场景:我有一个服务器机架,都属于同一个私有 VLAN。 我将数据从服务器1传输到服务器2.是否有其他服务器可以嗅出发送的数据,还是只能从路由器/交换机上获取?
我问的原因是我正在试图决定是否可以通过专用networking传输未encryption的文件是安全的,如果该专用networking上还有其他服务器可能能够嗅探出虚拟服务器或租用的专用服务器。 SSHencryption的开销对于传输大量数据来说可能相当高。
是的,可以使用ARP欺骗攻击。 或者,如果交换机configuration为端口镜像。
像亚马逊这样的公司提供的服务避免了将每个客户的服务器放在它自己的类似VLAN的环境中。 为了获得外部的VLAN,需要一个路由器(在亚马逊的情况下由弹性IP提供)。 最终的结果是,在亚马逊或类似的设置,你不能做一个ARP欺骗攻击来查看其他服务器间的数据。
在数据中心提供交换机的典型设置中,您的所有服务器加上(也许)他们的路由器将在您的专用VLAN上。 如果是这样,你应该没问题。 所有数据中心的交换机都可以看到stream量,但其他客户却不能。 许多设置提供了一个私人局域网以及互联网连接。 确保您正在传输私人连接。
听起来你的私有VLAN上还有其他服务器。 在这种情况下,它并不那么私密。 你需要设置的东西,所以只有你的服务器在你的私人局域网。
即使有这样的改变,交换机的错误configuration或者数据中心部分的故意窥探也会显示你的stream量。 所以你可能仍然需要encryption,但是如果你不信任数据中心,你就会遇到更大的问题。
基本上不是。 可以通过使用
只需使用SSL从每边预定义的私钥,这将是确定的
如果您的第2层vlan中还有其他服务器,则可以通过arp欺骗来拦截stream量。 但是,私有vlan通常意味着只有您的设备在上面。 在这种情况下,没有办法(禁止提供商的configuration错误或恶意)另一台服务器可以获得您的stream量。
现在,至于是否安全传输未encryption的数据:这取决于。 如果这个vlan是由第三方提供给你的,你不知道他们在用你发送的帧做什么。 他们可以有一个端口镜像设置,并把你发送的每一帧镜像到别的地方。 他们可能只是使用sFlow或netFlow,并有一定数量的帧被发送到另一个盒子来保持统计。 既然你不是提供networking的人,你肯定不知道。 所以,如果你的数据是敏感的,你想要安全,encryption。
顺便说一下,我发现现代服务器在使用SSH来饱和GigE链路方面没有问题。