Согласно заголовку, почему люди говорят мне не использовать VLAN в целях безопасности?
У меня есть сеть, в которой есть пара VLANS. Между двумя виртуальными локальными сетями установлен межсетевой экран. Я использую коммутаторы HP Procurve и убедился, что ссылки «коммутатор-коммутатор» принимают только тегированные кадры, а порты хоста не принимают тегированные кадры (они не «поддерживают VLAN»). Я также убедился, что собственная VLAN (PVID) магистральных каналов не совпадает с любой из двух хост-сетей VLAN. Я также включил «Фильтрацию входящего трафика». Кроме того, я убедился, что порты хоста являются только членами одной VLAN, которая совпадает с PVID соответствующего порта. Единственные порты, которые являются членами нескольких VLAN, - это магистральные порты.
Может кто-нибудь объяснить мне, почему вышеперечисленное небезопасно? Я считаю, что решил проблему с двойными тегами.
Спасибо
Обновление: оба коммутатора - Hp Procurve 1800-24G
Почему люди говорят мне не использовать VLAN в целях безопасности?
Существуют реальные риски, если вы не полностью понимаете потенциальные проблемы и правильно настраиваете свою сеть, чтобы снизить риск до уровня, приемлемого для вашей среды. Во многих местах VLAN обеспечивают достаточный уровень разделения между двумя VLAN.
Может кто-нибудь объяснить мне, почему вышеперечисленное небезопасно?
Похоже, вы выполнили все основные шаги, необходимые для обеспечения довольно безопасной настройки. Но я не совсем знаком с шестерней HP. Возможно, вы сделали достаточно для своего окружения.
Хорошая статья тоже будет Официальный документ по безопасности Cisco VLAN.
Он включает список возможных атак на сеть на основе VLAN. Некоторые из них невозможны на некоторых коммутаторах или могут быть смягчены правильным проектированием инфраструктуры / сети. Найдите время, чтобы понять их и решить, стоит ли риск усилий, которые потребуются, чтобы избежать его в вашей среде.
Цитата из статьи.
Смотрите также:
Это безопасно для определенных значений secure.
Ошибки в прошивке, сброс конфигурации коммутатора, человеческий фактор могут сделать его небезопасным. Пока только очень немногие люди имеют доступ к настройке коммутаторов и самих коммутаторов, это нормально для общей бизнес-среды.
Я бы пошел на физическое разделение для действительно конфиденциальных данных.
Мне кажется, я припоминаю, что раньше было проще выполнять переключение VLAN, поэтому, возможно, «люди» так говорят. Но почему бы вам не спросить «народ» о причинах? Мы можем только догадываться, почему они вам это сказали. Я знаю, что аудиторы HIPAA и PCI согласны с виртуальными локальными сетями для обеспечения безопасности.
Я думаю, что основная проблема заключается в том, что виртуальные локальные сети небезопасны, потому что вы просто разделяете широковещательные домены, а не разделяете трафик. Весь трафик из нескольких виртуальных локальных сетей по-прежнему проходит по одним и тем же физическим проводам. Хост, имеющий доступ к этому трафику, всегда можно настроить в неразборчивом режиме и просматривать весь трафик в сети.
Очевидно, что использование коммутаторов значительно снижает этот риск, поскольку коммутаторы контролируют, какие данные на каких портах действительно появляются, однако основной риск все еще существует.