Rozdělení switche

Re:rozdeleni switche
« Odpověď #15 kdy: 15. 01. 2020, 21:56:13 »
Já bych to tipl na to, že tazatel nevěděl, že port ve VLAN může být untagged.
Nojo, pokud bych žil v představě, že kvůli nasazení VLAN budu muset trunkovat i proti všem klientům (tzn. na klientech to nastavit), tak bych se asi taky VLAN bál jak čert kříže :-) Shodou okolností jsem před časem sesmolil takové velmi začátečnické obrázkové intro, a doufám nebude vadit, když si přihřeju polívku...
Moc pekny, dik


SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:rozdeleni switche
« Odpověď #16 kdy: 16. 01. 2020, 14:59:16 »
...z jediné společné FDB/CAM tabulky (takže lze mezi VLANami páchat DoS útok únosem MAC adresy)...

...přihřeju polívku...

„...it's possible to force a switch to re-learn a MAC address to a "wrong" port (= away from the correct port) by sending a packet with the "attacked" MAC address as a source address in the attacking frame (= MAC address spoofing), from an untagged port belonging to a different VLAN.“

Jak by to mělo fungovat? Přepínač odešle následné pakety určené pravému příjemci do VLAN útočníka? Když zavysílá pravý příjemce ze své VLAN, tabulka se opět přepíše zpět a útok končí? Co když má přepínač (jako např. Mikrotik RB260) zamykání portů k MAC?

Re:rozdeleni switche
« Odpověď #17 kdy: 16. 01. 2020, 16:07:09 »
„...it's possible to force a switch to re-learn a MAC address to a "wrong" port (= away from the correct port) by sending a packet with the "attacked" MAC address as a source address in the attacking frame (= MAC address spoofing), from an untagged port belonging to a different VLAN.“

Jak by to mělo fungovat? Přepínač odešle následné pakety určené pravému příjemci do VLAN útočníka? Když zavysílá pravý příjemce ze své VLAN, tabulka se opět přepíše zpět a útok končí? Co když má přepínač (jako např. Mikrotik RB260) zamykání portů k MAC?

Nenapadá mě, jak by se to dalo zneužít kromě DoS útoku - switch si bude myslet, že MAC adresa je v jiné VLAN, ale mezi VLAN packety nepředá. Tedy "odstřihne" od sítě oprávněného uživatele, nic víc se nestane. Nechci teď kecat, ale myslím, že lepší switche mají ARP oddělenou podle vlan, tam nehrozí ani to.

Některé switche umí zamknout port na stejnou MAC adresu - buďto úplně na pevno, nebo s karenční dobou (dalších X hodin je port uzamknutý). Tam, kde se řeší bezpečnost, se to používá. VLAN není jediným řešením bezpečnosti, je to jen jeden z nástrojů a jejich použití se řídí požadovanou úrovní bezpečnosti.

Re:rozdeleni switche
« Odpověď #18 kdy: 16. 01. 2020, 21:40:49 »
„...it's possible to force a switch to re-learn a MAC address to a "wrong" port (= away from the correct port) by sending a packet with the "attacked" MAC address as a source address in the attacking frame (= MAC address spoofing), from an untagged port belonging to a different VLAN.“

Jak by to mělo fungovat? Přepínač odešle následné pakety určené pravému příjemci do VLAN útočníka? Když zavysílá pravý příjemce ze své VLAN, tabulka se opět přepíše zpět a útok končí? Co když má přepínač (jako např. Mikrotik RB260) zamykání portů k MAC?

Nenapadá mě, jak by se to dalo zneužít kromě DoS útoku - switch si bude myslet, že MAC adresa je v jiné VLAN, ale mezi VLAN packety nepředá. Tedy "odstřihne" od sítě oprávněného uživatele, nic víc se nestane. Nechci teď kecat, ale myslím, že lepší switche mají ARP oddělenou podle vlan, tam nehrozí ani to.

Některé switche umí zamknout port na stejnou MAC adresu - buďto úplně na pevno, nebo s karenční dobou (dalších X hodin je port uzamknutý). Tam, kde se řeší bezpečnost, se to používá. VLAN není jediným řešením bezpečnosti, je to jen jeden z nástrojů a jejich použití se řídí požadovanou úrovní bezpečnosti.

Přesně tak, lze to použít jenom pro DoS útok. I tohle riziko ale může někomu vadit.

A pak jsou nějaké... obskurní a staré rodiny protokolů nad Ethernetem v "průmyslu", které třeba používají tutéž MAC adresu na jakékoli síti pro nějakou well-known funkci. Potíž je, když takových sítí pustíte do VLANového switche několik paralelně. Polezou si navzájem do zelí.

Ano, některé lepší switche umí oddělené FDB per VLAN.

Re:rozdeleni switche
« Odpověď #19 kdy: 16. 01. 2020, 21:44:52 »
Ano, některé lepší switche umí oddělené FDB per VLAN.

Díky za potvrzení. Právě jsem matně vzpomínal, že na Catalystech jsem někdy (většinou to byly chyby!) viděl MAC na více vlanách a marně jsem si dnes lámal hlavu, proč by měly mít switche jen jednu tabulku bez odlišení, jestli je k tomu racionální důvod (kromě zlevnění návrhu).


M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Rozdělení switche
« Odpověď #20 kdy: 17. 01. 2020, 07:59:26 »
Tak u slušnějších swichtů je to i konfigurovatelné, zda chci/nechci, aby brala FDB v potaz VLANu (tím pádem zda MAC přeskakuje mezi VLANama nebo může stejná MAC existovat současně ve víc VLANách) a případně i kolik záznamů per VLAN nebo port dovolím max využít. Obvykle nadávky SVL/IVL (shared / independend VLAN learning).

Re:rozdeleni switche
« Odpověď #21 kdy: 17. 01. 2020, 12:05:16 »
Ano, některé lepší switche umí oddělené FDB per VLAN.

Díky za potvrzení. Právě jsem matně vzpomínal, že na Catalystech jsem někdy (většinou to byly chyby!) viděl MAC na více vlanách a marně jsem si dnes lámal hlavu, proč by měly mít switche jen jednu tabulku bez odlišení, jestli je k tomu racionální důvod (kromě zlevnění návrhu).

Podle mého je to prostě výsledek postupného inkrementárního vývoje. Když se do switchových čipsetů přidávaly VLANy, tak na mechanismy fungování FDB vlastně nebylo třeba šáhnout (učení adres a následně procházení tabulky při forwardovacích rozhodnutích), jenom se přidal nějaký filtr podle VLAN ID a logika přidat/odstranit značku (per port). Per-VLAN FDB znamená, že je třeba FDB rozšířit o další pole (Vlan ID) a "třídící klíč" tím o pár bitů narostl... Ani nevím, jestli je sdílená FDB stanovena jako součást 802.1Q. On s tím tuším taky dál souvisí třeba Spanning Tree Protocol. Ten taky standardně nejede "per VLAN", ale globálně (untagged i na trunku?) Jak moc volně/těsně souvisí per-VLAN STP a FDB, to teď z hlavy nedám...

Re:rozdeleni switche
« Odpověď #22 kdy: 17. 01. 2020, 12:11:07 »
...

Mám v tomto omezené zkušenosti, ale co znám Cisco Catalysty od C2950 (rok 2008), tak měly v ARP tabulce jak field pro VLAN, tak možnost nastavit PVST (Per-VLAN-Spanning-Tree).

Takže nějaký postupný vývoj mi do toho nesedí, spíš bych to tipoval na šlendrián zoufalých výrobců, aby nějak-rychle-levně uměli implementovat 802.1Q a nedoimplementovali spoustu dalších potřebných mechanismů. Když se tak zamyslím, tak všude u sebe a u klientů mám Catalysty, nebo nepoužívám VLANY. Takže zkušenost s ostatními mám nulovou.

luvar

  • ***
  • 225
    • Zobrazit profil
    • E-mail
Re:Rozdělení switche
« Odpověď #23 kdy: 17. 01. 2020, 21:13:06 »
Vidim tu odbornu diskusiu a neda mi nespytat sa. Co v pripade, ze sa jedna o domacu automatizaciu (sitara https://www.ti.com/lit/an/sprac97/sprac97.pdf, CMUSphinx - https://cmusphinx.github.io/, videovratnik a ine somarinky vratane sialenosti ako je arduino a ethernet shield :), ktoru by som mal rad "offline" a nepusta ju na Internet? Ma zmysel v takomto pripade mat dva fyzicke switche? Jeden pre domcu automatizaciu a druhy pre pocitace, notebooky, wifi routre a nejaky ten Internet?

Vyhody:
  • zvladnem to aj ja, bez studoania aky hw kupit a ako ho nastavit a urcite to bude oddelene :)
  • ten switch na home automation moze byt o level lacnejsi/horsi. Tam nebudem vyzadovat gigabitove porty pravdepodobne a urcite nie viac ako gigabitove, ak nahodou.

Nevyhody:
  • dva switche (velka plechova skatulka s malym plosacikom dnuka)
  • viac obsadenych zasuviek

Su tam nejake ine nevyhody, alebo dovody na pouzitie vlan-ov?

Re:Rozdělení switche
« Odpověď #24 kdy: 17. 01. 2020, 21:23:15 »
Přesně na toto se používají vlan. Koupíte jen lepší switch namísto dvou horších. V rozvaděči pak máte patch panel, organizér a switch. Změny přiřazení děláte konfigurací, ne překolíkováváním drátů.

