Один сервер может видеть трафик к другому серверу в VLAN?
- Войдите в систему к серверу, который служит Вашему центру сертификации (например, через RDP).
- Запустите-> Средства администрирования-> Центр сертификации
- Разверните дерево, выберите 'Выпущенные сертификаты'
- Найдите сертификат Mike's, щелкните правой кнопкой по нему->, Все Задачи-> Отменяют Сертификат
- Возможно, ваш сертификат выдан на example.com, а не на 192.168.1.1 или на оба сразу; Таким образом, посетители, которые используют
https://192.168.1.1, должны иметь ошибку SSL (поскольку URL-адрес отличается от URL-адреса сертификата). - У вас нет веб-сайта «SSL по умолчанию»
Услуги, предоставляемые такими компаниями, как Amazon, позволяют избежать этого, помещая сервер каждого клиента в его собственную среду, подобную VLAN. Чтобы выйти за пределы VLAN, требуется маршрутизатор (в случае Amazon предоставляется эластичный IP-адрес). Конечный результат состоит в том, что в Amazon или аналогичной настройке вы не можете выполнить атаку с подменой ARP для просмотра других межсерверных данных.
Услуги, предоставляемые такими компаниями, как Amazon, позволяют избежать этого, помещая сервер каждого клиента в его собственную среду, подобную VLAN. Чтобы выйти за пределы VLAN, требуется маршрутизатор (в случае Amazon предоставляется эластичный IP-адрес). Конечный результат состоит в том, что в Amazon или аналогичной настройке вы не можете выполнить атаку с подменой ARP для просмотра других межсерверных данных.
В типичной настройке с коммутатором, предоставленным центром обработки данных, все ваши серверы плюс (возможно) их маршрутизатор будут быть в вашей частной VLAN. Если это так, все будет в порядке. Все коммутаторы центра обработки данных могут видеть трафик, а другие их клиенты - нет. Многие установки предоставляют частную локальную сеть, а также подключение к Интернету. Убедитесь, что вы используете частное соединение.
Похоже, в вашей частной VLAN есть другие серверы. В таком случае это не так уж и конфиденциально. Вам нужно настроить все так, чтобы в вашей частной локальной сети находились только ваши серверы.
Даже с этим изменением неправильная конфигурация коммутатора или намеренное отслеживание со стороны центра обработки данных может выявить ваш трафик. Таким образом, вам может понадобиться шифрование, но на самом деле, если вы не доверяете центру обработки данных, у вас будут большие проблемы.
В основном нет. Это возможно с помощью атаки
- ARP Spoofing (когда взломанный сервер сообщает переключателю: «Я - сервер 2. ip ")
- Сниффинг на коммутаторе (он может быть взломан или настроен с помощью Port Mirroring (когда трафик с Server1 на Server2 зеркалируется на Server3)
- Если они не находятся в одном сегменте сети, сниффинг возможен на шлюзе
Просто используйте SSL с предопределенными закрытыми ключами с каждой стороны, и все будет в порядке
Если в вашем vlan уровня 2 есть другие серверы, они могут перехватывать трафик с помощью спуфинга arp. Однако частный vlan обычно означает, что на нем находятся только ваши устройства. В этом случае нет никакого способа (за исключением неправильной конфигурации или злонамеренного действия со стороны провайдера), чтобы другой сервер мог получить ваш трафик.
Теперь, что касается того, безопасно ли передавать незашифрованные данные: это зависит. Если этот vlan предоставляется вам третьей стороной, вы не знаете, что они делают с отправляемыми вами кадрами. У них может быть настроено зеркало порта, и каждый кадр, который вы отправляете, зеркально отражается в другом месте. Они могут просто использовать sFlow или netFlow и отправить некоторое количество кадров в другой ящик для хранения статистики. Поскольку сеть предоставляет не вы, вы не можете знать наверняка.