Границы виртуальных локальных сетей

Виртуальные локальные сети VLAN были созданы с одной единственной це­лью – предоставить администраторам возможность определять гибкие широкове­щательные домены с множеством коммутаторов.

Даже если считать виртуальными разделенные VLAN сети, то они все равно нуж­даются в маршрутизаторе, который будет перенаправлять трафик между виртуаль­ными сетями. Маршрутизация в пределах виртуальной сети (intra-VLAN) может быть достигнута при помощи традиционных средств контроля трафика, т.е. благо­даря маршрутизатору и списку контроля доступа ACL (Access Control List). Постав­щики высокотехнологичных коммутаторов, в частности Cisco, предлагают в составе своих продуктов аппаратные модули, реализующие высокоскоростную маршрутиза­цию внутренних VLAN-пакетов средствами самого коммутатора. Например, высо­кокачественные коммутаторы Cisco Catalyst поддерживают функцию многоуровневой коммутации MLS (Multilayer Switching), которая реализуется при помощи специаль­ных карт расширения, обладающих возможностями виртуальных маршрутизаторов и способных маршрутизировать трафик между виртуальными сетями. MLS также поддерживает списки контроля доступа, которые можно использовать для управле­ния трафиком, пересекающем границы виртуальных сетей.

Пересечение границ виртуальных локальных сетей.

Согласно со стандартом IEEE 802.1q, проходящие через VLAN-коммутаторы Ethernet-кадры относятся к той виртуальной сети, чей заголовок тега (tag header) указан в кадре сразу же за полем аппаратного МАС-адреса. Такой способ задания меток кадров применяется в случае наличия в сети логически связанных (trunked) между собой коммутаторов, которые функционируют как одно целое устройство, управляющее множеством виртуальных сетей. Тег-заголовок кадра определен в стан­дарте 802.1q и несет информацию о породившей его виртуальной сети, приписывая тем самым свою принадлежность к конкретной VLAN.

При определенных условиях существует реальная возможность подделать пользовательские кадры стандарта 802.1q, которые коммутатор перенаправляет ука­занному адресату (VLAN), минуя 3-ий уровень сетевой модели OSI, хотя обычно ме­ханизм маршрутизации этого уровня все же принимает участие в организации внут­ри сетевых соединений. В частности, коммутаторы Cisco Catalyst 2900 обнаружива­ют в своей работе уязвимость к подобным атакам в отношении реализованных на их основе логически связанных коммутаторов. Но чтобы данная атака имела ус­пех, взломщик должен обладать доступом к активному логическому порту. Другими словами, взломщик способен взломать Ethernet-кадры, предназначенные для произвольной виртуальной сети, за счет подключения к виртуальной сети, содержащей логически связанные порты.

Это был только один тип атаки на коммутатор, который позволяет взломщику "перепрыгнуть" через несколько виртуальных сетей и, тем самым, избежать ограни­чении доступа на маршрутизирующем устройстве. Описанная в предыдущем пара­графе дыра была тщательно изучена, в результате чего появились специальные реко­мендации по снижению риска за счет особой настройки логически связанных портов. Но с учетом многогранности применения виртуальных сетей вполне существует вероятность наличия множества неизвестных доселе подобных дыр.

Главная причина, побуждающая скептически относится к будущему виртуальных сетей в плане усиления зон безопасности, заключается в том, что виртуальные сети разрабатывались для оптимизации сетевого быстродействия, но не для обеспечения безопасности как таковой. Поэтому неудивительно, что регулярное издание специ­ального бюллетеня Cisco, посвященного вопросам безопасности, рекомендует не использовать межсетевые виртуальные соединения для усиления безопасности под­сети: "Вероятность срабатывания человеческого фактора, помноженная на то, что прото­колы реализации виртуальных сетей разрабатывались без учета вопросов сетевой бе­зопасности, делает их использование при работе с важной информацией нецелесо­образным".

Часто очень трудно побороть соблазн использования виртуальных сетей для представления зон безопасности. Особенно в случае наличия в сети высокотехноло­гичных коммутаторов, которые позволяют создавать новые виртуальные подсети при помощи незначительных изменений своей конфигурации. Если все же решить­ся на использование виртуальных сетей, то необходимо в обязательном порядке учитывать вероятность взлома такой инфраструктуры на 1-ом и/или 2-ом уровнях сетевой модели OSI. Отсюда следует, что если необходимо создать сетевое окруже­ние с высокой степенью безопасности, нужно пользоваться исключительно "чест­ными", а не виртуальными коммутаторами для реализации каждого сетевого сег­мента. Путем такого коренного отказа от виртуальных сетей удается физически гарантировать неспособность взломщика устанавливать межсетевые соединения в обход маршрутизатора. В случае же применения одного-единственного коммутато­ра, разделенного на виртуальные составляющие, не приходится волноваться на счет сложности или запутанности сетевых настроек, но зато приходится поволноваться за то, что в результате коммутатор будет игнорировать заданные ограничения меж­сетевого доступа.