Estou avaliando a sub-rede da nossa rede com um switch de camada 2 e VLAN. Pelo que sei, a VLAN só funciona no domínio de broadcast e, se eu souber o endereço MAC de um computador remoto no mesmo switch, posso ignorar totalmente a segurança da VLAN mapeando o endereço MAC para a minha própria tabela ARP. Isso está correto?
Obrigado
Você não está correto. Quando um switch cria uma VLAN, é efetivamente o mesmo que se você criasse duas redes separadas conectadas com seus próprios switches. Uma pessoa não pode mais ignorar a VLAN usando um endereço MAC direto do que você poderia obter acesso ao seu vizinho do outro lado da rua se você soubesse o endereço MAC dele.
Pense nisso como duas redes fisicamente separadas.
Não, não é. Isso pode ter sido possível em algumas das primeiras implementações de VLANs (20 anos atrás ...), mas em qualquer switch moderno, uma vez que uma porta é marcada com uma VLAN 802.1q, é isso. O mecanismo de comutação não permitirá o salto de VLAN. É claro que, se você tiver uma configuração insegura (digamos, um host com interfaces em mais de uma rede, com o encaminhamento de IP ativado ...), você pode ter alguns problemas de segurança.
Eu trabalho em uma universidade bastante grande (temos duas classes B e ainda precisamos da maioria das classes A para clientes NATted). Nossa rede é executada em hardware Cisco, Foundry e Juniper, e tudo é VLAN. Nunca tivemos problemas com isso, segurança ou outros.
Existem algumas técnicas para ignorar a marcação de VLAN, mas elas só se aplicam a alguns switches e em algumas configurações. Se você tem switches Cisco que possuem VLAN 1 em um tronco, você pode enviar pacotes para máquinas em outra VLAN (mas não obter nada) se você enviar um quadro encapsulado em .1q com a VLAN de destino como a tag VLAN.
Existem duas técnicas para vlan hopping. Aproveite o entroncamento automático fazendo com que o roteador pense que você é outro roteador e, em seguida, você terá acesso a todas as vlans. Crie artificialmente pacotes duplos e tire proveito da comparabilidade retroativa para pular para a vlan de destino.
I can bypass the VLAN security entirely by mapping the MAC address to my own ARP table. Is that correct?
Geralmente, não, você não poderá fazer isso.
A atualização da tabela arp significa que os pacotes enviados para o computador remoto chegam até o switch. No entanto, o switch ainda não fará nada com eles, já que sua porta no switch ainda faz parte de uma rede diferente. Com a atualização arp, os pacotes nem sairiam do seu computador. A atualização significa que os pacotes podem ficar um pouco mais longe, mas ainda não chegarão ao destino.
Se você deseja criar uma exceção para uma associação vlan, a melhor maneira que vi para fazer isso é com um switch de camada 3 (no momento, é realmente um roteador) no núcleo de sua rede que também suporta ACLs (listas de controle de acesso) para segurança de roteamento. Você configura esse switch com uma rota entre as duas vlan, tem a ACL configurada com uma regra de negação padrão e adiciona suas exceções como regras de permissão na frente da regra de negação.