Configuração de VLAN para rede doméstica

0

Eu gostaria de fornecer alguma separação de dispositivos em minha rede doméstica usando um switch gerenciado. Li outras perguntas / respostas relacionadas, mas elas têm requisitos diferentes que entram nos roteadores VLAN ou em outros equipamentos porque querem que as VLANs diferentes se comuniquem umas com as outras. Eu só quero separação e quero saber se posso fazer tudo com um único switch gerenciado.

Meus objetivos:
1) Isole o servidor acessível pela Internet do resto da rede para evitar que o servidor comprometido ataque os nós internos.
2) Isole o computador usado para dados confidenciais do resto da rede.
3) Permitir que todos os dispositivos acessem a Internet.
4) Restrinja o gerenciamento do switch para uma única porta.

Minha configuração de switch planejada:
VLAN 10: portas 1-47 (acesso à Internet)
VLAN 20: portas 1 e 2 (servidor)
VLAN 30: portas 1 e 3-46 (dispositivos domésticos)
VLAN 40: portas 1 e 47 (máquina de dados confidenciais)
VLAN 50: porta 48 (gerenciamento de switch)

porta 1: desmarcada, pvid = 10, conectada ao roteador de Internet
porta 2: untagged, pvid = 20, conectado ao servidor
portas 3-46: desmarcado, pvid = 30, conectado a máquinas domésticas
porta 47: untagged, pvid = 40, conectada a maquina de dados confidenciais
porta 48: untagged, pvid = 50, conectada a uma máquina de gerenciamento de switches

Além disso, o roteador está configurado para encaminhar a porta 80 para a máquina do servidor, que possui um endereço IP estático. O roteador usa o DHCP para atribuir endereços IP ao resto das máquinas.

Quando eu configuro o switch desta forma, as coisas parecem funcionar, no sentido de que eu posso acessar a Internet a partir de máquinas nas portas 2-47, eu posso acessar o servidor (através do endereço IP externo do roteador) de outras VLANs, e não consigo acessar nenhuma outra máquina em VLANs. No entanto, li algumas práticas recomendadas, como as seguintes:

1) Cada VLAN é uma sub-rede IP diferente | 2) Portas de acesso (por exemplo, 2-47) devem ser membros de uma única VLAN
3) Use o roteador com reconhecimento de tags para filtrar o tráfego nas VLANs |

Na minha configuração eu uso uma única sub-rede IP. Eu tenho apenas cerca de 20 dispositivos, então não há problema com tamanho, mas estou curioso para saber se há outros problemas. Por exemplo, diferentes dispositivos em VLANs diferentes poderiam obter o mesmo endereço IP e, se fosse, isso seria um problema? Meu entendimento é que isso é OK porque eles não podem acessar um ao outro, mas se ambos enviarem solicitações da Internet, as respostas podem ficar confusas?

Na minha configuração, também uso a VLAN 10 em quase todas as portas, como forma de permitir o acesso à Internet. Isso é um problema? Parece que talvez alguém possa usar essa VLAN para fazer um salto com VLANs (por exemplo, um servidor comprometido para acessar máquinas domésticas ou máquinas domésticas para acessar uma máquina de dados sensível). A combinação de "untagged" e "Pvid = X" impede esse tipo de comportamento? Uma tag VLAN de 10 seria rejeitada de uma porta diferente da Porta 1 com essa configuração?

Meu roteador é o roteador padrão da Verizon e não sei como ele lida com a marcação de VLAN (provavelmente não é?). Existe algum problema se ele realmente lida com tags (por exemplo, padrões inseguros) ou se não o faz (por exemplo, permite o roteamento entre VLANs devido à falta de conhecimento sobre eles)?

Esta é uma configuração apropriada para meus objetivos, ou eu preciso mudar as coisas ou introduzir mais equipamentos para isolar e proteger a rede adequadamente?

    
por juhraffe 28.05.2018 / 23:17

2 respostas

3

Você não pode fazer isso sem um roteador / firewall habilitado para VLAN. Existem várias razões para isso, uma das quais é que o seu servidor precisa de acesso à Internet sem estar diretamente acessível a outros dispositivos que também precisam de acesso à Internet, o que significa que um roteador / firewall é necessário para conectar os dois tipos de dispositivos. >

Se você pensar em cada VLAN como um switch virtual não gerenciado, você estará no caminho certo para entender o problema - ou as portas estão conectadas e podem transmitir livremente uma para a outra, ou não estão conectadas e não podem ver uns aos outros - não há meias medidas.

Você realmente precisa de sub-redes e roteamento - se você colocar máquinas em vlans diferentes na mesma sub-rede, elas não poderão encontrar ou falar umas com as outras. Assim, mesmo que você tenha um roteador, as máquinas não saberão falar com ele quando tentar acessar outras máquinas e, na verdade, não conseguirão vê-lo na maioria dos casos.

Uma porta não marcada pode ser vista como uma porta com uma tag "padrão" - quando você tem uma porta com várias tags, ela carrega os dados dentro de pacotes marcados, portanto, o roteador precisa saber como remover as tags dos dados. ser interpretado. Isso geralmente é feito com um endereço IP separado por VLAN no roteador, com cada endereço na sub-rede associada usada pela VLAN.

(Eu notei que simplifiquei um pouco as coisas, e um especialista pode quebrar algumas regras acima em alguns casos - mas você realmente precisa entender tudo isso e como ele se encaixa antes que você possa fazer isso - e quebrar as regras também não é um bom projeto.

Da mesma forma, embora, na prática, as VLANs forneçam segurança, o uso de VLANs como medida de segurança é um pouco contativo para alguns especialistas)

    
por 29.05.2018 / 02:55
1

Você precisará de mais equipamentos. Se o roteador não for capaz de ter mais de uma VLAN em sua rede interna, do que não é possível que todas as VLANs consigam chegar à Internet, apenas uma delas poderá acessar a Internet VLAN onde o roteador está conectado).

    
por 29.05.2018 / 00:51