VLANホッピングの危険にさらされない方法でVLANを設定するにはどうすればよいですか？

セキュリティのためにVLANを使用しないように言われるのはなぜですか？ に加えて、考慮すべきいくつかのより具体的で一般的なビットがあります。

セキュリティに関する一般的な考え
最も安全なシステムは、各サブネットのホストが、接続されたデバイスが使用するポート数とまったく同じ数のスイッチに接続されているシステムです。このような構成では、ランダムなマシンを安全なネットワークに接続することはできません。これを行うには、何かを取り外す必要があるためです（理論的には、監視システムがそれに気付くでしょう）。

VLANは、セキュリティの点で似たようなものを提供し、スイッチを論理的に相互に分離された小さな仮想スイッチ（仮想LAN：VLAN）に分割します。適切に構成すると、接続されているすべてのシステムから物理的に接続されているように見えます。分離されました。

比較的安全な一般的な考え方VLAN Setups
VLAN対応スイッチの私の習慣は、次の基本構成で、すべてのトラフィックをVLANに割り当てる必要があることです。

未使用のポートをすべて「未使用」のVLANに割り当てます。

特定のコンピューターに接続するすべてのポートは、ネイティブでVLANに割り当てられる必要があります。これらのポートは、1つだけである必要があります VLAN（今のところ無視する特定の例外を除いて）。
これらのポートでは、（スイッチへの）すべての着信パケットにネイティブVLAN、および発信パケットがタグ付けされています（スイッチから）（a）割り当てられたVLANからのみ発信され、（b）タグ付けされず、通常のイーサネットパケットと同じように表示されます。

「VLANトランク」（複数のVLANのポート）である必要がある唯一のポートは、トランクポートです。スイッチ間でトラフィックを伝送するポート、またはVLANトラフィックを分割するファイアウォールに接続するポートそのままで。
トランクポートでは、スイッチに着信するvlanタグが考慮され、vlanタグはスイッチを離れるパケットから削除されません。

上記の構成は、「VLANホッピング」トラフィックを簡単に注入できる唯一の場所がトランクポート上にあることを意味します（スイッチのソフトウェアの問題がない場合）VLAN実装）、および「最も安全な」シナリオとは、重要なものを取り外して監視アラームを発生させることを意味します。同様に、ホストを取り外してVLANに接続している場合、監視システムに存在していると、ホストの不可解な消失と警告に気付くはずです。君は。
どちらの場合もサーバーへの物理アクセスを伴う攻撃について話している-それは完全に不可能に破壊するVLAN分離することは最低限である非常に難しい上記のように設定された環境で。

VMWareおよびVLAN Securityに関する特定の考え

VMWare仮想スイッチをVLAN-に割り当てることができます-これらの仮想スイッチがVMWareホストの物理インターフェースに接続されている場合、発生するトラフィックには適切なVLAN =タグ。
VMWareマシンの物理インターフェイスは、VLANトランクポート（アクセスが必要なVLANを搭載）に接続されている必要があります）。

このような場合、管理を分離するためのVMWareのベストプラクティスに注意を払うことは二重に重要ですNIC仮想マシンNICから：管理NICを接続する必要があります適切なVLANのネイティブポートに接続し、仮想マシンNICは、仮想マシンが必要とするVLAN（理想的には、VMWare管理VLANを実行しない）を持つトランクに接続する必要があります）。

実際、その分離を強制することは、私が言及した項目や他の人が思いつくであろうことと一致して、合理的に安全な環境を生み出します。