Zum Hauptinhalt springen

7. Security Considerations (Sicherheitserwägungen)

Traditionell können Schicht-2-Netzwerke nur von "innen" durch betrügerische Endpunkte angegriffen werden -- entweder durch unangemessenen Zugriff auf ein LAN und Abhören von Verkehr, durch Einschleusen gefälschter Pakete, um eine andere MAC-Adresse zu "übernehmen", oder durch Flooding und Verursachung von Denial-of-Service. Ein MAC-over-IP-Mechanismus zur Bereitstellung von Schicht-2-Verkehr erweitert diese Angriffsfläche erheblich. Dies kann geschehen, indem Betrüger sich in das Netzwerk einschleusen, indem sie sich bei einer oder mehreren Multicast-Gruppen anmelden, die Broadcast-Verkehr für VXLAN-Segmente tragen, und auch indem sie MAC-over-UDP-Frames in das Transportnetzwerk einspeisen, um unechten Verkehr einzuschleusen, möglicherweise um MAC-Adressen zu kapern.

Dieses Dokument enthält keine spezifischen Maßnahmen gegen solche Angriffe und verlässt sich stattdessen auf andere traditionelle Mechanismen, die über IP geschichtet sind. Dieser Abschnitt skizziert stattdessen einige mögliche Ansätze zur Sicherheit in der VXLAN-Umgebung.

Traditionelle Schicht-2-Angriffe durch betrügerische Endpunkte können durch Begrenzung des Verwaltungs- und administrativen Umfangs dessen, wer VMs/Gateways in einer VXLAN-Umgebung bereitstellt und verwaltet, gemildert werden. Darüber hinaus können solche administrativen Maßnahmen durch Schemata wie 802.1X [802.1X] für die Zugangssteuerung einzelner Endpunkte erweitert werden. Außerdem ermöglicht die Verwendung der UDP-basierten Kapselung von VXLAN die Konfiguration und Verwendung der 5-Tupel-basierten ACL (Zugriffskontrollliste, Access Control List) -Funktionalität in physischen Switches.

Getunnelter Verkehr über das IP-Netzwerk kann mit traditionellen Sicherheitsmechanismen wie IPsec gesichert werden, die VXLAN-Verkehr authentifizieren und optional verschlüsseln. Dies muss natürlich mit einer Authentifizierungsinfrastruktur für autorisierte Endpunkte gekoppelt werden, um Anmeldeinformationen zu erhalten und zu verteilen.

VXLAN-Overlay-Netzwerke werden über die bestehende LAN-Infrastruktur ausgewiesen und betrieben. Um sicherzustellen, dass VXLAN-Endpunkte und ihre VTEPs im LAN autorisiert sind, wird empfohlen, dass ein VLAN für VXLAN-Verkehr ausgewiesen wird und die Server/VTEPs VXLAN-Verkehr über dieses VLAN senden, um ein gewisses Maß an Sicherheit zu bieten.

Darüber hinaus erfordert VXLAN eine ordnungsgemäße Zuordnung von VNIs und VM-Mitgliedschaft in diesen Overlay-Netzwerken. Es wird erwartet, dass diese Zuordnung durchgeführt und der Verwaltungsentität auf dem VTEP und den Gateways unter Verwendung bestehender sicherer Methoden mitgeteilt wird.

Letztes Update am