Jak stosować VLAN
- Kamil Folga,
- 09.09.2013
Dynamiczne sieci VLAN
Statyczne VLAN-y są wykorzystywane w większości przypadków i w tym przypadku VLAN jest na sztywno przypisany do portu przełącznika lub urządzenie samodzielnie generuje identyfikatory. Dynamiczne VLAN są przydzielane przykładowo do MAC-adresu urządzenia lub typu urządzenia przez przełącznik. Jeżeli urządzenie przyłącza się do dowolnego portu przełącznika, przełącznik konfiguruje ten port do wsparcia określonego VLAN, na podstawie wewnętrznej tablicy powiązań.
Zobacz również:
- Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
- Cyberobrona? Mamy w planach
- Snowflake Arctic - nowy model językowy LLM klasy korporacyjnej
Bezpieczeństwo rozwiązań wykorzystujących VLAN
W większości przypadków standard 802.1Q zapewnia poziom separacji sieci identyczny jak w przypadku fizycznie odizolowanej infrastruktury. Jeżeli rozwiązanie jest poprawnie skonfigurowane, nie ma możliwości wniknięcia do danego VLAN bez uczestnictwa w nim. Niektóre konfiguracje pozwalają jednak przeprowadzić atak umożliwiający wstrzyknąć nieautoryzowany ruch do VLAN-u z poziomu innego VLAN-u. Atak ten jest określany nazwą VLAN hopping. Atak jest łatwy do odparcia za pomocą poprawnej konfiguracji przełącznika.
Jednym ze sposobów na atak VLAN hopping jest symulowanie przez maszynę atakującego przełącznika, który zestawia łącze typu trunk do przełącznika atakowanego. Jeżeli zestawienie takiego połączenia powiedzie się, atakujący uzyskuje dostęp do wszystkich VLAN-ów na atakowanym przełączniku. Warunkiem koniecznym do przeprowadzenia tego typu ataku jest konfiguracja i brak nadzoru nad portem trunk przełącznika. Drugim rozwiązaniem ataku jest spreparowanie ramki zawierającej dwa VID. Atak ten jest możliwy do przeprowadzenia, jeżeli przełącznik udostępnia porty w natywnym VLAN.
Z punktu widzenia bezpieczeństwa w idealnej sytuacji port dostępowy przełącznika akceptuje wyłącznie ruch nieoznakowany (untagged), natomiast nie przyjmuje ruchu znakowanego (tagged). Dla portu typu trunk dopuszczamy do pracy dowolną liczbę VLAN, ale nie przepuszczamy nieoznakowanego ruchu. Czasami jednak potrzebna jest konfiguracja hybrydowa, co może burzyć bezpieczeństwo rozwiązań VLAN.