আমি কীভাবে এমনভাবে ভিএলএএন সেট আপ করতে পারি যা আমাকে ভিএলএএন হপিংয়ের ঝুঁকিতে ফেলবে না?

14

আমরা আমাদের প্রোডাকশন নেটওয়ার্কটি ভিএলএএন-কম কনফিগারেশন থেকে একটি ট্যাগ ভিএলএএন (802.1 কিউ) কনফিগারেশনে স্থানান্তরিত করার পরিকল্পনা করছি। এই চিত্রটি পরিকল্পিত কনফিগারেশনের সংক্ষিপ্তসার জানিয়েছে:

ভিএলএএন কনফিগারেশন

একটি উল্লেখযোগ্য বিবরণ হ'ল এই হোস্টগুলির একটি বড় অংশটি আসলে একটি একক বেয়ার-মেটাল মেশিনে ভিএম হবে। প্রকৃতপক্ষে, কেবলমাত্র শারীরিক মেশিনগুলি হবে ডিবি 01, ডিবি02, ফায়ারওয়াল এবং সুইচগুলি। অন্যান্য সমস্ত মেশিন একক হোস্টে ভার্চুয়ালাইজ করা হবে।

একটি উদ্বেগ যেটি ছিল তা হ'ল এই পদ্ধতিটি জটিল ( অতিরিক্ত জটিল )

ভার্চুয়ালাইজেশনের কারণে একক ভৌত স্যুইচ পোর্টের জন্য একাধিক ভিএলএএন ব্যবহার করা হবে কি তা বৈধ উদ্বেগের বিষয়? এই ঝুঁকি রোধ করতে কীভাবে আমি আমার ভিএলএএনগুলি যথাযথভাবে সেটআপ করব?

এছাড়াও, আমি শুনেছি ভিএমওয়্যার ইএসএক্সের "ভার্চুয়াল সুইচ" নামে কিছু রয়েছে। এটি কি ভিএমওয়্যার হাইপারভাইজারের পক্ষে অনন্য? যদি তা না হয় তবে এটি কেভিএম (আমার পছন্দসইয়ের পরিকল্পিত হাইপারভাইজার) এর সাথে উপলব্ধ? কীভাবে এটি খেলতে আসে?

security  virtualization  vlan 
hobodave
সূত্র
2
আপনি জিজ্ঞাসা করার আগে .. Omnigraffle।
hobodave
1
সদৃশ নয়, তবে সার্ভারসফল্ট
প্রশ্নগুলি
7
এটিকে ভুল উপায়ে গ্রহণ করবেন না: আপনার এখন লেয়ার 2 সুরক্ষা নেই তবে আপনি ভিএলএএন এর আকারে স্তর 2 সুরক্ষা বাস্তবায়নের দ্বারা একটি সম্ভাব্য, তবে অসম্ভব, সুরক্ষা ত্রুটি চালু করার বিষয়ে উদ্বিগ্ন?
joeqwerty
@ জোয়াকওয়ার্টি: কোনও অপরাধ নেওয়া হয়নি। উদ্বেগটি আমার নিজের নয়।
hobodave

উত্তর:

16

উপর তথ্য ছাড়াও কেন নিরাপত্তার জন্য VLANs ব্যবহার না করার মানুষ আমাকে বলে? এখানে বিবেচনা করার জন্য আরও কিছু নির্দিষ্ট এবং সাধারণ বিট দেওয়া হল:

সুরক্ষা সম্পর্কিত সাধারণ চিন্তাভাবনা
সর্বাধিক সুরক্ষিত সিস্টেমটি এমন এক যেখানে প্রতিটি সাবনেটের হোস্টগুলি সংযুক্ত ডিভাইস দ্বারা ব্যবহৃত হবে এমন পোর্টের সঠিক সংখ্যার সাথে একটি সুইচটিতে সংযুক্ত থাকে। এই জাতীয় কনফিগারেশনে আপনি নিজের সুরক্ষিত নেটওয়ার্কগুলিতে এলোমেলো মেশিনগুলি প্লাগ করতে পারবেন না, যেহেতু এটি করার জন্য কিছু আনপ্লাগিংয়ের প্রয়োজন হবে (এবং তাত্ত্বিকভাবে আপনার মনিটরিং সিস্টেমটি এটি লক্ষ্য করবে)।

