VLAN Nedir? Virtual Local Area Network

VLAN Nedir? Açılımı “Virtual Local Area Network” olan ve kısaca “VLAN” yada “Virtual LAN” olarak telafuz edilen Sanal Yerel Ağlardan, konfigürasyon tarafına girmeden sadece teorik olarak bahsedeceğiz. Konfigürasyon aşamasında daha önce Extreme network, HP Procurve ve Cisco Switchler için yazmış olduğumuz VLAN ayarları ile ilgili yazılara göz atabilirsiniz.

• Enterasys 800-Serisi Switch VLAN Konfigurasyonu
• Gelişmiş Vlan Network Stratejileri
• VLAN Üzerinden Firewall-Bridge Modem Bağlantısı Nasıl Kurulur?
• Enterasys Konfigurasyon – Bölüm 4 [VLAN Yapılandırma]

VLAN ile İlgili Diğer Güncel Yazılar

Bu makale sadece VLAN Nedir hakkında teorik bilgi içeriyor. Terimler parametreler havada uçuşacak yani anlayacağınız.

  Yönetilebilir Network Switchler, Modem, Firewall, Sunucu ve Router cihazlarından oluşan bir networkte fiziksel olarak tek bir ağa sahip olsanız da VLAN konfigurasyonu ile cihazlarınızın desteklediği maksimum sayıya kadar (8192+) bir çok sanal network oluşturabilirsiniz. Bu networklerin her biri sanal olacağından bir takım kurallar ve yönlendirmeler ile desteklenmesi gerekecektir.

Öncelikle çalıştığınız networkte VLAN yapılandırması yapmanın birkaç faydasından bahsedelim.

VLAN’in Faydaları

• Local Networkte broadcast mesajlarının yol açtığı karmaşayı minimize ederek trafik yoğunluğunu azaltılabilir.
• Yerel ağ üzerinde her birime en az bir VLAN ataması yaparak daha yönetilebilir bir network elde edilebilir.
• VLAN blokları arasındaki tüm haberleşmeyi ip-routing ile yönlendirerek ağı güvenli ve yönetilebilir hale getirmek.
• Fiberoptik yada UTP Uplink kablolar üzerinden Trunk yöntemi ile bir çok VLAN-networkün toplu halde iletimini sağlamak.
• Firewall ve Router cihazlarında daha kompleks ama kafa karıştırmayan konfigurasyonlar çalıştırılabilir.
• Ip/Gateway tanımında VLAN olmadan maksimum 254 kullanıcı Ip adresi açılabiliyorken, VLAN yapılandırması ile donatılmış bir networkte ise “max Ip sayısı =VLAN sayısı x 254” kadar olacaktır. Bir IP bloğunda 254 adet Ip verilebiliyor olması bunun illaki 254 adet olmasını gerektirmez. 254 adet ethernet arayüzünün broadcast ve multicast mesajları bile trafik oluşturmaya yetecektir. Data paketlerini söylemiyorum bile.

  VLAN nedir (Virtual Local Area Network) hakkında ilk akla gelen artılar bunlardır. Dışarıdan gelmesi muhtemel saldırı ve ataklara karşı Firewall ile önlem alırken içeriden gelebilecek tehditler için alınabilecek en öncelikli önlem VLAN yapılandırması ve yetkilendirmesi olacaktır.

Default VLAN yada VLAN-1 (VLAN Olmayan Network)

Yani Armut ile Üzümü birbirine karıştırmamak için bir networkte olmazsa olmazdır VLAN yapılandırması. Konuklarınızın internete çıkmaları için tanımladığınız Wifi Ip adresleri Sunucu IP adreslerinizin ve switch management Ip adreslerinin aynı IP bloğunda olduğunu düşünün. Yada düşünmeyin, ben hayal dahi edemiyorum. İşte bahsettiğim bu “güvensiz network” aşağıdaki topolojide gördüğünüz halde olacaktır.

Resimde de görüleceği üzere bütün pc, tablet ve sunucular aynı networkteler. Bilgisayar ve sunucular networke ethernet arabirimi ile bağlanırlar. Bir ethernet arabirimi saniyede yüzlerce binlerce broadcast, unicast ve multicast paketi gönderir.

Bu paketleri merak ediyorsanız bilgisayarınıza “Wire-Shark” adlı programı kurabilir ve bu paketleri detaylı olarak görebilirsiniz. Bunlara ek olarak bir de network cihazların kendi aralarında haberleşmeleri için bazı özel protokollerde (HTTP, HTTPS, FTP, TFTP, SMTP, IGMP, SNMP, BGP, OSPF vs.) data paketleri gönderirler. Burada resimde temsili olarak gösterilen 3-5 bilgisayar için bu data paketlerinin yoğunluğu çok önemli olmayacaktır.

