Wie kann ich VLANs so einrichten, dass ich kein Risiko für VLAN-Hopping habe?

Wir planen, unser Produktionsnetzwerk von einer VLAN-freien Konfiguration auf eine getaggte VLAN-Konfiguration (802.1q) zu migrieren. Dieses Diagramm fasst die geplante Konfiguration zusammen:

Ein wichtiges Detail ist, dass ein großer Teil dieser Hosts tatsächlich VMs auf einer einzelnen Bare-Metal-Maschine sind. Tatsächlich sind die einzigen physischen Maschinen DB01, DB02, die Firewalls und die Switches. Alle anderen Maschinen werden auf einem einzigen Host virtualisiert.

Es wurde befürchtet, dass dieser Ansatz kompliziert ( impliziert überkompliziert ) ist und dass die VLANs nur eine Illusion von Sicherheit bieten, weil "VLAN-Hopping einfach ist".

Ist dies ein berechtigtes Problem, da aufgrund der Virtualisierung mehrere VLANs für einen einzelnen physischen Switch-Port verwendet werden? Wie würde ich meine VLANs entsprechend einrichten, um dieses Risiko zu vermeiden?

Außerdem habe ich gehört, dass VMWare ESX sogenannte "virtuelle Switches" hat. Gilt dies nur für den VMWare-Hypervisor? Wenn nicht, ist es mit KVM (meinem geplanten Hypervisor der Wahl) verfügbar? Wie kommt das ins Spiel?

Zusätzlich zu den Informationen zu Warum sollte ich aus Sicherheitsgründen keine VLANs verwenden? Hier sind einige spezifischere und allgemeinere Aspekte zu beachten:

Allgemeine Gedanken zur Sicherheit
Das sicherste System ist eines, bei dem die Hosts jedes Subnetzes mit einem Switch verbunden sind, der genau die Anzahl der Ports aufweist, die von den angeschlossenen Geräten verwendet werden. In einer solchen Konfiguration können Sie keine zufälligen Maschinen in Ihre sicheren Netzwerke einstecken, da dies das Herausziehen eines Steckers erforderlich macht (und theoretisch würde Ihr Überwachungssystem dies bemerken).

VLANs bieten eine ähnliche Sicherheit, indem Sie Ihren Switch in kleinere virtuelle Switches (virtuelle LANs: VLANs) aufteilen, die logisch voneinander isoliert sind und bei richtiger Konfiguration für alle mit ihnen verbundenen Systeme so aussehen, als wären sie physisch isoliert.

Allgemeine Überlegungen zu relativ sicheren VLAN-Konfigurationen
Ich übe für VLAN-fähige Switches, dass der gesamte Datenverkehr einem VLAN mit der folgenden Grundkonfiguration zugewiesen werden muss:

Weisen Sie alle nicht verwendeten Ports einem "nicht verwendeten" VLAN zu.

Alle Ports, die mit einem bestimmten Computer verbunden sind, sollten dem VLAN zugewiesen sein, in dem sich der Computer befinden soll. Diese Ports sollten sich in einem und nur einem VLAN befinden (mit Ausnahme bestimmter Ausnahmen, die wir im Moment ignorieren).
An diesen Ports werden alle ankommenden Pakete (zum Switch) mit dem nativen VLAN gekennzeichnet, und abgehende Pakete (vom Switch) stammen (a) nur aus dem zugewiesenen VLAN, und (b) sind nicht mit Tags versehen und erscheinen wie jedes normale Ethernet Paket.

Die einzigen Ports, die "VLAN-Trunks" sein sollten (Ports in mehr als einem VLAN), sind Trunk-Ports - solche, die Datenverkehr zwischen Switches transportieren oder eine Verbindung zu einer Firewall herstellen, die den VLAN-Datenverkehr selbst aufteilt.
An den Trunk-Ports werden die zum Switch eingehenden vlan-Tags respektiert und vlan-Tags werden nicht von Paketen entfernt, die den Switch verlassen.

