제목에 따라 사람들이 보안 목적으로 VLAN을 사용하지 말라고하는 이유는 무엇입니까?
몇 개의 VLAN이있는 네트워크가 있습니다. 2 개의 VLAN 사이에 방화벽이 있습니다. HP Procurve 스위치를 사용 중이며 스위치 간 링크가 태그가 지정된 프레임 만 허용하고 호스트 포트가 태그가있는 프레임을 허용하지 않는지 확인했습니다 ( “VLAN 인식”이 아님). 또한 트렁크 링크의 기본 VLAN (PVID)이 2 개의 호스트 VLAN 중 하나와 동일하지 않은지 확인했습니다. “침입 필터링”도 활성화했습니다. 또한 호스트 포트가 단일 VLAN의 구성원 일 뿐이며 각 포트의 PVID와 동일합니다. 여러 VLAN의 구성원 인 유일한 포트는 트렁크 포트입니다.
왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까? 이중 태그 문제를 해결했다고 생각합니다 ..
감사
업데이트 : 두 스위치 모두 HP Procurve 1800-24G
답변
사람들이 보안 목적으로 VLAN을 사용하지 말라고하는 이유는 무엇입니까?
잠재적 인 문제를 완전히 이해하지 못하고 환경에 적합한 지점으로 위험을 완화하도록 네트워크를 올바르게 설정하면 실제 위험이 있습니다. 많은 위치에서 VLAN은 두 VLAN간에 적절한 수준의 분리를 제공합니다.
왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까?
꽤 안전한 설정을 위해 필요한 모든 기본 단계를 수행 한 것 같습니다. 그러나 나는 HP 장비에 완전히 익숙하지 않습니다. 환경에 충분한 작업을 수행했을 수 있습니다.
시스코 VLAN 보안 백서 도 좋은 기사 입니다.
VLAN 기반 네트워크에 대한 가능한 공격 목록이 포함되어 있습니다. 이들 중 일부는 일부 스위치에서는 불가능하거나 인프라 / 네트워크의 적절한 설계로 완화 할 수 있습니다. 시간을내어 이해하고 위험이 환경에서 피하기 위해 노력할 가치가 있는지 결정하십시오.
기사에서 인용했습니다.
- MAC 홍수 공격
- 802.1Q 및 ISL 태깅 공격
- 이중 캡슐화 된 802.1Q / Nested VLAN 공격
- ARP 공격
- 개인 VLAN 공격
- 멀티 캐스트 무차별 대입 공격
- 스패닝 트리 공격
참조 :
답변
특정 값의 보안에 안전합니다.
펌웨어 버그, 스위치 구성 재설정, 사람의 실수로 인해 안전하지 않을 수 있습니다. 스위치 및 스위치 구성에 액세스 할 수있는 사람이 거의없는 한 일반 비즈니스 환경에서는 문제가 없습니다.
그래도 정말 민감한 데이터를 물리적으로 분리하려고합니다.
답변
과거에는 VLAN 호핑을 수행하는 것이 더 쉬웠으므로 “사람”이이 말을하는 이유 일 수 있습니다. 그런데 왜 “사람들”에게 그 이유를 물어 보지 않겠습니까? 우리는 왜 그들이 당신에게 말했는지 추측 할 수 있습니다. HIPAA 및 PCI 감사자는 VLAN을 통해 보안이 양호하다는 것을 알고 있습니다.
답변
핵심 문제는 실제로 트래픽을 분리하지 않고 브로드 캐스트 도메인을 분리하기 때문에 VLAN이 안전하지 않다는 것입니다. 여러 VLAN의 모든 트래픽은 여전히 동일한 물리적 와이어를 통해 흐릅니다. 해당 트래픽에 액세스 할 수있는 호스트는 항상 무차별 모드로 구성하고 모든 트래픽을 유선으로 볼 수 있습니다.
스위치를 사용하면 어떤 데이터가 실제로 어떤 포트에 나타나는지 제어하기 때문에 스위치를 사용하면 위험이 상당히 줄어 듭니다. 그러나 기본 위험은 여전히 존재합니다.