در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

ایجاد امنیت در سوییچ های مجازی

سلام به همه ی دوستان ITPROای عزیز.همانطور که میدانید امروزه سیستم های مجازی سازی مثل VMWARE و HYPER-V سازمان ها و شرکت های بزرگ را احاطه کرده است و بسیاری از کارها را ساده کرده اند و کیفیت سرویس دهی را افزایش داده اند.اما این سیستم ها درسته که مجازی هستند ولی مثل سیستم های REAL نیاز به امنیت دارند بخصوص برای سوییچ های آنان که با خارج از شبکه ارتباط دارند باید به گونه ای این سوییچ ها امنیت داشته باشند که براحتی قابل دور زدن و نفوذ نباشند.همانطور که برای همه واضح است یکی از راه های نفوذ به سوییچ ها و نفوذ به شبکه و خراب کاری این است که یک مک آدرس را جعل کرده و سیستم را به سوییچ متصل کنیم و خودمان را مثلا به جای یک سرور جا بزنیم و سوییچ باید این قابلیت را پیدا کند که بتواند جلوی اینگونه حملات را بگیرد.برای مثال یکی از راه هایی که میتوان از اینگونه حملات جلوگیری کرد استفاده از Port Security میباشد اما قابلیتی که سیستم مجازی سازی Vmware برای امنیت سوییچ هایش دارد نیز راهی برای جلوگیری از حملات به سوییچ است که در این مطلب میخواهم این موارد کاملا ساده را برای شما معرفی کنم.به صورت کلی در Vmware ما دو نوع Switch داریم که هر دوی این ها دارای موارد امنیتی یکسان هستند چرا که این دو نوع سوییچ تفاوت آنچنانی باهم ندارند.دو نوع سوییچی که مد نظر ما هست:

  1. Standard Switch
  2. Distributed Switch

در Vmware وقتی که شما یک سوییچ میسازید برای یک سرور (Standard switch) و اگز آن را Vlan بندی کنید برای آنکه DATA هایی که از این سوییچ با تگ Vlan مثلا vlan10 خارج میگردند باید حتما در مقصد وارد سویچی شوند که دارای vlan بندی باشد و باید حتما vlan آن از نوع vlan10 باشد تا دیتا به آن وارد گردد در غیر این صورت به هیچ وجه دیتا جا به جا نمیگردد و eror میدهد.در این جاست که یکی از اصلی ترین تفاوت های Distributed Switchو standard switch مشخص میگردد چون برای این که یک سوییچ قرینه روی یک سرور دیگر نیز فعال گردد باید به تعداد سرور ها یکی یکی standard switch ساخت و در جاهای بزرگ که شما مثلا با 100 تا سرور سروکار دارید دیگه همیچین چیزی امکان پذیر نخواهد بود در این جاست که شما از switch از نوع Distributed switch استفاده میکنیم چون اینسوییچ در کل بستر شبکه ی ما قرار میگیرد و دیگر نیاز به ساخت سوییچ های مختلف به تعداد سرور ها نیست و با ساخت یک Distributed switch میتوان هرچندتا سرور را براحتی vlan بندی کرده و شبکه براحتی کار کند. این دو نوع سوییچ ها خودشان برای اتصال به خارج از شبکه دو حالت اصلی دارند:

  1. Isolate Switch
  2. Single Switch

در صورتی که سوییچ در حالت isolate باشد آنگاه دیگر با خارج از شبکه اتصال ندارد یعنی هیچگونه portای به سمت خارج از شبکه ندارد و تنها با شبکه ی داخلی ارتباط دارد ولی اگر که سوییچ در حالت single باشد یعنی تنها یک پورت دارد که میتواند با خارج از شبکه ی داخلی ارتباط بگیرد که البته ما قادر به اضافه کردن portgroup هستیم و میتوانیم که تعداد پورت هایی که سوییچ را به خارج از شبکه ارتباط میدهند افزایش دهیم و این دو گزینه هم نوعی امنیت در شبکه درست میکنند در صورتی که باز هم براحتی قابل دور زدن و نفوذ هستند حالا با این توصیفات و توضیحات به اصل ماجرا که امنیت اصلی براحتی تمام در سوییچ ایجاد میکنند میرسیم.اگر بر روی سوییچ مورد نظرمان کلیک راست کنیم و گزینه ی Edit setting را بزنیم و وارد قسمت security بشویم در اینجا ما 3حالت میتوانیم به سوییچمان Security اعمال کنیم:

