Tại sao mọi người bảo tôi không sử dụng Vlan để bảo mật?

Theo tiêu đề, tại sao mọi người bảo tôi không sử dụng Vlan cho mục đích bảo mật?

Tôi có một mạng lưới, nơi có một vài VLans. Có một tường lửa giữa 2 Vlan. Tôi đang sử dụng các bộ chuyển mạch HP Procurve và đã đảm bảo rằng các liên kết chuyển đổi chỉ chấp nhận các khung được gắn thẻ và các cổng máy chủ không chấp nhận các khung được gắn thẻ (Chúng không phải là "Vlan Aware"). Tôi cũng đã đảm bảo rằng Vlan gốc (PVID) của các liên kết trung kế không giống với một trong hai Vlan lưu trữ. Tôi cũng đã bật "Lọc Ingress". Hơn nữa, tôi đã đảm bảo rằng các cổng máy chủ chỉ là thành viên của một Vlan duy nhất, giống như PVID của cổng tương ứng. Các cổng duy nhất là thành viên của nhiều Vlan là các cổng trung kế.

Ai đó có thể vui lòng giải thích cho tôi tại sao những điều trên không an toàn? Tôi tin rằng tôi đã giải quyết vấn đề gắn thẻ đôi ..

Cảm ơn

Cập nhật: Cả hai thiết bị chuyển mạch là Hp Procurve 1800-24G

Tại sao mọi người bảo tôi không sử dụng Vlan cho mục đích bảo mật?

Có những rủi ro thực sự, nếu bạn không hiểu đầy đủ các vấn đề tiềm ẩn và thiết lập đúng mạng của bạn để giảm thiểu rủi ro đến một điểm có thể chấp nhận được cho môi trường của bạn. Ở nhiều vị trí, Vlan cung cấp một mức độ phân tách thích hợp giữa hai Vlan.

Ai đó có thể vui lòng giải thích cho tôi tại sao những điều trên không an toàn?

Có vẻ như bạn đã thực hiện tất cả các bước cơ bản cần thiết để đạt được một thiết lập khá an toàn. Nhưng tôi không hoàn toàn quen thuộc với thiết bị HP. Bạn có thể đã làm đủ cho môi trường của bạn.

Một bài viết hay nhìn vào sẽ là Sách trắng bảo mật Vlan của Cisco .

Nó bao gồm một danh sách các cuộc tấn công có thể chống lại Mạng dựa trên Vlan. Một số trong số này không thể thực hiện được trên một số thiết bị chuyển mạch hoặc có thể được giảm thiểu bằng cách thiết kế cơ sở hạ tầng / mạng phù hợp. Dành thời gian để hiểu họ và quyết định xem rủi ro có xứng đáng với nỗ lực cần có để tránh nó trong môi trường của bạn hay không.

Trích dẫn từ bài báo.

• Tấn công lũ lụt MAC
• Tấn công gắn thẻ 802.1Q và ISL
• Tấn công Vlan được đóng gói kép 802.1Q / lồng nhau
• Tấn công ARP
• Tấn công Vlan tư nhân
• Tấn công đa vũ trụ
• Spanning-Tree Attack

Xem thêm:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Ch CHƯƠNG + 9.+Switching+Security/VLAN-Basing+Network+Attacks/

Nó là an toàn cho các giá trị nhất định của an toàn.

Lỗi trong phần sụn, thiết lập lại cấu hình chuyển đổi, lỗi của con người có thể làm cho nó không an toàn. Miễn là chỉ có rất ít người có quyền truy cập vào cấu hình của các công tắc và tự chuyển đổi thì không sao trong môi trường kinh doanh nói chung.

Tôi sẽ phân tách vật lý cho dữ liệu thực sự nhạy cảm mặc dù.

Tôi dường như nhớ lại rằng, trong quá khứ, việc nhảy Vlan dễ dàng hơn, vì vậy đó có thể là lý do tại sao "mọi người" đang nói điều này. Nhưng, tại sao bạn không hỏi "người" vì những lý do? Chúng tôi chỉ có thể đoán tại sao họ nói với bạn điều đó. Tôi biết rằng các kiểm toán viên HIPAA và PCI đều ổn với Vlan để bảo mật.

Tôi nghĩ vấn đề cốt lõi là vlans không an toàn vì bạn chỉ tách biệt các miền phát sóng, chứ không thực sự tách biệt lưu lượng. Tất cả lưu lượng truy cập từ nhiều vlans vẫn chảy trên cùng một dây vật lý. Một máy chủ có quyền truy cập vào lưu lượng đó luôn có thể được cấu hình thành chế độ lăng nhăng và xem tất cả lưu lượng trên dây.

Rõ ràng việc sử dụng các thiết bị chuyển mạch làm giảm rủi ro đó khá nhiều, vì các thiết bị chuyển mạch đang kiểm soát dữ liệu nào thực sự xuất hiện trên cổng nào, tuy nhiên rủi ro cơ bản vẫn còn đó.