사람들이 왜 보안을 위해 VLAN을 사용하지 말라고 알려주 는가 에 대한 정보 외에도 ? 고려해야 할 좀 더 구체적이고 일반적인 비트는 다음과 같습니다.
보안에 대한 일반적인 생각
가장 안전한 시스템은 각 서브넷의 호스트가 연결된 장치에서 사용할 포트 수를 정확히 가진 스위치에 연결된 시스템입니다. 이러한 구성에서는 임의의 시스템을 보안 네트워크에 꽂을 수 없습니다. 그렇게하려면 무언가 플러그를 뽑아야합니다 (이론적으로는 모니터링 시스템에서이를 알 수 있습니다).
VLAN은 보안 측면에서 유사한 것을 제공하여 스위치를 논리적으로 서로 분리 된 더 작은 가상 스위치 (가상 LAN : VLAN)로 분리하며 적절한 구성을 사용하면 연결된 것처럼 모든 시스템에 물리적으로있는 것처럼 보일 수 있습니다 외딴.
비교적 안전한 VLAN 설정에 대한 일반적인 생각
VLAN 지원 스위치를 사용하려면 다음과 같은 기본 구성으로 모든 트래픽을 VLAN에 할당해야합니다.
사용하지 않는 모든 포트를 "사용하지 않은"VLAN에 할당하십시오.
특정 컴퓨터에 연결하는 모든 포트는 컴퓨터가 있어야하는 VLAN에 기본적으로 할당되어야합니다.이 포트는 하나의 VLAN 에만 있어야 합니다 (지금은 무시할 특정 예외는 제외).
이 모든 포트에서 수신 (스위치에) 패킷을 네이티브 VLAN 태그하고, 나가는 (스위치)에서 패킷 것이다 (A)에만 할당 된 VLAN에서 발생한, 그리고 (b) 태그 화하고 그냥 일반 이더넷과 같이 표시 패킷.
"VLAN 트렁크"(VLAN 트렁크 이상)의 유일한 포트는 스위치간에 트래픽을 전달하거나 VLAN 트래픽을 자체적으로 분리하는 방화벽에 연결하는 트렁크 포트입니다.
트렁크 포트에서는 스위치로 들어오는 VLAN 태그가 존중 되며 스위치를 떠나는 패킷에서 VLAN 태그가 제거 되지 않습니다 .
위에서 설명한 구성은 "VLAN 호핑"트래픽을 쉽게 주입 할 수있는 유일한 장소는 트렁크 포트에 있고 (스위치의 VLAN 구현에서 소프트웨어 문제는 제외 함) "가장 안전한"시나리오에서와 마찬가지로 무언가 플러그를 뽑는 것을 의미합니다 중요하고 모니터링 경보가 발생합니다. 마찬가지로 호스트의 플러그를 뽑아 VLAN에 연결하면 모니터링 시스템에 호스트의 신비한 실종을 알리고 경고합니다.
이 두 가지 경우 모두 서버에 대한 물리적 액세스와 관련된 공격에 대해 이야기하고 있습니다. VLAN 격리를 완전히 해제하는 것은 불가능 하지는 않지만 위에서 설명한 환경 설정 에서는 최소한 매우 어렵습니다.
VMWare 및 VLAN 보안에 대한 특정 생각
VMWare 가상 스위치는 VLAN에 할당 될 수 있습니다. 이러한 가상 스위치가 VMWare 호스트의 물리적 인터페이스에 연결되면 생성 된 모든 트래픽에 적절한 VLAN 태그가 있습니다.
VMWare 시스템의 물리적 인터페이스는 VLAN 트렁크 포트에 연결해야합니다 (VLAN을 액세스해야 함).
이와 같은 경우 가상 시스템 NIC에서 관리 NIC를 분리하기위한 VMWare 모범 사례에주의를 기울여야합니다. 관리 NIC는 적절한 VLAN의 기본 포트에 연결되어야하며 가상 시스템 NIC는 가상 머신에 필요한 VLAN이있는 트렁크 (VMWare 관리 VLAN을 전달하지 않는 것이 이상적임)
실제로, 언급 한 항목 및 다른 사람들이 제시 할 내용과 함께 분리를 적용하면 합리적으로 안전한 환경을 얻을 수 있습니다.