Um servidor pode ver o tráfego para outro servidor dentro de uma VLAN?

2

Cenário: Eu tenho um rack de servidores que pertencem à mesma private VLAN. Eu transfiro dados do Servidor 1 para o Servidor 2. É possível para qualquer um dos outros servidores farejar os dados enviados ou isso só é possível a partir do Roteador / Switch?

A razão pela qual eu pergunto é que estou tentando decidir se é seguro transferir arquivos não criptografados através de uma rede privada, se houver outros servidores nessa rede privada que possam detectá-los, também conhecidos como servidores virtuais ou servidores dedicados alugados. . A sobrecarga da criptografia SSH pode ser bastante alta para transferir muitos dados.

    
por Devon 22.06.2014 / 23:50

4 respostas

4

Sim, é possível usar um ataque ARP spoofing . Ou se o comutador foi configurado para espelhamento de portas.

Os serviços fornecidos por empresas como a Amazon evitam isso colocando o servidor de cada cliente dentro de seu próprio ambiente semelhante a VLAN. Para sair da VLAN, é necessário um roteador (no caso da Amazon fornecido por um IP elástico). O resultado final é que, na configuração Amazon ou semelhante, você não pode fazer um ataque de falsificação de ARP para ver outros dados entre servidores.

    
por 22.06.2014 / 23:58
4

Em uma configuração típica com um switch fornecido pelo datacenter, todos os seus servidores e (talvez) o roteador estarão em sua VLAN privada. Se este for o caso, você deve estar bem. Todos os switches do datacenter podem ver o tráfego, mas os outros clientes não conseguem. Muitas configurações fornecem uma LAN privada, bem como uma conexão à Internet. Certifique-se de estar transferindo na conexão privada.

Parece que existem outros servidores na sua VLAN privada. Nesse caso, não é tão privado é isso. Você precisa de configuração de coisas para que apenas seus servidores estejam em sua LAN privada.

Mesmo com essa alteração, uma configuração incorreta do switch ou da interceptação intencional na parte do datacenter pode revelar seu tráfego. Então você ainda pode querer criptografia, mas realmente se você não confia no datacenter você tem problemas maiores.

    
por 23.06.2014 / 01:17
1

Basicamente não. É possível através do uso de

  • Ataque de ARP Spoofing (quando o servidor hackeado diz ao switch "Eu sou o Server2 ip ")
  • Sniffing em um switch (pode ser hackeado ou configurado com o espelhamento de porta (quando o tráfego do Server1 para o Server2 espelha para o Server3)
  • Se eles não estiverem no mesmo segmento de rede, é possível farejar no gateway

Apenas use SSL com chaves privadas predefinidas de cada lado e tudo ficará bem

    
por 23.06.2014 / 00:06
0

Se houver outros servidores em sua camada 2, eles poderão interceptar tráfego por falsificação de arp. No entanto, uma vlan privada geralmente significa que apenas seus dispositivos estão nela. Nesse caso, não há nenhuma maneira (exceto configuração incorreta ou malícia no lado do provedor) de que outro servidor possa obter seu tráfego.

Agora, quanto a se é ou não seguro transferir dados não criptografados: isso depende. Se essa vlan for fornecida a você por terceiros, você não sabe o que eles estão fazendo com os quadros que você envia. Eles podem ter uma configuração de espelho de porta e ter cada quadro que você envia espelhado em outro lugar. Eles poderiam estar usando apenas o sFlow ou netFlow e ter uma certa quantidade de quadros enviados para outra caixa para manter as estatísticas. Já que você não é quem está fornecendo a rede, você não pode ter certeza. Portanto, se seus dados forem confidenciais e você quiser ser seguro, criptografe.

A propósito, eu acho que os servidores modernos não têm nenhum problema em saturar um link GigE usando SSH.

    
por 24.06.2014 / 02:29