web-dev-qa-db-ja.com

VLANはどのようにセキュリティを向上させますか?

私の理解から、VLANは個別のネットワークを作成します。その場合は、手動でルートを追加して他のネットワークにアクセスできますか?

基本的に、VLANは、ネットワークを分離して、より多くのパブリックアクセスから保護し、安全に保つために設計されているという印象を常に受け​​ていました。

1
Jason

VLANを使用すると、物理デバイスを複数の論理デバイスに論理的に分割できます。何らかの方法で両方のVLANに接続していない場合でも、ルートをローカルに追加しても、ルートは別のルーターまたはゲートウェイデバイスを指す必要があるため、何も変更されません。ほとんどのVLANでは、唯一のルーター/ゲートウェイデバイスがシステムのデフォルトルート/ゲートウェイとして構成されています。

VLAN /サブネット間で何をルーティングするかを決定するのはルーター/ゲートウェイです。この時点で、VLANの内外で許可されるリソースとトラフィックのタイプについてアクセスを制御できます。

VLANは、さまざまな方法でセキュリティを向上させるのに役立ちますが、それだけではセキュリティは向上しません。ネットワークが正しく設定されていない場合、VLANホッピングを可能にするエクスプロイトもあります。

VLANを使用してセキュリティを向上させることができる非網羅的な方法をいくつか次に示します。

  1. ブロードキャストトラフィックまたはフラッディングされたユニキャストトラフィックが送信される範囲を制限します。ホストAがホストBと同じVLAN=にない場合、ホストBがブロードキャストする情報は表示されません。
  2. ゲートウェイなしでVLANを作成できます。これにより、デバイスがそのVLAN内の他のデバイスにのみアクセスするように制限されます。また、VLANの外部からこれらのデバイスにアクセスすることもできません。
3
YLearn