Ancak networkteki pc ve sunucu sayısı arttığında söz konusu paketlerin networkte nasıl bir kaosa sebep olacağını hayal etmeye çalışın. Bu kaosu ne ölçüde yönetebileceğinizi düşünün.

Ethernet arabirimlerinden çıkan paketler başı boş bir şekilde gatewayini ararken diğer tüm ethernet arabirimlerine tek tek gidip “sen benim gatewayim misin?” diye sorduğunu ve nasıl bir kaosa yol açması, Network Adminlerin kabusu olacaktır.

Bizi Bekleyen Büyük Tehlike

Üzülerek söylüyorum çünkü küçük ve orta ölçekli şirketlerin ve kurumların büyük çoğunda sistem bu şekilde yani “İnternet cafe” (tak-çalıştır-unut) mantığı ile yürüyor. Nihayetinde sık sık trafik kaynaklı kilitlenmeler, veri aktarım hızında düşüşler ve hepsinden önemlisi sunuculara ait data paketlerine isteyen her kullanıcının dilediği gibi erişebiliyor olması. Resimde VLAN bulunmayan bir networkün güvenilirliği az çok belli ediyor kendini.

Network Hacking (Beyaz Hacker’lık Bizimkisi)

 Cain türü yazılımlar ile aynı network’te bulunan tüm ethernet arabirimlerinin haberleşmeleri kontrol altına alınabiliyor ve sunuculara ait datalar yada kişisel bilgisayarlar üzerinde yapılan yazışma, eposta, bankacılık işlemleri gibi işlemler başkaları tarafından kolaylıkla ele geçirilebiliyor. Cain’i yazan arkadaşlar, 802.1 standardına alternatif bir standarta sahip network oluşturmak için yola çıkmışlar ve 802’nin bazı açıklarından faydalanmışlar.

WordPress Hack Çözümü (Cloaking)

Cain, VLAN destekli networklerde de güvenlik açıklarından kolayca faydalanabiliyor ancak sunucu ve network switchlere ait datalara farklı VLAN bloklarında oldukları için bunlara erişemiyor. Sadece kendi bulunduğu VLAN’deki kullanıcıları zehirleyebiliyor. Gelişmiş akıllı switchlerde bu açık güvenlik önlemleri ile kolayca kapatılabilmektedir.

Cain Nasıl Çalışır?

Cain yazılımı kullanıcı ile gateway arasına girer ve “Ip-Route Table” tablosunu zehirleyerek kullanıcı ethernet arabirimine ait Mac Adresine kendini gateway olarak tanımlar. Bu sayede kullanıcıya ait tüm veriler Cain çalışan bilgisayarın ethernet arabirimi üzerinden geçer.

Günümüz yönetilebilir switchlerde “DHCP-Snooping, DHCP Spoofing” konfigurasyonu ile bu açık kolaylıkla kapatılabilmektedir. Bu konfigurasyon ile ilgili ilerleyen zamanlarda makalelerimizde daha geniş yer vereceğiz.

Uyarı:
Cain adlı casus yazılımdan sadece bilgilendirme amaçlı bahsedilmiştir. İnternet sitemiz bu programın illegal amaçlı kullanımlarından sorumlu değildir.

VLAN ile Desteklenmiş Network

Şimdi ise gelelim şirketinizde yada kurumunuzda olması gereken VLAN destekli network topolojiye. Vlan Destekli Networke ait resmi aşağıda sunacağım. (Daha geniş boyutta görmek resim üzerine yada  buraya tıklayınız).

Bu topolojide her ne kadar Extreme switchler kullanılmış olsa da burada konfigurasyondan bahsetmeyeceğimiz için sadece yapıyı görmeniz ve kavramanız açısından faydalı olacağını düşündüm.

Orta ölçekli bir şirketin LAN (Yerel Ağ) yapısına ait bu resimde Şirket Yöneticileri, Muhasebe, Satın Alma, Sunucular, Mühendislik Ofisi, Misafir kullanıcıları ve Management networkleri görmektesiniz. Herbiri için ayrı ayrı VLAN tanımlamaları yapılmıştır. “Vlan Nedir”i en iyi anlatan topolojidir.

Vlan’ler Arası Haberleşme – IP Routing

  Birimlerin her birinin farklı VLAN bloklarında olması demek aralarında haberleşme olmayacağı anlamına gelmez. Vlan networkler arasında haberleşme Gateway Ip Adreslerinin Routing edilmesiyle sağlanır.

Layer-2 katmanındaki IP-Routing konfigurasyonu sayesinde IP blokları kendi aralarında haberleşebilecektir. Bu haberleşmeye broadcast, multicast veya Hello paketi gibi mesajlar dahil olmadığı için CPU’ dan ve bellekten tasarruf edilecektir.

