Segmentar el tráfico de red virtual

5

Tengo una comprensión básica y moderada de las VLAN y sus ventajas y desventajas en lo que respecta a la segmentación de la red, pero me pregunto dónde comenzar a medida que uno se traslada a entornos virtualizados.

Desde una perspectiva de seguridad, ¿cómo se enfrenta la segmentación de VLAN tradicional a los productos / soluciones centrados en entornos virtuales, como el producto vCloud Networking and Security de VMWare? Cuando trabaja con máquinas virtuales ubicadas, ¿en qué estrategias / tecnologías confía para segmentar el tráfico de máquinas virtuales?

Sé que esto puede ser demasiado amplio, pero cualquier punto de partida sería extremadamente útil. Sin embargo, para una pregunta específica, tal vez una buena manera de plantearla sería: ¿Considera que los productos de seguridad de red virtual son al menos tan buenos como los VLAN tradicionales para segmentar el tráfico de red?

    
pregunta Univ426 06.03.2013 - 17:46
fuente

2 respuestas

1

VLANS como concepto permanece estable y constante con la implementación de una tecnología o una solución. El concepto central es definir un conjunto lógico de límites entre redes; Una línea de confianza como para decir. Es la implementación que varía y aquí es donde está el riesgo.

Si sabe que Ubuntu se ejecuta bajo una plataforma vmware, puede definir vlans usando un comando como vconfig . Dependiendo del uso; su máquina virtual es de doble origen. (2) Las tarjetas NIC que se encuentran en DMZ pueden necesitar dos vlans para conectarse y transferir datos.

Al igual que en el interruptor físico; desea filtrar o definir el id de vlan que puede llevar un enlace troncal; por ejemplo, no desea que vlan server ftp solo transporte tráfico para servidores ftp, no otra cosa.

Para el enrutamiento inter-vlan, debe definir una política inteligente en el enrutador de capa 3 para filtrar / eliminar paquetes según los requisitos de seguridad. Por ejemplo, para usuarios que no son ftp que acceden a la comunidad ftp. El tráfico entrante a puertos ftp no estándar también se eliminará.

No importa la cantidad de entorno virtualizado que tenga, en última instancia, tiene que pasar por conmutadores / enrutadores físicos del entorno de su organización. Aquí es donde deben aplicarse los verdaderos controles / controles.

Asegurar vlan es bastante común y está bien revertido en el caso de cisco academia (por ejemplo, clases de ccna). Puede comenzar desde aquí. . Este enlace trata los ataques a vlan protocol, por ejemplo, vlan hopping y qué se puede hacer para mitigar el riesgo.

    
respondido por el Saladin 06.03.2013 - 18:34
fuente
0

Bueno, todo el concepto de VLAN es el mismo tanto en lo físico como en lo virtual. Pero usar VLAN es algo diferente:

  1. Cuando estás en un entorno no virtual (físico) puedes usar VLAN para aislar diferentes tipos de tráficos basados en diferentes criterios por ej. departamento, ubicación y tipo de datos y en tales en los casos en que se utiliza el interruptor físico .
  2. En un entorno virtual como VMware, por ejemplo, generalmente tenemos algunos tráficos específicos como administración, ISCSI, NFS, vMotion, etc. Debe utilizar VLAN para la separación en función de este tipo de tráfico. Aquí, se utilizan dos conmutadores virtuales: "conmutador estándar", "distribuido cambiar "en relación con nuestros escenarios.

En mi humilde opinión, uno debería tener una buena comprensión de los conceptos fundamentales y también de los escenarios del mundo real. Espero que pueda darle algunas pistas sobre sus preguntas.

    
respondido por el Vahid Shokouhi 06.03.2013 - 21:38
fuente

Lea otras preguntas en las etiquetas