Configuração de VLAN possível?

Question

Vou abordar brevemente a configuração da VLAN. Estou usando um Smart Switch TP-Link para referência - a linha Easy Smart Switch é um pouco diferente, mas isso deve ser mais ou menos viável da mesma maneira. Referir-seCapítulos 6.3 e 6.4no manual.

Você deseja configurar VLANs 802.1Q, não as mais básicas "baseadas em portas".
Digite o ID da VLAN que você deseja configurar (por exemplo, 1)
Selecione osportas marcadas. Isso significa as portas pelas quais os quadros pertencentes a esta VLAN serão enviados,com a etiqueta VLAN. Use-o para portas que levam a outros dispositivos compatíveis com VLAN, como seu roteador ou outros switches gerenciados.
Selecione osportas não marcadas. Os quadros pertencentes à VLAN também serão enviados para essas portas, mas a etiqueta da VLAN será removida na saída. Use isto para portas que levam a hosts (incluindo computadores, servidores e câmeras).
Configure seus PVIDs para que os quadros recebidos em portas não marcadas obtenham uma tag padrão.

No seu caso, a VLAN 1 seria marcada na porta do roteador e não marcada em qualquer porta à qual seus computadores se conectassem (com PVID 1 nessas mesmas portas). A VLAN 2 seria marcada na porta do roteador e não marcada na porta do servidor (com PVID 2 nessa porta). A VLAN 3 seria marcada na porta do roteador e não marcada nas portas da câmera (com PVID 3 nessas portas).

Você também precisará configurar o EdgeOS:

Adicione as interfaces VLAN, fornecendo a cada uma delas seu próprio endereço IP e sub-rede (presumirei 192.168.1.1/24, 192.168.2.1/24e 192.168.3.1/24para simplificar. Isso significa que o roteador está usando o endereço 192.168.3.1na 192.168.3.0/24sub-rede em sua interface VLAN 3).
Adicione servidores DHCP atendendo cada VLAN, dando a eles sua própria sub-rede.
Configure os servidores DHCP para definir o gateway ("roteador") para o dispositivo EdgeOS. Isso deve corresponder aos endereços IP especificados no item 1.
Adicione as VLANs como interfaces de escuta de DNS se desejar que elas tenham acesso ao servidor DNS de cache do roteador.

Agora, por padrão, o EdgeOS irá rotear pacotes entre todas as suas interfaces. Você deseja bloquear isso em cenários específicos, o que pode ser feito usando o firewall EdgeOS.

A primeira coisa que você deseja fazer é adicionar um conjunto de regras que bloqueie o acesso de VLANs (2 e 3?) à interface de gerenciamento do roteador. Deve ser algo como:
1. Ação padrão: Soltar
2. Edite o conjunto de regras e configure-o para ser aplicado a Interfaces => adicione suas interfaces VLAN na direção local. Certifique-se de que a VLAN a partir da qual você deseja gerenciar o roteador ainda tenha acesso!
3. Adicione regra para aceitar TCP e UDP na porta 53 para permitir DNS
4. Adicionar regra para aceitar TCP e UDP em Establishedestados Related(guia avançado)
Crie um novo conjunto de regras para unidirecional 1 => 3, default Accept. Certifique-se de editá-lo e aplicá-lo somente às interfaces VLAN 1 e 3. Agora você precisa adicionar suas regras em ordem. Eu sugeriria:
1. Adicione uma regra Acceptde Source 192.168.1.0/24para Destination 192.168.3.0/24. Isso permite que 1 => 3 sejainiciarconexões.
2. Adicione uma regra de Acceptpara Source 192.168.3.0/24no Destination 192.168.1.0/24estado Establishedou Related. Isto permite 3 => 1 respostas (a rede é bidirecional!) para TCP e UDP.
3. Adicione uma regra Dropde Source 192.168.3.0/24para Destination 192.168.1.0/24. Este é o substituto que rejeita qualquer coisa não permitida pela regra nº 2, o que significa que 3 => 1 não pode iniciar novas conexões.
Você também pode querer adicionar regras de firewall bloqueando o acesso da VLAN 3 à Internet.

Há um pouco de discussão aqui:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Se você não fizer nada para bloqueá-lo, 1 <=> 2 e 2 <=> 3 deveriam ter funcionado desde o início. Tenha em mente que isso abre a possibilidade para um invasor contornar o firewall do seu roteador, indo 3 => 2 => 1 se algo estiver vulnerável em 2.

Lembre-se também de que este exemplo de configuração é permitido por padrão com um bloco explícito de 3 => 1 - mas 3 ainda pode acessar quaisquer VLANs futuras que você configurar. Uma configuração mais segura (mas um pouco mais complexa) é bloquear por padrão (bloquear 192.168.0.0/16como a última regra em um conjunto de regras) e permitir explicitamente 1 <=> 2, 2 <=> 3 e 1 => 3. Segue os mesmos princípios gerais ; você só precisará adicionar regras permitindo explicitamente 2 e bloqueando o resto.

