ทำไมผู้คนถึงบอกฉันว่าอย่าใช้ VLAN เพื่อความปลอดภัย?

ตามชื่อเรื่องทำไมผู้คนถึงบอกฉันว่าอย่าใช้ VLAN เพื่อความปลอดภัย?

ฉันมีเครือข่ายที่มีสอง VLANS มีไฟร์วอลล์ระหว่าง 2 VLANs ฉันใช้สวิตช์ HP Procurve และทำให้แน่ใจว่าลิงก์สลับเป็นสวิตช์ยอมรับเฟรมที่ติดแท็กเท่านั้นและพอร์ตโฮสต์ไม่ยอมรับเฟรมที่ติดแท็ก (ไม่ใช่ "VLAN Aware") ฉันแน่ใจด้วยเช่นกันว่า native VLAN (PVID) ของ trunk link นั้นไม่เหมือนกันกับทั้งสองโฮสต์ VLANs ฉันได้เปิดใช้งาน "Ingress Filtering" นอกจากนี้ฉันได้ตรวจสอบให้แน่ใจว่าพอร์ตโฮสต์เป็นเพียงสมาชิกของ VLAN ตัวเดียวซึ่งเหมือนกับ PVID ของพอร์ตที่เกี่ยวข้อง พอร์ตเดียวที่เป็นสมาชิกของ VLAN หลาย ๆ ตัวคือพอร์ตพอร์ต

มีใครช่วยอธิบายให้ฉันหน่อยได้ไหมว่าทำไมข้างต้นถึงไม่ปลอดภัย ฉันเชื่อว่าฉันได้แก้ไขปัญหาการติดแท็กสองครั้งแล้ว ..

ขอบคุณ

อัปเดต: สวิตช์ทั้งสองเป็น Hp Procurve 1800-24G

ทำไมผู้คนถึงบอกฉันว่าอย่าใช้ VLAN เพื่อความปลอดภัย?

มีความเสี่ยงที่แท้จริงหากคุณไม่เข้าใจปัญหาที่อาจเกิดขึ้นอย่างสมบูรณ์และตั้งค่าเครือข่ายของคุณให้เหมาะสมเพื่อลดความเสี่ยงไปยังจุดที่เหมาะสมกับสภาพแวดล้อมของคุณ ในหลาย ๆ สถานที่ VLAN ให้ระดับการแยกที่เพียงพอระหว่างสอง VLAN

มีใครช่วยอธิบายให้ฉันหน่อยได้ไหมว่าทำไมข้างต้นถึงไม่ปลอดภัย

ดูเหมือนว่าคุณได้ทำตามขั้นตอนพื้นฐานทั้งหมดที่จำเป็นเพื่อให้การติดตั้งปลอดภัยแล้ว แต่ฉันไม่คุ้นเคยกับอุปกรณ์ HP อย่างสิ้นเชิง คุณอาจทำพอสำหรับสภาพแวดล้อมของคุณ

บทความดีเกินไปที่ดูจะเป็นของซิสโก้ VLAN การรักษาความปลอดภัยกระดาษสีขาว

มันมีรายการของการโจมตีที่เป็นไปได้กับ VLAN-Based Network บางส่วนของสิ่งเหล่านี้เป็นไปไม่ได้ในสวิตช์บางตัวหรือสามารถลดลงได้ด้วยการออกแบบโครงสร้างพื้นฐาน / เครือข่ายที่เหมาะสม ใช้เวลาทำความเข้าใจกับพวกเขาและตัดสินใจว่าความเสี่ยงนั้นคุ้มค่ากับความพยายามที่จะหลีกเลี่ยงในสภาพแวดล้อมของคุณหรือไม่

อ้างถึงจากบทความ

• การโจมตี Flooding ของ MAC
• 802.1Q และการโจมตีแท็ก ISL
• การโจมตี VLAN 802.1Q / ซ้อนสองครั้ง
• การโจมตี ARP
• การโจมตี VLAN ส่วนตัว
• Multicast Brute Force Attack
• Spanning-Tree Attack

ดูสิ่งนี้ด้วย:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

ปลอดภัยสำหรับค่าบางอย่างที่ปลอดภัย

บักในเฟิร์มแวร์การตั้งค่าสวิตช์รีเซ็ตข้อผิดพลาดของมนุษย์สามารถทำให้ไม่ปลอดภัย ตราบใดที่มีเพียงไม่กี่คนเท่านั้นที่สามารถเข้าถึงการกำหนดค่าสวิตช์และสวิตช์ด้วยตนเองดังนั้นจึงเป็นเรื่องปกติในสภาพแวดล้อมทางธุรกิจทั่วไป

ฉันจะไปแยกทางกายภาพสำหรับข้อมูลที่สำคัญจริงๆว่า

ฉันดูเหมือนจะจำได้ว่าในอดีตมันง่ายกว่าที่จะทำการ VLAN กระโดดดังนั้นนั่นอาจเป็นสาเหตุที่ "คน" กำลังพูดเรื่องนี้ แต่ทำไมคุณไม่ถาม "คน" ด้วยเหตุผลล่ะ? เราสามารถเดาได้ว่าทำไมพวกเขาถึงบอกคุณว่า ฉันรู้ว่าผู้ตรวจสอบ HIPAA และ PCI ใช้ได้กับ VLANs เพื่อความปลอดภัย

ฉันคิดว่าปัญหาหลักคือ vlans ไม่ปลอดภัยเพราะคุณเพิ่งแยกโดเมนการออกอากาศไม่ใช่แยกการรับส่งข้อมูลจริงๆ การรับส่งข้อมูลทั้งหมดจาก vlans หลายรายการยังคงไหลผ่านสายทางกายภาพเดียวกัน โฮสต์ที่มีการเข้าถึงทราฟฟิกนั้นสามารถกำหนดค่าในโหมด promiscuous และดูทราฟฟิกทั้งหมดบนสาย

เห็นได้ชัดว่าการใช้สวิตช์ช่วยลดความเสี่ยงลงเล็กน้อยเนื่องจากสวิตช์ควบคุมสิ่งที่ข้อมูลจริงปรากฏบนพอร์ตใดอย่างไรก็ตามความเสี่ยงพื้นฐานยังคงมีอยู่