Я оцениваю подсети нашей сети с коммутатором уровня 2 и VLAN. Насколько мне известно, VLAN работает только в широковещательном домене, и если я знаю MAC-адрес удаленного компьютера на том же коммутаторе, я могу полностью обойти безопасность VLAN, сопоставив MAC-адрес с моей собственной таблицей ARP. Это правильно?
Спасибо
Вы не правы. Когда коммутатор создает VLAN, это фактически то же самое, как если бы вы создали две отдельные сети, связанные с их собственными коммутаторами. Человек не может обойти VLAN, используя прямой MAC-адрес, не больше, чем вы могли бы получить доступ к своему соседу через улицу, если бы вы знали его MAC-адрес.
Думайте об этом как о двух физически разделенных сетях.
Нет, это не так. Это могло быть возможно в некоторых из самых ранних реализаций VLAN (20 лет назад ...), но на любом современном коммутаторе, как только порт помечен VLAN 802.1q, вот и все. Механизм коммутации не позволяет переключаться между VLAN. Конечно, если у вас небезопасная конфигурация (например, хост с интерфейсами в более чем одной сети, с включенной переадресацией IP ...), у вас могут быть проблемы с безопасностью.
Я работаю в довольно большом университете (у нас есть два класса B, и все еще требуется большая часть класса A для клиентов с NAT). Наша сеть работает на оборудовании Cisco, Foundry и Juniper, а также все подключен к VLAN. У нас никогда не было никаких проблем с безопасностью или чем-то еще.
Есть два метода переключения влан. Воспользуйтесь преимуществом автоматического транкинга, заставив маршрутизатор думать, что вы еще один маршрутизатор, и тогда у вас будет доступ ко всем vlan. Искусственно создавайте пакеты с двойными тегами и используйте обратную сопоставимость для перехода к целевому vlan.
Есть некоторые методы обхода тегов VLAN, но они применимы только для некоторых коммутаторов и в некоторых конфигурациях. Если у вас есть коммутаторы Cisco с VLAN 1 на магистрали, вы можете отправлять пакеты на машины в другой VLAN (но ничего не получать обратно), если вы отправляете .1q-инкапсулированный кадр с целевой VLAN в качестве тега VLAN.
Я могу полностью обойти безопасность VLAN, сопоставив MAC-адрес с моей собственной таблицей ARP. Это правильно?
Как правило, нет, вы не сможете этого сделать.
Обновление вашей таблицы arp означает, что пакеты, отправленные на удаленный компьютер, дойдут до коммутатора. Однако коммутатор по-прежнему ничего с ними не сделает, поскольку ваш порт на коммутаторе все еще является частью другой сети. С обновлением arp пакеты даже не покидали ваш компьютер. Обновление означает, что пакеты могут пройти немного дальше, но все равно не достигнут пункта назначения.
Если вы хотите создать исключение для членства в vlan, лучший способ, который я видел, это сделать с помощью коммутатора уровня 3 (так что теперь это маршрутизатор) в ядре вашей сети, который также поддерживает ACL (контроль доступа списки) для безопасности маршрутизации. Вы устанавливаете этот переключатель с маршрутом между двумя vlan, настраиваете ACL с правилом запрета по умолчанию и добавляете исключения в качестве разрешающих правил перед правилом запрета.