Возможна ли настройка VLAN?

437
Tenatious

Я хочу посмотреть, возможно ли следующее с помощью VLAN:

У меня есть следующее оборудование:

  • Ubiquiti EdgeRouter Lite
  • TP-LINK TL-SG1016PE Переключатель
  • Домашний сервер
  • 4 х IP-камеры

Можно ли настроить VLAN в следующей конфигурации только с одним коммутатором:

  • Иметь нормальную домашнюю сеть (т. Е. Все домашние компьютеры, мобильные телефоны и т. Д.) На VLAN1.

  • Иметь домашний сервер в VLAN 2.

  • Имейте IP-камеры на VLAN 3.

Тогда имейте возможность: VLAN 1 для связи с VLAN 2. VLAN 3 для связи с VLAN 2. Не разрешать подключение для VLAN 3 обратно к VLAN 1, но разрешать подключение от VLAN 1 к VLAN 3.

В основном, чтобы отделить камеры от обычной домашней сети, чтобы никто не мог подключиться к их портам Ethernet и получить доступ к сети, но в то же время иметь возможность доступа к домашнему серверу, который действует как NVR как камерами, так и домом. сеть.

1
* Не разрешать подключение для VLAN 3 обратно к VLAN 1, но разрешать подключение от VLAN 1 к VLAN 3 * Требуется проверка сеанса (установлено соединение от узла в VLAN1 к узлу в VLAN3 или нет). Это не может быть решено на L2. Поэтому VLAN не могут этого сделать. Akina 6 лет назад 0
Как насчет использования VLAN и брандмауэра edgerouter? Tenatious 6 лет назад 0
Брандмауэр может решить эту задачу. Он может иметь опцию фильтра, которая разрешает однонаправленное соединение и запрещает обратную. Может ли ваш брандмауэр сделать это? прочтите документацию ... Но в этом случае вам нужно передавать весь трафик с / на камеры через брандмауэр ... так что VLAN вообще не нужны. Akina 6 лет назад 0
(1) Добавление тегов VLAN не является функцией безопасности, любой, у кого есть ноутбук и порт, который видит помеченные пакеты, сможет получить к ним доступ. (2) Чтобы реализовать ограничения доступа между подсетями, вам нужен своего рода брандмауэр и оборудование, на котором он работает. Это может быть ваш домашний сервер, существующий маршрутизатор или дополнительное оборудование. (3) С предоставленным оборудованием и всем, что настроено на коммутаторе, это не будет работать. dirkt 6 лет назад 0
@Akina Это можно сделать с помощью маршрутизации на EdgeRouter (по умолчанию включено). Добавьте правила брандмауэра, чтобы разрешить от 1 до 3, разрешите установленные и связанные от 3 до 1, и отбросьте остальные. Вам * нужны * виртуальные локальные сети, в противном случае все находится в той же локальной сети, и маршрутизация никогда не входит в нее. Bob 6 лет назад 0
@dirkt Предполагается, что защищаемые порты будут единственными физически доступными (например, на открытом воздухе). Если эти порты настроены как «без тегов» с правильным PVID, все в порядке. Коммутатор назначает теги, а не устройство, подключенное к порту. Если вы начнете с предположения, что кто-то может получить доступ к тегированным (так называемым «транковым») портам, конечно, все рушится… но это зависит от вашей физической безопасности. Сети VLAN очень важны для обеспечения безопасности. Bob 6 лет назад 0
@ Боб: (1) Вам нужна модель угрозы. Защита камер от недопустимого доступа изнутри является еще одной возможной угрозой. (2) Разделение сегментов локальной сети с помощью брандмауэров является функцией безопасности. Как убедиться, что сегменты локальной сети не смешиваются, является еще одним ингредиентом: группируя порты, используя различные коммутаторы или даже с конфигурацией VLAN, которая гарантирует, что ни один пакет не «ускользнет». Но последний очень хрупкий - забытый порт без меток, и он больше не защищен. (3) теги VLAN не делают эти пакеты невидимыми, и * поэтому * это не функция безопасности. dirkt 6 лет назад 0
@ dirkt если они в вашем здании, они уже отключили ваши камеры. djsmiley2k 6 лет назад 0
@ djsmiley2k: Если я посетитель и могу видеть то, чего не должен видеть во время посещения, это тоже плохо. Модель угрозы - это не «защита от грабителей». Или не только. dirkt 6 лет назад 0
@dirkt Вопрос достаточно ясно изложен ... цель в том, чтобы порты камеры (которые могут быть снаружи здания!) не позволяли доступ к остальной части домашней сети. Пока эти порты без тегов не принадлежат другим VLAN, это будет работать. Как описано в вопросе, модель угрозы не включает в себя кого-то, получающего физический доступ к коммутатору. Bob 6 лет назад 1
«Но в этом случае вам нужно передавать весь трафик с / на камеры через межсетевой экран ... так что VLAN вообще не нужны». - Как вы предлагаете сделать это без VLans? @akina? djsmiley2k 6 лет назад 0

1 ответ на вопрос

3
Bob

Я кратко остановлюсь на конфигурации VLAN. Для справки я использую интеллектуальный коммутатор TP-Link - диапазон Easy Smart Switch немного отличается, но это должно быть более или менее выполнимо таким же образом. См. Главы 6.3 и 6.4 в руководстве.