  1. Promiscuous mode
  2. Mac Address Change
  3. Forged Transmit
  1. در حالت اول که Promiscuous هستش در این حالت ماشین مجازی ما اجازه دارد که Packetهای اطلاعاتی را از جاهای دیگر نیز دریافت کند و به جاهای مختلف دیگر ارسال کند و بصورت پیشفرض هم این قابلیت فعال و در حالت Accept قرار دارد یعنی اگر دیتا از جای دیگر بیاید اجازه ی ورود به سوییچ و اتصال به ماشین را دارد ولی با قرار دادن این قسمت در حالت Reject دیگر اطلاعات نمیتوانند از جاهای دیگر براحتی وارد سوییچ شوندو به ماشین مجازی ما برسند.
  2. در حالت دوم که Mac Address Change میباشد در این حالت Source Mac توسط سوییچ بطور دقیق بررسی میگردد همانطور که میدانید Mac Address یک ماشین مجازی در فایل VMX آن وجود دارد و شما با ایجاد کردن این قابلیت و راه اندازی آن به سوییچ دستور میدهید که هنگام خروج اطلاعات مک آدرس را دقیق بررسی کند و اگر که source mac و mac اصلی ماشین ما متفاوت بود به آن اجازه ی خروج طلاعات را نمیدهد و آن اطلاعات بلاک میشوند و از ماشین نمیتوانند خارج گردند.
  3. در حالت سوم که Forged Transmit باشد در اینجا برعکس حالت قبلی اگر دیتایی قرار بود که به سوییچ و ماشین مجازی ما وارد گردد با راه اندازی این قابلیت شما به سوییچ دستور میدهید که اگر دیتایی که از خارج به سویچ وارد میگردد و دارای mac destination است اون mac destination را با mac اصلی که در VMX اون ماشین مجازی مقصد قرار دارد مقایسه کند گر مک یکی بود اجازه ی عبور دارد در غیر این صورت دیتا در پشت سوییچ بلاک میگردد و اجازه ی عبور ندارد.

این سه حالت در سوییچ های مجازی Vmware وجود دارد و برای بالا بردن ضریب امنیت در شبکه میباشد که نفوذ به شبکه براحتی انجام نگیرد امیدوارم که این مطلب برای شما مفید واقع شود.

موفق و سربلند باشید و ITPROای.

نویسنده:امیرمحمد رسول خمینی

منبع:انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی میباشد

#distribute_switch_بر_روی_vcenter #امنیت_سوییچ_مجازی_vmware
8 نظر
حمید رحیمی

اگر میشه با مثال زیر توضیح بدید:

ببینید من یکسری VM دارم که همه روی یک سوئیچ هستند. حالا می خوام اجازه ریموت دسکتاپ به یکی از ماشینها بدم به طوریکه کاربر اجازه ریموت دسکتاپ از داخل این ماشین به ماشینهای دیگر رو نداشته باشه. در اینجا چیکار باید بکنم؟

در مورد دیگه اینکه می خوام دو سرور APP با سرور SQL در ارتباط باشه و کاربران هم فقط با سرور APP

اینجا چه حالتی باید تعریف کنم؟

با تشکر

امیر محمد رسول خمینی

سلام دوست عزیز

در مورد remote باید بگم که شما میتونید با استفاده از فایروال و نوشتن رول این کار را براحتی انجام دهید

و برای سرور هم خب شما هر دسترسی که برای کاربر روی یک سرور تعیین کنید اون کاربر هم با توجه به همون میزان دسترسی دارد و با sql کاری ندارند باز هم اگه میخواید که سوالتون رو در انجمن مطرح کنید اساتید روش های دیگه هم در اختیارتون میگذارند.موفق و سربلند باشید

حمید رحیمی

با تشکر از شما

غیر از نوشتن پالیسی در فایروال سیستم می خواستم ببینم آیا از قابلیتهای دیگه مثل private vlan در سوئیچهای مجازی میشه استفاده کرد یا نه؟

چگونه؟

امیر محمد رسول خمینی

برای ریموت زدن فکر میکنم بهترین راه همون استفاده از فایروال باشه تا سویی چون ممکنه که با تنظیم سوییچ برایر محدود کردن کلاینت ها برای ریموت زدن باعث ایجاد اختلال برای سایر سیستم های شبکه بشه چون وقتی با سوییچ ریموت زدن را محدود میکنید اونوقت دیگه بقیه ی کلاینت ها نمیتونن همدیگه رو ببینن و باعث مشکلات بیشتری میشود.

saeed

سلام دوست عزيز

ممنون بابت مطلب خوبت

اين قسمتو بيشتر توضيح بده لطفا

" دیتایی که از خارج به سویچ وارد میگردد و دارای mac destination است اون mac destination را با mac اصلی که در VMX اون ماشین مجازی مقصد قرار دارد مقایسه کند اگر مک یکی بود اجازه ی عبور دارد در غیر این صورت ... ."

چرا بايد مک يه ديوايس خارجي ماننده مکي باشه که داخل vmx ذخيره شده؟!!

امیر محمد رسول خمینی

سلام دوست عزیز

خب همونطور که مشخص هست وقتی یک دیتا میخواد از مبدا به مقصد برسد باید ادرس کامل مقصد رو داشته باشه یعنی هم ip و هم mac مقصد رو باید داشته باشه که بتونه اون رو پیدا کنه

شما وقتی که قابلیت رو روی سوییچ ها ایجاد میکنید که مک رو چک کنند در نتیجه سوییچ میاد مک دیتایی که اماده ی ورود به شبکست رو نگاه میکنه ببینه با مک ماشینی که این درخواست داره براش میره یکی هست یا نه اگه یکی بود که مشکلی نیست و اون رو رد میکنه ولی اگه یکی نباشه درخواست به اون ماشین درجا بلاک میشه.

باز هم اگه سوالی بود در خدمت هستم.موفق باشید

saeed

ممنون

قسمت 1 رو هم يه توضيح بده لطفا

"در حالت Reject دیگر اطلاعات نمیتوانند از جاهای دیگر؟؟؟ براحتی؟؟؟ وارد سوییچ شوندو به ماشین مجازی ما برسند."

منظور اينه که دسترسي بکل بلاک ميشه؟

امیر محمد رسول خمینی

خیر دسترسی از خارج از شبکه محدود میشه ولی داخل شبکه سیستم ها باهم کار میکنند

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....