如何设置 VLAN,以免面临 VLAN 跳跃的风险?

如何设置 VLAN,以免面临 VLAN 跳跃的风险?

我们计划将生产网络从无 VLAN 配置迁移到带标记的 VLAN (802.1q) 配置。下图总结了计划的配置:

VLAN 配置

一个重要的细节是,这些主机中的大部分实际上将是单个裸机上的虚拟机。事实上,唯一的物理机器将是 DB01、DB02、防火墙和交换机。所有其他机器都将在单个主机上虚拟化。

一个令人担心的问题是,这种方法太复杂了(太过复杂他们认为,VLAN 只是提供了安全的假象,因为“VLAN 跳跃很容易”。

考虑到虚拟化会导致单个物理交换机端口使用多个 VLAN,这种担心合理吗?我该如何正确设置 VLAN 以避免这种风险?

另外,我听说 VMWare ESX 有一种称为“虚拟交换机”的东西。这是 VMWare 虚拟机管理程序所独有的吗?如果不是,它是否可用于 KVM(我计划选择的虚拟机管理程序)?它是如何发挥作用的?

答案1

除了以下信息为什么人们告诉我不要为了安全而使用 VLAN?以下是一些需要考虑的更具体和一般的问题:


关于安全的一般想法
最安全的系统是每个子网的主机都连接到一个交换机,该交换机的端口数与所连接设备使用的端口数完全相同。在这样的配置中,您无法将随机机器插入您的安全网络,因为这样做需要拔掉某些东西(理论上您的监控系统会注意到这一点)。

VLAN 在安全性方面为您提供了类似的功能,它将交换机拆分为多个较小的虚拟交换机(虚拟 LAN:VLAN),这些虚拟交换机在逻辑上彼此隔离,并且通过适当的配置,对于连接到它们的所有系统来说,它们看起来就像是物理隔离的一样。


关于相对安全的 VLAN 设置的一般想法
我对支持 VLAN 的交换机的做法是,所有流量都必须分配给一个 VLAN,并具有以下基本配置:

将所有未使用的端口分配给“未使用的”VLAN。

所有连接到特定计算机的端口都应本机分配给该计算机所在的 VLAN。这些端口应位于独一无二VLAN(除了某些例外情况,我们暂时忽略)。
在这些端口上,所有传入发往交换机的数据包被标记为本地 VLAN,并且传出数据包(来自交换机)将(a)仅来自指定的 VLAN,并且(b)不带标记并且看起来就像任何常规以太网数据包一样。

唯一应该成为“VLAN 中继”的端口(位于多个 VLAN 中的端口)是中继端口——这些端口在交换机之间传输流量,或连接到防火墙,防火墙会自行分割 VLAN 流量。
在中继端口上,进入交换机的 VLAN 标签将受到尊重,VLAN 标签将不是从离开交换机的数据包中剥离出来。

上述配置意味着,您唯一可以轻松注入“VLAN 跳跃”流量的地方是中继端口(除非交换机的 VLAN 实现中存在软件问题),就像在“最安全”的场景中一样,这意味着拔掉一些重要的东西并引发监控警报。同样,如果您拔掉主机以连接到其所在的 VLAN,您的监控系统应该会注意到该主机的神秘消失并向您发出警报。
在这两种情况下我们谈论的是涉及对服务器进行物理访问的攻击——尽管它可能不是完全不可能要打破 VLAN 隔离,至少需要非常在如上所述设置的环境中很困难。


关于 VMWare 和 VLAN 安全的具体想法

VMWare 虚拟交换机可以分配给 VLAN - 当这些虚拟交换机连接到 VMWare 主机上的物理接口时,发出的任何流量都将具有适当的 VLAN 标记。
您的 VMWare 计算机的物理接口需要连接到 VLAN 中继端口(承载需要访问的 VLAN)。

在这种情况下,注意将管理 NIC 与虚拟机 NIC 分离的 VMWare 最佳实践就显得尤为重要:管理 NIC 应连接到适当 VLAN 中的本机端口,而虚拟机 NIC 应连接到具有虚拟机所需 VLAN 的中继(理想情况下不应承载 VMWare 管理 VLAN)。

在实践中,强制执行这种分离,结合我提到的项目以及我相信其他人会提出的建议,将会产生一个相当安全的环境。

答案2

VLan 跳跃很容易当且仅当允许恶意设备在不带有 VLAN 标签的中继上传输数据包。

这在以下情况下最常见。您的“正常”流量不是标记;你有一个“安全”的 VLAN,标记。由于“正常”网络上的机器可以传输未经过标记检查的数据包(最常见的情况是它们由接入交换机进行检查),因此数据包可能带有错误的 VLAN 标记,从而跳转到该 VLAN。

防止这种情况发生的简单方法是:所有流量都由接入交换机标记(防火墙/路由器可能是例外,具体取决于您的网络配置方式)。如果“正常”流量由接入交换机标记,那么恶意客户端伪造的任何标记都将被接入交换机丢弃(因为该端口无法访问该标记)。

简而言之,如果您使用 Vlan 标记,则必须在中继中标记所有内容以确保其安全。

答案3

通过在虚拟环境中进行大量渗透测试,我会添加以下两项进行观察:

规划虚拟环境就像您在真实环境中一样 - 您在现实世界中引入的任何结构或架构漏洞都可以很好地转化为虚拟世界。

正确获取虚拟配置- 我成功入侵 VM 或 LPAR 的攻击有 99% 都是由于错误配置或重复使用凭证造成的。

从技术层面上来说,考虑职责分工。以前由网络团队、服务器团队等处理的事情现在可能由一个团队处理。您的审计员可能会发现这很重要!

相关内容