Сценарий: у меня есть стойка с серверами, которые принадлежат одному и тому же частный VLAN. Я передаю данные с Сервера 1 на Сервер 2. Могут ли другие серверы перехватить отправленные данные или это возможно только с маршрутизатора / коммутатора?
Причина, по которой я спрашиваю, заключается в том, что я пытаюсь решить, безопасно ли передавать незашифрованные файлы через частную сеть, если в этой частной сети есть другие серверы, которые могли бы их перехватить, например, виртуальные серверы или арендованные выделенные серверы. Накладные расходы на SSH-шифрование могут быть довольно высокими для передачи большого количества данных.
В типичной настройке с коммутатором, предоставляемым центром обработки данных, все ваши серверы и (возможно) их маршрутизатор будут находиться в вашей частной VLAN. Если это так, все будет в порядке. Все коммутаторы центра обработки данных могут видеть трафик, а другие их клиенты - нет. Многие установки предоставляют частную локальную сеть, а также подключение к Интернету. Убедитесь, что вы осуществляете передачу через частное соединение.
Похоже, что в вашей частной VLAN есть другие серверы. В таком случае это не так уж и конфиденциально. Вам нужно настроить все так, чтобы только ваши серверы были в вашей частной локальной сети.
Даже с этим изменением неправильная конфигурация коммутатора или преднамеренное отслеживание со стороны центра обработки данных может выявить ваш трафик. Таким образом, вам все еще может понадобиться шифрование, но на самом деле, если вы не доверяете центру обработки данных, у вас будут большие проблемы.
Да, можно использовать Подмена ARP атака. Или если коммутатор был настроен для зеркалирования портов.
Услуги, предоставляемые такими компаниями, как Amazon, позволяют избежать этого, размещая сервер каждого клиента в собственной среде, подобной VLAN. Чтобы выйти за пределы VLAN, требуется маршрутизатор (в случае Amazon предоставляется эластичный IP-адрес). Конечный результат состоит в том, что в Amazon или аналогичной настройке вы не можете выполнить атаку с подменой ARP, чтобы увидеть другие межсерверные данные.
В основном нет. Это возможно при использовании
Просто используйте SSL с предопределенными закрытыми ключами с каждой стороны, и все будет в порядке
Если в вашем vlan уровня 2 есть другие серверы, они могут перехватывать трафик с помощью спуфинга arp. Однако частный vlan обычно означает, что на нем находятся только ваши устройства. В этом случае нет никакого способа (за исключением неправильной конфигурации или злонамеренного действия со стороны провайдера), чтобы другой сервер мог получить ваш трафик.
Теперь что касается того, безопасно ли передавать незашифрованные данные: это зависит от обстоятельств. Если этот vlan предоставляется вам третьей стороной, вы не знаете, что они делают с отправляемыми вами кадрами. У них может быть настроено зеркало порта, и каждый кадр, который вы отправляете, зеркально отражается в другом месте. Они могут просто использовать sFlow или netFlow и отправить некоторое количество кадров в другой ящик для хранения статистики. Поскольку сеть предоставляет не вы, вы не можете знать наверняка. Так что, если ваши данные конфиденциальны, и вы хотите быть в безопасности, зашифруйте.
Между прочим, я считаю, что современные серверы не имеют никаких проблем с насыщением канала GigE с помощью SSH.