giovedì 20 agosto 2009

VLAN (in)security

Chiunque si trovi a configurare una moderna LAN dotata di "switch" e magari anche di "centro stella" (mega-switch centrale), saprà sicuramente che cos'è una VLAN: un modo per partizionare uno switch in più entità virtuali, virtualmente separate fra loro (via software), anche se unite dallo stesso hardware comune (il "pezzo di ferro" switch, con le sue "porte" Ethernet o fibra o altro). Si parla di Standard IEEE 802.1Q (cercare per credere :-) ).

Purtroppo, alcuni "profani", fra cui alcuni (troppi) "decision makers" del settore IT, tendono a credere che le VLAN siano un elemento di maggior sicurezza, uno dei "mattoni" su cui costruire la sicurezza di una rete interna al CED. Come dire che se una gioielleria custodisce i propri gioielli in diverse cassaforti, invece che in una sola, aumenta il proprio livello di sicurezza. Questo è palesemente falso.

Per quanto riguarda le VLAN, questo articolo chiarisce (in inglese) le idee a questo proposito, e rimanda ad autorevoli fonti che riescono a sfatare questo autentico mito.

In definitiva, le VLAN sono soltanto un metodo per abbassare i costi di impianto e migliorare la gestione dei "broadcast" all'interno della LAN.