Может ли один сервер видеть трафик на другой сервер внутри VLAN?
Сценарий: у меня есть стойка серверов, которые принадлежат одной частной VLAN. Я передаю данные с Сервера 1 на Сервер 2. Возможно ли, чтобы любой из других серверов обнаруживал отправленные данные или это возможно только от Маршрутизатора / Коммутатора?
Причина, по которой я спрашиваю, заключается в том, что я пытаюсь решить, безопасно ли передавать незашифрованные файлы через частную сеть, если в этой частной сети есть другие серверы, которые могут его перехватить, то есть виртуальные серверы или выделенные выделенные серверы. Затраты на шифрование SSH могут быть довольно высокими для передачи большого количества данных.
4 ответа
Да, это можно сделать с помощью ARP-спуфинговой атаки. Или если коммутатор был настроен для зеркалирования портов.
Сервисы, предоставляемые такими компаниями, как Amazon, избегают этого, размещая сервер каждого клиента в своей собственной VLAN-подобной среде. Для выхода за пределы VLAN требуется маршрутизатор (в случае с Amazon предусмотрен эластичный IP). Конечным результатом является то, что в Amazon или аналогичной настройке вы не можете выполнить ARP-подделку, чтобы увидеть другие межсерверные данные.
В типичной конфигурации с коммутатором, предоставленным центром обработки данных, все ваши серверы плюс (возможно) их маршрутизатор будут находиться в вашей частной VLAN. Если это так, то все должно быть в порядке. Все коммутаторы центра обработки данных могут видеть трафик, но другие их клиенты не могут. Многие настройки обеспечивают частную локальную сеть, а также подключение к Интернету. Убедитесь, что вы переводите по частной связи.
Похоже, есть другие серверы в вашей частной сети VLAN. В таком случае это не так уж и приватно. Вам нужно все настроить, чтобы только ваши серверы находились в вашей частной локальной сети.
Даже с этим изменением неправильная конфигурация коммутатора или преднамеренное отслеживание со стороны центра обработки данных может выявить ваш трафик. Таким образом, вы все еще можете хотеть шифрование, но на самом деле, если вы не доверяете центру обработки данных, у вас есть большие проблемы.
В основном нет. Это возможно с помощью
- Атака ARP Spoofing (когда взломанный сервер сообщает коммутатору "Я ip Сервера2")
- Отнюдь на коммутаторе (его можно взломать или настроить с помощью зеркалирования портов (когда трафик с Server1 на Server2 зеркально отражается на Server3)
- Если они не находятся в одном и том же сегменте сети, возможен сниффинг на шлюзе
Просто используйте SSL с предопределенными закрытыми ключами с каждой стороны, и все будет в порядке
Если в вашем vlan уровня 2 есть другие серверы, они могут перехватывать трафик путем подмены arp. Однако частный vlan обычно означает, что на нем находятся только ваши устройства. В этом случае нет никакого способа (за исключением неверной конфигурации или злонамеренности со стороны поставщика), что другой сервер может получить ваш трафик.
Теперь о том, безопасно ли передавать незашифрованные данные: это зависит. Если этот vlan предоставлен вам третьей стороной, вы не знаете, что они делают с отправляемыми вами фреймами. У них может быть настройка зеркала порта, и каждый отправляемый вами кадр зеркально отражается в другом месте. Они могут просто использовать sFlow или netFlow и могут посылать некоторое количество кадров в другой ящик для хранения статистики. Поскольку вы не тот, кто предоставляет сеть, вы не можете знать наверняка. Так что, если ваши данные конфиденциальны и вы хотите быть в безопасности, зашифруйте.
Кстати, я считаю, что современные серверы не испытывают никаких проблем при насыщении канала GigE с помощью SSH.