25 votos

¿Por qué la gente me dice no utilizar redes de seguridad?

Según el título, ¿por qué la gente me dice no utilizar VLANs para fines de seguridad?

Tengo una red, donde tienen un par de VLAN. Hay un firewall entre el 2 Vlan. Estoy usando HP Procurve interruptores y asegurarse de que el interruptor a interruptor de enlaces aceptar marcos etiquetados y que los puertos de host de no aceptar el etiquetado de tramas (Que no son "VLAN Consciente"). También he procurado que la VLAN nativa (PVID) del tronco enlaces no son lo mismo que cualquiera de los 2 host Vlan. También he habilitado el Filtrado de Ingreso". Además, me he asegurado de que los puertos de host son sólo los miembros de una sola VLAN, que es el mismo que el PVID de los respectivos puertos. Los únicos puertos que son miembros de la Vlan múltiples son el tronco de los puertos.

Por favor alguien puede explicarme por qué el de arriba no es seguro? Creo que me he dirigido a la doble etiquetado problema..

Gracias

Actualización: Ambos conmutadores Hp Procurve 1800-24G

18voto

Zoredache Puntos 84524

¿Por qué la gente me dice no utilizar VLANs para fines de seguridad?

Hay riesgos reales, si usted no entiende completamente los problemas potenciales, y correctamente la configuración de su red para reducir el riesgo a un punto que es aceptable para su entorno. En muchos lugares Vlan proporcionan un nivel adecuado de separación entre las dos Vlan.

Por favor alguien puede explicarme por qué el de arriba no es seguro?

Suena como que usted ha tomado todos los pasos básicos necesarios para alcanzar una muy seguro de la instalación. Pero no estoy totalmente familiarizado con HP engranaje. Usted puede haber hecho lo suficiente para su entorno.

Un buen artículo fijamos demasiado en que sería la VLAN Cisco Blanco de Seguridad.

Se incluye una lista de posibles ataques en contra de una VLAN Basada en la Red. Algunos de estos no son posibles en algunos modificadores, o pueden ser mitigados mediante un diseño adecuado de la infraestructura de red. Tómese el tiempo para entender y decidir si el riesgo vale la pena el esfuerzo que se necesita para evitar en su entorno.

Citado en el artículo.

  • MAC Inundaciones Ataque
  • 802.1 P y COL Etiquetado de Ataque
  • Doble Encapsulado 802.1 Q/Anidada VLAN Ataque
  • Los Ataques de ARP
  • VLAN privada Ataque
  • Multidifusión Ataque De Fuerza Bruta
  • Árbol De Expansión Ataque

Vea también:

10voto

Hubert Kario Puntos 4508

Es seguro para ciertos valores de segura.

Errores en el firmware, cambiar configuración se restablece, el error humano puede hacer que sea insegura. Mientras sólo muy pocas personas tienen acceso a la configuración de los interruptores y conmutadores de sí mismos, entonces está bien en el ambiente general de negocios.

Yo iría por la separación física para los datos sensibles, aunque.

4voto

mfinni Puntos 29745

Me parece recordar que, en el pasado, era más fácil hacer VLAN hopping, por lo que puede ser el motivo por el "pueblo" está diciendo esto. Pero, ¿por qué no pedir a la "gente" por las razones? Sólo podemos adivinar por qué se le dijo a usted que. Yo sé que la ley HIPAA y PCI auditores están bien con redes de seguridad.

2voto

Symmetric Puntos 158

Creo que el principal problema es que las vlan no son seguras, ya que solo la segregación de dominios de difusión, en realidad no segregar el tráfico. Todo el tráfico de varias vlan todavía fluye a través de los mismos cables físicos. Un host con acceso para que el tráfico siempre puede ser configurado en modo promiscuo y ver todo el tráfico en el cable.

Obviamente el uso de interruptores reduce el riesgo un poco, ya que los interruptores que controlan a que los datos que en realidad aparece en los puertos que, sin embargo, el riesgo básico todavía está allí.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: