我浏览这个网站已经有一段时间了,但直到现在才有需要问问题,所以就在这里。我有一个网络设置问题,希望社区能对此有所启发。我们的办公空间正在努力彻底改革网络设置。我们是一家独立公司,与其他几家独立公司共享办公空间。办公空间提供商拥有一个冗余的、宽阔的互联网管道,将与空间中的组共享。他们通过为每个组提供自己的 VLAN 来设置它,他们将为我们每个人管理这些 VLAN。我们希望确保我们的数据和资源受到保护,但我们仍然可以远程访问我们的网络,因此 VLAN 作为安全措施对我们来说不起作用。对于这种类型的设置和维护我们的安全,最好的选择是什么?我们希望他们将每个公司的 DMZ 中的流量分配到专用网络,但这似乎不是一个选择。我读过这篇文章:VLAN 如何工作?在 VLAN 上,因为它似乎是一个假设问题中的类似设置,然后继续阅读以下内容:VLAN 数量多少才算太少,多少才算太多?这些都很有帮助,也证实了我们对 VLAN 的担忧。我们仍在寻找的是,是否有一个好的共享管道设置,让我们能够控制我们自己的公司安全。
提前致谢。
答案1
人们不鼓励出于安全考虑而使用 VLAN 的一个原因是,由于交换机配置错误,存在一些允许 VLAN 跳跃的攻击。
存在的 VLAN 跳跃攻击都取决于几个因素:
交换机会向您传达某种中继协议,允许您“注册”不同的 VLAN。这种情况绝不应该发生在客户端口上。
该端口是带标记的端口,交换机无法防范双重标记的数据包。只有当您的用户在 VLAN 标记端口上时,这才会成为问题。即便如此,只有当您允许交换机之间的中继端口上有未标记的数据包时,这才会成为问题,而您不应该这样做。
如果攻击者可以访问相关物理线路,那么“数据包在同一线路上传输”的推理是有效的。如果是这样,那么您面临的问题比 VLAN 所能解决的问题要大得多。
因此,基本上您可以使用 VLAN 作为安全措施,但请确保您永远不会与该网络的其他用户谈论 VLAN 标签,并跟踪面向此类实体的端口上启用了哪些交换机功能。
为了确保您的网络安全,您可以执行网络安全测试使用 Ixia 的 BreakingPoint 等工具。
您可以模拟您的流量并验证您的基础设施,向该流量中注入安全攻击和恶意软件并测试您的安全基础设施的弹性。
答案2
我认为在不安全的办公空间中不存在“好的”设置。有人只需拔下网线,再插入,就能访问你的“东西”。我只想说,你需要担心“最坏的人”,而不是意外的东西。答案是设置一个已配置的端口,并将其插入某种你可以完全控制并保护它的防火墙。然后在防火墙上或防火墙后面,你可以设置你的网络和远程访问。
答案3
我认为,这一切都取决于管理 VLAN 的提供商是否有能力(即他们知道自己在做什么)和值得信赖。如果网络架构设计得当,并且 VLAN 已正确设置和保护,则 VLAN 应该能够充分分离共享办公环境中的网络流量。如果您使用 VLAN,您仍然可以使用 VPN 进行远程网络访问。
我认为,与其担心 VLAN,您更应该关注加强本地网络的安全性。以下内容对您来说似乎是常识,但许多人未能涵盖基本知识:例如,确保在所有服务器和客户端上启用软件防火墙,并将服务访问限制为仅需要它的源,保持防病毒软件为最新版本,并使服务器/客户端保持修补和更新。代理服务器可以帮助您验证试图访问外部网络的用户,并可以执行简单的 Web 过滤。有一些开源平台可以帮助您检测未经授权的网络访问或分析网络流量以查找入侵或其他异常。
重点是,VLAN 应该可以很好地为您服务。只需确保您的提供商做得好,并通过索要大量文档和提出大量问题来让他们承担责任。然后尽自己的一份力量,让您的本地网络尽可能安全可靠。