Dynamiczne sieci VLAN

Statyczne VLAN-y są wykorzystywane w większości przypadków i w tym przypadku VLAN jest na sztywno przypisany do portu przełącznika lub urządzenie samodzielnie generuje identyfikatory. Dynamiczne VLAN są przydzielane przykładowo do MAC-adresu urządzenia lub typu urządzenia przez przełącznik. Jeżeli urządzenie przyłącza się do dowolnego portu przełącznika, przełącznik konfiguruje ten port do wsparcia określonego VLAN, na podstawie wewnętrznej tablicy powiązań.

Obecnie można wyróżnić kilka metod przydziału identyfikatorów na podstawie stosowanych algorytmów. Najpopularniejszym rozwiązaniem jest VLAN bazujący na portach przełącznika (port-based VLAN). W tym przypadku przypisujemy określone grupy portów przełącznika do jednego VLAN, natomiast pozostałe porty do innych VLAN. Konfiguracja jest łatwa do wdrożenia i zarządzania, jednak każda zmiana fizycznych połączeń sprzętu do przełącznika może wymagać rekonfiguracji. Innym popularnym mechanizmem przydziału znaczników jest metoda bazująca na MAC-adresach urządzeń (MAC-based VLAN). Przełącznik w tym przypadku może być konfigurowany ręcznie lub dynamicznie do wykrywania określonych MAC-adresów urządzeń i automatycznego przydziału odpowiednich znaczników. Istnieją także mechanizmy o zaawansowanych możliwościach. Przykładem jest przydział znaczników na podstawie protokołów (protocol-based VLAN), który bazuje na informacjach z warstwy 3 i 4 modelu ISO/OSI sieci, a nawet wyższych warstw sieciowych. Istnieje także metoda oparta na polityce i konfiguracji użytkownika (policy-based VLAN), która pozwala na klasyfikację ruchu sieciowego w grupy, którym przykładowo przydziela się identyczny VID.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberobrona? Mamy w planach
• Snowflake Arctic - nowy model językowy LLM klasy korporacyjnej

Bezpieczeństwo rozwiązań wykorzystujących VLAN

W większości przypadków standard 802.1Q zapewnia poziom separacji sieci identyczny jak w przypadku fizycznie odizolowanej infrastruktury. Jeżeli rozwiązanie jest poprawnie skonfigurowane, nie ma możliwości wniknięcia do danego VLAN bez uczestnictwa w nim. Niektóre konfiguracje pozwalają jednak przeprowadzić atak umożliwiający wstrzyknąć nieautoryzowany ruch do VLAN-u z poziomu innego VLAN-u. Atak ten jest określany nazwą VLAN hopping. Atak jest łatwy do odparcia za pomocą poprawnej konfiguracji przełącznika.

Jednym ze sposobów na atak VLAN hopping jest symulowanie przez maszynę atakującego przełącznika, który zestawia łącze typu trunk do przełącznika atakowanego. Jeżeli zestawienie takiego połączenia powiedzie się, atakujący uzyskuje dostęp do wszystkich VLAN-ów na atakowanym przełączniku. Warunkiem koniecznym do przeprowadzenia tego typu ataku jest konfiguracja i brak nadzoru nad portem trunk przełącznika. Drugim rozwiązaniem ataku jest spreparowanie ramki zawierającej dwa VID. Atak ten jest możliwy do przeprowadzenia, jeżeli przełącznik udostępnia porty w natywnym VLAN.

Z punktu widzenia bezpieczeństwa w idealnej sytuacji port dostępowy przełącznika akceptuje wyłącznie ruch nieoznakowany (untagged), natomiast nie przyjmuje ruchu znakowanego (tagged). Dla portu typu trunk dopuszczamy do pracy dowolną liczbę VLAN, ale nie przepuszczamy nieoznakowanego ruchu. Czasami jednak potrzebna jest konfiguracja hybrydowa, co może burzyć bezpieczeństwo rozwiązań VLAN.

Dla szczególnych przypadków zapewnienia bezpieczeństwa użytkownikom zdefiniowano funkcjonalność prywatnego VLAN (PVLAN). Prywatny VLAN jest mechanizmem przypisanym do portów przełącznika, który ogranicza komunikację wskazanych portów wyłącznie do jednego – niezależnego od wybranych do prywatnego VLAN-u – portu przełącznika określanego nazwą uplink. Może to być przykładowo port, do którego przyłączony jest ruter, zapewniający dostęp do internetu. Przełącznik przekazuje ramki z prywatnego portu na port uplink, gdzie przekazywane są dalej na podstawie docelowego MAC-adresu. Nie ma jednak możliwości komunikowania się pomiędzy urządzeniami w ramach prywatnego VLAN poprzez warstwę łącza danych L2. Tego typu rozwiązanie może być z powodzeniem stosowane w przypadkach, gdy konieczne jest zapewnienie izolacji ruchu klientów, bez angażowania mechanizmów warstwy sieciowej L3. Przykładem może być hotel, w którym goście nie powinni widzieć pomiędzy sobą przesyłanych danych.