂 4 倍,并且需要一些防火墙管理和路由管理。
- 某些服务需要特殊配置才能对所有主机可见,并且 avahi/zeroconf 可能无法正常工作。
在您假设的网络中,每个主机与 LAN 服务的连接都必须路由到服务网络,然后再路由回来。虽然路由器硬件是交换的,但路由比简单的第 2 层交换要复杂得多,并且部分基于软件。在核心 LAN 功能中间放置路由器可能会破坏性能、协议支持和服务可见性,因此廉价的 SOHO 路由器可能不是该角色的好选择。
因此,总而言之,大型企业和超安全系统(如银行或 SCADA 网络)确实会将其服务/运营与管理分开,并且确实会带来一些好处。然而,在小规模部署中,成本可能会超过收益。这完全取决于您想要花费多少时间和金钱。