VLANs আপনাকে সুরক্ষার দিক থেকে অনুরূপ কিছু দেয়, আপনার সুইচটিকে ছোট ছোট ভার্চুয়াল সুইচে (ভার্চুয়াল ল্যানস: ভিএলএএন) ভাঙতে দেয় যা একে অপরের থেকে যৌক্তিকভাবে বিচ্ছিন্ন থাকে এবং যথাযথ কনফিগারেশনের মাধ্যমে তাদের সাথে সংযুক্ত সমস্ত সিস্টেমে উপস্থিত হতে পারে যেন তারা শারীরিকভাবে ছিল ভিন্ন.

তুলনামূলকভাবে সুরক্ষিত ভিএলএএন সেটআপের উপর সাধারণ চিন্তাভাবনাগুলি
ভিএলএএন-সক্ষম সুইচগুলির জন্য আমার অনুশীলনটি হ'ল নিম্নলিখিত ট্র্যাফিকটি নিম্নলিখিত বুনিয়াদি কনফিগারেশন সহ একটি ভিএলএএন-তে নির্দিষ্ট করা উচিত:

সমস্ত অব্যবহৃত পোর্ট একটি "অব্যক্ত" ভিএলএএন-তে বরাদ্দ করুন।

একটি নির্দিষ্ট কম্পিউটারের সাথে সংযুক্ত সমস্ত বন্দরগুলি কম্পিউটারের মধ্যে থাকা ভিএলএএনকে স্থানীয়ভাবে নির্ধারণ করা উচিত These এই পোর্টগুলি একটি এবং কেবল একটি ভিএলএএন মধ্যে থাকা উচিত (নির্দিষ্ট ব্যতিক্রমগুলি বাদ দিয়ে যা আমরা আপাতত উপেক্ষা করব)।
এই পোর্টগুলিতে সমস্ত আগত প্যাকেটগুলিকে (স্যুইচে) নেটিভ ভিএলএএন-এর সাথে ট্যাগ করা হয় এবং বহির্গামী প্যাকেটগুলি (স্যুইচ থেকে) কেবল (ক) কেবল নির্ধারিত ভ্লান থেকে উদ্ভূত হবে এবং (খ) অবিকৃত থাকবে এবং কোনও নিয়মিত ইথারনেটের মতো প্রদর্শিত হবে প্যাকেট।

কেবলমাত্র "ভিএলএএন ট্রাঙ্ক" হওয়া উচিত (একাধিক ভিএলএএন-র বন্দর) হওয়া ট্রাঙ্ক বন্দরগুলি - যা সুইচগুলির মধ্যে ট্র্যাফিক বহন করে, বা ফায়ারওয়ালের সাথে সংযোগ স্থাপন করে যা ভিএলএএন ট্র্যাফিকটি নিজেরাই বিভক্ত করবে।
ট্রাঙ্ক পোর্টগুলিতে স্যুইচটিতে আগত ভ্যালান ট্যাগগুলি সম্মানিত হবে এবং স্যুইচটি ছেড়ে প্যাকেটগুলি থেকে ভ্লান ট্যাগগুলি ছিনিয়ে নেওয়া হবে না

উপরে বর্ণিত কনফিগারেশনটির অর্থ হল যে আপনি সহজেই "ভিএলএএন হপিং" ট্র্যাফিক ইনজেক্ট করতে পারবেন কেবল ট্রাঙ্ক বন্দরে (আপনার সুইচগুলির ভিএলএএন বাস্তবায়নে কোনও সফ্টওয়্যার সমস্যা বাদ দেওয়া), এবং "সর্বাধিক সুরক্ষিত" দৃশ্যের মতো এটির অর্থ কিছুটা আনপ্লাগ করা হয় that গুরুত্বপূর্ণ এবং একটি তদারকি বিপদাশঙ্কা সৃষ্টি। একইভাবে আপনি যদি ভিএলএএন এর সাথে সংযোগ স্থাপনের জন্য কোনও হোস্টকে প্লাগ করেন তবে এটি আপনার মনিটরিং সিস্টেমে বসবাস করে তা হোস্টের রহস্যজনক অন্তর্ধানের বিষয়টি লক্ষ্য করে আপনাকে সতর্ক করে দেওয়া উচিত।
এই উভয় ক্ষেত্রেই আমরা সার্ভারগুলিতে শারীরিক অ্যাক্সেস জড়িত এমন আক্রমণ সম্পর্কে কথা বলছি - যদিও ভিএলএএন বিচ্ছিন্নতা সম্পূর্ণরূপে অসম্ভব হতে পারে তবে উপরে বর্ণিত পরিবেশের মধ্যে এটি ন্যূনতম খুব কঠিন is