Dokonce se často dělá i toto:

port 1 - inernetová přípojka (VLAN 10)
port 2-10 - LAN (VLAN 20)
port 11-15 - interní zařízení (VLAN 30)
port 16 router a v něm 802.1q trunk (povolené VLAN 10, 20 a 30)

Do routeru Vám pak vede jen jeden kabel a po něm běží provoz do všech tří VLAN a do nich to rozhodí switch.
Proto profesionální routery mívají 2-3 porty a ne víc, protože zbytek se rozhodí na switchi. Nebývá vůbec výjimkou mít router připojený jen jedním kabelem.

Když potřebujete dostat "ostrý" internet do nějakého zařízení (třeba jen dočasně), překonfigurujete mu port do VLAN 10 a ejhle, už to běží. Potřebujete dostat internet do interních zařízení? Stejný postup.

Na zapojení bez VLAN a třeba přes dva switche taky není nic špatného, ale je to méně pohodlné.

Z hlediska bezpečnosti je to naprosto totožné, vlan jsou mechanismus na L2, zatímco směrování internetu je L3.

Petr M

  • ***
  • 105
    • Zobrazit profil
    • E-mail
Re:Rozdělení switche
« Odpověď #25 kdy: 19. 01. 2020, 12:38:14 »
Tak doma mám právě kvůli oddělení sítí GS-1900 a jeden fous do routeru. No a pomocí VLAN je to rozstřeleno aktuálně na tři sítě.
- Tagovaná část - switch-router, pracova-router a APčka (kvůli několika SSID).
- Klasická LAN s PC
- "Dirty" LAN s IPTV, mobilama, TV,... - co chce net a nevěřím tomu z pohledu bezpečnosti
- Síť bez internetu - tiskárna, NAS, případně IoT srandy a tak

A je to fakt jednoduchý na nastavení - GS1900 jede ve factory defaultut interně na VLAN1 a všechny porty jsou untagged. Jenom stačilo vytvořit další LANky, na uplinku zapnout všechny VLAN na jeden port jako Tagged, na downlinku vybrat jednu z nich a poslat jako untagged. Jde to v klidu naklikat v jejich webovým rozhraní, je to jenom jedna taková tabulka.

Resim jeden projekt ... chci aby port 1-9 byl pro tu firmu (1port jejich router a zbyle porty 2-9 jejich datove zasuvky)

Jo takhle, pán je expert. Na vytváření SPOF. Jeden vyhořelý brouk, pět firem bez konektivity. A jeden společný firewall/router je tam taky, aby to hackeři měli jednodušší a virus se mohl z jedné firmy bez překážek šířit do druhé?

Když pak dostane přístup k managementu switche jedna firma, klidně vytuneluje data z jiné... To samý, když se uklikneš a uteče jim nějaký know-how.

Boha, managovaný 16p 1G switch začíná na ceně za plnou nádrž LandRoveru majitele takové firmičky, takový šetření je pěkně na ... A vzhledem  k tomu, že mgmt neumíš používat, jsi s odděleným switchem na ceně plné nádrže u mopedu.

Re:Rozdělení switche
« Odpověď #26 kdy: 20. 01. 2020, 19:37:30 »
Spolehlivost se opravdu netvoří tím, že si nasázíte mnoho switchů a mnoho routerů. Naopak "profesionální" klasikou je pořídit jeden router a jeden switch, které za něco stojí. Stejně tak bezpečnost, řeší se jednoduchými, ale funkčními nastaveními.

Pokud jde o spolehlivost prvků proti havárii, řeší se to zapojením do zdvojení. Přívod do dvou switchů, ty propojeny do kříže, z každého switche do kříže do dvou routerů. To už je komplikovanější nastavení. Díky tomu dvěma switchi a dvěma routery eliminujete SPOF pro větší počet přípojek (firem), než dvě.

Pokud jeden switch a jeden router pro pět firem nahradíte pěti routery a pěti switchi, spolehlivost nezvýšíte. Dopad bude menší (chcípne jen jedna firma), ale četnost incidentů úměrně násobná. Výslednice = 0.

Bezpečnost se řeší primitivně. Nemít na routeru otevřené nic, co není potřeba (na router nepatří DNS a podobné chujoviny), management přes SSH a ověření klíčem. Jste-li víc paranoidní, dají se routery i switche konfigurovat přes RS232 a síťový management mít zakázaný. Nic nového pod sluncem.
« Poslední změna: 20. 01. 2020, 19:42:39 od Miroslav Šilhavý »

Re:Rozdělení switche
« Odpověď #27 kdy: 20. 01. 2020, 22:27:16 »
Vidim tu odbornu diskusiu a neda mi nespytat sa. Co v pripade, ze sa jedna o domacu automatizaciu (sitara https://www.ti.com/lit/an/sprac97/sprac97.pdf, CMUSphinx - https://cmusphinx.github.io/, videovratnik a ine somarinky vratane sialenosti ako je arduino a ethernet shield :), ktoru by som mal rad "offline" a nepusta ju na Internet? Ma zmysel v takomto pripade mat dva fyzicke switche? Jeden pre domcu automatizaciu a druhy pre pocitace, notebooky, wifi routre a nejaky ten Internet?

