Tại sao mọi người bảo tôi không sử dụng Vlan để bảo mật?


25

Theo tiêu đề, tại sao mọi người bảo tôi không sử dụng Vlan cho mục đích bảo mật?

Tôi có một mạng lưới, nơi có một vài VLans. Có một tường lửa giữa 2 Vlan. Tôi đang sử dụng các bộ chuyển mạch HP Procurve và đã đảm bảo rằng các liên kết chuyển đổi chỉ chấp nhận các khung được gắn thẻ và các cổng máy chủ không chấp nhận các khung được gắn thẻ (Chúng không phải là "Vlan Aware"). Tôi cũng đã đảm bảo rằng Vlan gốc (PVID) của các liên kết trung kế không giống với một trong hai Vlan lưu trữ. Tôi cũng đã bật "Lọc Ingress". Hơn nữa, tôi đã đảm bảo rằng các cổng máy chủ chỉ là thành viên của một Vlan duy nhất, giống như PVID của cổng tương ứng. Các cổng duy nhất là thành viên của nhiều Vlan là các cổng trung kế.

Ai đó có thể vui lòng giải thích cho tôi tại sao những điều trên không an toàn? Tôi tin rằng tôi đã giải quyết vấn đề gắn thẻ đôi ..

Cảm ơn

Cập nhật: Cả hai thiết bị chuyển mạch là Hp Procurve 1800-24G


1
Bạn cũng có thể thử hỏi qua tại security.stackexchange.com , nếu bạn muốn đầu vào từ ưu điểm bảo mật ...
AviD

Điều này chắc chắn nên được trên security.se.
Đánh dấu E. Haase

@mehaase, câu hỏi không thể được di chuyển sau một khoảng thời gian nhất định. Đây là câu hỏi quá cũ để được di chuyển.
Zoredache

Câu trả lời:


18

Tại sao mọi người bảo tôi không sử dụng Vlan cho mục đích bảo mật?

Có những rủi ro thực sự, nếu bạn không hiểu đầy đủ các vấn đề tiềm ẩn và thiết lập đúng mạng của bạn để giảm thiểu rủi ro đến một điểm có thể chấp nhận được cho môi trường của bạn. Ở nhiều vị trí, Vlan cung cấp một mức độ phân tách thích hợp giữa hai Vlan.

Ai đó có thể vui lòng giải thích cho tôi tại sao những điều trên không an toàn?

Có vẻ như bạn đã thực hiện tất cả các bước cơ bản cần thiết để đạt được một thiết lập khá an toàn. Nhưng tôi không hoàn toàn quen thuộc với thiết bị HP. Bạn có thể đã làm đủ cho môi trường của bạn.

Một bài viết hay nhìn vào sẽ là Sách trắng bảo mật Vlan của Cisco .

Nó bao gồm một danh sách các cuộc tấn công có thể chống lại Mạng dựa trên Vlan. Một số trong số này không thể thực hiện được trên một số thiết bị chuyển mạch hoặc có thể được giảm thiểu bằng cách thiết kế cơ sở hạ tầng / mạng phù hợp. Dành thời gian để hiểu họ và quyết định xem rủi ro có xứng đáng với nỗ lực cần có để tránh nó trong môi trường của bạn hay không.

Trích dẫn từ bài báo.

  • Tấn công lũ lụt MAC
  • Tấn công gắn thẻ 802.1Q và ISL
  • Tấn công Vlan được đóng gói kép 802.1Q / lồng nhau
  • Tấn công ARP
  • Tấn công Vlan tư nhân
  • Tấn công đa vũ trụ
  • Spanning-Tree Attack

Xem thêm:


1
Vâng, tôi đã đọc bài viết đó trước khi đăng bài này. Đó là một bài viết rất tốt thực sự. Mặc dù tôi hiểu tất cả các rủi ro liên quan, nhưng sách trắng chỉ thực sự áp dụng cho thiết bị của Cisco - ít nhất là đối với các bộ phận có liên quan đến phần mềm bị lỗi như lũ lụt và các cuộc tấn công ARP.
jtnire

10

Nó là an toàn cho các giá trị nhất định của an toàn.

Lỗi trong phần sụn, thiết lập lại cấu hình chuyển đổi, lỗi của con người có thể làm cho nó không an toàn. Miễn là chỉ có rất ít người có quyền truy cập vào cấu hình của các công tắc và tự chuyển đổi thì không sao trong môi trường kinh doanh nói chung.

Tôi sẽ phân tách vật lý cho dữ liệu thực sự nhạy cảm mặc dù.