Answer 1

Vou abordar brevemente a configuração da VLAN. Estou usando um Smart Switch TP-Link para referência - a linha Easy Smart Switch é um pouco diferente, mas isso deve ser mais ou menos viável da mesma maneira. Referir-seCapítulos 6.3 e 6.4no manual.

Você deseja configurar VLANs 802.1Q, não as mais básicas "baseadas em portas".
Digite o ID da VLAN que você deseja configurar (por exemplo, 1)
Selecione osportas marcadas. Isso significa as portas pelas quais os quadros pertencentes a esta VLAN serão enviados,com a etiqueta VLAN. Use-o para portas que levam a outros dispositivos compatíveis com VLAN, como seu roteador ou outros switches gerenciados.
Selecione osportas não marcadas. Os quadros pertencentes à VLAN também serão enviados para essas portas, mas a etiqueta da VLAN será removida na saída. Use isto para portas que levam a hosts (incluindo computadores, servidores e câmeras).
Configure seus PVIDs para que os quadros recebidos em portas não marcadas obtenham uma tag padrão.

No seu caso, a VLAN 1 seria marcada na porta do roteador e não marcada em qualquer porta à qual seus computadores se conectassem (com PVID 1 nessas mesmas portas). A VLAN 2 seria marcada na porta do roteador e não marcada na porta do servidor (com PVID 2 nessa porta). A VLAN 3 seria marcada na porta do roteador e não marcada nas portas da câmera (com PVID 3 nessas portas).

Você também precisará configurar o EdgeOS:

Adicione as interfaces VLAN, fornecendo a cada uma delas seu próprio endereço IP e sub-rede (presumirei 192.168.1.1/24, 192.168.2.1/24e 192.168.3.1/24para simplificar. Isso significa que o roteador está usando o endereço 192.168.3.1na 192.168.3.0/24sub-rede em sua interface VLAN 3).
Adicione servidores DHCP atendendo cada VLAN, dando a eles sua própria sub-rede.
Configure os servidores DHCP para definir o gateway ("roteador") para o dispositivo EdgeOS. Isso deve corresponder aos endereços IP especificados no item 1.
Adicione as VLANs como interfaces de escuta de DNS se desejar que elas tenham acesso ao servidor DNS de cache do roteador.

Agora, por padrão, o EdgeOS irá rotear pacotes entre todas as suas interfaces. Você deseja bloquear isso em cenários específicos, o que pode ser feito usando o firewall EdgeOS.

A primeira coisa que você deseja fazer é adicionar um conjunto de regras que bloqueie o acesso de VLANs (2 e 3?) à interface de gerenciamento do roteador. Deve ser algo como:
1. Ação padrão: Soltar
2. Edite o conjunto de regras e configure-o para ser aplicado a Interfaces => adicione suas interfaces VLAN na direção local. Certifique-se de que a VLAN a partir da qual você deseja gerenciar o roteador ainda tenha acesso!
3. Adicione regra para aceitar TCP e UDP na porta 53 para permitir DNS
4. Adicionar regra para aceitar TCP e UDP em Establishedestados Related(guia avançado)
Crie um novo conjunto de regras para unidirecional 1 => 3, default Accept. Certifique-se de editá-lo e aplicá-lo somente às interfaces VLAN 1 e 3. Agora você precisa adicionar suas regras em ordem. Eu sugeriria:
1. Adicione uma regra Acceptde Source 192.168.1.0/24para Destination 192.168.3.0/24. Isso permite que 1 => 3 sejainiciarconexões.
2. Adicione uma regra de Acceptpara Source 192.168.3.0/24no Destination 192.168.1.0/24estado Establishedou Related. Isto permite 3 => 1 respostas (a rede é bidirecional!) para TCP e UDP.
3. Adicione uma regra Dropde Source 192.168.3.0/24para Destination 192.168.1.0/24. Este é o substituto que rejeita qualquer coisa não permitida pela regra nº 2, o que significa que 3 => 1 não pode iniciar novas conexões.
Você também pode querer adicionar regras de firewall bloqueando o acesso da VLAN 3 à Internet.

Há um pouco de discussão aqui:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Se você não fizer nada para bloqueá-lo, 1 <=> 2 e 2 <=> 3 deveriam ter funcionado desde o início. Tenha em mente que isso abre a possibilidade para um invasor contornar o firewall do seu roteador, indo 3 => 2 => 1 se algo estiver vulnerável em 2.

Lembre-se também de que este exemplo de configuração é permitido por padrão com um bloco explícito de 3 => 1 - mas 3 ainda pode acessar quaisquer VLANs futuras que você configurar. Uma configuração mais segura (mas um pouco mais complexa) é bloquear por padrão (bloquear 192.168.0.0/16como a última regra em um conjunto de regras) e permitir explicitamente 1 <=> 2, 2 <=> 3 e 1 => 3. Segue os mesmos princípios gerais ; você só precisará adicionar regras permitindo explicitamente 2 e bloqueando o resto.

Configuração de VLAN possível?

Responder1

informação relacionada