VLANホッピングの危険にさらされないようにVLANを設定するにはどうすればよいですか？

実稼働ネットワークをVLANなしの構成からタグ付きVLAN（802.1q）構成に移行することを計画しています。この図は、計画された構成をまとめたものです。

重要な詳細の1つは、これらのホストの大部分が実際には単一のベアメタルマシン上のVMになることです。実際、物理マシンはDB01、DB02、ファイアウォール、およびスイッチのみです。他のすべてのマシンは、単一のホストで仮想化されます。

これまでの懸念事項の1つは、このアプローチが複雑であり（複雑すぎて暗示されている）、VLANがセキュリティの錯覚を提供しているだけであることです。

仮想化により複数のVLANが単一の物理スイッチポートに使用される場合、これは有効な懸念事項ですか？このリスクを防ぐために、VLANを適切に設定するにはどうすればよいですか？

また、VMWare ESXには「仮想スイッチ」と呼ばれるものがあると聞きました。これはVMWareハイパーバイザーに固有ですか？そうでない場合は、KVM（私の選択したハイパーバイザー）で使用できますか？それはどのように作用しますか？

なぜ人々はセキュリティのためにVLANを使用しないようにと言うのかという情報に加えて？考慮すべき、より具体的で一般的なビットを次に示します。

セキュリティに関する一般的な考え方
最も安全なシステムは、各サブネットのホストが、接続されたデバイスが使用するポートの数とまったく同じスイッチに接続されているシステムです。このような構成では、ランダムなマシンを安全なネットワークに接続することはできません。そのためには、プラグを抜く必要があります（理論的には監視システムがそれに気付くでしょう）。

VLANはセキュリティの点で似たようなものを提供し、スイッチを論理的に互いに分離された小さな仮想スイッチ（仮想LAN：VLAN）に分割し、それらに接続されたすべてのシステムから適切な設定で物理的に見えるようにすることができます分離されました。

比較的安全なVLANセットアップに関する一般的な考え方
VLAN対応スイッチの私のプラクティスは、次の基本構成ですべてのトラフィックをVLANに割り当てる必要があることです。

すべての未使用ポートを「未使用」VLANに割り当てます。

特定のコンピューターに接続するすべてのポートは、コンピューターが存在するVLANにネイティブに割り当てられる必要があります。これらのポートは、1つの VLANにのみ存在する必要があります（ここでは無視する特定の例外を除きます）。
これらのポートでは、（スイッチへの）すべての着信パケットにネイティブVLANのタグが付けられ、（スイッチからの）発信パケットは（a）割り当てられたVLANからのみ発信され、（b）タグなしで通常のイーサネットのように表示されますパケット。

「VLANトランク」（複数のVLANのポート）である必要があるポートは、トランクポートのみです。スイッチ間でトラフィックを伝送するポート、またはVLANトラフィックを独自に分割するファイアウォールに接続するポートです。
トランクポートでは、スイッチに着信するvlanタグが尊重され、vlanタグはスイッチを出るパケットから取り除かれません。

上記の構成は、「VLANホッピング」トラフィックを簡単に挿入できる唯一の場所がトランクポート上にあることを意味し（スイッチのVLAN実装のソフトウェアの問題がない限り）、「最も安全な」シナリオのように何かを抜くことを意味します重要かつ監視アラームを引き起こします。同様に、ホストを取り外してVLANに接続する場合、監視システムにあるホストは、ホストの不思議な消失に気づき、警告します。
どちらの場合も、サーバーへの物理的アクセスを含む攻撃について話します-VLAN分離を破ることは完全に不可能ではないかもしれませんが、上記のように設定された環境では少なくとも非常に困難です。

VMWareおよびVLANセキュリティに関する特定の考え方

VMWare仮想スイッチはVLANに割り当てることができます-これらの仮想スイッチがVMWareホスト上の物理インターフェースに接続されている場合、発信されるトラフィックには適切なVLANタグがあります。
VMWareマシンの物理インターフェイスは、VLANトランクポートに接続する必要があります（アクセスが必要なVLANを伝送します）。

このような場合、管理NICを仮想マシンNICから分離するためのVMWareベストプラクティスに注意することが二重に重要です。管理NICは適切なVLANのネイティブポートに接続し、仮想マシンNICは仮想マシンが必要とするVLANを持つトランク（理想的には、VMWare管理VLANを伝送すべきではありません）。

実際にその分離を強制することは、私が言及した項目と、他の人が思いつくと確信しているものと調和して、合理的に安全な環境を生み出します。

不正なデバイスがvlanタグのないトランクでパケットを送信できる場合にのみ、 VLanホッピングは簡単です。

これは、次の状況で最も一般的です。「通常の」トラフィックはタグ付けされていません。タグ付けされた「安全な」VLANがあります。「通常の」ネットワーク上のマシンはタグ検査されていないパケットを送信できるため（最も一般的にはアクセススイッチによるものです）、パケットには誤ったvlanタグがあり、vlanでホップする可能性があります。

これを防ぐ簡単な方法：すべてのトラフィックはアクセススイッチによってタグ付けされます（ネットワークの構成方法によっては、ファイアウォール/ルーターが例外になる場合があります）。「通常の」トラフィックがアクセススイッチによってタグ付けされた場合、不正なクライアントが偽造したタグはアクセススイッチによってドロップされます（ポートがタグにアクセスできないため）。

要するに、vlanタギングを使用する場合は、トランクですべてをタグ付けして、安全に保つ必要があります。

仮想環境でかなりの量の侵入テストを実行することから、これらの2つの項目を追加して監視します。

実際の環境とまったく同じように仮想環境を計画します。現実の世界で導入する構造的またはアーキテクチャ上の脆弱性は、仮想世界にうまく変換されるためです。

仮想構成を正しく取得する -VMまたはLPARで管理したすべての成功の99％は、構成の誤りまたは資格情報の再利用によるものです。

また、それほど技術的なメモではありませんが、職務の分離についても考慮してください。ネットワークチーム、サーバーチームなどによって処理されていたものが1つのチームになりました。監査人はこれが重要だと思うかもしれません！