Чому люди кажуть мені не використовувати VLAN для безпеки?

Що стосується назви, чому люди кажуть мені не використовувати VLAN в цілях безпеки?

У мене є мережа, де є пара VLANS. Між 2 VLAN є міжмережевий екран. Я використовую перемикачі HP Procurve і переконався, що посилання "перемикач на комутатор" приймають лише теги кадрів і що хост-порти не приймають позначені кадри (вони не "VLAN Aware"). Я також переконався, що нативна VLAN (PVID) посилань магістралі не збігається з будь-якою з двох хостів VLAN. Я також увімкнув "Фільтрування". Крім того, я переконався, що порти хосту - це лише члени одного VLAN, що є таким же, як PVID відповідного порту. Єдині порти, які є членами декількох VLAN, - це магістральні порти.

Чи можете мені хтось пояснити, чому вищезазначене не є безпечним? Я вважаю, що я вирішив проблему подвійного тегування ..

Спасибі

Оновлення: обидва перемикачі - Hp Procurve 1800-24G

Чому люди кажуть мені не використовувати VLAN в цілях безпеки?

Є реальні ризики, якщо ви не повністю розумієте потенційні проблеми та правильно налаштуєте свою мережу, щоб зменшити ризик до точки, прийнятної для вашого оточення. У багатьох місцях VLAN забезпечують адекватний рівень поділу між двома VLAN.

Чи можете мені хтось пояснити, чому вищезазначене не є безпечним?

Здається, ви зробили всі основні кроки, необхідні для досягнення досить безпечної установки. Але я не зовсім знайомий із передачею HP. Можливо, ви зробили достатньо для свого оточення.

Гарною статтею, на яку також слід звернути увагу, буде Біла книга Cisco VLAN щодо безпеки .

Він включає перелік можливих атак на мережу на базі VLAN. Деякі з них неможливі на деяких комутаторах або можуть бути пом’якшені належним дизайном інфраструктури / мережі. Знайдіть час, щоб розібратися в них і вирішити, чи варто ризикувати зусиль, щоб його уникнути у вашому оточенні.

Цитується із статті.

• MAC Flooding Attack
• 802.1Q та ISL атака мітки
• Подвійний капсульований 802.1Q / вкладений VLAN Attack
• Атаки ARP
• Приватна атака VLAN
• Атака з грубою швидкістю
• Атака, що перекидається на дерево

Дивись також:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

Це безпечно для певних значень захищеності.

Помилки в прошивці, налаштування комутатора скидається, помилка людини може зробити це незахищеним. Поки лише дуже мало людей мають доступ до конфігурації самих комутаторів і комутаторів, це нормально в загальних бізнес-середовищах.

Хоча я б пішов на фізичне розлучення для дійсно чутливих даних.

Здається, я згадую, що раніше було простіше робити скачування VLAN, так що, можливо, саме тому "люди" говорять про це. Але чому б ти не попросив "людей" з причин? Ми можемо лише здогадуватися, чому вони вам це сказали. Я знаю, що HIPAA та аудитори PCI добре з VLAN для безпеки.

Я думаю, що головне питання полягає в тому, що vlans не захищені, тому що ви просто відокремлюєте широкомовні домени, а не фактично відокремлюєте трафік. Весь трафік від кількох вланів все ще протікає по одних і тих же фізичних проводах. Хост, що має доступ до цього трафіку, завжди може бути налаштований у безладному режимі та переглядати весь трафік на дроті.

Очевидно, що використання комутаторів зменшує цей ризик зовсім небагато, оскільки комутатори контролюють, які дані фактично з’являються на яких портах, однак основний ризик все ж є.