लोग मुझे सुरक्षा के लिए वीएलएएन का उपयोग न करने के लिए क्यों कहते हैं?

शीर्षक के अनुसार, लोग मुझे सुरक्षा उद्देश्यों के लिए VLAN का उपयोग नहीं करने के लिए क्यों कहते हैं?

मेरे पास एक नेटवर्क है, जहां वीएलएएनएस का एक जोड़ा है। 2 VLANs के बीच एक फ़ायरवॉल है। मैं HP Procurve स्विच का उपयोग कर रहा हूं और यह सुनिश्चित कर लिया है कि स्विच-टू-स्विच लिंक केवल टैग किए गए फ़्रेम को स्वीकार करते हैं और होस्ट पोर्ट टैग किए गए फ़्रेम को स्वीकार नहीं करते हैं (वे "VLAN अवेयर" नहीं हैं)। मैंने यह भी सुनिश्चित किया है कि ट्रंक लिंक के देशी वीएलएएन (पीवीआईडी) 2 मेजबान वीएलएएन के समान नहीं हैं। मैंने "Ingress Filtering" को भी सक्षम किया है। इसके अलावा, मैंने यह सुनिश्चित किया है कि होस्ट पोर्ट केवल एक ही वीएलएएन के सदस्य हैं, जो संबंधित पोर्ट के पीवीआईडी ​​के समान है। एकमात्र पोर्ट जो कई VLAN के सदस्य हैं, ट्रंक पोर्ट हैं।

क्या कोई मुझे समझा सकता है कि ऊपर सुरक्षित क्यों नहीं है? मुझे विश्वास है कि मैंने दोहरे टैगिंग मुद्दे को संबोधित किया है ..

धन्यवाद

अपडेट: दोनों स्विच Hp Procurve 1800-24G हैं

लोग मुझे सुरक्षा उद्देश्यों के लिए वीएलएएन का उपयोग नहीं करने के लिए क्यों कहते हैं?

वास्तविक जोखिम हैं, यदि आप संभावित मुद्दों को पूरी तरह से नहीं समझते हैं, और अपने नेटवर्क को जोखिम को कम करने के लिए अपने नेटवर्क को ठीक से सेटअप करते हैं जो आपके पर्यावरण के लिए स्वीकार्य है। कई स्थानों में वीएलएएन दो वीएलएएन के बीच पर्याप्त स्तर का अलगाव प्रदान करता है।

क्या कोई मुझे समझा सकता है कि ऊपर सुरक्षित क्यों नहीं है?

ऐसा लगता है कि आपने बहुत सुरक्षित सेटअप प्राप्त करने के लिए आवश्यक सभी बुनियादी कदम उठाए हैं। लेकिन मैं एचपी गियर से पूरी तरह परिचित नहीं हूं। आपने अपने पर्यावरण के लिए काफी कुछ किया होगा।

एक अच्छा लेख भी सिस्को वीएलएएन सुरक्षा श्वेत पत्र होगा ।

इसमें वीएलएएन-आधारित नेटवर्क के खिलाफ संभावित हमलों की एक सूची शामिल है। इनमें से कुछ स्विच पर संभव नहीं हैं, या बुनियादी ढांचे / नेटवर्क के उचित डिजाइन से इसे कम किया जा सकता है। उन्हें समझने के लिए समय निकालें और तय करें कि जोखिम आपके पर्यावरण में इसे टालने के प्रयास के लायक है या नहीं।

लेख से उद्धृत।

• मैक बाढ़ हमला
• 802.1Q और ISL टैगिंग अटैक
• डबल-एनकैप्सुलेटेड 802.1Q / नेस्टेड वीएलएएन अटैक
• एआरपी हमलों
• निजी वीएलएएन हमला
• मल्टिकास्ट ब्रूट फोर्स अटैक
• स्पैनिंग-ट्री अटैक

यह भी देखें:

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

यह सुरक्षित के कुछ मूल्यों के लिए सुरक्षित है।

फर्मवेयर में स्विच, कॉन्फ़िगरेशन कॉन्फ़िगरेशन रीसेट करें, मानवीय त्रुटि इसे असुरक्षित बना सकती है। जब तक केवल बहुत कम लोगों के पास स्विच के कॉन्फ़िगरेशन की पहुंच होती है और खुद को स्विच करता है, तब तक सामान्य कारोबारी माहौल में यह ठीक है।

मैं वास्तव में संवेदनशील डेटा के लिए शारीरिक अलगाव के लिए जाऊंगा।

मुझे यह याद आ रहा है कि, अतीत में, वीएलएएन होपिंग करना आसान था, इसलिए हो सकता है कि "लोग" ऐसा कह रहे हों। लेकिन, आप "लोगों" से कारण क्यों नहीं पूछते? हम केवल अनुमान लगा सकते हैं कि उन्होंने आपको ऐसा क्यों कहा। मुझे पता है कि HIPAA और PCI ऑडिटर सुरक्षा के लिए VLAN के साथ ठीक हैं।

मुझे लगता है कि मुख्य मुद्दा यह है कि vlans सुरक्षित नहीं हैं क्योंकि आप सिर्फ प्रसारण डोमेन को अलग कर रहे हैं, वास्तव में यातायात को अलग नहीं कर रहे हैं। कई vlans से सभी यातायात अभी भी एक ही भौतिक तारों पर बहती है। उस ट्रैफ़िक तक पहुँच वाले होस्ट को हमेशा वायस मोड में कॉन्फ़िगर किया जा सकता है और वायर पर सभी ट्रैफ़िक को देखा जा सकता है।

स्पष्ट रूप से स्विच का उपयोग उस जोखिम को काफी कम कर देता है, क्योंकि स्विच नियंत्रित कर रहे हैं कि कौन से डेटा वास्तव में किन बंदरगाहों पर दिखाई देते हैं, हालांकि मूल जोखिम अभी भी है।