В настоящее время я учусь на CCNA Security, меня учили никогда не использовать собственную VLAN в целях безопасности. Это старое обсуждение на форуме Cisco ясно говорит об этом:
Вы также никогда не должны использовать VLAN по умолчанию, потому что переключение VLAN гораздо проще осуществить из VLAN по умолчанию.
Однако с практической точки зрения я не могу точно определить, какая именно угроза решается.
Мои мысли следующие:
Злоумышленник, находящийся в собственной VLAN, может быть, он может напрямую внедрить пакеты 802.1q, которые будут переадресованы без изменения первым коммутатором (как поступающий из собственной VLAN), и предстоящие коммутаторы будут рассматривать эти пакеты как допустимые пакеты, поступающие из любой выбранной VLAN атакующим.
Это действительно сделало бы атаки по VLAN «намного более легкими» . Однако это не работает, поскольку первый коммутатор справедливо считает ненормальным прием пакетов 802.1q через порт доступа и, следовательно, отбрасывает такие пакеты.
Злоумышленнику, находящемуся в чужой VLAN, удается превратить порт доступа коммутатора в магистральный. Чтобы отправлять трафик в собственную VLAN, ему просто нужно изменить свой IP-адрес (одну команду) вместо того, чтобы включить VLAN на своем сетевом интерфейсе (четыре команды), сохранив три команды.
Я, очевидно, считаю это самое незначительное преимущество ...
Копаясь в истории, я думал, что где-то прочитал старые рекомендации, утверждающие, что для инъекции 802.1q может потребоваться совместимая сетевая карта и определенные драйверы. Такие требования действительно ограничат способность злоумышленника внедрять пакеты 802.1q и сделают использование собственной VLAN намного более практичным в предыдущем сценарии.
Однако в настоящее время это не представляется реальным ограничением, и команды конфигурации VLAN являются общей частью команд конфигурации сети Linux (по крайней мере).
Можем ли мы считать этот совет не использовать собственные VLAN устаревшими и сохраненными только для исторических целей и в целях обеспечения безопасности конфигурации, даже несмотря на то, что эта практика больше не направлена на устранение какой-либо конкретной угрозы? Или есть конкретный сценарий, в котором перескок VLAN действительно становится намного проще из-за использования собственной VLAN?