Seguridad VLANs en entornos virtuales

Seguridad VLANs en entornos virtuales

Al día de hoy, las VLANs se han catalogado como un medio muy poderoso a la hora de gestionar redes de área local de mediano y gran tamaño.

Seguramente en algún momento has escuchado hablar de ellas, pero no sabes muy bien para qué sirven y qué ventajas ofrecen en lo que respecta a la seguridad de las comunicaciones, por lo que resulta útil cuando queremos segmentar los equipos y limitar el acceso entre ellos por temas de seguridad.

VLANs (Red de área local y virtual), consiste en dos o más redes de ordenadores que se comportan como si estuviesen conectados al mismo equipo informático, aunque se encuentren físicamente conectados a diferentes segmentos de una red de área local, es decir, un administrador puede disponer de varias VLANs dentro de un mismo router, agrupando los equipos de un determinado segmento de red.

Los principales tipos de VLAN se componen por estáticas y dinámicas, siendo las VLAN estáticas las que se configuran manualmente mediante la asignación de puertos a una VLAN, y las dinámicas usan una base de datos que almacena una asignación de VLAN a MAC para determinar la VLAN a la que está conectado un host en particular, permitiendo que los hosts se muevan dentro de la red en lugar de las redes estáticas. 

Configurar el servidor VMPS que contiene el mapeo de VLAN a MAC requiere mucho trabajo inicial, por lo que los administradores de red tienden a preferir las VLAN estáticas.

Para contextualizar más este concepto, podremos basarnos en ejemplificar las acciones de una empresa que cuenta con varios departamentos en la que se desea que sean independientes, al no poder intercambiar datos mediante la red.

La solución pasaría por utilizar varios switchs, uno por departamento, o por usar un switch dividido lógicamente en pequeños switchs, eso es precisamente una VLAN.

Posteriormente se necesitará generar acceso a servicios como internet y a diferentes servidores, por lo que se podrá:

Utilizar un switch o conmutador de capa 3 y 4, es decir, con capacidad de “enrutar” las diferentes VLANs a un puerto.

O utilizar un firewall con soporte VLAN, es decir, que en una misma interfaz física que trabaje con varias VLANs como si contara con varias interfaces físicas.

Tipos de VLAN

Las redes de área local virtuales se pueden clasificar según el nivel del modelo OSI:

VLAN de nivel 1
Define una red virtual según el puerto del switch utilizado, también conocida como “port switching”, suele ser la más habitual y la que implementan la mayoría de los switches del mercado.

VLAN de nivel 2
Define una red virtual según las direcciones MAC de los equipos. Frente a la VLAN por puerto, tiene la ventaja de que los equipos pueden cambiar de puerto, pero hay que asignar todas las direcciones MAC una a una.

VLAN de nivel 3

Hay diferentes tipos de VLAN de nivel 3, dentro de esta se encuentran:

      ●  VLAN basada en la dirección de red que conecta subredes según la dirección IP de los equipos.
      ●  VLAN basada en protocolo, permite crear una red virtual por tipo de protocolo utilizado. 

La principal diferencia es que la VLAN está basada en la dirección de red, al tener que analizar los paquetes para identificar la IP tiene un rendimiento ligeramente inferior al VLAN de protocolo.

¿Cómo funciona una VLAN por puerto?

El protocolo IEEE 802.1Q se encarga del etiquetado de las tramas que es asociada inmediatamente con la información de la VLAN.
Los “etiquetados” de las VLAN, se dividen en dos:

      ●  Untagged: Como no todas las tarjetas de red ofrecen la posibilidad de trabajar con etiquetas VLAN, la solución de la mayoría de fabricantes de switchs, es configurar los puertos como Untagged, es decir, sin etiquetar.

Cuando llega un paquete a un puerto UNTAGGED, el switch se encarga de añadir la “etiqueta” a las tramas que entran y de quitarla a las que salen.

      ●  Tagged: Cuando el dispositivo esté conectado, puede trabajar directamente con VLAN, enviará la información de la VLAN a la que pertenece el mismo. Gracias a esta característica, un mismo puerto podrá trabajar con varias VLAN simultáneamente.

Cuando se configura un puerto con todas las VLAN configuradas en TAGGED, se cataloga como Trunk, este sistema, permite que los paquetes de una VLAN pasen de un switch a otro hasta encontrar todos los equipos de dicha VLAN.

Las principales ventajas de segmentar tu red mediante VLANs

●  Aumenta la seguridad
Al momento de segmentar la red, los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las violaciones de información confidencial.

●  Mejora el rendimiento
Al reducir y controlar la transmisión de tráfico en la red por la división en dominios de broadcast, se potencializa el rendimiento.

●  Reduce costos
Existe la escasa necesidad de actualizaciones de red caras, así como usos eficientes de enlaces y ancho de banda existente.

●  Genera mayor eficiencia del personal de IT.
La VLAN define una nueva red por encima de la red física y, al administrar la red de una forma lógica, se consigue una mayor flexibilidad en la administración y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores, pudiendo: Trasladar, agregar y configurar estaciones de trabajo en la LAN.

En caso de optar por un firewall con soporte VLAN, podemos sumarles las siguientes ventajas:

●  Mayor ahorro de costos.
No tendremos que invertir en un switch con “capacidad de enrutado”.

●  Seguridad y control.
No “enrutamos” una VLAN a otra sin ningún control, pudiendo crear reglas de acceso entre las VLANs e inspeccionar todo el tráfico.

●  Rendimiento de la red.
Dispondremos de la posibilidad de priorizar por QoS (Calidad de servicio) ciertas VLANs o protocolos.

Un ejemplo claro sería priorizar el tráfico de Voz sobre IP (VoIP), ya que requiere:

●  Ancho de banda, para asegurar la calidad de la voz
●  Prioridad de la transmisión sobre los tipos de tráfico de la red
●  Capacidad para ser enrutado en áreas congestionadas de la red
●  Demora de menos de 150 milisegundos (ms) a través de la red

Actualmente, disponer de un Firewall con soporte VLAN supone una serie de ventajas importantes a la hora de administrar tus sistemas de información, donde no solo obtendrás mejoras de rendimiento, sino que además de simplificar tus tareas de administración te permitirá aprender nuevos aspectos y profundizar en la configuración de VLANs dentro de tu empresa.

Fuente: InfoSecurity México