लोग मुझे सुरक्षा के लिए वीएलएएन का उपयोग न करने के लिए क्यों कहते हैं?


25

शीर्षक के अनुसार, लोग मुझे सुरक्षा उद्देश्यों के लिए VLAN का उपयोग नहीं करने के लिए क्यों कहते हैं?

मेरे पास एक नेटवर्क है, जहां वीएलएएनएस का एक जोड़ा है। 2 VLANs के बीच एक फ़ायरवॉल है। मैं HP Procurve स्विच का उपयोग कर रहा हूं और यह सुनिश्चित कर लिया है कि स्विच-टू-स्विच लिंक केवल टैग किए गए फ़्रेम को स्वीकार करते हैं और होस्ट पोर्ट टैग किए गए फ़्रेम को स्वीकार नहीं करते हैं (वे "VLAN अवेयर" नहीं हैं)। मैंने यह भी सुनिश्चित किया है कि ट्रंक लिंक के देशी वीएलएएन (पीवीआईडी) 2 मेजबान वीएलएएन के समान नहीं हैं। मैंने "Ingress Filtering" को भी सक्षम किया है। इसके अलावा, मैंने यह सुनिश्चित किया है कि होस्ट पोर्ट केवल एक ही वीएलएएन के सदस्य हैं, जो संबंधित पोर्ट के पीवीआईडी ​​के समान है। एकमात्र पोर्ट जो कई VLAN के सदस्य हैं, ट्रंक पोर्ट हैं।

क्या कोई मुझे समझा सकता है कि ऊपर सुरक्षित क्यों नहीं है? मुझे विश्वास है कि मैंने दोहरे टैगिंग मुद्दे को संबोधित किया है ..

धन्यवाद

अपडेट: दोनों स्विच Hp Procurve 1800-24G हैं


1
यदि आप सुरक्षा पेशेवरों से इनपुट चाहते हैं, तो आप Security.stackexchange.com पर भी पूछ सकते हैं ...
AviD

यह निश्चित रूप से सुरक्षा पर होना चाहिए।
मार्क ई। हासे

@mehaase, प्रश्नों को निश्चित अवधि के बाद माइग्रेट नहीं किया जा सकता है। यह प्रश्न माइग्रेट होने के लिए बहुत पुराना है।
ज़ोराडेक

जवाबों:


18

लोग मुझे सुरक्षा उद्देश्यों के लिए वीएलएएन का उपयोग नहीं करने के लिए क्यों कहते हैं?

वास्तविक जोखिम हैं, यदि आप संभावित मुद्दों को पूरी तरह से नहीं समझते हैं, और अपने नेटवर्क को जोखिम को कम करने के लिए अपने नेटवर्क को ठीक से सेटअप करते हैं जो आपके पर्यावरण के लिए स्वीकार्य है। कई स्थानों में वीएलएएन दो वीएलएएन के बीच पर्याप्त स्तर का अलगाव प्रदान करता है।

क्या कोई मुझे समझा सकता है कि ऊपर सुरक्षित क्यों नहीं है?

ऐसा लगता है कि आपने बहुत सुरक्षित सेटअप प्राप्त करने के लिए आवश्यक सभी बुनियादी कदम उठाए हैं। लेकिन मैं एचपी गियर से पूरी तरह परिचित नहीं हूं। आपने अपने पर्यावरण के लिए काफी कुछ किया होगा।

एक अच्छा लेख भी सिस्को वीएलएएन सुरक्षा श्वेत पत्र होगा

इसमें वीएलएएन-आधारित नेटवर्क के खिलाफ संभावित हमलों की एक सूची शामिल है। इनमें से कुछ स्विच पर संभव नहीं हैं, या बुनियादी ढांचे / नेटवर्क के उचित डिजाइन से इसे कम किया जा सकता है। उन्हें समझने के लिए समय निकालें और तय करें कि जोखिम आपके पर्यावरण में इसे टालने के प्रयास के लायक है या नहीं।

