¿Cómo puedo configurar las VLAN de una manera que no me ponga en riesgo de saltar VLAN?

Estamos planeando migrar nuestra red de producción de una configuración sin VLAN a una configuración de VLAN etiquetada (802.1q). Este diagrama resume la configuración planificada:

Un detalle significativo es que una gran parte de estos hosts serán en realidad máquinas virtuales en una sola máquina de metal desnudo. De hecho, las únicas máquinas físicas serán DB01, DB02, los firewalls y los conmutadores. Todas las demás máquinas se virtualizarán en un solo host.

Una preocupación que se ha planteado es que este enfoque es complicado ( implícito demasiado complicado ), y que las VLAN solo proporcionan una ilusión de seguridad, porque "el salto de VLAN es fácil".

¿Es una preocupación válida, dado que se usarán varias VLAN para un solo puerto de conmutador físico debido a la virtualización? ¿Cómo configuraría mis VLAN adecuadamente para evitar este riesgo?

Además, escuché que VMWare ESX tiene algo llamado "conmutadores virtuales". ¿Es esto exclusivo del hipervisor VMWare? Si no, ¿está disponible con KVM (mi hipervisor de elección planificado)? ¿Cómo entra eso en juego?

Además de la información sobre ¿Por qué la gente me dice que no use VLAN para seguridad? Aquí hay algunos bits más específicos y generales a tener en cuenta:

Reflexiones generales sobre seguridad
El sistema más seguro es aquel en el que los hosts de cada subred están conectados a un conmutador que tiene exactamente la cantidad de puertos que usarán los dispositivos conectados. En dicha configuración, no puede conectar máquinas aleatorias a sus redes seguras, ya que hacerlo requeriría desconectar algo (y, en teoría, su sistema de monitoreo lo notaría).

Las VLAN le brindan algo similar en términos de seguridad, dividiendo su conmutador en conmutadores virtuales más pequeños (LAN virtuales: VLAN) que están aislados lógicamente entre sí, y con la configuración adecuada puede aparecer a todos los sistemas conectados a ellos como si estuvieran físicamente aislado.

Reflexiones generales sobre
configuraciones de VLAN relativamente seguras Mi práctica para los conmutadores con capacidad de VLAN es que todo el tráfico debe asignarse a una VLAN, con la siguiente configuración básica:

Asigne todos los puertos no utilizados a una VLAN "no utilizada".

Todos los puertos que se conectan a una computadora específica deben asignarse de forma nativa a la VLAN en la que debe estar la computadora. Estos puertos deben estar en una y solo una VLAN (salvo ciertas excepciones que ignoraremos por ahora).
En estos puertos, todos los paquetes entrantes (al conmutador) están etiquetados con la VLAN nativa, y los paquetes salientes (del conmutador) (a) solo se originarán desde el vlan asignado, y (b) estarán sin etiquetar y aparecerán como cualquier ethernet normal paquete.

Los únicos puertos que deberían ser "troncales VLAN" (puertos en más de una VLAN) son puertos troncales, aquellos que transportan tráfico entre conmutadores o que se conectan a un firewall que dividirá el tráfico VLAN por sí solo.
En los puertos troncales se respetarán las etiquetas vlan que ingresan al conmutador, y las etiquetas vlan no se eliminarán de los paquetes que salen del conmutador.

La configuración descrita anteriormente significa que el único lugar donde puede inyectar fácilmente el tráfico de "salto de VLAN" es en un puerto troncal (salvo un problema de software en la implementación de VLAN de sus conmutadores), y al igual que en el escenario "más seguro", esto significa desconectar algo importante y provocando una alarma de monitoreo. Del mismo modo, si desconecta un host para conectarse a la VLAN que vive en su sistema de monitoreo, debe notar la misteriosa desaparición de ese host y alertarlo.
En ambos casos , estamos hablando de un ataque que involucra el acceso físico a los servidores. Si bien puede no ser completamente imposible romper el aislamiento de VLAN, es como mínimo muy difícil en un entorno configurado como se describió anteriormente.

Pensamientos específicos sobre VMWare y VLAN Security

Los conmutadores virtuales VMWare se pueden asignar a una VLAN: cuando estos conmutadores virtuales están conectados a una interfaz física en el host VMWare, cualquier tráfico emitido tendrá la etiqueta VLAN adecuada.
La interfaz física de su máquina VMWare necesitaría estar conectada a un puerto troncal de VLAN (que transporta las VLAN a las que necesitará acceso).

En casos como este, es doblemente importante prestar atención a las mejores prácticas de VMWare para separar la NIC de administración de la NIC de máquina virtual: su NIC de administración debe estar conectada a un puerto nativo en una VLAN adecuada, y su NIC de máquina virtual debe conectarse a un troncal que tiene las VLAN que necesitan las máquinas virtuales (que idealmente no deberían llevar la VLAN de administración de VMWare).

En la práctica, hacer cumplir esa separación, junto con los elementos que mencioné y lo que estoy seguro de que otros encontrarán, generará un entorno razonablemente seguro.

El salto de VLan es fácil si y solo si los dispositivos no autorizados pueden transmitir paquetes en troncales sin etiquetas vlan.

Esto es más común en la siguiente situación. Su tráfico 'normal' no está etiquetado; tiene un vlan 'seguro' que está etiquetado. Dado que las máquinas en la red 'normal' pueden transmitir paquetes que no se inspeccionan mediante etiquetas (lo más común sería mediante los conmutadores de acceso), el paquete podría tener una etiqueta de vlan falsa y, por lo tanto, saltar a la vlan.

La forma fácil de evitar esto: todo el tráfico se etiqueta mediante conmutadores de acceso (los firewalls / enrutadores pueden ser una excepción, dependiendo de cómo esté configurada su red). Si el conmutador de acceso etiqueta el tráfico "normal", el conmutador de acceso descartará cualquier etiqueta que el cliente falso falsifique (porque ese puerto no tendría acceso a la etiqueta).

En resumen, si usa el etiquetado vlan, entonces todo debe estar etiquetado en los troncos para mantenerlo seguro.

Al realizar una buena cantidad de pruebas de penetración en entornos virtuales, agregaría estos dos elementos para observar:

Planifique su entorno virtual exactamente como lo haría con un entorno real, ya que cualquier vulnerabilidad estructural o arquitectónica que introduzca en el mundo real se traducirá bien en el mundo virtual.

Obtenga su configuración virtual correcta : el 99% de toda la penetración exitosa que he logrado en VM o LPAR ha sido por una configuración incorrecta o la reutilización de credenciales.

Y en una nota menos técnica, también piense en la segregación de deberes . Lo que puede haber sido manejado por equipos de red, equipos de servidores, etc. ahora puede ser un equipo. ¡Su auditor puede encontrar esto importante!