La red puede ser una de las partes más vulnerables de un sistema. La red de máquinas virtuales necesita tanta protección como una red física. La utilización de VLAN puede mejorar la seguridad de las redes del entorno.

Las VLAN se encuentran en un esquema de redes estándar IEEE, con métodos de etiquetado específicos que permiten el enrutamiento de los paquetes únicamente hacia los puertos que forman parte de la VLAN. Cuando se las configura correctamente, las VLAN constituyen un medio confiable para proteger un conjunto de máquinas virtuales contra intrusiones accidentales o maliciosas.

Las VLAN permiten segmentar una red física de modo que dos máquinas de la red no puedan transmitirse paquetes entre ellas a menos que formen parte de la misma VLAN. Por ejemplo, las transacciones y los registros contables son algunos de los datos internos más confidenciales de una empresa. En una empresa cuyos empleados de los departamentos de ventas, envíos y contabilidad utilizan máquinas virtuales en la misma red física, es posible proteger las máquinas virtuales del departamento contable mediante la configuración de las VLAN.

Figura 1. Esquema de muestra de una VLAN
Esquema de muestra de una VLAN

En esta configuración, todos los empleados del departamento contable utilizan máquinas virtuales en la VLAN A y los empleados de ventas utilizan máquinas virtuales en la VLAN B.

El enrutador reenvía los paquetes que contienen los datos contables a los conmutadores. Estos paquetes se etiquetan para la distribución en la VLAN A únicamente. Por lo tanto, los datos quedan confinados al dominio de difusión A y no pueden enrutarse al dominio de difusión B a menos que se configure al enrutador para hacerlo.

Esta configuración de VLAN impide que los empleados de ventas intercepten los paquetes destinados al departamento contable. También evita que el departamento contable reciba paquetes destinados al grupo de ventas. Las máquinas virtuales atendidas por un único conmutador virtual pueden encontrarse en diferentes VLAN.

Consideraciones de seguridad para VLAN

La forma de configurar VLAN para proteger partes de una red depende de factores tales como el sistema operativo invitado y el tipo de configuración del equipo de red.

ESXi cuenta con una implementación completa de VLAN compatibles con IEEE 802.1q VLAN. VMware no puede hacer recomendaciones específicas sobre el modo de configurar las VLAN, pero hay algunos factores que deben considerarse al usar la implementación de VLAN como parte de la directiva de cumplimiento de seguridad.

Proteger las VLAN

Los administradores tienen varias opciones para proteger las VLAN en el entorno de vSphere.

Procedimiento

  1. Asegúrese de que los grupos de puertos no estén configurados con valores de la VLAN reservados para los conmutadores físicos ascendentes.
    No establezca los identificadores de la VLAN con valores reservados para el conmutador físico.
  2. Compruebe que los grupos de puertos no estén configurados en la VLAN 4095 a menos que esté utilizando el etiquetado de invitado virtual (VGT).
    Hay tres tipos de etiquetado de VLAN en vSphere:
    • Etiquetado de conmutador externo (EST)
    • Etiquetado de conmutador virtual (VST): el conmutador virtual etiqueta con el identificador de VLAN configurado el tráfico que entra en las máquinas virtuales asociadas y quita la etiqueta de VLAN del tráfico saliente. Para configurar el modo VST, asigne un identificador de VLAN entre 1 y 4094.
    • Etiquetado de invitado virtual (VGT): las máquinas virtuales controlan el tráfico de VLAN. Para activar el modo VGT, establezca el identificador de VLAN en 4095. En un conmutador distribuido, también puede permitir el tráfico de máquinas virtuales en función de su VLAN mediante la opción Enlace troncal de VLAN.

    En un conmutador estándar, puede configurar el modo de redes de VLAN en el nivel del conmutador o del grupo de puertos. En un conmutador distribuido, puede hacerlo en el nivel del puerto o del grupo de puertos distribuidos.

  3. Asegúrese de que todas las VLAN de cada conmutador virtual estén completamente documentadas y que cada conmutador virtual tenga todas las VLAN requeridas y solamente esas.