Pytanie: Czy wykorzystanie VLAN jest bezpieczne? Jakie zagrożenia są związane z tą techniką i jakie podjąć kroki w celu zabezpieczenia sieci?

Odpowiedź: W przeciwieństwie do fizycznej separacji segmentów sieciowych, w przypadku VLAN mamy do czynienia z separacją logiczną. Z VLAN można powiązać dwa rodzaje zagrożeń. Pierwsze to ataki na wydajność lub stabilność przełącznika. Zwykle powodują przeciążenie przełącznika i utrudnioną pracę sieci należących do specyficznych VLAN. Jest to forma ataku DoS (Denial of Services). Drugi poziom zagrożeń związany jest z atakami przy użyciu dziur w oprogramowaniu przełącznika. Rozróżnia się dziury w architekturze przełącznika oraz błędy w oprogramowaniu. Istotne zagrożenie to przeniknięcie pakietu, który może zawierać cenne informacje

z jednego VLAN do drugiego. Inny przypadek zagrożenia można powiązać ze specjalnie spreparowanym pakietem wprowadzanym do VLAN. Dowolny atak potrafiący przełamać zabezpieczenia VLAN musi pochodzić bezpośrednio z maszyny przyłączonej fizycznie do sieci. Oznacza to tylko tyle, że wyłącznie lokalna maszyna może przypuścić atak na przełącznik. Ułatwia to wyszukanie agresora.

Jeżeli przełącznik jest skonfigurowany prawidłowo, szanse na powodzenie ataku są nikłe, ale nadal istnieją. Dobrą praktykę zabezpieczania VLAN stanowią następujące czynności:

• Gdy nie jest to konieczne, należy wyłączyć połączenia trunk oraz autonegocjację trunk.
• Konieczna jest izolacja interfejsu zarządzającego VLAN.
• Warto włączyć ochronę przez atakiem flood MAC na wszystkich portach.
• Należy rozdzielić na osobnych przełącznikach strefę DMZ z serwerami od firmowej sieci VLAN.
• Na bieżąco uaktualniać oprogramowanie przełączników.
• Stosować mocne hasła dostępu do interfejsu zarządzania przełącznikami.
• Wyłączyć niewykorzystywane usługi stanowiące zagrożenie, np. SNMP.

Bezpiecznym rozwiązaniem VLAN, które nie jest wykorzystywane przez producentów, jest standard 802.10.