Согласно заголовку, почему люди говорят мне не использовать VLAN в целях безопасности?
У меня есть сеть, где есть пара VLANS. Существует межсетевой экран между двумя VLAN. Я использую коммутаторы HP Procurve и убедился в том, что ссылки «коммутатор-коммутатор» принимают только помеченные кадры, а порты хоста не принимают помеченные кадры (они не «VLAN Aware»). Я также убедился, что собственная VLAN (PVID) магистральных каналов не совпадает ни с одной из 2 хост-сетей VLAN. Я также включил "Ingress Filtering". Кроме того, я убедился, что порты хоста являются только членами одной VLAN, что совпадает с PVID соответствующего порта. Единственными портами, которые являются членами нескольких VLAN, являются магистральные порты.
Может кто-нибудь объяснить мне, почему вышесказанное не является безопасным? Я считаю, что я обратился к проблеме двойного тегирования.
Благодарность
Обновление: оба коммутатора Hp Procurve 1800-24G
источник
Ответы:
Существуют реальные риски, если вы не до конца понимаете потенциальные проблемы и правильно настроите свою сеть, чтобы снизить риск до уровня, приемлемого для вашей среды. Во многих местах VLAN обеспечивают адекватный уровень разделения между двумя VLAN.
Похоже, вы предприняли все основные шаги, необходимые для достижения довольно безопасной настройки. Но я не совсем знаком с оборудованием HP. Возможно, вы сделали достаточно для своего окружения.
Хорошей статьей также будет документ о безопасности Cisco VLAN .
Он включает в себя список возможных атак на сеть на основе VLAN. Некоторые из них невозможны на некоторых коммутаторах или могут быть смягчены путем правильного проектирования инфраструктуры / сети. Потратьте время, чтобы понять их и решить, стоит ли риск того, что потребуется, чтобы избежать его в вашей среде.
Цитируется из статьи.
Смотрите также:
источник
Это безопасно для определенных значений безопасности.
Ошибки в прошивке, сброс настроек коммутатора, ошибка человека может сделать его небезопасным. Пока только очень немногие люди имеют доступ к настройке коммутаторов и самих коммутаторов, это нормально в обычной бизнес-среде.
Я бы пошел на физическое разделение для действительно конфиденциальных данных, хотя.
источник
Кажется, я вспоминаю, что в прошлом было проще прыгать по VLAN, поэтому «люди» так говорят. Но почему бы вам не спросить «людей» о причинах? Мы можем только догадываться, почему они сказали вам это. Я знаю, что HIPAA и PCI-аудиторы в порядке с VLAN для безопасности.
источник
Я думаю, что основная проблема заключается в том, что VLAN не безопасны, потому что вы просто разделяете широковещательные домены, а не на самом деле разделяете трафик. Весь трафик от нескольких VLAN все еще течет по одним и тем же физическим проводам. Узел с доступом к этому трафику всегда можно настроить на случайный режим и просматривать весь трафик по проводам.
Очевидно, что использование коммутаторов значительно снижает этот риск, поскольку коммутаторы контролируют, какие данные на каких портах фактически появляются, однако основной риск все еще остается.
источник