Die oben beschriebene Konfiguration bedeutet, dass der einzige Ort, an dem Sie problemlos "VLAN-Hopping" -Datenverkehr einspeisen können, ein Trunk-Port ist (abgesehen von einem Softwareproblem in der VLAN-Implementierung Ihrer Switches) wichtig und verursacht einen Überwachungsalarm. Wenn Sie einen Host vom Computer trennen, um eine Verbindung zum VLAN herzustellen, sollte dieser in Ihrem Überwachungssystem das mysteriöse Verschwinden des Hosts feststellen und Sie warnen.
In diesen beiden Fällen sprechen wir über einen Angriff physischen Zugriff auf die Server beteiligt - wenn es nicht sein kann , völlig unmöglich VLAN Isolation zu durchbrechen sie bei einem Minimum ist sehr schwierig , in einer Umgebung aufgebaut wie oben beschrieben.

Spezifische Gedanken zur VMWare- und VLAN-Sicherheit

Virtuelle VMWare-Switches können einem VLAN zugewiesen werden - Wenn diese virtuellen Switches mit einer physischen Schnittstelle auf dem VMWare-Host verbunden sind, verfügt der ausgegebene Datenverkehr über das entsprechende VLAN-Tag.
Die physische Schnittstelle Ihres VMWare-Computers muss mit einem VLAN-Trunk-Port verbunden sein (der die VLANs enthält, auf die der Computer zugreifen muss).

In solchen Fällen ist es doppelt wichtig, VMWare Best Practices zum Trennen der Management-NIC von der Virtual Machine-NIC zu beachten: Ihre Management-NIC sollte mit einem nativen Port in einem geeigneten VLAN verbunden sein, und Ihre Virtual Machine-NIC sollte mit einem verbunden sein Trunk mit den VLANs, die die virtuellen Maschinen benötigen (die das VMWare-Management-VLAN idealerweise nicht tragen sollten).

In der Praxis wird die Durchsetzung dieser Trennung in Übereinstimmung mit den von mir genannten Punkten und dem, was sich sicher andere einfallen lassen, eine einigermaßen sichere Umgebung ergeben.

VLan-Hopping ist genau dann einfach, wenn Rogue-Geräte Pakete auf Amtsleitungen ohne VLAN-Tags übertragen dürfen.

Dies ist am häufigsten in der folgenden Situation. Ihr "normaler" Datenverkehr ist nicht markiert. Sie haben ein "sicheres" VLAN, das markiert ist. Da Computer im "normalen" Netzwerk Pakete übertragen können, die nicht von Tags überprüft wurden (am häufigsten von den Zugriffsschaltern), könnte das Paket ein falsches vlan-Tag haben und somit auf das vlan springen.

Die einfache Möglichkeit, dies zu verhindern: Der gesamte Datenverkehr wird von Zugriffsschaltern gekennzeichnet (je nach Konfiguration Ihres Netzwerks können Firewalls / Router eine Ausnahme darstellen). Wenn der "normale" Datenverkehr durch den Zugriffsschalter gekennzeichnet wird, wird jedes von dem betrügerischen Client gefälschte Kennzeichen durch den Zugriffsschalter gelöscht (da dieser Port keinen Zugriff auf das Kennzeichen hat).

Kurz gesagt, wenn Sie VLAN-Tagging verwenden, muss alles in den Trunks mit Tags versehen werden, um die Sicherheit zu gewährleisten.

Ausgehend von einer Reihe von Penetrationstests in virtuellen Umgebungen möchte ich die folgenden beiden Elemente hinzufügen:

Planen Sie Ihre virtuelle Umgebung genauso wie eine reale Umgebung - da alle strukturellen oder architektonischen Schwachstellen, die Sie in die reale Welt einbringen, sich gut in die virtuelle Welt übertragen lassen.

Richtige virtuelle Konfiguration - 99% aller erfolgreichen Eingriffe in VMs oder LPARs erfolgten durch falsche Konfiguration oder Wiederverwendung von Anmeldeinformationen.

Denken Sie auch weniger technisch an die Aufgabentrennung . Was möglicherweise von Netzwerkteams, Serverteams usw. behandelt wurde, kann jetzt ein Team sein. Ihr Prüfer könnte dies für wichtig halten!