VLAN - Segmentation and Security

VLAN 網路分段與 SDN 網路分段

VLAN 是最早的隔離網段的方法之一，也是最簡單的方法之一。

為了更了解 VLAN 的工作原理，我們將其與更現代的網路分段方法——軟體定義網路 (SDN) 進行比較。

VLAN 分割

以下是 VLAN 分段的運作方式。

連線至 VLAN

當主機想要連接到其 VLAN 子網路時，裝置的請求會透過網際網路傳輸到路由器，然後路由器對請求進行排序並將其傳送到相關交換器。

連接埠 & 交換器

此交換器將資料傳送到對應的網段或從對應的網段傳送資料。

控制哪些使用者可以存取哪個 VLAN 是安全網路分段的關鍵。 在許多組織中，存取是透過將特定 VLAN 成員資格指派給連接埠或 MAC 位址來管理。 然後，這些交換器只允許向正確的連接埠發送和接收數據，從而使網路管理員可以在整個組織內強制實施 VLAN 存取。

VLAN 標記

不過，連接埠並不是唯一的方法，而且單一 VLAN 連線也可以通過 VLAN 標記來實現。

這會為傳送的乙太網路框架增加一個小標頭；傳輸這些封包時，交換器會仔細檢查標籤，防止任何資料洩漏到其他 VLAN 子網路。 更好的是，VLAN 標記是第 2 層 - 與IP 位址分開 - 裝置可以連接到相同的 VLAN 結構，即使它們位於不同的 IP 位址範圍內。

交換器雖然可擴充且非常靈活，但仍然是 VLAN 實作中的一部分。 但這種物理形式的網路分段策略不再是唯一的選擇。

軟體定義網路 (SDN) 分段

SDN 完全抽取控制平面離物理硬體。 這意味著 SDN 可以使用邏輯分段來實現類似的效果，而不是依賴實體分段。

區別

然而，就網路分段而言，重要的區別在於VLAN 如何將靜態裝置組分割為實體子網，而SDN 是一種更廣泛的方法，可以從中央控制管理網路組、裝置和工作負載的網路存取控制板。

VLAN 的缺點

然而，它的可訪問性帶來了許多安全性和性能問題。

不是本質上零信任

由於每個裝置和使用者都有一個群組 VLAN，攻擊者闖入並存取每個公司機密的威脅就會減少。 然而，風險並沒有永遠消失——VLAN 內的每個裝置仍然被認為是值得信賴的。

這意味著，對於攻擊者來說，某些角色本質上變得更有價值——開發營運因其受到的惡意關注而值得一提。

與更嚴格的微分段方法相比，VLAN 相對基本的設計意味著它無法在沒有進一步工具的情況下對不斷變化的分段網路條件和裝置行為做出反應。

非通用分段

雖然 VLAN 絕對提供了一種對網路進行分段的方法，但當您考慮到它們對單一實體網路進行分段時，它們對大型組織的適用性就會開始下降。

因此，如果您有兩個辦公室，並且都有自己的 IT 團隊和獨立的網絡，則 VLAN 分段無法處理兩個 IT 團隊需要共同存取的子網路。 畢竟，VLAN 是為了分離網路流量而建構的 - 如果您想要允許兩個 VLAN 之間的訪問，則需要 VLAN 間路由，這本質上風險較高，並且需要定期檢查 VLAN 間存取控制清單。

可以引入脆弱性

VLAN 基礎架構如此穩固，意味著攻擊者擁有數十年的經驗，利用攻擊對其進行攻擊。 這樣可以開啟任何輕微的管理不當導致 VLAN 跳躍的風險。

來自 VLAN 1 的欺騙流量允許惡意存取中繼端口，從而存取其餘網段。