[es] - VLAN sigurnost literatura

crepina
nezaposlen

Član broj: 168982
Poruke: 3
*.xnet.hr.

Profil

^{27.01.2008. u 17:01 - pre 197 meseci}

Da li su ove definicije dobre? da li treba dodati još nešto? Kako bi na naški se preveo TRUNK PORT (možda višekanalni priključak)?

trunk port
trunk port se koristi za usmjeravanje višestrukih VLAN-ova preko istog fizičkog spoja, najčešće između dva preklopnika. Predefinirano ima pristup svim VLAN-ovima. Za umetanje paketa se koristi 802.1Q ili ISL protokol.

VLAN-ovi prema funkciji:
• VLAN 1 - Razlog zbog čega je VLAN 1 postao poseban je zbog toga što L2 uređaji trebaju imati predodređen (default) VLAN za dodjeljivanje svojim priključcima, uključujući i svojim upravljačkim priključcima. Uz to i mnoge L2 protokole kao što su CDP, PagP i VTP potrebno je slati preko određenog VLAN-a na višespojnim vezama (trunk links). CDP, DTP, PagP i VTP se uvijek šalju preko VLAN 1, što je uvijek slučaj, te se ne može mijenjati. Cisco preporučuje da se VLAN 1 koristi samo za ove protokole. Budući da je VLAN 1 predodređen, prilikom prvog spajanja, korisnički i upravljački VLAN-ovi su članovi VLAN 1.

• Korisnički VLAN-ovi – su kreirani da segmentiraju grupe korisnika, te ih geografski ili logički odjele od ostatka mreže.

• Upravljački VLAN – Ovo bi trebao biti odvojen VLAN, neovisan od korisničkih VLAN-ova ili temeljnog VLAN-a. U slučaju problema na mreži kao što je zagušenje, neovisni upravljački LAN dopušta mrežnom administratoru da i dalje pristupi preklopnicima i rješava problem.

• Temeljni VLAN (Native VLAN) – je pojam korišten kod sučelja koja su konfigurirana kao VLAN višespojnici. Ovaj VLAN se implicitno koristi za neoznačen promet primljen na 802.1Q priključku. Okviri svih VLAN-ova se prenose kroz višespojnu vezu sa 802.1Q/ISL oznakom, osim okvira koji pripadaju VLAN 1. IEEE, koji je definirao 802.1Q, preporučuje da zbog kompatibilnosti potrebno podržavati takozvani temeljni VLAN, tj. VLAN koji nije vezan za nikakve oznake na 802.1Q vezi. Ova kompatibilnost je poželjna jer dopušta 802.1Q priključcima da direktno komuniciraju sa starim 802.3 priključcima, šaljući i primajući neoznačen promet. Preporučljivo je ne koristiti temeljni VLAN kao korisnički ili upravljački.

Odgovor na temu

crepina
nezaposlen

Član broj: 168982
Poruke: 3
*.xnet.hr.

Profil

Re: VLAN sigurnost literatura

^{21.02.2008. u 18:31 - pre 196 meseci}

Precautions for the Use of VLAN 1

The reason VLAN 1 became a special VLAN is that L2 devices needed to have a default VLAN to assign to their ports, including their management port(s). In addition to that, many L2 protocols such as CDP, PAgP, and VTP needed to be sent on a specific VLAN on trunk links. For all these purposes VLAN 1 was chosen.

As a consequence, VLAN 1 may sometimes end up unwisely spanning the entire network if not appropriately pruned and, if its diameter is large enough, the risk of instability can increase significantly. Besides the practice of using a potentially omnipresent VLAN for management purposes puts trusted devices to higher risk of security attacks from untrusted devices that by misconfiguration or pure accident gain access to VLAN 1 and try to exploit this unexpected security hole.

To redeem VLAN 1 from its bad reputation, a simple common-sense security principle can be used: as a generic security rule the network administrator should prune any VLAN, and in particular VLAN 1, from all the ports where that VLAN is not strictly needed.

Therefore, with regard to VLAN 1, the above rule simply translates into the recommendations to:

•Not use VLAN 1 for inband management traffic and pick a different, specially dedicated VLAN that keeps management traffic separate from user data and protocol traffic.

•Prune VLAN 1 from all the trunks and from all the access ports that don't require it (including not connected and shutdown ports).

Similarly, the above rule applied to the management VLAN reads:

•Don't configure the management VLAN on any trunk or access port that doesn't require it (including not connected and shutdown ports).

•For foolproof security, when feasible, prefer out-of-band management to inband management.

As a general design rule it is desirable to "prune" unnecessary traffic from particular VLANs. For example, it is often desirable to apply VLAN ACLs and/or IP filters to the traffic carried in the management VLAN to prevent all telnet connections and allow only SSH sessions. Or it may be desirable to apply QoS ACLs to rate limit the maximum amount of ping traffic allowed.

If VLANs other than VLAN 1 or the management VLAN represent a security concern, then automatic or manual pruning should be applied as well. In particular, configuring VTP in transparent or off mode and doing manual pruning of VLANs is commonly considered the most effective method to exert a more strict level of control over a VLAN-based network.

(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((
Može mi netko reći što je inband management (traffic)?
•Not use VLAN 1 for inband management traffic and pick a different, specially dedicated VLAN that keeps management traffic separate from user data and protocol traffic.

te out-of-band management ???
•For foolproof security, when feasible, prefer out-of-band management to inband management...
(((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((((

Odgovor na temu