Mạng LAN ảo (VLAN)

Một phần của tài liệu Nghiên cứu các giải pháp nâng cao tính bảo mật cho hệ thống mạng LAN (Trang 44 - 46)

DEFENSE IN DEPTH

2.4.5Mạng LAN ảo (VLAN)

VLAN là một mạng LAN ảo chia mạng vật lý thành các mạng con logic nhỏ hơn thuộc một miền quảng bá duy nhất và cô lập lưu lượng truy cập từ các VLAN khác VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng mỗi nhóm. Với VLAN mạng có khả năng mở rộng, bảo mật và quản lý tốt hơn vì Router trong cấu trúc VLAN thực hiện ngăn chặn quảng bá, bảo mật và quản lý dòng lưu lượng mạng. Tuy nhiên nếu VLAN được cấu hình không đúng làm cho hoạt

động mạng trở nên kém hoặc có khi không hoạt động được. Do đó khi thiết kế mạng, việc nắm được cách triển khai VLAN trên nhiều Switch khác nhau là hết sức quan trọng.

Có hai loại VLAN thường gặp :

- VLAN tĩnh hay còn được gọi là port-based. Khi ta gấn cổng switch và một VLAN là đã tạo một static VLAN. Khi thiết bị được kết nối vào mạng, nó tự động nhận theo VLAN của cổng đó. Nếu user thay đổi các cổng và cần truy cập vào cùng một VLAN, thì người quản trị mạng cần phải khai bảo cổng tới VLAN cho kết nối tới.

- VLAN động được tạo thông qua việc sử dụng các phần mềm mềm như Ciscowork 2000. Với một VMPS (VLAN Mangagement Policy Server) có thể đăng ký các cổng của switch vào các VLAN cách tự động dựa trên địa chỉ MAC nguồn của thiết bị được nối vào cổng. Dynamic VLAN hiện thời tính đến thành viên của nó dựa trên địa chỉ MAC của thiết bị. Như mộ thiết bị trong mạng, nó truy vấn một cơ sở dữ liệu trên VMPS của các VLAN thành viên.

Dưới đây là một số lưu ý cần thiết khi triển khai mạng LAN trong môi trường giải pháp Defense in Depth:

- Kiểm soát truy cập vật lý bằng các loại bỏ cáp kết nối tới cổng cấu hình và yêu cầu mật khẩu khi kết nối tới cổng này và thời gian truy cập được chỉ định, chính sách quyền truy cập bị hạn chế.

- Chỉ sử dụng mối quan hệ một – một giữa VLAN và các mạng con. Điều này yêu cầu sử dụng một router để tham gia vào nhiều mạng lan. Rất nhiều router và tường lửa hỗ trợ một giao diện kết nối vật lý có thể định tuyền giữa nhiều mạng logic.

- Tạo tài khoản người dùng dựa trên quyền mà người đó được cấp trên tất cả các VLAN. Tạo một danh sách truy cập (access list) để hạn chế truy cập telnet/secure shell (SSH) từ các mạng và máy tính không được phép.

- Tạo và áp dụng danh sách kiểm soát truy cập lớp 2 (ACL layer 2) và ACL ảo để chặn các kết nối trực tiếp giữa những kẻ tấn công tiềm ẩn và thiết bị có khả năng bị tán công.

- Sử dụng VLAN riêng để bảo vệ mạng khỏi lưu lượng truy cập không mong muốn từ các thiết bị không đáng tin cậy.

- Sử dụng cổng bảo mật.

- Nếu có thể, nên ưu tiên quản lý ngoài băng tần hơn quản lý trong băng tần.

- Hạn chế số lượng các địa chỉ truy cập (MAC) tới một cổng để thiết bị kiểm soát lưu lượng kiểm soát chính xác hơn.

Một phần của tài liệu Nghiên cứu các giải pháp nâng cao tính bảo mật cho hệ thống mạng LAN (Trang 44 - 46)

(90 trang)