Mengapa orang mengatakan kepada saya untuk tidak menggunakan VLAN untuk keamanan?

Sesuai judul, mengapa orang mengatakan kepada saya untuk tidak menggunakan VLAN untuk tujuan keamanan?

Saya memiliki jaringan, di mana memiliki beberapa VLAN. Ada firewall antara 2 VLAN. Saya menggunakan switch HP Procurve dan telah memastikan bahwa tautan switch-to-switch hanya menerima frame yang ditandai dan port host tidak menerima frame yang ditandai (Mereka bukan "VLAN Sadar"). Saya juga memastikan bahwa VLAN (PVID) asli dari trunk link tidak sama dengan salah satu dari 2 host VLAN. Saya juga telah mengaktifkan "Penyaringan Ingress". Selain itu, saya telah memastikan bahwa port host hanya anggota dari satu VLAN, yang sama dengan PVID masing-masing port. Satu-satunya port yang merupakan anggota dari beberapa VLAN adalah port trunk.

Dapatkah seseorang tolong jelaskan kepada saya mengapa hal di atas tidak aman? Saya percaya saya telah membahas masalah penandaan ganda ..

Terima kasih

Pembaruan: Kedua sakelar adalah Hp Procurve 1800-24G

Mengapa orang mengatakan kepada saya untuk tidak menggunakan VLAN untuk tujuan keamanan?

Ada risiko nyata, jika Anda tidak sepenuhnya memahami masalah potensial, dan mengatur jaringan Anda dengan benar untuk mengurangi risiko ke titik yang dapat diterima untuk lingkungan Anda. Di banyak lokasi, VLAN menyediakan tingkat pemisahan yang memadai antara dua VLAN.

Dapatkah seseorang tolong jelaskan kepada saya mengapa hal di atas tidak aman?

Sepertinya Anda telah mengambil semua langkah dasar yang diperlukan untuk mencapai pengaturan yang cukup aman. Tetapi saya tidak sepenuhnya akrab dengan peralatan HP. Anda mungkin telah melakukan cukup untuk lingkungan Anda.

Artikel yang bagus juga akan membahas tentang White Paper Cisco VLAN Security .

Ini termasuk daftar kemungkinan serangan terhadap Jaringan Berbasis VLAN. Beberapa di antaranya tidak memungkinkan pada beberapa sakelar, atau dapat dikurangi dengan desain infrastruktur / jaringan yang tepat. Luangkan waktu untuk memahaminya dan putuskan apakah risiko itu sepadan dengan usaha yang diperlukan untuk menghindarinya di lingkungan Anda.

Dikutip dari artikel.

• MAC Flooding Attack
• 802.1Q dan ISL Tagging Attack
• Double-Encapsulated 802.1Q / Nested VLAN Attack
• Serangan ARP
• Serangan VLAN pribadi
• Multicast Brute Force Attack
• Serangan Spanning-Tree

Lihat juga:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

Aman untuk nilai keamanan tertentu.

Bug dalam firmware, ubah pengaturan konfigurasi, kesalahan manusia dapat membuatnya tidak aman. Selama hanya sedikit orang yang memiliki akses ke konfigurasi sakelar dan sakelar sendiri maka tidak apa-apa di lingkungan bisnis umum.

Saya akan melakukan pemisahan fisik untuk data yang sangat sensitif.

Saya sepertinya ingat bahwa, di masa lalu, lebih mudah untuk melakukan VLAN hopping, jadi itu sebabnya "orang" mengatakan ini. Tapi, mengapa Anda tidak bertanya kepada "orang-orang" karena alasannya? Kami hanya bisa menebak mengapa mereka mengatakan itu kepada Anda. Saya tahu bahwa auditor HIPAA dan PCI OK dengan VLAN untuk keamanan.

Saya pikir inti masalahnya adalah bahwa vlan tidak aman karena Anda hanya memisahkan domain siaran, tidak benar-benar memisahkan lalu lintas. Semua lalu lintas dari banyak van masih mengalir di kabel fisik yang sama. Host dengan akses ke lalu lintas itu selalu dapat dikonfigurasikan ke mode promiscuous dan melihat semua lalu lintas di kabel.

Jelas penggunaan switch mengurangi risiko itu sedikit, karena switch mengendalikan data mana yang benar-benar muncul di port mana, namun risiko dasar masih ada.