Toegang beperken op basis van VLANs - Serversoftware en clouddiensten

maandag 4 februari 2013 08:59

Acties:

Topicstarter

Goeiendag.

Ik zit met een netwerk wat op geen enkele manier gesegmenteerd is. Alles is verbonden op VLAN1, en de IP adressering is overlappend.Dit betekent dat het niet mogelijk is om het netwerk op te delen op basis van functie (de database servers delen hetzelfde subnet als andere systemen bijvoorbeeld) of zelfs op afdelingsniveau.

Ik zou het heel fijn vinden als het netwerk op een hierargische manier opnieuw geaddresseerd zou kunnen worden, maar de schaal van het netwerk maakt dit nagenoeg onmogelijk. Het is een situatie die over zo'n 10 jaar compleet uit de hand is gelopen.

Ik vraag me af of het misschien mogelijk is om VLANs aan te maken, en op basis hiervan toegang te beperken:

- AfdelingA in VLAN100
- AfdelingB in VLAN200
- Database servers in VLAN300

Is er een manier om enkel toegang tot VLAN300 te verlenen als de source afkomstig is van VLAN100?

Het netwerk is Cisco-based en is momenteel geheel L2. De bedoeling is om de Core layer te vervangen door Cisco 3750X switches (L3). Als meer informatie nodig/gewenst is dan hoor ik dat graag, alvast bedankt.

Sweex vind ik klinken als de tekstuele weergave van het fijnknijpen van een jong vogeltje... zoals je het in tekenfilms hoort dan...

maandag 4 februari 2013 09:25

Acties:

Equator

Crew Council

#whisky #barista

VLAN's zijn in principe niet anders dan afgescheiden fysieke LAN's. Hoe beperk je de data tussen deze LAN's? Juist, met een firewall/router+ACL's.

Wat veel gebruikt wordt is een onderverdeling in:

Front-end
Application
Back-end

Het doel hiervan is dat een cliënt device altijd via de front-end laag binnenkomt en nooit direct contact op kan nemen met de back-end laag.

Kijk eens of je dat kunt plaatsen in je netwerk.
Daarna kan je (indien dat nodig is) per laag 1 of meerdere VLAN's definiëren. Afdelingen in een apart VLAN vind ik niet nodig, maar dat is zonder kennis van de omgeving.

Per VLAN moet je dan wel duidelijk hebben wat er voor verkeer tussen deze lagen gaat lopen. Op basis daarvan zal je de firewall / ACL in moeten richten.

Puur voor versimpeling beheer: Probeer gebruik te maken van profielen. Je wilt niet elke poort moeten specificeren.

maandag 4 februari 2013 09:42

Acties:

Ubernerd

Topicstarter

Dank voor je reactie.

Het probleem wat ik heb is dat er teveel overlappende adressen in subnets zijn geplaatst om data tussen de VLANs te kunnen beperken met Access Lists. Om dit wel mogelijk te maken zou een fatsoenlijke IP heraddressing toegepast moeten worden, ik zoek een manier om dit te voorkomen. (grasping at straws?)

Sweex vind ik klinken als de tekstuele weergave van het fijnknijpen van een jong vogeltje... zoals je het in tekenfilms hoort dan...

maandag 4 februari 2013 13:44

Acties:

Equator

Crew Council

#whisky #barista

Tja, ik kan me begrijpen dat je dit wilt voorkomen (vanwege doorlooptijd) maar ik denk dat je beter toch een herstructurering kunt starten. Ja, dat gaat pijn doen, ja daar gaan gebruikers last van krijgen, maar overlappende IP ranges wil je niet. Ik vraag me dan ook af hoe je in hemelsnaam je routing op orde hebt gekregen.

maandag 4 februari 2013 14:19

Acties:

DrFlash

Om je netwerk om te bouwen naar vlans, heb je zowiezo ook heraddressering nodig anders is routeren tussen de vlans onmogelijk.

Het is wat werk hernummeren, als voordeel heb je meteen dat je je netwerk netjes in kaart hebt en je services die direct op IP verbinden kan ombouwen naar DNS namen zodat je nooit meer tegen dit probleem aan loopt.

Wowhead profiel

dinsdag 5 februari 2013 08:30

Acties:

Ubernerd

Topicstarter

Bedankt voor de reacties.
Het is me duidelijk dat er toch geen quick fix is, helaas.

Sweex vind ik klinken als de tekstuele weergave van het fijnknijpen van een jong vogeltje... zoals je het in tekenfilms hoort dan...

dinsdag 5 februari 2013 08:38

Acties:

DukeBox

loves wheat smoothies

Jawel hoor... die is er wel.

DrFlash schreef op maandag 04 februari 2013 @ 14:19:
Om je netwerk om te bouwen naar vlans, heb je zowiezo ook heraddressering nodig anders is routeren tussen de vlans onmogelijk.

Je hoeft natuurlijk niet persé te routeren. Als het alleen om access gaat kan je tussen VLAN's nog steeds een (transparante) firewall gebruiken. Dat wordt zelfs regelmatig gedaan om bijv. een productie en test omgeving te scheiden welke in dezelfde ip range vallen. Met ipv6 is dat zelfs de makkelijkste manier om niet te hoeven routeren.

Overigens, wat bedoel je met 'overlappende' ip's ?

Vergeet overigens niet dat VLAN's er zijn om je netwerk management technisch te beheren, het is geen security oplossing (al wordt het daar wel erg vaak voor gebruikt).

[ Voor 17% gewijzigd door DukeBox op 05-02-2013 08:40 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 5 februari 2013 22:39

Acties:

pablo_p

DukeBox schreef op dinsdag 05 februari 2013 @ 08:38:
Vergeet overigens niet dat VLAN's er zijn om je netwerk management technisch te beheren, het is geen security oplossing (al wordt het daar wel erg vaak voor gebruikt).

Deze opmerking begrijp ik niet helemaal.

De tendens van de afgelopen 15 jaar is om netwerken en systemen die een verschillend security/confidentiality niveau hebben logisch van elkaar te scheiden in plaats van fysiek. Het gebruik van VLANs en de scheiding daartussen was een van de eerste op dat gebied en in de meeste omgevingen waar ik werk wordt VLAN scheiding als harde scheiding tussen systemen geaccepteerd.

Heel strict genomen is gebruik van VLANs geen security, maar VLANs zijn een van de (basis)enablers voor een logische security oplossing. Zonder gebruik van VLANs is logische scheiding op netwerk niveau zo goed als onmogelijk. Alleen distributed virtual firewalling binnen een virtualisatieplatform als VMware zou dat intern kunnen vervangen.

In de meeste omgebvingen die ik zie, begint het verhogen van de security van het netwerk en (management) systemen daarin met het segmenteren van systemen in VLANs.