1
Không phải tất cả những vấn đề đó sẽ áp dụng cho tường lửa lớp 3 bình thường chứ?
jtnire

Có, và Vlan nên được xem xét như thể chúng được kết nối với một bộ định tuyến chung. Mạng với dữ liệu thực sự nhạy cảm không nên được kết nối với bất cứ điều gì khác. Nếu cả hai đều có quyền truy cập Internet thì bạn vẫn ổn.
Hubert Kario

2
+1 Bạn đã đánh vào đầu bằng câu đầu tiên.
John Gardeniers

Bạn có thể vui lòng giải thích câu đầu tiên của bạn? Vì tôi đang cố gắng sử dụng Vlan cho mục đích bảo mật, tôi không thể cho rằng chúng không an toàn và không sử dụng chúng cho các mạng con an toàn :)
jtnire

1
Điều này hoàn toàn không trả lời câu hỏi ... nó chỉ là các mức độ bảo mật phổ biến.
Đánh dấu E. Haase

4

Tôi dường như nhớ lại rằng, trong quá khứ, việc nhảy Vlan dễ dàng hơn, vì vậy đó có thể là lý do tại sao "mọi người" đang nói điều này. Nhưng, tại sao bạn không hỏi "người" vì những lý do? Chúng tôi chỉ có thể đoán tại sao họ nói với bạn điều đó. Tôi biết rằng các kiểm toán viên HIPAA và PCI đều ổn với Vlan để bảo mật.


Có thật không? Kiểm toán viên PCi có ổn với nó không? Theo "người", tôi chỉ có nghĩa là đọc trên mạng :)
jtnire

6
Kiểm toán viên PCI hoàn toàn ổn với nó, điều đáng ngạc nhiên khi xem xét một số con bò mà họ có thể đi kèm khi đảm bảo một hệ thống an toàn! Vlan chỉ là một công cụ để phân tách các miền phát sóng ở Lớp 2. Lớp 3 trở lên là hầu hết các lỗ hổng nghiêm trọng nói dối. Vào thời điểm ai đó đã đủ gần với hệ thống của bạn để xử lý các Vlan, bạn đã gặp vấn đề nghiêm trọng hơn nhiều!
Niall Donegan

1
May mắn thay, tôi đã không phải đối phó với không dây liên quan đến PCI DSS vì vậy đã không xuất hiện. Tôi thường đối phó với nó liên quan đến môi trường lưu trữ trong đó có những chiếc taxi bị khóa đẹp và dây cáp lỗi thời.
Niall Donegan

1
Có, tôi dự định tung ra các Vlan trong taxi cho các khách hàng được quản lý của mình. Các công tắc sẽ bị khóa trong giá đỡ :) Tôi đoán Vlan được sử dụng rất nhiều trong môi trường colo để chia sẻ các công tắc, phải không?
jtnire

1
@jnire Có, PCI DSS yêu cầu tách vật lý cho mạng WLAN. Mạng hữu tuyến là khác nhau.
sysadmin1138

2

Tôi nghĩ vấn đề cốt lõi là vlans không an toàn vì bạn chỉ tách biệt các miền phát sóng, chứ không thực sự tách biệt lưu lượng. Tất cả lưu lượng truy cập từ nhiều vlans vẫn chảy trên cùng một dây vật lý. Một máy chủ có quyền truy cập vào lưu lượng đó luôn có thể được cấu hình thành chế độ lăng nhăng và xem tất cả lưu lượng trên dây.

Rõ ràng việc sử dụng các thiết bị chuyển mạch làm giảm rủi ro đó khá nhiều, vì các thiết bị chuyển mạch đang kiểm soát dữ liệu nào thực sự xuất hiện trên cổng nào, tuy nhiên rủi ro cơ bản vẫn còn đó.


3
Tôi xin lỗi tôi không hiểu điều này. Vì các thiết bị chuyển mạch kiểm soát lưu lượng truy cập đến các cổng tùy thuộc vào tư cách thành viên Vlan của chúng, việc đưa máy chủ vào chế độ lăng nhăng sẽ không làm được gì. Chắc chắn, nếu kẻ tấn công có quyền truy cập vào đường trung kế, thì chế độ lăng nhăng sẽ hoạt động, tuy nhiên điều tương tự cũng có thể được nói nếu kẻ tấn công có quyền truy cập vào cáp cho một phân đoạn tường lửa vật lý khác. Vui lòng sửa lại cho tôi nếu tôi sai ..
jtnire

Chà, nếu kẻ tấn công có quyền truy cập vào chuyển đổi của bạn qua mạng, họ có thể làm những việc như cổng gương và thu thập các gói từ các vlans khác, phải không? Tôi nghĩ vấn đề trở lại với thực tế là vlans là một tính năng có thể lập trình được, trong khi các dây cáp tách biệt và một lớp bảo vệ vật lý.
Phil Hollenback

1
Nhưng tôi vẫn không hiểu làm thế nào nó khác với tường lửa Lớp 3 thông thường - họ cũng sử dụng phần mềm để lập trình. Tất nhiên, tôi đã cố gắng giảm thiểu vấn đề này bằng cách không đặt các máy chủ không đáng tin cậy vào Vlan quản lý, vì vậy việc chuyển đổi quyền truy cập gui web là không thể.
jtnire
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.