巩固有私有VLAN与VLAN访问控制下文的网络

网络技术是从1990年代中期发展起来的新技术 , 它把互联网上分散的资源融为有机整体 , 实现资源的全面共享和有机协作 , 使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享 , 网络则被认为是互联网发展的第三阶段 。前言 其中一个关键要素到建立一个成功的网络安全设计是识别和强制执行 一个适当信任模式 。适当信任模式定义了谁需要谈与谁并且 什么样的数据流需要被交换; 应该否决其他数据流 。一旦适当信任模式被识别 , 然后安全设计员应该决定如何强制执行 型号 。因为重要资源是全局可用的并且网络攻击的新的表演 变 , 网络安全基础设施倾向于变得更加复杂 , 并且更多产品是可用 的 。防火墙、路由器、LAN交换机、入侵检测系统、AAA服务 器和VPN是可帮助强制执行型号的某些技术和产品 。当然 , 每 一个这些产品和技术在整体安全实施之内扮演一个特定的角色 , 并 且了解设计员是重要的这些元素如何可以配置 。
使用的组件
本文不限于特定软件和硬件版本 。
背景信息
识别和强制执行一个适当信任模式似乎是一项非常基 本任务 , 但在几年支持的安全实施之后 , 我们的经验表明安全事件 经常与恶劣的安全设计有关 。通常这些设计差是不强制执行 一个适当信任模式的一个直接后果 , 有时因为什么是公正必要的没 有了解 , 其他次正因为充分地没有了解也没有误用介入的技术 。
本文详细解释如何二个功能可用在我 们的Catalyst交换机 , 专用VLAN (PVLANs)并且VLAN 访问控制表 (VACLs) , 在两可帮助保证适当信任模型企业并且服务提供商环境 。
强制执行适 当信任模式的重要性
不强制执行适当信任模型的一个立即后果是整体安全实施变得较不 对免疫有恶意的活动 。非敏感区域(DMZs)普通是被实施没有 强制执行正确的制度因而实现一个潜在入侵者的活动 。此部 分分析DMZs经常如何是被实施和设计差的后果 。我们以后将 解释如何缓和 , 或者在最佳的案件避免 , 这些后果 。
通常 , DMZ服务器只应该处理流入请 求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ 分段 , 例如数据库服务器 。同时 , DMZ服务器不应该彼此谈 或首次与外界的任何连接 。这在一个简单信任型号清楚地定 义了必要的数据流; 然而 , 我们经常看型号不足够被强制执 行的这种 。
设计员通常倾向于使用 一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之 间 。例如 , 所有服务器位于普通的VLAN 。因为什么都 在同样VLAN之内不控制数据流 , 如果其中一个服务器被攻陷然后在 同一个分段可以使用同一个服务器来源攻击对任何服务器和主机 。这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵 者的活动 。
一般 , 只用于防火墙和信 息包过滤器控制流入的连接 , 但是什么都通常没有完成从DMZ限制被 发起的连接 。一些时间前有允许入侵者通过发送HTTP流开始X 终端仿真程序会话的cgi-bi脚本的一个着名的弱点; 这是应 该由防火墙允许的数据流 。如果入侵者足够幸运 , 他或她可 能使用另一种款待得到根提示 , 典型地缓冲溢出攻击 。这类 问题可以通过强制执行一个适当信任模式避免的大多时代 。首先 , 服务器不应该彼此谈 , 并且不应该于这些服务器其次发起连 接与外界 。
同样备注适用于许多其他 方案 , 去从所有正常不信任的分段至小型服务器站在应用程序服务 提供商 。
PVLANs和VACLs在Catalyst 交换机可帮助保证一个适当信任模式 。PVLANs将通过限制主 机的之间数据流帮助在一个共用段 , 而VACLs将通过提供对产生或被 注定的所有数据流的进一步控制贡献给一个特定段 。这些功 能在以下部分讨论 。
专用VLAN
PVLANs是可用的在运行CatcOs 5.4或以上 , 在 Catalyst 4000的Catalyst 6000 , 2980G、2980G-A、运行 CatcOs 6.2或以上的2948G和4912G 。
从我们的透视图 , PVLANs是准许分离数据流在把广播分段的变成第 二层的一个工具(L2)一个非广播multi-access-like分段 。交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口 。交易(它可以是查出 ,  属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口 。多个 端口映射对同样隔离VLAN不能交换任何数据流 。
以下镜象显示概念 。
图1:专用VLAN

