Vlan uygulamaları Virtual Lan

VLAN uygulamaları

Virtual Lan (VLAN - sanal ağlar) kullanılarak kullanıcıları fiziksel lokasyonundan bağımsız olarak gruplamak, farklı subnetlerde toplamak mümkündür. VLAN'a almak tek başına bir güvenlik önlemi sayılmamakla beraber bir güvenlik artışı olmaktadır. Ağ Yönetimi için ayrı bir VLAN yaratılmalıdır. Bölgeler VLAN trafiklerine göre prunning yapılarak ayrılmalı, sadece o bölgede kullanılan VLAN'lar iletilmelidir.
VLAN bilgilerini ve bütün ağ trafiğini aktif cihazlar arasında taşımak için kullanılan cihaz port'ları "trunk" olarak tanımlanmaktadır. Trunk olmayacak port'ların trunk olarak tanımlanması o port'a bağlı cihazın bütün ağ trafiğini almasını sağlayacağından bu tür yanlış tanımlamalar mutlaka düzeltilmelidir
Cihazların kullanılmayan portlarını L3 (OSI 3.katman) bağlantısı verilmemiş bir VLAN'a atamalı veya portlar "disable" edilmelidir . Böylece saldırganın cihazın boş portuna girip ağa ulaşması engellenmiş olmaktadır.
Switch'in port numarasına, cihazın MAC adresine veya kullanılan protokole göre dinamik VLAN ataması uygulanarak cihazların VLAN ve IP bilgileri tek noktadan kontrol edilebilmekte ve daha güvenilir ağ yapısı oluşturulmaktadır. Böylelikle sadece kayıtlı MAC adreslerine sahip cihazlar izin verilen ağlara ulaşabilmektedir.
VLAN kullanılan ağlarda ne tür zayıflıklar olabileceği SANS Enstitüsü tarafından incelenmiştir.

Çözüm  ve sonuçlar
Ağ güvenliği sadece bir güvenlik duvarı (firewall) alınarak sağlanamaz. Ağ Güvenliği Yönetimi'nin her zaman devam eden bir süreç olduğu unutulmamaldır. Ağa bağlı her elemanın güvenliği belirli seviyerlerde sağlanmalı ve sistem devamlı kontrol altında tutulmalıdır. Bu bildiride ağ trafiğinin üzerinden aktığı ağ cihazlarında alınması gereken temel güvenlik önlemleri ele alınmış ve ipuçları verilmiştir.