Neden insanlar bana güvenlik için VLAN kullanmamamı söylüyor?

Başlığa göre, neden insanlar bana VLAN'ları güvenlik amacıyla kullanmamamı söylüyor?

Birkaç VLANS'ın olduğu bir ağım var. 2 VLAN arasında bir güvenlik duvarı var. HP Procurve anahtarlarını kullanıyorum ve geçişe geçme bağlantılarının yalnızca etiketli çerçeveleri kabul ettiğinden ve ana bilgisayar bağlantı noktalarının etiketli çerçeveleri kabul etmediğinden emin oldum (Bunlar "VLAN Aware" değil). Ayrıca ana hat bağlantılarının yerel VLAN'ının (PVID) 2 ana VLAN'ın hiçbiriyle aynı olmadığından emin oldum. Ayrıca "Giriş Filtreleme" özelliğini de etkinleştirdim. Ayrıca, ana bilgisayar bağlantı noktalarının yalnızca ilgili bağlantı noktasının PVID'si ile aynı olan tek bir VLAN üyesi olduğundan emin oldum. Birden fazla VLAN'ın üyesi olan tek bağlantı noktaları, ana bağlantı noktalarıdır.

Birisi lütfen yukarıdakilerin neden güvenli olmadığını açıklayabilir mi? Ben çift etiketleme konusunu ele aldım inanıyorum ..

Teşekkürler

Güncelleme: Her iki anahtar Hp Procurve 1800-24G vardır

Neden insanlar bana VLAN'ları güvenlik amacıyla kullanmamamı söylüyor?

Potansiyel sorunları tam olarak anlamadıysanız ve riski, ortamınız için kabul edilebilir bir noktaya indirgemek için ağınızı uygun şekilde ayarlayın. Birçok yerde, VLAN'lar iki VLAN arasında yeterli düzeyde bir ayrım sağlar.

Birisi lütfen yukarıdakilerin neden güvenli olmadığını açıklayabilir mi?

Oldukça güvenli bir kurulum için gerekli tüm temel adımları atmışsınız gibi gözüküyor. Ancak ben HP donanımına tam olarak aşina değilim. Çevreniz için yeterince şey yapmış olabilirsiniz.

Çok iyi bakacak bir yazı da Cisco VLAN Security White Paper olacaktır .

VLAN Tabanlı Ağa yönelik olası saldırıların bir listesini içerir. Bunlardan bazıları bazı anahtarlarda mümkün değildir veya altyapının / ağın uygun tasarımı ile hafifletilebilir. Onları anlamak için zaman ayırın ve riskin çevrenizde önlemek için harcayacağınız çabaya değip değmeyeceğine karar verin.

Makaleden alıntı.

• MAC Sel Saldırısı
• 802.1Q ve ISL Etiketleme Saldırısı
• Çift Kapsüllü 802.1Q / İç İçe VLAN Saldırısı
• ARP Saldırıları
• Özel VLAN Saldırısı
• Çok Noktaya Yayın Brute Force Attack
• Yayılan Ağaç Saldırısı

Ayrıca bakınız:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

Güvenli bazı değerler için güvenlidir.

Yazılımdaki hatalar, konfigürasyon sıfırlama, insan hatası güvensiz hale getirebilir. Anahtarların ve anahtarların konfigürasyonuna yalnızca çok az kişi erişebildiği sürece, genel iş ortamında sorun olmaz.

Gerçekte hassas veriler için fiziksel olarak ayrılmaya giderdim.

Geçmişte VLAN'ın atlamasının daha kolay olduğunu hatırlıyor gibiyim, bu yüzden "insanlar" bunu söylüyor. Ama neden "insanlara" nedenlerini sormuyorsun? Bunu sana neden söylediklerini yalnızca tahmin edebiliriz. HIPAA ve PCI denetçilerinin güvenlik için VLAN'larla iyi olduğunu biliyorum.

Bence asıl mesele vlans'ın güvenli olmadığı, çünkü sadece trafik alanlarını ayırıyorsunuz, aslında trafiği ayırmıyorsunuz. Birden fazla kanaldan gelen tüm trafik hala aynı fiziksel teller üzerinden akıyor. Bu trafiğe erişimi olan bir ana bilgisayar her zaman karışık moda yapılandırılabilir ve teldeki tüm trafiği görüntüleyebilir.

Açıkçası, anahtarların kullanılması bu riski bir miktar azaltıyor, çünkü anahtarlar hangi verilerin hangi portlarda göründüğünü kontrol ediyor, ancak temel risk hala orada.