巩固有私有VLAN与VLAN访问控制下文的网络

文章插图
主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示 。Host-1连接到属 于辅助VLAN红色交换机的端口 。Host-2连接到属于辅助 VLAN 黄色交换机的端口 。
当主机传 输时 , 数据流运载辅助VLAN 。例如 , 当时Host-2传输 , 其数 据流在VLAN 黄色去 。当那些主机接受时 , 数据流来自VLAN 蓝色 , 是主VLAN 。
路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN 。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口 。
图画表示专用VLAN作为连接路由器和 主机的不同的管道:包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机 。管道内部对主VLAN是辅 助VLAN , 并且移动在那些管道的数据流是从主机往路由器 。
当镜象显示 , 主VLAN能包一个或更多 辅助VLAN 。
及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式 。即然我们知道更多专用VLAN  , 让我们看见这在我们最 初的DMZ方案如何可以实现 。服务器不应该彼此谈 , 但是他们 还是需要与他们被联系的防火墙或路由器谈 。在这种情况下  , 当应该附有路由器和防火墙混乱端口时 , 应该连接服务器到隔离 的端口 。通过执行此 , 如果其中一个服务器被攻陷 , 入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内 。交换机将投下所有信息包以线速 , 没有任何影响性能 。
另一个注意事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网 。没什么每防火 墙或路由器能执行因为切断将设法直接地沟通 。另一个选项 是投入一个防火墙端口每个服务器 , 但这是可能太消耗大 , 难实现 和不扩展 。
在后面 , 我们详细描述您能使用此功能的一些其他典型的方案 。
VLAN访问控制表
VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列 。
VACLs在一台Catalyst 6500可以配置在L2 没有需要 对于路由器(您只需要Policy Feature Card (PFC)) 。他们在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500 。因为VACLs查找在硬件执行不管访问控制列 表的大小 , 转发速率保持不变 。
VACLs可以分开被映射对主要或备用VLAN。有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由 器或防火墙生成的数据流 。
通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量 。例 如 , 如果二个路由器连接到分段和一些主机(例如服务器一样) ,  VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流 被交换在路由器之间是未触动过的时 。
VACLs可以容易地配置强制执行适当信任模式 。请分析我们的DMZ案件 。服务器在DMZ应该服务仅流入 的连接 , 并且他们没有预计首次与外界的连接 。VACL可以适 用于他们的辅助VLAN为了控制离开这些服务器的数据流 。注 意到是关键的 , 当时使用VACLs  , 数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机 。在案件一个服务器在分 布拒绝服务(DDos)攻击涉及作为来源 , 交换机将降低所有非法数 据流以线速 , 没有任何影响性能 。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用 , 但这通常有严重性能指 示 。
VACLs 和PVLANs的已知限制
当配置过滤用VACLs时 , 您在PFC应该小心关于片段处理 , 根据硬件 的规格 , 并且那配置被调整 。
假使 Catalyst 6500的Supervisor 1的PFC的硬件设计 , 明确地拒绝icmp 片段最好的 。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样 , 默认情况下并且硬件被编程明确地允许片段。如此如果想要从离开服务器终止回应数据包 , 您必须用线 路deny icmp any any fragment 明确配置 此 。配置在本文考 虑到此 。
有一个着名的安全限制对 PVLANs , 是可能性路由器转发数据流来自的取消相同子网 。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口 。此限制归结于事实PVLANs是提供隔离在L2的工具 , 不在第三 层(L3)。
有修正到此问题 , 通过在 主VLAN配置的VACLs达到 。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs 。
在一些线路卡 , PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置 。那些限制在新的 端口ASIC Coil3 被去除 。参见软件配置的最新的 Catalyst 交换机文档的这些详细资料 。
示例分析
以下部分描述三个案例 分析 , 我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关 。
这些方案是 :
转接DMZ
外部DMZ
与防火墙并联 的VPN集中器
【巩固有私有VLAN与VLAN访问控制下文的网络】转接DMZ
这是其中一个最普通配置的方案 。在本例中  , DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的 。
图2:转接 DMZ
巩固有私有VLAN与VLAN访问控制下文的网络

文章插图
在本例中 , DMZ服务器应该由外部获取并且内部用户 , 但他 们不需要与彼此联络 。在某些情况下 , DMZ服务器需要打开 与一台内部主机的连接 。同时 , 内部客户端应该访问互联网 没有限制 。一个好例子将是那个带有网络服务器在DMZ , 需要 与位于内部网络的数据库服务器联络和有内部的客户端访问互联网。
配置外部防火墙允许与服务器的 流入的连接位于DMZ , 但通常过滤器或限制没有被运用于流出的数据 流 , 于DMZ发起的特殊数据流 。因为我们及早在本文讨论 , 这 能潜在实现一名攻击者的活动为二个原因: 第一个 , 当其中 一台DMZ主机被攻陷 , 其他DMZ主机显示; 第二个 , 攻击者能 容易地利用向外的连接 。
因为DMZ服 务器不需要彼此谈 , 推荐是确定他们查出在L2 。而连接到二 个防火墙的端口将被定义如混乱 , 服务器端口将被定义作为PVLANs 隔离的端口 。定义主VLAN为防火墙和辅助VLAN为DMZ服务器将 达到此 。
将用于VACLs控制于DMZ发 起的数据流 。这将防止一名攻击者能打开非法向外的连接 。记住DMZ服务器不仅将需要回复带有对应于客户端会话的数据 流是重要的 , 但他们也将需要一些其它服务 , 例如域名系统(DNS)和 最大传输单元(MTU)(MTU)路径发现 。如此 , ACL应该允许 DMZ服务器需要的所有服务 。

    推荐阅读