Neden insanlar bana güvenlik için VLAN kullanmamamı söylüyor?


25

Başlığa göre, neden insanlar bana VLAN'ları güvenlik amacıyla kullanmamamı söylüyor?

Birkaç VLANS'ın olduğu bir ağım var. 2 VLAN arasında bir güvenlik duvarı var. HP Procurve anahtarlarını kullanıyorum ve geçişe geçme bağlantılarının yalnızca etiketli çerçeveleri kabul ettiğinden ve ana bilgisayar bağlantı noktalarının etiketli çerçeveleri kabul etmediğinden emin oldum (Bunlar "VLAN Aware" değil). Ayrıca ana hat bağlantılarının yerel VLAN'ının (PVID) 2 ana VLAN'ın hiçbiriyle aynı olmadığından emin oldum. Ayrıca "Giriş Filtreleme" özelliğini de etkinleştirdim. Ayrıca, ana bilgisayar bağlantı noktalarının yalnızca ilgili bağlantı noktasının PVID'si ile aynı olan tek bir VLAN üyesi olduğundan emin oldum. Birden fazla VLAN'ın üyesi olan tek bağlantı noktaları, ana bağlantı noktalarıdır.

Birisi lütfen yukarıdakilerin neden güvenli olmadığını açıklayabilir mi? Ben çift etiketleme konusunu ele aldım inanıyorum ..

Teşekkürler

Güncelleme: Her iki anahtar Hp Procurve 1800-24G vardır


1
Ayrıca , güvenlik uzmanlarından giriş yapmak istiyorsanız, security.stackexchange.com adresinde sormayı da deneyebilirsiniz ...
AviD

Bu kesinlikle güvenlik üzerinde olmalı.
Mark E. Haase,

@ mehaase, sorular belli bir süre sonra taşınamazlar. Bu soru göç etmek için çok eski.
Zoredache

Yanıtlar:


18

Neden insanlar bana VLAN'ları güvenlik amacıyla kullanmamamı söylüyor?

Potansiyel sorunları tam olarak anlamadıysanız ve riski, ortamınız için kabul edilebilir bir noktaya indirgemek için ağınızı uygun şekilde ayarlayın. Birçok yerde, VLAN'lar iki VLAN arasında yeterli düzeyde bir ayrım sağlar.

Birisi lütfen yukarıdakilerin neden güvenli olmadığını açıklayabilir mi?

Oldukça güvenli bir kurulum için gerekli tüm temel adımları atmışsınız gibi gözüküyor. Ancak ben HP donanımına tam olarak aşina değilim. Çevreniz için yeterince şey yapmış olabilirsiniz.

Çok iyi bakacak bir yazı da Cisco VLAN Security White Paper olacaktır .

VLAN Tabanlı Ağa yönelik olası saldırıların bir listesini içerir. Bunlardan bazıları bazı anahtarlarda mümkün değildir veya altyapının / ağın uygun tasarımı ile hafifletilebilir. Onları anlamak için zaman ayırın ve riskin çevrenizde önlemek için harcayacağınız çabaya değip değmeyeceğine karar verin.

Makaleden alıntı.

  • MAC Sel Saldırısı
  • 802.1Q ve ISL Etiketleme Saldırısı
  • Çift Kapsüllü 802.1Q / İç İçe VLAN Saldırısı
  • ARP Saldırıları
  • Özel VLAN Saldırısı
  • Çok Noktaya Yayın Brute Force Attack
  • Yayılan Ağaç Saldırısı

Ayrıca bakınız:


1
Evet, göndermeden önce o makaleyi okudum. Gerçekten de çok iyi bir makale. Dahil olan tüm riskleri anlasam da, beyaz kağıt yalnızca Cisco ekipmanına uygulanmaktadır - en azından taşkın ve ARP saldırıları gibi araç yazılımına ilişkin kısımlar için.
jtnire

10

Güvenli bazı değerler için güvenlidir.

Yazılımdaki hatalar, konfigürasyon sıfırlama, insan hatası güvensiz hale getirebilir. Anahtarların ve anahtarların konfigürasyonuna yalnızca çok az kişi erişebildiği sürece, genel iş ortamında sorun olmaz.

Gerçekte hassas veriler için fiziksel olarak ayrılmaya giderdim.


