사람들이 보안을 위해 VLAN을 사용하지 말라고하는 이유는 무엇입니까?


25

제목에 따라 사람들이 보안 목적으로 VLAN을 사용하지 말라고하는 이유는 무엇입니까?

몇 개의 VLAN이있는 네트워크가 있습니다. 2 개의 VLAN 사이에 방화벽이 있습니다. HP Procurve 스위치를 사용 중이며 스위치 간 링크가 태그가 지정된 프레임 만 허용하고 호스트 포트가 태그가있는 프레임을 허용하지 않는지 확인했습니다 ( "VLAN 인식"이 아님). 또한 트렁크 링크의 기본 VLAN (PVID)이 2 개의 호스트 VLAN 중 하나와 동일하지 않은지 확인했습니다. "침입 필터링"도 활성화했습니다. 또한 호스트 포트가 단일 VLAN의 구성원 일 뿐이며 각 포트의 PVID와 동일합니다. 여러 VLAN의 구성원 인 유일한 포트는 트렁크 포트입니다.

왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까? 이중 태그 문제를 해결했다고 생각합니다 ..

감사

업데이트 : 두 스위치 모두 HP Procurve 1800-24G


1
보안 전문가의 의견을 원한다면 security.stackexchange.com에 문의 해보십시오 .
AviD

이것은 분명히 security.se에 있어야합니다.
Mark E. Haase

@mehaase, 일정 기간이 지나면 질문을 마이그레이션 할 수 없습니다. 질문이 너무 오래되어 이전 할 수 없습니다.
Zoredache

답변:


18

사람들이 보안 목적으로 VLAN을 사용하지 말라고하는 이유는 무엇입니까?

잠재적 인 문제를 완전히 이해하지 못하고 환경에 적합한 지점으로 위험을 완화하도록 네트워크를 올바르게 설정하면 실제 위험이 있습니다. 많은 위치에서 VLAN은 두 VLAN간에 적절한 수준의 분리를 제공합니다.

왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까?

꽤 안전한 설정을 위해 필요한 모든 기본 단계를 수행 한 것 같습니다. 그러나 나는 HP 장비에 완전히 익숙하지 않습니다. 환경에 충분한 작업을 수행했을 수 있습니다.

시스코 VLAN 보안 백서 도 좋은 기사 입니다.

VLAN 기반 네트워크에 대한 가능한 공격 목록이 포함되어 있습니다. 이들 중 일부는 일부 스위치에서는 불가능하거나 인프라 / 네트워크의 적절한 설계로 완화 할 수 있습니다. 시간을내어 이해하고 위험이 환경에서 피하기 위해 노력할 가치가 있는지 결정하십시오.

기사에서 인용했습니다.

  • MAC 홍수 공격
  • 802.1Q 및 ISL 태깅 공격
  • 이중 캡슐화 된 802.1Q / Nested VLAN 공격
  • ARP 공격
  • 개인 VLAN 공격
  • 멀티 캐스트 무차별 대입 공격
  • 스패닝 트리 공격

참조 :


1
예, 게시하기 전에 해당 기사를 읽었습니다. 정말 좋은 기사입니다. 관련된 모든 위험을 이해하고 있지만 백서는 최소한 범람 및 ARP 공격과 같은 버그가있는 펌웨어와 관련된 부품에 대해서는 Cisco 장비에만 적용됩니다.
jtnire

10

특정 값의 보안에 안전합니다.

펌웨어 버그, 스위치 구성 재설정, 사람의 실수로 인해 안전하지 않을 수 있습니다. 스위치 및 스위치 구성에 액세스 할 수있는 사람이 거의없는 한 일반 비즈니스 환경에서는 문제가 없습니다.

그래도 정말 민감한 데이터를 물리적으로 분리하려고합니다.


