Architettura Laboratorio
Il laboratorio è stato realizzato con gli stessi dispositivi del laboratorio utilizzato per le PVLAN: Switch Cisco 4507 connesso ad un Firewall Juniper SSG5 che funge da default gateway.
Configurazione VLAN
VLAN 400 VLAN di test
Porte 4/1: Firewall 0/0 (default gateway) 10.10.10.1
Port 4/2: Server1 (10.10.10.2/24 – GW: 10.10.10.1)
Port 4/3: Server 2 (10.10.10.3/24 - GW: 10.10.10.1)
Port 4/4: Server3 (10.10.10.4/24 – GW: 10.10.10.1)
Passi per la configurazione:
La configurazione prevede la creazione di due access-list, una a livello di mac address (opzionale) ed una per regolare il traffico IP.
Le access-list vengono poi associate ad una vlan map, che viene applicata ad una VLAN.
MAC-ACL
Mac access-list extended mac-acl-400
Permit host 0017.cbe1.10c0 any
Permit any host 0017.cbe1.10c0
L’access list creata consente a tutti gli host di contattare il default gateway.
IP ACL
Access-list 101 permit ip any host 172.26.6.91
Access-list 101 permit ip host 172.26.6.91 any
!---- Host abilitati tra loro es:
access-list 101 permit ip host 172.26.6.90 host 172.26.100.37
access-list 101 permit ip host 172.26.100.37 host 172.26.6.90
!---
Access-list 101 deny ip 172.26.0.0 0.0.255.255 172.26.0.0 0.0.255.255
Access-list 101 permit ip any any
Creazione VLAN 400 e access-map
VLAN 400
Name test test-mac-acl
Nota: opzionale filtro per MAC
Vlan access-map Map-vlan-400 10
Action forward
Match mac addresses mac-acl-400
Vlan access-map map-vlan-400 20
Action forward
Match ip addresses 101
Vlan access-map Map-vlan-400 30
Action drop
Applicazione VLAN filter
Vlan filter map-vlan-400 vlan-list 400
Configurazione Extended ACL
La creazione di una extended ACL consente di gestire in modo più comodo le varie regole, oltre che a determinare per IP e per porta:
Ip Access-list extended DMZ-FILTER
Permit ip host 172.26.6.91 any
Permit ip any host 172.26.6.91
Vlan access-map map-vlan-400 20
Match ip addresses DMZ-FILTER
Action forward
Note:
Dalle configurazioni realizzate risulta molto più semplice ed efficiente utilizzare le VLAN ACL rispetto alle private VLAN, in quanto non implicano modifiche alla struttura attuale, sono relativamente semplici da implementare ed offrono una buona flessibilità.
Architettura Laboratorio
Switch Cisco 4507 connesso ad un Firewall Juniper SSG5 che funge da default gateway.
Confiugrazione VLAN sullo switch:
VLAN 100 Primary private PVLAN
VLAN 101 Secondary isolated VLAN
Porte 3/1: Firewall 0/0 (default gateway) 10.10.10.1
Port 3/2: Server1 (10.10.10.2/24 – GW: 10.10.10.1)
Port 3/3: Server 2 (10.10.10.3/24 - GW: 10.10.10.1)
Port 3/4: Server3 (10.10.10.4/24 – GW: 10.10.10.1)
Obiettivo
- server1 e server2 non devono comunicare tra loro ma solamente uscire internet
- server1 e server3 devono comunicare tra loro.
Requisti/Limiti PVLAN
- PVLANs cannot include VLANs 1 or 1002–1005.
- You must set VLAN Trunk Protocol (VTP) mode to transparent.
- You can only specify one isolated VLAN per primary VLAN.
- You can only designate a VLAN as a PVLAN if that VLAN has no current access port assignments. Remove any ports in that VLAN before you make the VLAN a PVLAN.
- Do not configure PVLAN ports as EtherChannels.
- Community VLANs cannot be propagated or carried over private VLAN trunks.
- ARP entries learned on Layer 3 PVLAN interfaces are termed "sticky" ARP entries (we recommend that you display and verify PVLAN interface ARP entries).
- For security reasons, PVLAN port sticky ARP entries do not age out. Connecting a device with a different MAC address but with the same IP address generates an error message and the ARP entry is not created.
- Because PVLAN port sticky ARP entries do not age out, you must manually remove the entries if you change the MAC address. To overwrite a sticky ARP entry, first delete the entry with the no arp command, then overwrite the entry with the arp command.