लेख से उद्धृत।

  • मैक बाढ़ हमला
  • 802.1Q और ISL टैगिंग अटैक
  • डबल-एनकैप्सुलेटेड 802.1Q / नेस्टेड वीएलएएन अटैक
  • एआरपी हमलों
  • निजी वीएलएएन हमला
  • मल्टिकास्ट ब्रूट फोर्स अटैक
  • स्पैनिंग-ट्री अटैक

यह भी देखें:


1
हां, मैंने यह पोस्ट करने से पहले वह लेख पढ़ा। यह वास्तव में एक बहुत अच्छा लेख है। जब मैं शामिल सभी जोखिमों को समझता हूं, तो सफेद कागज केवल सिस्को गियर पर लागू होता है - कम से कम उन हिस्सों के लिए जो बाढ़ और एआरपी हमलों जैसे छोटी गाड़ी के फर्मवेयर से संबंधित होंगे।
jtnire

10

यह सुरक्षित के कुछ मूल्यों के लिए सुरक्षित है।

फर्मवेयर में स्विच, कॉन्फ़िगरेशन कॉन्फ़िगरेशन रीसेट करें, मानवीय त्रुटि इसे असुरक्षित बना सकती है। जब तक केवल बहुत कम लोगों के पास स्विच के कॉन्फ़िगरेशन की पहुंच होती है और खुद को स्विच करता है, तब तक सामान्य कारोबारी माहौल में यह ठीक है।

मैं वास्तव में संवेदनशील डेटा के लिए शारीरिक अलगाव के लिए जाऊंगा।


1
उन सभी मुद्दों को सामान्य परत -3 फ़ायरवॉल पर लागू नहीं होता है?
jtnire

हां, और वीएलएएन को माना जाना चाहिए जैसे कि वे एक सामान्य राउटर से जुड़े थे। वास्तव में संवेदनशील डेटा वाले नेटवर्क को किसी और चीज़ से नहीं जोड़ा जाना चाहिए। यदि दोनों के पास इंटरनेट है तो आप ठीक हैं।
ह्यूबर्ट करियो

2
+1 आपने पहले वाक्य के साथ नाखून को सिर पर मारा है।
जॉन गार्डनियर्स

क्या आप कृपया अपना पहला वाक्य बता सकते हैं? चूंकि मैं सुरक्षा उद्देश्यों के लिए वीएलएएन का उपयोग करने की कोशिश कर रहा हूं, इसलिए मैं सिर्फ यह नहीं मान सकता कि वे असुरक्षित हैं और उन्हें सुरक्षित सबनेट के लिए उपयोग नहीं करते हैं :)
jtnire

1
यह बिल्कुल भी सवाल का जवाब नहीं देता है ... यह सिर्फ सामान्य सुरक्षा स्थिति है।
मार्क ई। हासे

4

मुझे यह याद आ रहा है कि, अतीत में, वीएलएएन होपिंग करना आसान था, इसलिए हो सकता है कि "लोग" ऐसा कह रहे हों। लेकिन, आप "लोगों" से कारण क्यों नहीं पूछते? हम केवल अनुमान लगा सकते हैं कि उन्होंने आपको ऐसा क्यों कहा। मुझे पता है कि HIPAA और PCI ऑडिटर सुरक्षा के लिए VLAN के साथ ठीक हैं।


वास्तव में? पीसीआई ऑडिटर इसके साथ ठीक हैं? "लोगों" द्वारा, मेरा मतलब है कि ऑनलाइन पढ़ना लगभग :) :)
jtnire

6
PCI ऑडिटर निश्चित रूप से इसके साथ ठीक हैं, जो कि कुछ बैल को देखते हुए आश्चर्यचकित है कि वे सुनिश्चित कर सकते हैं कि सिस्टम सुरक्षित है! VLANs केवल लेयर 2 पर ब्रॉडकास्ट डोमेन को अलग करने का एक उपकरण है। लेयर 3 और इसके बाद के संस्करण अधिकांश गंभीर भेद्यताएं हैं। जब तक कोई आपके पास वीएलएएन के साथ फ़िडलिंग करने के लिए आपके पास पर्याप्त प्रणाली है, तब तक आपको बहुत अधिक गंभीर समस्या हो गई है!
Niall Donegan

