VLAN бывают статические

VLAN бывают статические: разделённые по портам свитча; динамические: образующие по MAC-адресам, логической адресации или типам протоколов; с центральным портом: все узлы подключаются к одному интерфейсу маршрутизатора.

Коммутаторы (обычные и многоуровневые), как и маршрутизаторы, имеют свои требования к безопасности. Однако данные об угрозах для безопасности коммутаторов и о смягчении этих угроз распространены гораздо меньше, чем аналогичные данные для маршрутизаторов. Кроме того, в случае с коммутаторами Вы должны предпринимать следующие меры предосторожности:

Если порт не должен подключаться к транку, то параметры транковых соединений на нем должны не устанавливаться в положение «auto», а отключаться (off). В результате хост не сможет стать транковым портом и получать трафик, который обычно поступает на такой порт.

Убедитесь в том, что транковые порты используют уникальный номер VLAN (виртуальной локальной сети), который не используется ни в каком другом месте этого коммутатора. В результате пакеты, имеющие метку с тем же номером, будут передаваться в другую сеть VLAN только через устройство Уровня 3.

Объедините все неиспользуемые порты коммутатора в сеть VLAN, которая не имеет выхода на Уровень 3. Будет еще лучше, если вы вообще отключите все порты, которые реально не используются. В результате хакеры не смогут подключаться к таким портам и через них получать доступ к другим сетевым ресурсам.

Старайтесь не использовать технологию VLAN в качестве единственного способа защиты доступа между двумя подсетями. Постоянно присутствующая вероятность ошибок, а также тот факт, что сети VLAN и протоколы маркирования VLAN разрабатывались без учета требований безопасности, — все это не позволяет рекомендовать применение этих технологий в чувствительной среде. Если вы все-таки используете сети VLAN в защищенной среде, обратите особое внимание на конфигурации и рекомендации, перечисленные выше.

В существующей сети VLAN дополнительную защиту для некоторых сетевых приложений могут дать виртуальные частные локальные сети (private VLAN). Основной принцип их работы состоит в том, что они ограничивают число портов, которым разрешается связываться с другими портами в пределах одной и той же сети VLAN. Порты, которые относятся к определенному сообществу, могут сообщаться только с другими портами того же сообщества и портами общего доступа (promiscuous ports). Порты общего доступа могут связываться с любым портом. Это позволяет минимизировать ущерб от хакерского проникновения на один из хостов. Рассмотрим в качестве примера стандартный сетевой сегмент, состоящий из web-сервера, сервера FTP и сервера доменных имен (DNS). Если хакер проник на сервер DNS, для работы с двумя другими серверами ему уже не нужно преодолевать межсетевой экран. Но если у вас имеются виртуальные локальные частные сети, то в случае проникновения хакера на одну из систем она не сможет связываться с другими системами. Единственными целями для хакера остаются хосты, находящиеся по другую сторону межсетевого экрана.

You can leave a response, or trackback from your own site.

Leave a Reply