1
Bu sorunların tümü normal katman-3 güvenlik duvarları için geçerli olmaz mıydı?
Jtnire

Evet ve VLAN'lar ortak bir yönlendiriciye bağlıymış gibi düşünülmelidir. Gerçekten hassas veriler içeren ağlar başka hiçbir şeye bağlanmamalıdır. Her ikisinde de internet erişimi varsa, o zaman sorun değil.
Hubert Kario

2
+1 Baştaki çiviyi ilk cümle ile vurdunuz.
John Gardeniers

Lütfen ilk cümlenizi açıklayabilir misiniz? VLAN'ları güvenlik amacıyla kullanmaya çalıştığım için, sadece güvenli olmadıklarını ve güvenli alt ağlar için kullanmadıklarını
düşünemiyorum

1
Bu, soruya hiç cevap vermiyor ... sadece ortak güvenlik önlemleri.
Mark E. Haase,

4

Geçmişte VLAN'ın atlamasının daha kolay olduğunu hatırlıyor gibiyim, bu yüzden "insanlar" bunu söylüyor. Ama neden "insanlara" nedenlerini sormuyorsun? Bunu sana neden söylediklerini yalnızca tahmin edebiliriz. HIPAA ve PCI denetçilerinin güvenlik için VLAN'larla iyi olduğunu biliyorum.


Gerçekten mi? PCi Denetçileri buna uygun mu? "İnsanlar" derken sadece çevrimiçi okumayı
kastediyorum

6
PCI denetçileri kesinlikle sorun yok, bu da sistemin güvenli olduğundan emin olabileceği bazı boğaları göz önüne alarak şaşırtıcı! VLAN'ler, Katman 2'deki yayın etki alanlarını ayırmak için yalnızca bir araçtır. Katman 3 ve üstü, bu güvenlik açıklarının çoğu yatar. Birisi size VLAN'larla uğraşmak için sisteminize yeterince yaklaşınca, çok daha ciddi bir probleminiz var!
Niall Donegan

1
Neyse ki, PCI DSS ile ilgili olarak kablosuz iletişim ile uğraşmak zorunda kalmadım, bu yüzden bu gerçekleşmedi. Normalde güzel kilitli kabinler ve eski moda kablolar barındıran barındırma ortamları ile ilgilenirim.
Niall Donegan

1
Evet, yönetilen müşterilerim için VLAN'ları kabinimde yaymayı planlıyorum. Anahtarlar rafa kilitlenecek :) Sanırım VLAN'lar anahtarları paylaşmak için colo ortamlarında çok kullanılıyor, öyle değil mi?
Jtnire

1
@jnire Evet, PCI DSS, WLAN için fiziksel ayırma gerektiriyor. Kablolu ağlar farklı.
sysadmin1138

2

Bence asıl mesele vlans'ın güvenli olmadığı, çünkü sadece trafik alanlarını ayırıyorsunuz, aslında trafiği ayırmıyorsunuz. Birden fazla kanaldan gelen tüm trafik hala aynı fiziksel teller üzerinden akıyor. Bu trafiğe erişimi olan bir ana bilgisayar her zaman karışık moda yapılandırılabilir ve teldeki tüm trafiği görüntüleyebilir.

Açıkçası, anahtarların kullanılması bu riski bir miktar azaltıyor, çünkü anahtarlar hangi verilerin hangi portlarda göründüğünü kontrol ediyor, ancak temel risk hala orada.


3
Üzgünüm, bunu anlamadım. Anahtarlar, VLAN üyeliğine bağlı olarak bağlantı noktalarına giden trafiği kontrol ettiğinden, ana bilgisayarı sıra dışı moda sokmak hiçbir şey yapmaz. Bir saldırganın ana hat hattına erişmesi durumunda, şüphesiz modun çalışacağından emin olun, ancak saldırganın başka bir fiziksel güvenlik duvarı segmenti için bir kabloya erişmesi durumunda da aynı şey söylenebilir. Lütfen
hatalıysam

Bir saldırgan ağ üzerindeki anahtarınıza erişebilirse, ayna bağlantı noktaları gibi şeyler yapabilir ve diğer vlanslardan paketler toplayabilirler, değil mi? Bence sorun, vlansın programlanabilir bir özellik olduğu gerçeğine dönerken, kabloları ve fiziksel bir koruma katmanını ayırırken ortaya çıkıyor.
Phil Hollenback

1
Fakat bunun normal Layer-3 güvenlik duvarından ne kadar farklı olduğunu hala anlamıyorum - programlamak için de yazılım kullanıyorlar. Tabii ki, bu sorunu hafifletmeye çalıştım VLAN yönetimine güvenilmeyen ana bilgisayarlar yerleştirerek, web gui erişim geçiş mümkün değildir.
jtnire
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.