  1. Вы хотите настроить сети VLAN 802.1Q, а не более базовые «на основе портов».
  2. Введите идентификатор VLAN, который вы хотите настроить (например, 1)
  3. Выберите помеченные порты . Это означает, что через порты, через которые будет передаваться фреймы, принадлежащие этой VLAN, будет тег VLAN . Используйте это для портов, ведущих к другим VLAN-совместимым устройствам, таким как ваш маршрутизатор или другие управляемые коммутаторы.
  4. Выберите непомеченные порты . Кадры, принадлежащие VLAN, также будут отправляться на эти порты, но метка VLAN удаляется при выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
  5. Настройте свои PVID так, чтобы входящие кадры на непомеченных портах получали тег по умолчанию.

В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порте сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).

Вам также необходимо настроить EdgeOS:

  1. Добавьте интерфейсы VLAN, предоставив каждому из них собственный IP-адрес и подсеть (я предполагаю 192.168.1.1/24, 192.168.2.1/24и 192.168.3.1/24для простоты. Это означает, что маршрутизатор использует адрес 192.168.3.1в 192.168.3.0/24подсети на своем интерфейсе VLAN 3.)
  2. Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им свою собственную подсеть.
  3. Сконфигурируйте серверы DHCP, чтобы установить шлюз («маршрутизатор») для устройства EdgeOS. Это должно соответствовать IP-адресам, которые вы указали в # 1.
  4. Добавьте VLAN в качестве интерфейсов прослушивания DNS, если вы хотите, чтобы они имели доступ к кеширующему DNS-серверу маршрутизатора.

Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.

  1. Первое, что вам нужно сделать, это добавить набор правил, блокирующий VLAN (2 и 3?) От доступа к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:

    1. Действие по умолчанию: Drop
    2. Отредактируйте набор правил и установите его для применения к интерфейсам => добавьте свои интерфейсы VLAN в направлении local. Убедитесь, что VLAN, с которой вы хотите управлять маршрутизатором, все еще имеет доступ!
    3. Добавьте правило для принятия TCP и UDP на порт 53, чтобы разрешить DNS
    4. Добавить правило для принятия TCP и UDP Establishedи Relatedсостояний (вкладка «Дополнительно»)
  2. Создайте новый набор правил для одностороннего 1 => 3, по умолчанию Accept. Обязательно отредактируйте его и примените только к интерфейсам VLAN 1 и 3. Теперь вам нужно добавить свои правила в порядок. Я бы предложил:

    1. Добавить правило для Acceptот Source 192.168.1.0/24к Destination 192.168.3.0/24. Это позволяет 1 => 3 инициировать соединения.
    2. Добавить правило в Acceptот Source 192.168.3.0/24к Destination 192.168.1.0/24в состоянии Establishedили Related. Это позволяет 3 => 1 ответов (сеть является двунаправленной!) Для TCP и UDP.
    3. Добавить правило для Dropот Source 192.168.3.0/24к Destination 192.168.1.0/24. Это запасной вариант, который отклоняет все, что не разрешено правилом № 2, означающее, что 3 => 1 не может инициировать новые подключения.
  3. Вы также можете добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.

Здесь есть небольшая дискуссия: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Если вы ничего не сделаете, чтобы заблокировать это, 1 <=> 2 и 2 <=> 3 должны были сработать с самого начала. Имейте в виду, что это дает злоумышленнику возможность обойти ваш межсетевой экран маршрутизатора, выполнив 3 => 2 => 1, если что-то уязвимо на 2.

Также имейте в виду, что этот пример настройки фактически разрешен по умолчанию с явным блоком от 3 => 1, но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроили. Более безопасная (но немного более сложная) конфигурация состоит в том, чтобы блокировать по умолчанию (блокировать 192.168.0.0/16как последнее правило в наборе правил) и явно разрешать 1 <=> 2, 2 <=> 3 и 1 => 3. Это следует тем же общим принципам ; вам просто нужно добавить правила, явно разрешающие 2 и блокирующие остальные.

Похожие вопросы