1
सौभाग्य से मुझे पीसीआई डीएसएस के संबंध में वायरलेस के साथ सौदा नहीं करना पड़ा है ताकि ऊपर न आए। मैं आम तौर पर इसकी मेजबानी करने वाले वातावरण के संबंध में करता हूं जहां यह अच्छी तरह से बंद टैक्सी और अच्छे पुराने जमाने वाले केबल हैं।
निल डोनेगन

1
हां, मैं अपने प्रबंधित ग्राहकों के लिए अपनी कैब में वीएलएएन को रोल आउट करने की योजना बना रहा हूं। स्विच को रैक में बंद कर दिया जाएगा :) मुझे लगता है कि स्विच साझा करने के लिए वीएलएएन का उपयोग कोलो वातावरण में बहुत अधिक किया जाता है, क्या वे नहीं हैं?
jtnire

1
@jnire हां, PCI DSS को WLAN के लिए भौतिक पृथक्करण की आवश्यकता होती है। वायरलाइन नेटवर्क अलग हैं।
sysadmin1138

2

मुझे लगता है कि मुख्य मुद्दा यह है कि vlans सुरक्षित नहीं हैं क्योंकि आप सिर्फ प्रसारण डोमेन को अलग कर रहे हैं, वास्तव में यातायात को अलग नहीं कर रहे हैं। कई vlans से सभी यातायात अभी भी एक ही भौतिक तारों पर बहती है। उस ट्रैफ़िक तक पहुँच वाले होस्ट को हमेशा वायस मोड में कॉन्फ़िगर किया जा सकता है और वायर पर सभी ट्रैफ़िक को देखा जा सकता है।

स्पष्ट रूप से स्विच का उपयोग उस जोखिम को काफी कम कर देता है, क्योंकि स्विच नियंत्रित कर रहे हैं कि कौन से डेटा वास्तव में किन बंदरगाहों पर दिखाई देते हैं, हालांकि मूल जोखिम अभी भी है।


3
मुझे खेद है कि मुझे यह समझ नहीं आया। चूंकि स्विच अपने वीएलएएन सदस्यता के आधार पर बंदरगाहों पर बहने वाले ट्रैफ़िक को नियंत्रित करते हैं, इसलिए मेजबान को प्रोमिसस मोड में डालने से कुछ नहीं होगा। यकीन है, अगर किसी हमलावर को ट्रंक लाइन तक पहुंच मिली, तो प्रोमिसस मोड काम करेगा, हालांकि यह भी कहा जा सकता है कि एक हमलावर को किसी अन्य भौतिक फ़ायरवॉल सेगमेंट के लिए केबल तक पहुंच प्राप्त हो। कृपया मुझे सही करें अगर मैं गलत हूँ ..
jtnire

ठीक है, अगर किसी हमलावर को नेटवर्क पर आपके स्विच तक पहुंच मिलती है, तो वे मिरर पोर्ट जैसी चीजें कर सकते हैं और अन्य vlans से पैकेट इकट्ठा कर सकते हैं, है ना? मुझे लगता है कि मुद्दा इस तथ्य पर वापस आ गया है कि vlans एक प्रोग्राम करने योग्य विशेषता है, जबकि अलग केबल और सुरक्षा की एक भौतिक परत है।
फिल होलेनबैक

1
लेकिन मुझे अभी भी समझ में नहीं आया कि यह एक नियमित लेयर -3 फ़ायरवॉल से कैसे अलग है - हालांकि वे प्रोग्राम के लिए सॉफ्टवेयर का उपयोग करते हैं। बेशक, मैंने इस मुद्दे को प्रबंधन वीएलएएन पर अविश्वासित मेजबानों को न रखकर इसे कम करने की कोशिश की है, इसलिए वेब गुई पहुंच को स्विच करना संभव नहीं है।
jtnire
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.