Я собираюсь реализовать брандмауэр pfSense в сети, и у меня есть несколько вариантов реализации. В частности, я могу:
Я нервно и нервно склоняюсь к пункту (1), поскольку трафик с другим доверием более аккуратен в физически разделенных сетях. Однако вариант (2) кажется более аккуратным и требует меньшего количества сетевых адаптеров на брандмауэре.
Очевидно, что (2) имеет недостаток пропускной способности, я могу передать через брандмауэр только 1 Гбит / с во всех сетях, но на данный момент это не вызывает беспокойства.
Мой вопрос: представляет ли переход с (2) какие-либо дополнительные риски, о которых я не знаю? Может ли злоумышленник, находящийся в сети WAN, перехватить / изменить трафик в двух других сетях, просто поделившись с ними транком dot1Q, входящим в брандмауэр?
Один класс уязвимостей, о котором следует знать, называется «переключение vlan» - существуют некоторые методы атаки, при которых злоумышленник может добавить заголовок 802.1q к пакету или добавить дополнительный заголовок к пакету, который уже имеет. (что является законным в соответствии со спецификацией), с намерением, чтобы какое-то оборудование перенаправляло пакет в сеть, где он не должен попадать в нормальную работу сети.
Однако, безусловно, есть ограничения - в наши дни для атаки потребуется серьезная неправильная конфигурация сети, чтобы быть уязвимой (порт, игнорирующий теги, обращенный к порту, который принимает теги, доступ злоумышленника к порту Cisco с динамическим транкинговым протоколом или доступ злоумышленника к порту, который принимает теги, которые он не должен использовать), а не уязвимость в самом программном обеспечении сетевого устройства - например, большинство из них должно хорошо не пропускать тегированные пакеты из портов доступа.
Злоумышленник должен находиться в том же широковещательном домене, что и ваш WAN-интерфейс, чтобы даже попытаться выполнить эту атаку, а количество устройств с поддержкой vlan ограничено, что оставляет небольшую площадь для этой неправильной конфигурации.
Там есть интересная статья с попыткой доказательства концепции атаки на оборудование Cisco. Вот.
Честно говоря, больший риск безопасности, от которого здесь защищает физическое разделение, связан с простой неправильной конфигурацией - случайным приемом пакетов, помеченных для внутреннего vlan на интерфейсе WAN, или случайным подключением канала WAN к порту доступа для внутреннего vlan.
Тщательно спланированная и правильно настроенная схема с одним интерфейсом, безусловно, может быть такой же безопасной, как и конфигурация с воздушным зазором, если вы понимаете риски и потенциальные угрозы.
Короткий ответ: нет, они должны быть эквивалентными. Вы уже упомянули общую полосу пропускания, поэтому исключением будет атака DOS на один интерфейс, которая может повлиять на трафик на других, но с точки зрения безопасности они не должны иметь доступа к другим VLAN.
Все это предполагает, что сети VLAN правильно настроены и отделены друг от друга (брандмауэры).