Vyhody:
  • zvladnem to aj ja, bez studoania aky hw kupit a ako ho nastavit a urcite to bude oddelene :)
  • ten switch na home automation moze byt o level lacnejsi/horsi. Tam nebudem vyzadovat gigabitove porty pravdepodobne a urcite nie viac ako gigabitove, ak nahodou.

Nevyhody:
  • dva switche (velka plechova skatulka s malym plosacikom dnuka)
  • viac obsadenych zasuviek

Su tam nejake ine nevyhody, alebo dovody na pouzitie vlan-ov?
IMHO, na doma dobrý, pokud neni cas a chut to studovat a platit za managovatelny  switch.
Jediné co ztratíš, je flexibilita.
Mmch “skatulka s malym plosacikom dnuka”,  to je kouzelný :-)

« Poslední změna: 20. 01. 2020, 22:31:45 od FKoudelka »

Re:Rozdělení switche
« Odpověď #28 kdy: 20. 01. 2020, 22:39:04 »

IMHO, na doma dobrý, pokud neni cas a chut to studovat a platit za managovatelny  switch.
Jediné co ztratíš, je flexibilita.
Mmch “skatulka s malym plosacikom dnuka”,  to je kouzelný :-)
Pofederační synek to přeložil jako “krabička s malým plochým dnem“. :-)

Re:Rozdělení switche - dodatek ohledně private VLAN...
« Odpověď #29 kdy: 22. 01. 2020, 16:52:31 »
Odpusťte malý přílepek. Náhodou jsem narazil na cosi "pro mě nového" k VLANám a vzpomněl jsem si na tohle nedávné téma (které už stejně mezitím trochu převálcovalo původní dotaz, takže se snad nic nestane, když přidám ještě toto).

Všiml jsem si na taiwanských průmyslových switchích různých značek fičury zvané "private VLAN" - v průběhu posledních let několikrát, ale nevěnoval jsem tomu pozornost, považoval jsem to za čínskou inovaci. Ale když jsem potkal třetí značku, která to má ve firmwaru, začal jsem "větřit změnu počasí". Taiwanci to nemívají nikde v kostce popsáno "v koncepční rovině" - a jednotlivá konfigurační okýnka mívají v návodu popis cca "toto je konfigurační okýnko". No a usvědčil jsem se z neznalosti - ono to zřejmě přišlo původně od Cisca. Už před 10 lety o tom psal Petr Bouška na Samurajovi. V trochu sušším podání se lze něco dočíst na Wikipedii.

O co jde? Dá se tím detailněji regulovat "viditelnost" mezi porty v rámci VLANy navzájem. Dá se nastavit jeden port (obvykle L3 default gateway) jako "promiskuitní" (dá všem), a klientské porty jako "navzájem izolované". Nebo lze nastavit i klientské porty jako "komunitní" = smí se bavit mezi sebou navzájem. Na Ciscu je to tak, že v rámci konkrétní rodičovské VLANy se dají vykolíkovat menší podmnožiny / sub-VLANy, a v každé z nich se dá říct, jestli mají být porty v jejím rámci "izolované", nebo "komunitní". Přitom se všechny smí bavit s týmiž "promiskuitními" porty v rámci VLANy a klidně sdílejí L3 subnet. Číňani to zřejmě mají implementováno o něco jednodušeji / v detailech jinak, ale pozoruju tam podobné konfigurační opšny. Prostě doteď jsem žil v představě, jak jsou VLANy jednoduchá a přehledná záležitost, včetně třeba Q-in-Q, a teď jsem poznal jeden stinný kout, kde... Sodoma Gomora. Ono se tím zřejmě dá např. stáhnout i L3 provoz v rámci L2 segmentu tak, aby tekl skrz default gateway, kde se dá na L3 ofiltrovat (je potřeba tomu trochu pomoct proxy ARPem).

Zatím jsem si na to nesáhl rukama a není mi jasné, co to má za dopad třeba na funkce založené na L2 broadcastu (jiné než kde broadcastuje default GW). Může to být asi dost mazec.
Na první pohled mám pocit, že o toto by se měl starat někdo, kdo ví co dělá a dokáže dost podrobně ladit případné konfigurační přehmaty/nedomyšlenosti. Nic pro čarodějova učně, který zrovna zvládnul základní bezelstné VLANy.