Назад | Перейти на главную страницу

Есть ли дополнительные риски для межсетевого экрана между VLAN на одной магистрали Dot1Q, в отличие от дискретных каналов Ethernet?

Я собираюсь реализовать брандмауэр pfSense в сети, и у меня есть несколько вариантов реализации. В частности, я могу:

  1. Прикрепите каждую сетевую зону (WAN, DMZ, core) к отдельным интерфейсам, входящим в устройство межсетевого экрана.
  2. Подключите одну магистраль dot1q к межсетевому экрану, содержащему 3 VLAN, по которым проходят разные сети, и направьте его на межсетевой экран между ними.

Я нервно и нервно склоняюсь к пункту (1), поскольку трафик с другим доверием более аккуратен в физически разделенных сетях. Однако вариант (2) кажется более аккуратным и требует меньшего количества сетевых адаптеров на брандмауэре.

Очевидно, что (2) имеет недостаток пропускной способности, я могу передать через брандмауэр только 1 Гбит / с во всех сетях, но на данный момент это не вызывает беспокойства.

Мой вопрос: представляет ли переход с (2) какие-либо дополнительные риски, о которых я не знаю? Может ли злоумышленник, находящийся в сети WAN, перехватить / изменить трафик в двух других сетях, просто поделившись с ними транком dot1Q, входящим в брандмауэр?

Один класс уязвимостей, о котором следует знать, называется «переключение vlan» - существуют некоторые методы атаки, при которых злоумышленник может добавить заголовок 802.1q к пакету или добавить дополнительный заголовок к пакету, который уже имеет. (что является законным в соответствии со спецификацией), с намерением, чтобы какое-то оборудование перенаправляло пакет в сеть, где он не должен попадать в нормальную работу сети.

Однако, безусловно, есть ограничения - в наши дни для атаки потребуется серьезная неправильная конфигурация сети, чтобы быть уязвимой (порт, игнорирующий теги, обращенный к порту, который принимает теги, доступ злоумышленника к порту Cisco с динамическим транкинговым протоколом или доступ злоумышленника к порту, который принимает теги, которые он не должен использовать), а не уязвимость в самом программном обеспечении сетевого устройства - например, большинство из них должно хорошо не пропускать тегированные пакеты из портов доступа.

Злоумышленник должен находиться в том же широковещательном домене, что и ваш WAN-интерфейс, чтобы даже попытаться выполнить эту атаку, а количество устройств с поддержкой vlan ограничено, что оставляет небольшую площадь для этой неправильной конфигурации.

Там есть интересная статья с попыткой доказательства концепции атаки на оборудование Cisco. Вот.

Честно говоря, больший риск безопасности, от которого здесь защищает физическое разделение, связан с простой неправильной конфигурацией - случайным приемом пакетов, помеченных для внутреннего vlan на интерфейсе WAN, или случайным подключением канала WAN к порту доступа для внутреннего vlan.

Тщательно спланированная и правильно настроенная схема с одним интерфейсом, безусловно, может быть такой же безопасной, как и конфигурация с воздушным зазором, если вы понимаете риски и потенциальные угрозы.

Короткий ответ: нет, они должны быть эквивалентными. Вы уже упомянули общую полосу пропускания, поэтому исключением будет атака DOS на один интерфейс, которая может повлиять на трафик на других, но с точки зрения безопасности они не должны иметь доступа к другим VLAN.

Все это предполагает, что сети VLAN правильно настроены и отделены друг от друга (брандмауэры).