1
그래도 모든 문제가 일반 레이어 3 방화벽에 적용되지 않습니까?
jtnire

예. VLAN은 마치 공통 라우터에 연결된 것처럼 간주해야합니다. 정말로 민감한 데이터를 가진 네트워크는 다른 것에 연결되어서는 안됩니다. 둘 다 인터넷에 액세스 할 수 있으면 괜찮습니다.
Hubert Kario

2
+1 첫 번째 문장으로 머리에 못을 박았습니다.
John Gardeniers

첫 문장을 설명해 주시겠습니까? 나는 보안을 위해 사용 VLAN을 시도하고 있기 때문에, 나는 단지 그들이 안전하다고 가정하지 않으며 : 보안 서브넷을 위해 사용할 수 없습니다
jtnire

1
이것은 전혀 질문에 대답하지 않습니다 ... 그것은 일반적인 보안 소원입니다.
Mark E. Haase

4

과거에는 VLAN 호핑을 수행하는 것이 더 쉬웠으므로 "사람"이이 말을하는 이유 일 수 있습니다. 그런데 왜 "사람들"에게 그 이유를 물어 보지 않겠습니까? 우리는 왜 그들이 당신에게 말했는지 추측 할 수 있습니다. HIPAA 및 PCI 감사자는 VLAN을 통해 보안이 양호하다는 것을 알고 있습니다.


정말? PCi 감사원은 괜찮습니까? "사람들"에 의해, 나는 단지 온라인에서 읽는 것을 의미합니다 :)
jtnire

6
PCI 감사 자들은 이것에 대해 가장 잘 알고 있습니다. 이는 시스템의 보안을 보장 할 때 얻을 수있는 몇 가지 황소를 고려하면 놀라운 일입니다! VLAN은 레이어 2에서 브로드 캐스트 도메인을 분리하는 도구 일뿐입니다. 레이어 3 이상은 가장 심각한 취약점입니다. 누군가가 당신의 시스템에 VLAN에 접근하기에 충분히 가까워 질 때, 훨씬 더 심각한 문제가 있습니다!
Niall Donegan

1
다행스럽게도 PCI DSS와 관련하여 무선을 다루지 않아도되었으므로 그렇게되지 않았습니다. 나는 일반적으로 택시가 잠겨 있고 구식 케이블이 좋은 호스팅 환경과 관련하여 처리합니다.
Niall Donegan

1
예, 관리 고객을 위해 택시에 VLAN을 배포 할 계획입니다. 스위치는 랙에 고정됩니다 :) VLAN이 콜로 환경에서 스위치를 공유하기 위해 많이 사용되는 것 같습니까?
jtnire

1
@jnire 예, PCI DSS는 WLAN을 물리적으로 분리해야합니다. 유선 네트워크가 다릅니다.
sysadmin1138

2

핵심 문제는 실제로 트래픽을 분리하지 않고 브로드 캐스트 도메인을 분리하기 때문에 VLAN이 안전하지 않다는 것입니다. 여러 VLAN의 모든 트래픽은 여전히 ​​동일한 물리적 와이어를 통해 흐릅니다. 해당 트래픽에 액세스 할 수있는 호스트는 항상 무차별 모드로 구성하고 모든 트래픽을 유선으로 볼 수 있습니다.

스위치를 사용하면 어떤 데이터가 실제로 어떤 포트에 나타나는지 제어하기 때문에 스위치를 사용하면 위험이 상당히 줄어 듭니다. 그러나 기본 위험은 여전히 ​​존재합니다.


3
이것을 이해하지 못해 죄송합니다. 스위치는 VLAN 멤버쉽에 따라 포트로 흐르는 트래픽을 제어하므로 호스트를 무차별 모드로 전환해도 아무런 작업이 수행되지 않습니다. 물론 공격자가 트렁크 회선에 액세스 할 수있는 경우 무차별 모드가 작동하지만 다른 물리적 방화벽 세그먼트의 케이블에 액세스 한 경우에도 마찬가지입니다. 내가 틀렸다면 저를 바로 잡으십시오 ..
jtnire

공격자가 네트워크를 통해 스위치에 액세스 할 수 있다면 미러 포트와 같은 작업을 수행하고 다른 VLAN에서 패킷을 수집 할 수 있습니다. 문제는 VLAN이 프로그래밍 가능한 기능이며 케이블과 물리적 보호 계층이 분리되어 있다는 사실로 되돌아갑니다.
Phil Hollenback

1
그러나 나는 이것이 일반 Layer-3 방화벽과 어떻게 다른지 여전히 이해하지 못합니다. 프로그래밍을 위해 소프트웨어를 사용합니다. 물론, 관리 VLAN에 신뢰할 수없는 호스트를 배치하지 않음으로써이 문제를 완화 시키려고했기 때문에 스위치 웹 GUI 액세스가 불가능합니다.
jtnire
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.