我已经浏览了这个网站了一段时间,但从来没有必要问一个问题,直到现在。 我有一个networking设置的问题,我希望社区可以揭示一些。 在我们的办公室空间努力检修networking设置。 我们是与其他几家独立公司共享办公空间的独立公司。 办公空间提供商有一个冗余的,胖的互联网pipe道,将与空间中的团体共享。 他们通过给每个小组设置他们自己的VLAN来设置它们,他们将pipe理我们每个人。 我们希望确保我们的数据和资源得到保护,但是我们仍然可以远程访问我们的networking,所以对于我们来说,安全的VLAN不起作用。 什么是这种设置和维护我们的安全的最佳select? 我们希望他们能把每个公司的非军事区的stream量都分配给一个私人networking,但这似乎不是一个select。 我读过这篇文章: VLAN如何工作? 在VLAN上,因为它在一个假设的问题似乎是一个类似的设置,并跟随阅读: 多lessVLAN是太less,太多? 这有助于确认我们对VLAN的关注。 我们仍然在寻找的是如果这个共享pipe道有一个好的设置,这使我们能够控制自己的公司安全。
提前致谢。
人们为什么不鼓励使用VLAN来实现安全的一个原因是,由于交换机的configuration不当,出现了一些允许VLAN跳跃的攻击。
存在的VLAN跳频攻击全部取决于几个因素:
交换机为您提供某种中继协议,允许您“注册”不同的VLAN。 这不应该发生在客户端口上。
该端口是带标记的端口,交换机不受双重标记的数据包的保护。 如果您有VLAN标记的portst上的用户,这只是一个问题。 即使如此,如果您允许在交换机之间的中继端口上使用未标记的数据包,则这只是一个问题。
如果攻击者可以访问相关的物理线路,那么“数据包在同一线路上传输”推理是有效的。 如果是这样的话,你就会遇到比VLAN更难解决的问题。
所以基本上可以使用VLAN作为安全措施,但要确保您永远不会与该networking的其他用户交谈VLAN标记,并且跟踪面向这些实体的端口上启用了哪些交换机function。
为确保您的networking安全,您可以使用Ixia的BreakingPoint等工具执行networking安全testing 。
您可以模拟您的stream量并validation您的基础架构,将安全攻击和恶意软件注入到该stream量中,并testing安全基础架构的弹性。
我不认为你可以在一个不安全的办公空间里有一个“好”的设置。 有人可以简单地拔下网线并插入并访问您的“东西”。 我只想说,你需要担心“最坏的人”,而不是偶然的东西。 答案是设置一个已经configuration好的端口,并将其插入一个你可以完全控制和保护的types的防火墙中。 然后在防火墙之上或之后,您可以设置您的networking和远程访问。
我认为这一切都归结于提供者pipe理VLAN的能力是否有能力(即他们知道他们在做什么)和可信的。 如果networking架构devise合理,并且VLAN已经正确设置并且安全,那么VLAN应该充分隔离共享办公环境中的networkingstream量。 如果使用VLAN,您仍然可以使用VPN进行远程networking访问。
不要担心VLAN,我认为你应该更关心加强本地networking的安全性。 以下内容对您来说可能是常识,但很多人无法涵盖基本知识:例如,确保在您的所有服务器和客户端上启用了软件防火墙,并将服务访问限制为仅针对需要它的源,保留防病毒软件最新的,并保持您的服务器/客户端打补丁和最新。 代理服务器可以帮助您validation尝试访问外部networking的用户,并且可以执行简单的网页过滤。 有开源的平台,可以帮助您检测未经授权的networking访问或分析networkingstream量的入侵或其他exception。
关键是,VLAN应该适合你。 只要确保你的提供者做得很好,并通过询问大量文档并提出许多问题来保证他们的责任。 然后尽可能使您的本地networking尽可能安全,安全。