 Sonuç olarak elimizde daha yönetilebilir, sistem kaynaklarını daha az ve stabil kullanan diğerine oranla çok daha güvenli bir Local Network olacaktır. Bu networkte Satın alma birimi Muhasebe birimiyle doğrudan değilde Router üzerinden yada Firewall üzerinden sadece izin verilen protokollerle haberleşecektir.

Yukarıdaki topolojide aynı VLAN içinde bulunan Mühendislik ofisindeki inşaat mühendisimiz ise projesini yazdırmak için Printer ile aynı kenar switchteki VLAN-40 üzerinden haberleşecektir. Mühendisimiz eğer E-postalarını okuyacak ise Exchange Sunucusuna bağlanması gerekecektir.

Yani VLAN-40 ile VLAN-50 blokları arasında Router üzerinden iletişim sağlanacaktır. Eğer Firewall&Router üzerinde bu yol tanımlanmamış ise Mühendisimiz Exchange Servera erişemeyecek yani E-postalarını bu bilgisayardan okuyamayacaktır.

Misafir Network – Guest VLAN

   Diyelim ki Şirket CEO’sunun bir misafiri geldi ve akıllı telefonu ile şirkete ait Wi-Fi interneti kullanacak. Bu durumda VLAN-200 network’te izinli olacaktır. Network admin, Misafir network’ü olan VLAN-200‘ü sadece Firewall üzerinden internete çıkacak şekilde IP-Routing yaptığı için Misafirimiz sadece internete çıkabilecektir.

Bunun dışında sunuculara, yazıcı veya Local Networkte bulunan diğer cihazlara asla erişemeyecektir. Burada VLAN Konfigurasyonu + IP Routing + Firewall‘un mükemmel uyumu ile bir yetkilendirme yapılarak güvenlik maksimum seviyeye getirilmiş olacaktır.

Static and Dynamic Virtual Network

Statik ve Dinamik VLAN konfigurasyonundan bahsedecek olursak;

• Statik VLAN konfigurasyonunda Uplink portlara ait interface ler istenen VLAN ID‘lerine etiketlenir(Tagged). Diğer kullanıcı portlarına ait interface lerde ise üyesi olacağı VLAN için etiket kaldırılır(Untagged).  Dolayısıyla Sistem yöneticisi portta hangi VLAN için etiket kaldırdıysa o portu kullanan kullanıcı sadece o ip bloğundan çıkabilecektir.
• Dinamik VLAN konfigurasyonunda ise Switch üzerindeki Uplink portlar Static konfigurasyondaki gibi Tagged edilir ancak kullanıcı portlarının tamamı Misafir Network’e ait VLAN‘e üyedirler. Switch-Firewall yada Switch-DHCP Server (Active Directory, Radius vb.) kombinasyonu ile kullanıcı Mac adresi sayesinde kullanıcı hangi VLAN‘e üye olması gerekiyorsa o VLAN‘e otomatik olarak kayıt edilir. Switch ve DHCP Sunucusu arasında yetkilendirme işlemi yapılır ve kullanıcı bilgisayarı hangi VLAN‘ de yetkilendirildi ise o VLAN ID‘si Switche gönderilir ve Switch bu portu DHCP‘nin istediği VLAN‘e üye yapar.

Bu işlem Bilgisayar tanımlı yapılabileceği gibi Kullanıcı tanımlı da yapılabilir. Switch-DHCP Server-Active Directory Server üçlemesi sayesinde bu da mümkündür. Eğer şirketinizde ortak kullanıma açık bilgisayarlar var ise ve bunları kullanıcılara göre yetkilendirmek istiyorsanız bunu da bu şekilde çözebilirsiniz. Böylece A bilgisayarını Muhasebeci oturum açarsa VLAN-10, Mühendis açarsa VLAN-40 yada misafirimiz açarsa VLAN-200 networkünde otomatik olarak yetkilendirilmiş olacaktır.

Vlan Nedir – Management VLAN

Son olarak networkümüzde bulunan tüm switch, modem, firewall, routing ve monitoring sunucuları “Network Management VLAN” i olan VLAN-100 üyesi olmak zorundadır. Kendi aralarında haberleşirken bu VLAN-100 networkünü kullancaktır. Management için VLAN tanımı yaparken switche bu VLAN in Management VLAN olduğu yazılmalıdır. Switch ekstra güvenlik önlemleri sağlamaktadır.

VLAN Nedir? hakkında söyleyecek birçok şey var ancak bunlardan en önemlilerini aktardığımı düşünüyorum. Sorularınız için yapmanız gerekeni biliyorsunuz.