사람들이 보안을 위해 VLAN을 사용하지 말라고하는 이유는 무엇입니까? 스위치를 사용 중이며

제목에 따라 사람들이 보안 목적으로 VLAN을 사용하지 말라고하는 이유는 무엇입니까?

몇 개의 VLAN이있는 네트워크가 있습니다. 2 개의 VLAN 사이에 방화벽이 있습니다. HP Procurve 스위치를 사용 중이며 스위치 간 링크가 태그가 지정된 프레임 만 허용하고 호스트 포트가 태그가있는 프레임을 허용하지 않는지 확인했습니다 ( “VLAN 인식”이 아님). 또한 트렁크 링크의 기본 VLAN (PVID)이 2 개의 호스트 VLAN 중 하나와 동일하지 않은지 확인했습니다. “침입 필터링”도 활성화했습니다. 또한 호스트 포트가 단일 VLAN의 구성원 일 뿐이며 각 포트의 PVID와 동일합니다. 여러 VLAN의 구성원 인 유일한 포트는 트렁크 포트입니다.

왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까? 이중 태그 문제를 해결했다고 생각합니다 ..

감사

업데이트 : 두 스위치 모두 HP Procurve 1800-24G



답변

사람들이 보안 목적으로 VLAN을 사용하지 말라고하는 이유는 무엇입니까?

잠재적 인 문제를 완전히 이해하지 못하고 환경에 적합한 지점으로 위험을 완화하도록 네트워크를 올바르게 설정하면 실제 위험이 있습니다. 많은 위치에서 VLAN은 두 VLAN간에 적절한 수준의 분리를 제공합니다.

왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까?

꽤 안전한 설정을 위해 필요한 모든 기본 단계를 수행 한 것 같습니다. 그러나 나는 HP 장비에 완전히 익숙하지 않습니다. 환경에 충분한 작업을 수행했을 수 있습니다.

시스코 VLAN 보안 백서 도 좋은 기사 입니다.

VLAN 기반 네트워크에 대한 가능한 공격 목록이 포함되어 있습니다. 이들 중 일부는 일부 스위치에서는 불가능하거나 인프라 / 네트워크의 적절한 설계로 완화 할 수 있습니다. 시간을내어 이해하고 위험이 환경에서 피하기 위해 노력할 가치가 있는지 결정하십시오.

기사에서 인용했습니다.

  • MAC 홍수 공격
  • 802.1Q 및 ISL 태깅 공격
  • 이중 캡슐화 된 802.1Q / Nested VLAN 공격
  • ARP 공격
  • 개인 VLAN 공격
  • 멀티 캐스트 무차별 대입 공격
  • 스패닝 트리 공격

참조 :


답변

특정 값의 보안에 안전합니다.

펌웨어 버그, 스위치 구성 재설정, 사람의 실수로 인해 안전하지 않을 수 있습니다. 스위치 및 스위치 구성에 액세스 할 수있는 사람이 거의없는 한 일반 비즈니스 환경에서는 문제가 없습니다.

그래도 정말 민감한 데이터를 물리적으로 분리하려고합니다.


답변

과거에는 VLAN 호핑을 수행하는 것이 더 쉬웠으므로 “사람”이이 말을하는 이유 일 수 있습니다. 그런데 왜 “사람들”에게 그 이유를 물어 보지 않겠습니까? 우리는 왜 그들이 당신에게 말했는지 추측 할 수 있습니다. HIPAA 및 PCI 감사자는 VLAN을 통해 보안이 양호하다는 것을 알고 있습니다.


답변

핵심 문제는 실제로 트래픽을 분리하지 않고 브로드 캐스트 도메인을 분리하기 때문에 VLAN이 안전하지 않다는 것입니다. 여러 VLAN의 모든 트래픽은 여전히 ​​동일한 물리적 와이어를 통해 흐릅니다. 해당 트래픽에 액세스 할 수있는 호스트는 항상 무차별 모드로 구성하고 모든 트래픽을 유선으로 볼 수 있습니다.

스위치를 사용하면 어떤 데이터가 실제로 어떤 포트에 나타나는지 제어하기 때문에 스위치를 사용하면 위험이 상당히 줄어 듭니다. 그러나 기본 위험은 여전히 ​​존재합니다.