Menu

Polska

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Szwecja

Drottninggatan 86
111 36 Sztokholm
+46 762 041 514
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

US Region

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

  • en
  • pl
  • se
  • VLAN i nie tylko. Czy Twoja sieć ma te funkcje włączone?

    VLAN i nie tylko. Czy Twoja sieć ma te funkcje włączone?

    Date: 18.12.2024

    Autor:


    Wiele osób zastanawia się, dlaczego dobre projektowanie i wdrożenie funkcji LAN i Edge w firmowej sieci jest konieczne.

    Istnieje wiele odpowiedzi na to proste pytanie, a wśród nich wymienia się potrzebę posiadania dobrej sieci, która będzie jak najmniej podatna na niechciane ataki, a jednocześnie będzie w stanie spełnić wszystkie nasze wymagania.

    Konfiguracja VLAN w urządzeniach sieciowych, takich jak przełączniki Cisco i Mikrotik, pozwala na tworzenie logicznych, odizolowanych segmentów sieci, co jest kluczowe dla zarządzania ruchem sieciowym i ograniczenia niepożądanych rozgłoszeń.

    Przygotowaliśmy listę, dzięki której można sprawdzić, jak za pomocą standardowych funkcji, które często nie wymagają dodatkowych licencji, można zminimalizować wiele ryzyk oraz kiedy warto te funkcje włączyć.

    1. VLANy

    To może wydawać się zaskakujące lub zabawne dla doświadczonych inżynierów, ale w rzeczywistości nie ma w tym nic zabawnego.

    Z mojego doświadczenia wynika, że wielu administratorów systemów nawet nie wie dokładnie, czym jest VLAN i do czego służy! Tak, to smutna prawda, więc przejdźmy do sedna: VLAN to logicznie wydzielona sieć w ramach większej sieci fizycznej, co pozwala na ograniczenie ruchu rozgłoszeniowego, elastyczność w dostosowywaniu struktury sieci oraz zwiększone bezpieczeństwo poprzez separację ruchu sieciowego w różnych sieciach VLAN.

    VLAN (Wirtualne Sieci Lokalna) pozwalają na tworzenie odizolowanych segmentów sieci, w których komunikacja odbywa się tylko między urządzeniami znajdującymi się w tej samej sieci VLAN. Integracja z urządzeniami, takimi jak serwery NAS, jest możliwa tylko dla tych, które są częścią tej samej sieci VLAN, co zwiększa bezpieczeństwo danych. Dodatkowo, każde VLAN działa jako niezależna domena rozgłoszeniowa, co pozwala na efektywną izolację ruchu sieciowego.

    Segmentacja sieci jest kluczowym elementem w procesie odseparowania różnych typów ruchu sieciowego w dużych sieciach korporacyjnych. Segmentacja pozwala na izolację ruchu między urządzeniami, co jest szczególnie ważne dla zarządzania dostępem do zasobów i bezpieczeństwa w infrastrukturze sieciowej.

    Potencjalne zagrożenia: 

    • Jeden obszar rozgłoszeniowy dla całej sieci lub tylko sieci użytkowników może prowadzić do niepotrzebnego ruchu rozgłoszeniowego, który przy pętli ruchu może spowodować całkowitą awarię usług.
    • Logiczny podział sieci, na przykład za pomocą przełączników zarządzalnych i technologii VLAN, minimalizuje niepotrzebny ruch rozgłoszeniowy poprzez tworzenie niezależnych segmentów sieci.
    • Duże domeny rozgłoszeniowe są bardziej podatne na sniffing ruchu oraz łatwiejsze do przeprowadzenia ataków typu man-in-the-middle.
    • Brak VLANów może prowadzić do bałaganu w zarządzaniu.

    Rozwiązanie:

    Rozważ segmentację sieci za pomocą VLANów. VLANy często działają w połączeniu z podziałem na podsieci IP, więc dobrym podejściem jest zaplanowanie i zaprojektowanie segmentów przed wprowadzeniem zmian.

    Sieci wirtualne to technologia umożliwiająca tworzenie logicznych, odizolowanych segmentów w ramach jednej fizycznej sieci. Dzięki nim urządzenia mogą działać niezależnie od siebie, a także zapewniają zarządzanie ruchem i izolację między różnymi grupami użytkowników.

    Pamiętaj, że dobre projektowanie jest skuteczne nawet wiele lat później, więc myśl o sumaryzacji adresowania IP, projektuj podsieci wystarczająco duże, ale nie za duże. Ułatwiaj sobie zarządzanie, przypisując trzeciemu oktetowi adresu IP identyfikator VLAN:

    – dla podsieci 10.20.10.0/24 przypisz VLAN 10
    – dla podsieci 10.20.11.0/24 przypisz VLAN 11

    how to configure vlan
    Jak skonfigurować sieć vlan
    Projektowanie zabezpieczeń sieci LAN

    2. Mechanizmy Anti-loop; opóźnienia, straty, uciążliwości i inne.

    Kiedy w sieci pojawiają się pętle przełączania, zaczyna się gra w rozwiązywanie problemów, ponieważ systemy i usługi zaczynają wykazywać opóźnienia, a przeglądarki przestają odpowiadać, co prowadzi do skarg użytkowników i wzmożonego nacisku na działy IT. Dodając do tego efekt rozgłaszania, sieć może całkowicie przestać działać.

    Identyfikator VLAN ID jest używany do określenia, do której sieci VLAN należy dany ruch, co jest kluczowe przy przesyłaniu ramek przez łącza trunk, gdzie każdy strumień danych musi zawierać odpowiedni tag z VLAN ID.

    Potencjalne zagrożenia:

    • Błąd ludzki, na przykład podłączenie przewodu przez administratora IT do niewłaściwego portu, może spowodować utworzenie pętli. 
    • Brak działającego Spanning Tree to dodatkowe ryzyko, które prowadzi do efektu pętli. 
    • Nawet jeśli sieć działa poprawnie, można paść ofiarą błędu administratora wirtualizacji, np. błędu w łączeniu interfejsów na vSwitchu, co również może powodować pętle przełączania. 
    • Kolejne ryzyko pojawia się, gdy sieć jest fizycznie redundantna, a port przełącznika przestaje odbierać ramki BPDU i przechodzi w stan przekazywania, powodując pętlę. 
    grandmetric.com Loop Guard Delays Packet Drops Service Unavailable
    Anatomia Switching Loop

    Rozwiązanie:

    Funkcje, takie jak Loop Guard, mogą zapobiegać tworzeniu się pętli poprzez wprowadzanie dodatkowych kontroli i umieszczanie portu w stanie niespójności pętli STP, gdy zostanie wykryty warunek pętli. Stan niespójności pętli działa jak stan blokowania STP. 

    3. Inspekcja ARP. Czy masz pewność, że Twoje dane nie są przechwytywane?

    ARP to coś, co nadal nie jest w pełni rozumiane przez wszystkich. Jak pisałem tutaj: ARP – What is it for? jest to podstawowe zagadnienie, które powinien zrozumieć każdy specjalista sieciowy.

    Integracja z urządzeniami, takimi jak serwery NAS, jest możliwa tylko dla tych, które są częścią tej samej sieci VLAN, co zwiększa bezpieczeństwo danych.

    Ze względu na rozgłoszeniowy charakter ARP może on być wykorzystywany do naruszenia poufności danych użytkowników poprzez ataki typu man-in-the-middle.

    Potencjalne zagrożenia:

    Złośliwy użytkownik (lub haker) działający w segmencie Ethernet może użyć kilku technik do infekowania tablicy ARP innych urządzeń w tym samym segmencie, powodując, że zaczną one myśleć, iż złośliwy komputer jest zaufaną bramą. Kiedy zaczynają wysyłać ruch do złośliwego adresu MAC, hakerzy mogą przechwytywać sesje i podsłuchiwać prawdziwy ruch.

    A grandmetric.com Arp spoofing- arp poisoning
    Arp spoofing – przykład infekowania Arp

    Rozwiązanie:

    Jedną z metod zapobiegawczych jest użycie techniki inspekcji ARP na poziomie portu przełącznika ethernetowego. Dzięki temu przełącznik kontroluje wszystkie wiadomości ARP wpływające do portów i porównuje pary MAC i IP z tablicą uzyskaną z procesu DHCP Snooping. Jeśli przełącznik wykryje nieprawidłowe pary MAC i IP, wyłącza port. 

    DHCP to powszechnie używany protokół do dynamicznego uzyskiwania adresów IP w sieciach Ethernet. Ponieważ korzysta on z rozgłoszeń, podobnie jak ARP, DHCP jest podatny na ataki spoofingowe na warstwie 2, które mogą prowadzić do phishingu wrażliwych informacji.

    Potencjalne zagrożenia:

    DHCP działa na zasadzie „kto pierwszy, ten lepszy”, dlatego każdy host w tym samym segmencie L2 sieci może odpowiedzieć na komunikaty DHCP discover/request, stając się serwerem DHCP. Może to prowadzić do fałszywych ofert DHCP, co może skutkować przerwami w usługach lub atakami phishingowymi. 

    grandmetric.com DHCP Snooping Man in the middle
    Atak DHCP Spoofing

    Rozwiązanie:

    Zapobieganie takim problemom może być proste, ponieważ prawie wszyscy kluczowi dostawcy rozwiązań LAN oferują mechanizmy takie jak DHCP Snooping.

    Administrator IT konfiguruje porty przełącznika, dzieląc je na zaufane (na których są dozwolone wiadomości DHCP server) i niezaufane (gdzie są one blokowane). 

    5. Fałszowanie IP a odwrotne przekazywanie ścieżki

    Czasami, zwłaszcza podczas projektów Proof of Concept (PoC) lub audytów infrastruktury, administratorzy sieci zaczynają dostrzegać podejrzany ruch pochodzący z wewnętrznej sieci, który pochodzi z zakresów IP nie należących do sieci firmowej. Może to być znak złośliwej działalności, takiej jak fałszowanie IP.

    Segmentacja sieci jest kluczowym elementem w procesie odseparowania różnych typów ruchu sieciowego, co pozwala na izolację ruchu między urządzeniami i jest szczególnie ważne dla zarządzania dostępem do zasobów oraz bezpieczeństwa w infrastrukturze sieciowej.

    Potencjalne zagrożenia:

    With IP spoofing issues there are two general problems associated.

    • Generowanie niepożądanego ruchu może powodować dodatkowe obciążenie zasobów sieciowych. 
    • Aktywność fałszowania IP oznacza, że ktoś generuje ruch wewnątrz sieci firmowej z nieprawidłowymi źródłami. 
    grandmetric.com Syn Flood IP Spoofing DoS uRPF
    Syn Flood z atakiem IP Spoofing

    Rozwiązanie:

    Aby zapobiec fałszowaniu, można użyć odwrotnego przekazywania ścieżki (Reverse Path Forwarding), które sprawdza adres źródłowy pakietu względem tablicy routingu. Jeśli urządzenie widzi trasę, której użyłoby do przekazania ruchu do źródłowego adresu IP, pakiet jest akceptowany; w przeciwnym razie router go odrzuca. 

    grandmetric.com uRPF Reverse patch forwarding
    RPF – funkcja przekierowania wstecznego

     

    Autor

    Marcin Bialy

    Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


    Grandmetric: Network & Security