Sembra che ci siano dei malintesi su ciò che una rete commutata ci proteggerà da, e quali tecnologie / precauzioni richiede un ambiente sicuro quando segmentano utenti fidati da utenti ostili.
Qualcuno può approfondire quali sono i rischi reali delle reti commutate e se ci sono reali benefici dal punto di vista della sicurezza?
Gli switch non sono pensati per la sicurezza. Uno switch è diverso da un hub in quanto osserva i pacchetti per dedurre dove si trova ciascun host, in modo che un pacchetto destinato a un determinato host venga scritto solo sul cavo fisico che porta a quell'host. Si tratta di un ottimizzazione delle prestazioni in quanto consente a più traffico di accadere contemporaneamente su una determinata rete.
L'effetto collaterale dei pacchetti che non vengono generalmente trasmessi (fisicamente) sull'intera rete è stato storicamente scambiato come caratteristica di sicurezza. Ma non c'è garanzia che un determinato pacchetto non venga copiato su link indesiderati; lo switch opera sulla propria conoscenza del layout di rete, che è supportato da una quantità necessariamente limitata di RAM all'interno dello switch (la "cache ARP"). Tramite "spamming" dello switch è possibile sovrasfruttare la cache ARP, portando il passaggio al comportamento di tipo "hubback" (i pacchetti in entrata vengono copiati su ogni collegamento); si può anche disinformare lo switch con pacchetti Ethernet finti (il cosiddetto "avvelenamento della cache ARP"). Queste limitazioni dimostrano che le reti commutate non sono reti protette , sono solo reti ottimizzate .
Esistono tre dispositivi di rete: un hub, uno switch e un router. Operano rispettivamente a livello fisico, accesso ai dati e livelli di rete. I nodi connessi a un hub si trovano nello stesso dominio di rete e nello stesso dominio di collisione. I nodi connessi a uno switch si trovano nello stesso dominio di rete, ma non nello stesso dominio di collisione. I nodi connessi a un router si trovano in una rete diversa e diversi domini di collisione. Quindi, una rete commutata ti proteggerà dalla collisione ma non dagli attacchi di rete.
Collisione significa che i pacchetti inviati da due nodi diversi possono annullare o interferire tra loro. Ad esempio, Andy invia un pacchetto a Cornius nello stesso momento in cui Bill invia un pacchetto a Danny e questi due pacchetti potrebbero collidere tra loro, fisicamente. In altre parole, condividono lo stesso mezzo.
Dal punto di vista della sicurezza, essere protetti dalla collisione significa che sei protetto dagli sniffer di pacchetti (ci sono modi per aggirare questo), e puoi goderti una migliore larghezza di banda.
Ad esempio, uno dei rischi per la sicurezza a cui mi riferivo nella mia domanda è che qualsiasi client sulla stessa vLAN è in grado di falsificare un indirizzo MAC e confondere lo switch nel traffico di invio da una workstation isolata a un'altra workstation isolata.
Credo che questa tecnica sia comunemente chiamata Avvelenamento da cache ARP , ed è in uso da anni.
Nell'era della pietra delle comunicazioni, una rete commutata significava esattamente quella, una rete con fili e interruttori in rame, che stabiliva un percorso fisico da A a B. Chi controllava il percorso fisico controllava la sicurezza delle comunicazioni.
In questi giorni dubito che le reti attuali funzionino ancora in questo modo, almeno non al livello in cui è sufficiente chiamare il provider di comunicazioni e ordinarne uno. Quindi le reti commutate sono un'entità definita dal software e molto meno sulla sicurezza che sulle garanzie di prestazione.
Leggi altre domande sui tag routing network firewalls business-risk network-scanners