- In a DHCP environment, if you shut down your PC, it is not possible to give your IP address to someone else. To solve this problem, the Catalyst 4500 series switch supports the no ip sticky-arp command. This command promotes IP address overwriting and reuse in a DHCP environment.
Configurazione Switch
vtp mode transparent
vlan 100
name test-primary
private-vlan primary
vlan 101
name test-isolated
private-vlan isolated
vlan 100
private-vlan association 101
per verificare le VLAN e le relative associazioni:
show vlan private-vlan
Configurazione porte per hosts:
int gi3/2
description SERVER1
switchport private-vlan host-association 100 101
switchport mode private-vlan host
int gi3/3
description SERVER2
switchport private-vlan host-association 100 101
switchport mode private-vlan host
int 3/1
Description Firewall
switchport private-vlan mapping 100 101
switchport private-vlan mapping 100 102 <- nota: da aggiungere dopo aver creato la vlan community
switchport mode private-vlan promiscuous
Conifugrazione di porte community
vlan 102
name test-community-isolated
private-vlan community
vlan 100
private-vlan association add 102
Int gi3/4
! deve comunicare con firewall e con gi3/5
switchport private-vlan mapping 100 102
switchport mode private-vlan host
Int gi3/5
! deve comunicare con firewall e con gi3/4
switchport private-vlan mapping 100 102
switchport mode private-vlan host
Abstract
Per un nostro cliente che offre un servizi di Housing per alcuni clienti, ospitando server nel proprio data center con connettività Internet e protezione con il firewall centralizzato.
I server in DMZ sono in un’unica subnet ed hanno indirizzamento pubblico.
La configurazione presenta un problema di sicurezza, in quanto se uno dei server clienti presenta delle vulnerabilità, queste potrebbero essere sfruttate per attaccare gli altri server (di altri clienti) che si trovano nella stessa sottorete, in quanto la comuncazione inter-vlan non è controllata.
Obiettivo è lo studio di una soluzione che consenta di soddisfare le seguenti esigienze:
- Non creare ulteriori subnet per non perdere indirizzi IP pubblici
- Consentire la comiuncaizone tra gruppi di host (macchine dello stesso cliente)
- La soluzione deve essere relativamente semplice da gestire e da amministrare.
- Non introdurre dispositivi hardware aggiuntivi (firewall o altro) ma sfruttare le tecnologie Juniper e Cisco attualmente in uso.
Utilizzo delle PVLAN si switch Cisco
Le Private VLAN consentono di creare una configurazione (host isolation) che impediscono ad host della stessa sottorete di comunicare tra loro.
La comunicazione tra host dello stesso cliente è possibile configurando una community VLAN.
Pro:
- Soluzione relativamente semplice da configurare e gestire.
Contro:
- Richiede modifiche infrastrutturali in quanto le porte in etherchannel non sono supportate (quindi sarebbe necessario utilizzare un dispositivo di routing addizionale)
- La comunicazione tra host della stessa VLAN puó essere completamente bloccata o completamente consentita, non è possibile applicare filtri per porte tcp o udp specifice.
Utilizzo delle VLAN ACL su Switch Cisco
La configurazione delle VLAN access List consente di filtrare il traffico a livello di MAC address o di IP sugli switch.
La configurazione da realizzare dovrebbe prevedere la possibilità per i singoli host di raggiungere il default gateway.
Pro:
- La configurazione non impatta sull’infrastruttura attuale.
- E’ possibile filtrare in modo più granulare la comunicazione tra i vari host rispetto alla soluzione con le PVLAN
- La configurazione è relativamente semplice da gestire.
Da qualche settimana Microsoft ha rilasciato Office Communication Server 2007 R2.
La nuova release del software aggiunge diverse funzionalità come la nuova condivisione del desktop mediate applicazione web based, con supporto alla comunicazione audio, e la nuova chat di gruppo con archiviazione automatica delle discussioni nelle quali è poi possibile ricercare in base a determinate keywords.
Altri miglioramente riguardano l’introduzione di una console per Posto Operatore, trunking SIP, nuove applicazione per gestire il flusso delle chiamate ed il nuovo Microsoft Office Communication Mobile compatibile con dispositivi, come Nokia Serie40, Motorola RAZR, Blackberry e piattaforme Windows Mobile
In fine un occhio di riguardo anche agli sviluppatori che possono contare su diverse API ed ulteriori integrazioni con Visual Studio.
Le principali novità sono elencate nel
comunicato microsoft.