ভিএমওয়্যার এবং ভিএলএএন সুরক্ষা সম্পর্কিত নির্দিষ্ট চিন্তাভাবনা Though

ভিএমওয়্যার ভার্চুয়াল স্যুইচগুলি কোনও ভিএলএএন-তে বরাদ্দ করা যেতে পারে - যখন এই ভার্চুয়াল স্যুইচগুলি ভিএমওয়্যার হোস্টের কোনও শারীরিক ইন্টারফেসের সাথে সংযুক্ত থাকে তখন যে কোনও ট্র্যাফিক নির্গত হয় তার উপযুক্ত ভিএলএএন ট্যাগ থাকবে।
আপনার ভিএমওয়্যার মেশিনের শারীরিক ইন্টারফেসটির কোনও ভিএলএএন ট্রাঙ্ক পোর্টের সাথে সংযোগ স্থাপন করা দরকার (ভিএলএএনগুলি বহন করা হবে যাতে এটিতে অ্যাক্সেসের প্রয়োজন হবে)।

ভার্চুয়াল মেশিন এনআইসির কাছ থেকে ম্যানেজমেন্ট এনআইসিকে আলাদা করার জন্য ভিএমওয়্যার সেরা পদ্ধতির দিকে মনোযোগ দেওয়া দু'বার গুরুত্বপূর্ণ: আপনার ম্যানেজমেন্ট এনআইসিকে একটি উপযুক্ত ভিএলএএন-র একটি স্থানীয় পোর্টের সাথে সংযুক্ত করা উচিত, এবং আপনার ভার্চুয়াল মেশিন এনআইসি একটি সংযোগ করা উচিত ভার্চুয়াল মেশিনগুলির ভিএলএএন রয়েছে এমন ট্রাঙ্কের (যা আদর্শভাবে ভিএমওয়্যার ম্যানেজমেন্ট ভিএলএন বহন করা উচিত নয়)।

সেই বিচ্ছেদ কার্যকর করার অনুশীলনে, আমি উল্লিখিত আইটেমগুলির সাথে একযোগে এবং আমি নিশ্চিত যে অন্যরা কীভাবে আসবে, যুক্তিসঙ্গতভাবে নিরাপদ পরিবেশ অর্জন করবে।

voretaq7
সূত্র
12

ভিএলএন হপিং সহজ এবং যদি কেবল দুর্বৃত্ত ডিভাইসগুলিকে ভ্লান ট্যাগ ছাড়াই কাণ্ডে প্যাকেটগুলি ট্র্যাসমিট করার অনুমতি দেওয়া হয়।

নিম্নলিখিত পরিস্থিতিতে এটি সবচেয়ে সাধারণ। তোমার 'স্বাভাবিক' ট্রাফিক নয় বাঁধা; আপনি যদি একটি 'নিরাপদ' VLAN আছে হয় ট্যাগ করেছে। যেহেতু 'সাধারণ' নেটওয়ার্কের মেশিনগুলি প্যাকেটগুলি প্রেরণ করতে পারে যা ট্যাগ-পরিদর্শন করা হয় না (বেশিরভাগ ক্ষেত্রে তারা অ্যাক্সেস স্যুইচ দ্বারা থাকে) প্যাকেটটিতে একটি ভ্যালান ভ্যালান ট্যাগ থাকতে পারে এবং এভাবে ভ্যালানটিতে হ্যাপ করা যায়।

