Usando VLANs / sub-redes para separar o gerenciamento dos serviços?

Navegue suas respostas
2

Contexto: Eu comprei recentemente um servidor e um switch gerenciado para minha casa na esperança de obter mais experiência e alguns brinquedos divertidos para brincar. Os dispositivos e aparelhos que tenho ou pretendo cobrir incluem um amplo espectro: roteador, DD-WRT AP, switch Dell, servidor OpenLDAP, servidor FreeRADIUS, gateway OpenVPN, PCs domésticos, consoles de jogos, etc. Pretendo segmentar minha rede com VLANs e sub-redes associadas (por exemplo, o VID10 é preenchido por dispositivos em 192.168.10.0/24). A ideia é proteger os dispositivos mais sensíveis, forçando o tráfego através do meu roteador / FW.

Configuração: Depois de pensar e planejar por algum tempo, decidi, provisoriamente, sobre 4 VLANs: uma para a conexão WAN, uma para servidores, uma para dispositivos pessoais / domésticos e uma para gerenciamento. Em teoria, a VLAN doméstica terá acesso limitado aos servidores, e a VLAN de gerenciamento ficará totalmente isolada por segurança.

Pergunta: Como desejo restringir o acesso a interfaces de gerenciamento, mas alguns dispositivos precisam estar acessíveis a outros dispositivos, é possível / sábio ter somente o gerenciamento (SSH, HTTP, RDP) disponível? em uma VLAN / IP e apenas serviços (LDAP, DHCP, RADIUS, VPN) disponíveis em outro? Isso é uma coisa que é feita? Isso me dá a segurança que eu acho que faz, ou me machuca de alguma forma?

    
por YouAreTheHat 12.06.2014 / 03:56

1 resposta

2

Sim, esse tipo de segmentação de serviços lógicos é realizado em redes industriais e ultra-seguras, embora raramente em implementações de pequena escala como uma rede SOHO. As VLANs não são por natureza uma barreira de segurança em si mesmas. As redes de grande escala precisam dividir seu domínio de broadcast em segmentos muito menores, para fins de eficiência, mas, para fazer isso, você costumava fazer essa alteração no hardware, o que geralmente custa mais. As VLANs são uma tentativa de permitir que os domínios de broadcast flexíveis sejam criados em soft / firmware em vez de puramente via fiação.

Você ganha algumas vantagens relacionadas à segurança ao segregar a vlan de gerenciamento

  • Ele não está exposto a ataques de camada 2 que ocorrem em outras vlans (embora o switch explorações de comportamento como uma inundação de ARP provavelmente exporiam todas as vlans, a menos que o fabricante tenha uma mitigação no lugar).
  • Você pode fazer o firewall da vlan de forma que apenas as estações locais possam acessar os serviços de gerenciamento e exigir esse controle do próprio roteador, além dos firewalls do servidor.
  • A vlan de gerenciamento terá muito menos tráfego e seria um bom local para implantar um IDPS ou outras ferramentas de monitoramento sem espelhamento de porta desajeitado.

Existe algum custo significativo, no hardware e no tempo de gerenciamento.

  • Todos os seus servidores precisariam de vários nics e cabeamento (ou muito alto end nics with vlan features), para que você possa vincular os serviços do cliente um e os serviços de gerenciamento, por outro.
  • Você precisa de um roteador bem strong para não notar um atraso prejudicial em seus serviços.
  • Sua administração de DNS e IP se torna 4 vezes mais envolvida, e haverá alguma administração de firewall e gerenciamento de roteamento necessário.
  • Alguns serviços exigirão que a configuração especial fique visível para todos os hosts, e o material avahi / zeroconf pode não funcionar direito.

Em sua rede hipotética, a conexão de cada host a um serviço de lan teria que ser roteada para a rede de serviços e novamente. enquanto o hardware dos roteadores é comutado, o roteamento é um processo muito mais complicado do que a simples comutação da camada 2 e é parcialmente baseado em software. Ter um roteador no meio da funcionalidade principal da LAN pode ser prejudicial, em termos de desempenho, suporte a protocolos e visibilidade de serviços, portanto, um roteador SOHO barato provavelmente não é uma boa escolha para essa função.

Portanto, em resumo, sim, grandes empresas e sistemas ultrasseguros, como redes bancárias ou SCADA, segmentam seus serviços / operações a partir de seu gerenciamento e fornecem alguns benefícios. Os custos, no entanto, podem superar os benefícios em uma implantação de pequena escala. Tudo depende de quanto tempo e dinheiro você quer gastar.

    
por 12.06.2014 / 06:47

Tags

Apache httpd método simples para retornar o endereço remoto cria um vídeo a partir de um lote de 400 imagens com tempo diferente para cada imagem