Dlaczego ludzie mówią mi, żebym nie używał sieci VLAN dla bezpieczeństwa?

Jak w tytule, dlaczego ludzie mówią mi, aby nie używać sieci VLAN do celów bezpieczeństwa?

Mam sieć, w której mam kilka VLANS. Pomiędzy 2 sieciami VLAN znajduje się zapora ogniowa. Korzystam z przełączników HP Procurve i upewniłem się, że łącza przełączania do przełącznika akceptują tylko oznaczone ramki i że porty hosta nie akceptują oznaczonych ramek (nie są one „VLAN Aware”). Upewniłem się również, że natywna sieć VLAN (PVID) łączy magistrali nie jest taka sama, jak którykolwiek z 2 hostów VLAN. Włączyłem także „Filtrowanie Ingress”. Ponadto upewniłem się, że porty hosta są tylko członkami jednej sieci VLAN, która jest taka sama jak PVID odpowiedniego portu. Jedynymi portami, które są członkami wielu sieci VLAN, są porty trunk.

Czy ktoś może mi wyjaśnić, dlaczego powyższe nie jest bezpieczne? Myślę, że rozwiązałem problem podwójnego tagowania ..

Dzięki

Aktualizacja: oba przełączniki mają HP Procurve 1800-24G

Dlaczego ludzie mówią mi, aby nie używać sieci VLAN do celów bezpieczeństwa?

Istnieje realne ryzyko, jeśli nie w pełni rozumiesz potencjalne problemy i odpowiednio skonfigurujesz swoją sieć, aby zmniejszyć ryzyko do punktu, który jest akceptowalny dla twojego środowiska. W wielu lokalizacjach sieci VLAN zapewniają odpowiedni poziom separacji między dwiema sieciami VLAN.

Czy ktoś może mi wyjaśnić, dlaczego powyższe nie jest bezpieczne?

Wygląda na to, że wykonałeś wszystkie podstawowe kroki niezbędne do uzyskania całkiem bezpiecznej konfiguracji. Ale nie znam się na sprzęcie HP. Być może zrobiłeś wystarczająco dużo dla swojego środowiska.

Dobry artykuł, na który też warto spojrzeć, to biała księga Cisco VLAN Security .

Zawiera listę możliwych ataków na sieć VLAN. Niektóre z nich nie są możliwe w przypadku niektórych przełączników lub można je złagodzić poprzez odpowiedni projekt infrastruktury / sieci. Poświęć czas na ich zrozumienie i zdecyduj, czy ryzyko jest warte wysiłku, jaki należy podjąć, aby go uniknąć w swoim otoczeniu.

Cytat z artykułu.

• MAC Flooding Attack
• Atak tagowania 802.1Q i ISL
• Podwójnie enkapsulowany atak VLAN 802.1Q / zagnieżdżony
• Ataki ARP
• Prywatny atak VLAN
• Multicast Brute Force Attack
• Atak Spanning-Tree

Zobacz też:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

Jest bezpieczny dla niektórych wartości bezpieczeństwa.

Błędy w oprogramowaniu układowym, reset konfiguracji konfiguracji, błąd ludzki może sprawić, że będzie niezabezpieczony. Dopóki tylko nieliczne osoby mają dostęp do konfiguracji przełączników i samych przełączników, w ogólnym środowisku biznesowym jest OK.

Jednak wybrałbym fizyczne oddzielenie naprawdę wrażliwych danych.

Wydaje mi się, że w przeszłości łatwiej było przeskakiwać VLAN, więc być może dlatego „ludzie” to mówią. Ale dlaczego nie zapytasz „ludzi” z powodów? Możemy tylko zgadywać, dlaczego ci to powiedzieli. Wiem, że kontrolerzy HIPAA i PCI są zgodni z sieciami VLAN pod względem bezpieczeństwa.

Myślę, że podstawową kwestią jest to, że vlany nie są bezpieczne, ponieważ po prostu segregujesz domeny rozgłoszeniowe, a nie segregujesz ruch. Cały ruch z wielu sieci wciąż przepływa przez te same fizyczne przewody. Host z dostępem do tego ruchu można zawsze skonfigurować w tryb rozwiązany i przeglądać cały ruch w sieci.

Oczywiście użycie przełączników znacznie zmniejsza to ryzyko, ponieważ przełączniki kontrolują, które dane faktycznie pojawiają się na poszczególnych portach, jednak podstawowe ryzyko nadal istnieje.