スイッチドネットワークは私たちを何から保護しますか?それは私たちを何から守らないのですか?
スイッチドネットワークが私たちを保護するもの、および信頼できるユーザーを敵対的なユーザーからセグメント化するときに安全な環境が必要とするテクノロジー/予防策に関して、いくつかの誤解があるようです。
スイッチドネットワークの実際のリスクと、セキュリティの観点から実際のメリットがあるかどうかについて、誰かが詳しく説明できますか?
スイッチはセキュリティを目的としたものではありません。スイッチは、パケットを監視して各ホストの場所を推測するという点でハブとは異なります。そのため、特定のホストに向けられたパケットは、接続されている物理ケーブルにのみ書き込まれます。そのホストに。これはパフォーマンスの最適化であり、特定のネットワークでより多くのトラフィックを同時に発生させることができます。
ネットワーク全体で一般的に(物理的に)ブロードキャストされないパケットの副作用は、歴史的にセキュリティ機能と誤解されてきました。ただし、特定のパケットが不要なリンクにコピーされないという保証はありません。スイッチは、ネットワークレイアウトに関する独自の知識に基づいて動作します。これは、スイッチ内のRAM)の必然的に限られた量に支えられています(「ARPキャッシュ」)。スイッチを「スパム」することにより、次のことができます。 ARPキャッシュをオーバーフローさせ、スイッチをハブのような動作にフォールバックさせます(着信パケットはすべてのリンクにコピーされます)。また、偽のイーサネットパケット(いわゆる「ARPキャッシュポイズニング」)をスイッチに誤って通知する可能性もあります。これらの制限は、スイッチドネットワークはセキュアネットワークではなく、最適化ネットワークです。
ネットワークデバイスには、ハブ、スイッチ、ルーターの3つがあります。これらは、それぞれ物理層、データアクセス層、およびネットワーク層で動作します。ハブに接続されているノードは、同じネットワークドメイン内にあり、同じコリジョンドメイン内にあります。スイッチに接続されているノードは同じネットワークドメインにありますが、同じコリジョンドメインにはありません。ルーターに接続されているノードは、異なるネットワークと異なるコリジョンドメインにあります。したがって、スイッチドネットワークは衝突から保護しますが、ネットワーク攻撃からは保護しません。
衝突とは、2つの異なるノードから送信されたパケットが互いにキャンセルまたは干渉する可能性があることを意味します。たとえば、アンディはビルがダニーにパケットを送信すると同時にコーニウスにパケットを送信し、これら2つのパケットは物理的に互いに衝突する可能性があります。言い換えれば、それらは同じ媒体を共有します。
セキュリティの観点から、衝突から保護されるということは、パケットスニファから保護されることを意味し(これを回避する方法があります)、より良い帯域幅を楽しむことができます。
たとえば、私の質問で言及したセキュリティリスクの1つは、同じvLAN上のクライアントがMACアドレスをスプーフィングし、スイッチを混乱させて、ある分離されたワークステーションから別の分離されたワークステーションにトラフィックを送信する可能性があることです。
この手法は一般にARPキャッシュポイズニングと呼ばれ、何年も前から存在していると思います。
通信の石器時代に戻ると、スイッチドネットワークとは、AからBへの物理ルートを確立する銅線とスイッチを備えたネットワークを意味していました。物理パスを制御する人は誰でも通信のセキュリティを制御していました。
最近では、実際のネットワークがまだこのように機能しているとは思えません。少なくとも、通信プロバイダーに電話して注文できるレベルではそうではありません。したがって、スイッチドネットワークはソフトウェア定義のエンティティであり、パフォーマンスの保証よりもセキュリティに関するものではありません。