* Ασφάλεια θύρας: Αυτή είναι αναμφισβήτητα η πιο κρίσιμη άμυνα. Οι διαμορφώσεις ασφαλείας θύρας περιορίζουν τις οποίες οι διευθύνσεις MAC μπορούν να επικοινωνούν σε μια συγκεκριμένη θύρα. Αυτό εμποδίζει τη σύνδεση μη εξουσιοδοτημένων συσκευών και ενδεχομένως εκμετάλλευση των τρωτών σημείων VLAN. Τα κοινά χαρακτηριστικά περιλαμβάνουν:
* Φιλτράρισμα διευθύνσεων MAC: Επιτρέποντας τη σύνδεση συγκεκριμένων διευθύνσεων MAC.
* Μέγιστος αριθμός ασφαλείας θύρας Διευθύνσεις MAC: Περιορισμός του αριθμού των διευθύνσεων MAC που επιτρέπονται σε μια θύρα για την πρόληψη των επιθέσεων πλημμύρας MAC που χρησιμοποιούνται συχνά ως προοίμιο για το VLAN HOPPING.
* Δυναμική επιθεώρηση ARP (DAI): Επαλήθευση της νομιμότητας των αιτημάτων ARP. Αυτό βοηθά στην πρόληψη της δηλητηρίασης ARP, η οποία είναι μια κοινή τεχνική που χρησιμοποιείται στις επιθέσεις VLAN HOPPING.
* Ιδιωτικά VLAN (PVLANS): Δημιουργία απομονωμένων ομάδων λιμένων μέσα σε ένα VLAN. Αυτό περιορίζει περαιτέρω την επικοινωνία στο VLAN, αποτρέποντας την πλευρική κίνηση, ακόμη και αν ένα VLAN HOP είναι επιτυχής.
* 802.1x Εξοικονόμηση ελέγχου: Αυτό παρέχει ισχυρό έλεγχο ταυτότητας πριν μια συσκευή μπορεί να συνδεθεί στο δίκτυο, καθιστώντας πιο δύσκολο για τις μη εξουσιοδοτημένες συσκευές να αποκτήσουν πρόσβαση και να εκτελέσουν το VLAN Hopping. Απαιτεί μια συσκευή για να πιστοποιήσει τον εαυτό της προτού λάβει την εκχώρηση VLAN, εμποδίζοντας έτσι έναν εισβολέα να εκμεταλλευτεί μη επισημασμένα λιμάνια ή άλλα τρωτά σημεία.
* Ασφάλεια πρωτοκόλλου VLAN Trunking (VTP): Το VTP χρησιμοποιείται για τη διάδοση των διαμορφώσεων VLAN σε ένα δίκτυο. Ωστόσο, οι ακατάλληλα εξασφαλισμένες διαμορφώσεις VTP μπορούν να επιτρέψουν στους επιτιθέμενους να χειριστούν πληροφορίες VLAN. Οι βέλτιστες πρακτικές περιλαμβάνουν:
* Προστασία κωδικού πρόσβασης: Επιτρέποντας τους ισχυρούς κωδικούς πρόσβασης για την πρόληψη των μη εξουσιοδοτημένων αλλαγών διαμόρφωσης VTP.
* κλάδεμα VTP: Εμποδίζοντας τις περιττές πληροφορίες VLAN να διαδοθούν σε όλο το δίκτυο για να περιορίσουν την έκθεση.
* Διαμόρφωση διακομιστή VTP: Κεντρική διαμόρφωση διακομιστή VTP για την επιβολή συνέπειας και ελέγχου.
* Ιδιωτικές θύρες VLAN EDGE: Ο περιορισμός της επικοινωνίας μεταξύ των κοινοτικών VLAN και των απομονωμένων VLAN μέσα σε μια ιδιωτική ανάπτυξη VLAN εμποδίζει την μη εξουσιοδοτημένη πρόσβαση ακόμη και αν ένας εισβολέας καταφέρνει να έχει πρόσβαση σε ένα λιμάνι που δεν έχει επισημανθεί.
* Κανονικοί έλεγχοι ασφαλείας και παρακολούθηση: Η τακτική επανεξέταση των διαμορφώσεων δικτύου, των αρχείων καταγραφής και των προτύπων κυκλοφορίας μπορούν να βοηθήσουν στην εντοπισμό οποιασδήποτε ύποπτης δραστηριότητας και πιθανών τρωτών σημείων που θα μπορούσαν να επιτρέψουν στο VLAN HOPPING.
* Σκλήρυνση ασφαλείας: Αυτό περιλαμβάνει την απενεργοποίηση των περιττών χαρακτηριστικών και υπηρεσιών στους διακόπτες δικτύου σας για να μειώσετε την επιφάνεια επίθεσης. Για παράδειγμα, απενεργοποιώντας τις αχρησιμοποίητες θύρες και πρωτόκολλα, εφαρμόζοντας ισχυρούς προεπιλεγμένους κωδικούς πρόσβασης, επιτρέποντας την καταγραφή και τον έλεγχο και τη χρήση ισχυρών μεθόδων ελέγχου ταυτότητας.
Είναι σημαντικό να σημειωθεί ότι κανένα μέτρο ασφαλείας δεν είναι ανόητο. Μια στρωμένη προσέγγιση, που συνδυάζει πολλαπλές βέλτιστες πρακτικές ασφαλείας, είναι απαραίτητη για την αποτελεσματική άμβλυνση των επιθέσεων του VLAN. Τα συγκεκριμένα μέτρα που εφαρμόζονται θα πρέπει να προσαρμοστούν στο μέγεθος, την πολυπλοκότητα και τις απαιτήσεις ασφαλείας του δικτύου.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα