Почему люди говорят мне не использовать VLAN для безопасности?

Согласно заголовку, почему люди говорят мне не использовать VLAN в целях безопасности?

У меня есть сеть, где есть пара VLANS. Существует межсетевой экран между двумя VLAN. Я использую коммутаторы HP Procurve и убедился в том, что ссылки «коммутатор-коммутатор» принимают только помеченные кадры, а порты хоста не принимают помеченные кадры (они не «VLAN Aware»). Я также убедился, что собственная VLAN (PVID) магистральных каналов не совпадает ни с одной из 2 хост-сетей VLAN. Я также включил "Ingress Filtering". Кроме того, я убедился, что порты хоста являются только членами одной VLAN, что совпадает с PVID соответствующего порта. Единственными портами, которые являются членами нескольких VLAN, являются магистральные порты.

Может кто-нибудь объяснить мне, почему вышесказанное не является безопасным? Я считаю, что я обратился к проблеме двойного тегирования.

Благодарность

Обновление: оба коммутатора Hp Procurve 1800-24G

Почему люди говорят мне не использовать VLAN в целях безопасности?

Существуют реальные риски, если вы не до конца понимаете потенциальные проблемы и правильно настроите свою сеть, чтобы снизить риск до уровня, приемлемого для вашей среды. Во многих местах VLAN обеспечивают адекватный уровень разделения между двумя VLAN.

Может кто-нибудь объяснить мне, почему вышесказанное не является безопасным?

Похоже, вы предприняли все основные шаги, необходимые для достижения довольно безопасной настройки. Но я не совсем знаком с оборудованием HP. Возможно, вы сделали достаточно для своего окружения.

Хорошей статьей также будет документ о безопасности Cisco VLAN .

Он включает в себя список возможных атак на сеть на основе VLAN. Некоторые из них невозможны на некоторых коммутаторах или могут быть смягчены путем правильного проектирования инфраструктуры / сети. Потратьте время, чтобы понять их и решить, стоит ли риск того, что потребуется, чтобы избежать его в вашей среде.

Цитируется из статьи.

• Атака MAC-флудинга
• 802.1Q и ISL Taging Attack
• Двойная инкапсуляция 802.1Q / Nested VLAN Attack
• ARP-атаки
• Частная VLAN-атака
• Многоадресная атака грубой силы
• Атака связующего дерева

Смотрите также:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

Это безопасно для определенных значений безопасности.

Ошибки в прошивке, сброс настроек коммутатора, ошибка человека может сделать его небезопасным. Пока только очень немногие люди имеют доступ к настройке коммутаторов и самих коммутаторов, это нормально в обычной бизнес-среде.

Я бы пошел на физическое разделение для действительно конфиденциальных данных, хотя.

Кажется, я вспоминаю, что в прошлом было проще прыгать по VLAN, поэтому «люди» так говорят. Но почему бы вам не спросить «людей» о причинах? Мы можем только догадываться, почему они сказали вам это. Я знаю, что HIPAA и PCI-аудиторы в порядке с VLAN для безопасности.

Я думаю, что основная проблема заключается в том, что VLAN не безопасны, потому что вы просто разделяете широковещательные домены, а не на самом деле разделяете трафик. Весь трафик от нескольких VLAN все еще течет по одним и тем же физическим проводам. Узел с доступом к этому трафику всегда можно настроить на случайный режим и просматривать весь трафик по проводам.

Очевидно, что использование коммутаторов значительно снижает этот риск, поскольку коммутаторы контролируют, какие данные на каких портах фактически появляются, однако основной риск все еще остается.