آموزش امن کردن سویچ های مجازی VMware به زبان ساده

چگونه سویچ های مجازی VMware را امن کنیم؟ همانطور که میدانید امروزه سیستم های مجازی سازی مثل VMWARE و HYPER-V سازمان ها و شرکت های بزرگ را احاطه کرده است و بسیاری از کارها را ساده کرده اند و کیفیت سرویس دهی را افزایش داده اند.اما این سیستم ها درسته که مجازی هستند ولی مثل سیستم های REAL نیاز به امنیت دارند بخصوص برای سوییچ های آنان که با خارج از شبکه ارتباط دارند باید به گونه ای این سوییچ ها امنیت داشته باشند که براحتی قابل دور زدن و نفوذ نباشند.همانطور که برای همه واضح است یکی از راه های نفوذ به سوییچ ها و نفوذ به شبکه و خراب کاری این است که یک مک آدرس را جعل کرده و سیستم را به سوییچ متصل کنیم و خودمان را مثلا به جای یک سرور جا بزنیم و سوییچ باید این قابلیت را پیدا کند که بتواند جلوی اینگونه حملات را بگیرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مثال یکی از راه هایی که میتوان از اینگونه حملات جلوگیری کرد استفاده از Port Security میباشد اما قابلیتی که سیستم مجازی سازی Vmware برای امنیت سوییچ هایش دارد نیز راهی برای جلوگیری از حملات به سوییچ است که در این مطلب میخواهم این موارد کاملا ساده را برای شما معرفی کنم.به صورت کلی در Vmware ما دو نوع Switch داریم که هر دوی این ها دارای موارد امنیتی یکسان هستند چرا که این دو نوع سوییچ تفاوت آنچنانی باهم ندارند.دو نوع سوییچی که مد نظر ما هست:

  1. Standard Switch
  2. Distributed Switch

در Vmware وقتی که شما یک سوییچ میسازید برای یک سرور (Standard switch) و اگز آن را Vlan بندی کنید برای آنکه DATA هایی که از این سوییچ با تگ Vlan مثلا vlan10 خارج میگردند باید حتما در مقصد وارد سویچی شوند که دارای vlan بندی باشد و باید حتما vlan آن از نوع vlan10 باشد تا دیتا به آن وارد گردد در غیر این صورت به هیچ وجه دیتا جا به جا نمیگردد و eror میدهد.در این جاست که یکی از اصلی ترین تفاوت های Distributed Switchو standard switch مشخص میگردد

چون برای این که یک سوییچ قرینه روی یک سرور دیگر نیز فعال گردد باید به تعداد سرور ها یکی یکی standard switch ساخت و در جاهای بزرگ که شما مثلا با 100 تا سرور سروکار دارید دیگه همیچین چیزی امکان پذیر نخواهد بود در این جاست که شما از switch از نوع Distributed switch استفاده میکنیم چون اینسوییچ در کل بستر شبکه ی ما قرار میگیرد و دیگر نیاز به ساخت سوییچ های مختلف به تعداد سرور ها نیست و با ساخت یک Distributed switch میتوان هرچندتا سرور را براحتی vlan بندی کرده و شبکه براحتی کار کند. این دو نوع سوییچ ها خودشان برای اتصال به خارج از شبکه دو حالت اصلی دارند:

  1. Isolate Switch
  2. Single Switch

در صورتی که سوییچ در حالت isolate باشد آنگاه دیگر با خارج از شبکه اتصال ندارد یعنی هیچگونه portای به سمت خارج از شبکه ندارد و تنها با شبکه ی داخلی ارتباط دارد ولی اگر که سوییچ در حالت single باشد یعنی تنها یک پورت دارد که میتواند با خارج از شبکه ی داخلی ارتباط بگیرد که البته ما قادر به اضافه کردن portgroup هستیم و میتوانیم که تعداد پورت هایی که سوییچ را به خارج از شبکه ارتباط میدهند افزایش دهیم و این دو گزینه هم نوعی امنیت در شبکه درست میکنند در صورتی که باز هم براحتی قابل دور زدن و نفوذ هستند حالا با این توصیفات و توضیحات به اصل ماجرا که امنیت اصلی براحتی تمام در سوییچ ایجاد میکنند میرسیم.اگر بر روی سوییچ مورد نظرمان کلیک راست کنیم و گزینه ی Edit setting را بزنیم و وارد قسمت security بشویم در اینجا ما 3حالت میتوانیم به سوییچمان Security اعمال کنیم:

  1. Promiscuous mode
  2. Mac Address Change
  3. Forged Transmit
  1. در حالت اول که Promiscuous هستش در این حالت ماشین مجازی ما اجازه دارد که Packetهای اطلاعاتی را از جاهای دیگر نیز دریافت کند و به جاهای مختلف دیگر ارسال کند و بصورت پیشفرض هم این قابلیت فعال و در حالت Accept قرار دارد یعنی اگر دیتا از جای دیگر بیاید اجازه ی ورود به سوییچ و اتصال به ماشین را دارد ولی با قرار دادن این قسمت در حالت Reject دیگر اطلاعات نمیتوانند از جاهای دیگر براحتی وارد سوییچ شوندو به ماشین مجازی ما برسند.
  2. در حالت دوم که Mac Address Change میباشد در این حالت Source Mac توسط سوییچ بطور دقیق بررسی میگردد همانطور که میدانید Mac Address یک ماشین مجازی در فایل VMX آن وجود دارد و شما با ایجاد کردن این قابلیت و راه اندازی آن به سوییچ دستور میدهید که هنگام خروج اطلاعات مک آدرس را دقیق بررسی کند و اگر که source mac و mac اصلی ماشین ما متفاوت بود به آن اجازه ی خروج طلاعات را نمیدهد و آن اطلاعات بلاک میشوند و از ماشین نمیتوانند خارج گردند.
  3. در حالت سوم که Forged Transmit باشد در اینجا برعکس حالت قبلی اگر دیتایی قرار بود که به سوییچ و ماشین مجازی ما وارد گردد با راه اندازی این قابلیت شما به سوییچ دستور میدهید که اگر دیتایی که از خارج به سویچ وارد میگردد و دارای mac destination است اون mac destination را با mac اصلی که در VMX اون ماشین مجازی مقصد قرار دارد مقایسه کند گر مک یکی بود اجازه ی عبور دارد در غیر این صورت دیتا در پشت سوییچ بلاک میگردد و اجازه ی عبور ندارد.

این سه حالت در سوییچ های مجازی Vmware وجود دارد و برای بالا بردن ضریب امنیت در شبکه میباشد که نفوذ به شبکه براحتی انجام نگیرد امیدوارم که این مطلب برای شما مفید واقع شود.


نظرات