Além das informações sobre Por que as pessoas me dizem para não usar VLANs por segurança? aqui estão algumas informações mais específicas sobre & bits gerais a serem considerados:
Pensamentos gerais sobre segurança
O sistema mais seguro é aquele em que os hosts de cada sub-rede estão conectados a um comutador com exatamente o número de portas que serão usadas pelos dispositivos conectados. Em tal configuração, você não pode conectar máquinas aleatórias em suas redes seguras, pois isso exigiria a desconexão de algo (e, teoricamente, seu sistema de monitoramento perceberia isso).
As VLANs oferecem algo semelhante em termos de segurança, dividindo seu switch em switches virtuais menores (LANs virtuais: VLANs) que são isolados uns dos outros logicamente e, com a configuração adequada, podem aparecer em todos os sistemas conectados a eles eles estavam fisicamente isolados.
Considerações gerais sobre configurações de VLAN relativamente seguras
Minha prática para comutadores com capacidade para VLAN é que todo o tráfego deve ser atribuído a uma VLAN, com a seguinte configuração básica:
Atribua todas as portas não usadas a uma VLAN "não utilizada".
Todas as portas que se conectam a um computador específico devem ser atribuídas nativamente à VLAN em que o computador deve estar. Essas portas devem estar em uma e somente uma VLAN (salvo algumas exceções que vamos ignorar por agora).
Nessas portas, todos os pacotes incoming (para o switch) são marcados com a VLAN nativa, e os pacotes outgoing (do switch) serão (a) originados apenas da vlan atribuída , e (b) ser untagged e aparecer como qualquer outro pacote ethernet regular.
As únicas portas que devem ser "troncos de VLAN" (portas em mais de uma VLAN) são as portas de tronco - aquelas que transportam tráfego entre switches ou conectam-se a um firewall que dividirá o tráfego de VLAN sozinho. > Nas portas do tronco, as tags vlan que entram no switch serão respeitadas, e as tags vlan não serão removidas dos pacotes que saem do switch.
A configuração descrita acima significa que o único lugar onde é possível injetar facilmente o tráfego de "VLAN hopping" é em uma porta de tronco (exceto um problema de software na implementação de VLAN dos seus switches) e muito parecido com o cenário "mais seguro". significa desconectar algo importante e causar um alarme de monitoramento. Da mesma forma, se você desconectar um host para conectar-se à VLAN que ele vive em seu sistema de monitoramento, perceberá o misterioso desaparecimento do host e o alertará. Em ambos os casos estamos falando de um ataque envolvendo acesso físico aos servidores - Embora não seja completamente impossível quebrar o isolamento da VLAN, é no mínimo muito difícil em um ambiente configurado como descrito acima. p>
Pensamentos específicos sobre segurança de VMWare e VLAN
Os VMWare Virtual Switches podem ser atribuídos a uma VLAN - quando esses switches virtuais estiverem conectados a uma interface física no host VMWare, qualquer tráfego emitido terá a tag VLAN apropriada. A interface física da sua máquina VMWare precisaria estar conectada a uma porta de tronco da VLAN (carregando as VLANs às quais ela precisaria acessar).
Em casos como este, é duplamente importante prestar atenção às Melhores Práticas do VMWare para separar a NIC de Gerenciamento da NIC da Máquina Virtual: Sua NIC de Gerenciamento deve estar conectada a uma porta nativa em uma VLAN apropriada e sua NIC de Máquina Virtual conecte-se a um tronco que tenha as VLANs de que as máquinas virtuais precisam (que idealmente não devem carregar a VMLAN Management VLAN).
Na prática, o cumprimento dessa separação, em conjunto com os itens que mencionei e com o que tenho certeza de que os outros irão apresentar, proporcionará um ambiente razoavelmente seguro.