এটি প্রতিরোধের সহজ উপায়: সমস্ত ট্র্যাফিক অ্যাক্সেস সুইচ দ্বারা ট্যাগ হয় (আপনার নেটওয়ার্ক কীভাবে কনফিগার করা হয়েছে তার উপর নির্ভর করে ফায়ারওয়ালস / রাউটারগুলি একটি ব্যতিক্রম হতে পারে)। যদি 'স্বাভাবিক' ট্র্যাফিক অ্যাক্সেস স্যুইচ দ্বারা ট্যাগ হয়ে যায়, তবে দুর্বৃত্ত ক্লায়েন্টদের যে কোনও ট্যাগ অ্যাক্সেস সুইচ দ্বারা নামিয়ে দেওয়া হবে (কারণ সেই পোর্টটিতে ট্যাগটিতে অ্যাক্সেস থাকবে না)।

সংক্ষেপে, আপনি যদি ভ্লান ট্যাগিং ব্যবহার করেন, তবে এটিকে সুরক্ষিত রাখতে সমস্ত কিছুকে কাণ্ডে ট্যাগ করতে হবে।

ক্রিস এস
সূত্র
ভ্যালান সম্পর্কে কথা বলার সময় আমি "এনক্যাপসুলেটেড" শব্দটি ব্যবহার করব তা নিশ্চিত নই ... এটির একটি ট্যাগ কি তাই না?
স্পেসম্যানস্পিফ
2
কেবল এটি যোগ করে যে কোনও নির্দিষ্ট বন্দর থেকে সমস্ত ট্র্যাফিক একটি ভ্যানেতে ট্যাগ করা যায়, সুতরাং কোনও হোস্টের সমস্ত ট্র্যাফিক সেই ভ্যানেটিতে অন্তর্ভুক্ত থাকে তা নিশ্চিত করে, তাই কোনও হাপিং নয়।
জোরিস
মূল সমস্যাটি হ'ল মিক্সটিতে ভিএমও রয়েছে এবং তাকে বিশ্বাস করতে হবে যে ভিএমগুলি সুইচগুলির মতো বিশ্বাসযোগ্য।
ক্রিস
3
@ ক্রিস, ভিএম হোস্টের যদি একটি ট্রঙ্কযুক্ত রেখা থাকে, তবে হ্যাঁ আপনাকে অবশ্যই হোস্টকে বিশ্বাস করতে হবে। হোস্টের হাইপারভাইজার সফ্টওয়্যারটি অবশ্য ট্যাগিং নিজেই করা উচিত, যাতে আপনার ভিএমগুলিতে বিশ্বাস রাখতে হবে না। আমি জানি ESXi এবং হাইপার-ভি এটি করবে, অন্যরাও সম্ভবত এটি করবে।
ক্রিস এস
4

ভার্চুয়াল পরিবেশে ন্যায্য পরিমাণে প্রবেশের পরীক্ষা চালানো থেকে আমি এই দুটি আইটেমটি দেখার জন্য যুক্ত করব:

আপনার বাস্তব ভার্চুয়াল পরিবেশটি ঠিক যেমন আপনি বাস্তবে তৈরি করবেন তেমন পরিকল্পনা করুন - যেমন আপনি বাস্তব বিশ্বে যে কোনও কাঠামোগত বা স্থাপত্য দুর্বলতা প্রবর্তন করেন ভার্চুয়াল বিশ্বে ভাল অনুবাদ করবে।

আপনার ভার্চুয়াল কনফিগারেশনটি সঠিকভাবে পান - আমি ভিএম এর বা এলপিআর এর সমস্ত সফল অনুপ্রবেশের 99% ভুল কনফিগারেশন বা শংসাপত্রগুলির পুনরায় ব্যবহারের মধ্য দিয়ে এসেছি।

এবং একটি কম প্রযুক্তিগত নোটে, দায়িত্ব পৃথককরণ সম্পর্কেও ভাবেন । নেটওয়ার্ক টিম, সার্ভার টিম ইত্যাদি দ্বারা পরিচালিত হতে পারে এখন একটি দল হতে পারে। আপনার নিরীক্ষক এটি গুরুত্বপূর্ণ খুঁজে পেতে পারেন!

ররি আলসপ
সূত্র
1
ভিএম পরিবেশের পরিকল্পনার জন্য +1 যেমন শারীরিক - দুর্বলতাগুলি 1-থেকে -1 এ মানচিত্র নাও তৈরি করতে পারে তবে এটি সাধারণত সুন্দর রঙিন হয়ে থাকে।
voretaq7
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.