Частные виртуальные локальные сети

Появление высокотехнологичных коммутаторов значительно усиливает защи­щенность сетевых границ виртуальных сетей. Поэтому применения VLAN с каждым днем становятся более надежными, а сетевые инженеры постепенно накапливают опыт по созданию и поддержке виртуальных сетей. Некоторые из коммутаторов фирмы Cisco поддерживают весьма привлекательную технологию сетевой безопас­ности под названием частные виртуальные локальные сети (private VLAN), которые явно выигрывают у обычных VLAN в плане своей безопасности. Частной виртуаль­ной локальной сетью называется такая группа сетевых портов, которая специально настроена на изоляцию от прочих портов той же виртуальной сети. Соответственно, частные VLAN позволяют ограничивать взаимодействие хостов, размещенных в пределах одной виртуальной сети. Как уже упоминалось ранее, маршрутизаторы и брандмауэры способны накладывать такие ограничения только на пересекающий границы сетевых сегментов трафик. Частные же VLAN по­зволяют изолировать друг от друга хосты, расположенные в пределах одной и той же подсети. Такая способность особенно полезна для усиления ограничений на серверной площадке, где серверы часто располагаются в пределах одной и той же физической подсети, но крайне редко нуждаются в неограниченном доступе друг к другу. Короче говоря, частные виртуальные локальные сети, благодаря совершенно иному уровню своей безопасности, способны улучшить эффективность от применения виртуальных сетей как таковых.

При этом обязательно необходимо так настроить сетевые порты частной виртуальной сети, чтобы однозначно определить возможность соединения заданного се­тевого устройства с другими портами той же подсети. Существуют так называемые универсальные порты (promiscuous ports), которые способны устанавливать соедине­ние с любым другим портом. Как правило, такие порты принадлежат маршрутиза­торам и брандмауэрам. Напротив, изолированные порты (isolated ports) полностью от­горожены от всех прочих портов частной виртуальной сети за исключением универ­сальных. И, наконец, групповые порты (community ports) способны общаться только друг с другом и с универсальными портами.

Нужно понимать, что некорректная конфигурация частной виртуальной локаль­ной сети способна перечеркнуть те свойства данной сети, которые по идее должны улучшать безопасность. Например, можно обойти ограничения частной VLAN за счет маршрутизации внутреннего трафика выделенным маршрутизатором. Обычная ситуация подразумевает, что расположенные в пределах одной подсети хосты на­прямую общаются между собой. А, значит, взломщик, получивший доступ к одному из хостов частной виртуальной сети, может маршрутизировать пакеты в направле­нии соседней системы. Поскольку маршрутизаторы, как правило, соединены с уни­версальными портами, то они способны перенаправлять сетевой трафик на 3-ем уровне сетевой модели вопреки любой изоляции, созданной средствами частной виртуальной сети на 2-м уровне. Для предотвращения подобной ситуации необхо­димо настроить списки контроля доступа ACL главной виртуальной сети на отказ в доступе трафика, источник и приемник которого расположены в пределах одной подсети.

Очевидно, что виртуальные сети предоставляют множество различных возмож­ностей, позволяющих по желанию разработчика гибко разделять сетевые ресурсы. В то же время вероятность взлома границ виртуальных сетей намного выше аналогич­ной вероятности для сетей, физически разделенных коммутаторами. С этой точки зрения, будет сомнительным рекомендовать виртуальные сети для определения подверженных высокому риску зон безопасности, особенно если они расположены в непосредственной близости к Интернету. Однако преимущества администрирова­ния виртуальных сетей позволяют применять их для разделения внутренних сете­вых сегментов в зависимости от их требований по безопасности и нужд конкретной организации.