Parece que hay algunos conceptos erróneos con respecto a qué nos protegerá una red conmutada, y qué tecnologías / precauciones requiere un entorno seguro al segmentar usuarios de confianza de usuarios hostiles.
¿Alguien puede explicar cuáles son los riesgos reales de las redes conmutadas y si hay beneficios reales desde una perspectiva de seguridad?
Los conmutadores no están diseñados para la seguridad. Un conmutador se diferencia de un concentrador en que observa los paquetes para deducir dónde se encuentra cada host, de modo que un paquete dirigido a un host determinado se escribirá solo en el Cable físico que conduce a ese host. Esta es una optimización de rendimiento , ya que permite que se produzca más tráfico simultáneamente en una red determinada.
El efecto secundario de los paquetes que generalmente no se emiten (físicamente) en toda la red se ha confundido históricamente como una característica de seguridad. Pero no hay garantía de que un paquete determinado no se copiará en enlaces no deseados; el conmutador funciona según su propio conocimiento del diseño de la red, que está respaldado por una cantidad necesariamente limitada de RAM dentro del conmutador (la "memoria caché ARP"). Al "enviar correo no deseado" al conmutador, puede desbordar el caché ARP, lo que lleva al conmutador a retroceder a un comportamiento similar a un concentrador (los paquetes entrantes se copian en cada enlace); También puede desinformar el conmutador con paquetes de Ethernet falsos (también llamados "envenenamiento de caché ARP"). Estas limitaciones demuestran que las redes conmutadas no son redes seguras , solo son redes optimizadas .
Hay tres dispositivos de red: un concentrador, un conmutador y un enrutador. Operan en las capas física, de acceso a datos y de red, respectivamente. Los nodos conectados a un concentrador están en el mismo dominio de red y en el mismo dominio de colisión. Los nodos conectados a un conmutador están en el mismo dominio de red, pero no en el mismo dominio de colisión. Los nodos conectados a un enrutador están en una red diferente y en diferentes dominios de colisión. Por lo tanto, una red conmutada lo protegerá de colisiones pero no de ataques de red.
Colisión significa que los paquetes enviados desde dos nodos diferentes pueden cancelarse o interferir entre sí. Por ejemplo, Andy envía un paquete a Cornius al mismo tiempo que Bill envía un paquete a Danny y estos dos paquetes pueden chocar entre sí, físicamente. En otras palabras, comparten el mismo medio.
Desde una perspectiva de seguridad, estar protegido contra colisiones significa que estás protegido contra los rastreadores de paquetes (hay maneras de evitarlo), y puedes disfrutar de un mejor ancho de banda.
Por ejemplo, uno de los riesgos de seguridad a los que me refería en mi pregunta es que cualquier cliente en la misma vLAN puede falsificar una dirección MAC y confundir al conmutador para que envíe tráfico desde una estación de trabajo aislada a otra estación de trabajo aislada. / p>
Creo que esta técnica se llama comúnmente envenenamiento de caché ARP y ha existido durante años.
En la edad de piedra de las comunicaciones, una red conmutada significaba exactamente eso, una red con cables de cobre e interruptores, que establecía una ruta física de A a B. Quien controlaba la seguridad de las comunicaciones controlada por el camino físico.
En estos días dudo que las redes reales aún funcionen de esta manera, al menos no en el nivel en el que puede llamar a su proveedor de comunicaciones y pedir una. Por lo tanto, las redes conmutadas son una entidad definida por software y mucho menos sobre seguridad que sobre garantías de rendimiento.
Lea otras preguntas en las etiquetas firewalls network business-risk routing network-scanners