VLANを導入することで、同じ物理的なネットワーク内であっても、部署や業務内容ごとに異なるセキュリティポリシーを適用するといった柔軟なネットワーク運用が可能となる。この記事では、VLANを導入することでのメリット、デメリットを踏まえながら、一方で懸念される攻撃リスクについて解説する。
VLANとは
仮想的にLANセグメントを分割する技術がVLAN(Virtual Local Area Network)だ。VLANの主な使用目的は、通信の混乱を避けることにある。同一のネットワークセグメントに多数のデバイスが接続されていると、通信が混乱しがちとなり、その結果として管理も煩雑になってしまうためだ。
VLANは、物理的なスイッチングハブを経由した設定が可能だ。そのため、部署や用途別など、組織の要求に応じて柔軟にネットワークを分離することができる。要するに、物理的な制約を伴わずに、ネットワークをセグメント化できるのだ。VLANでネットワークが仮想的にセグメント化されることで、デバイスが直接通信できる範囲を限定されることになる。このようにして、デバイスがアクセスできるデータを制限することが可能となる。
VLANのメリット
VLANのセキュリティ上のメリットとしては、以下の点が挙げられる。適切な設計と運用により、効率的かつ安全なネットワーク環境の構築が可能となる。
直接通信できる範囲の限定
VLANはネットワークを仮想的にセグメント化することで、直接通信可能な範囲を限定することが可能だ。その特性がゆえに、VLANが適切に導入されている環境では、仮に不正な通信が生じた場合でも、その影響範囲を限定することが可能となる。また、アクセスできるデータを制限、あるいはネットワーク経由で感染するマルウェアによる被害を最小化できる。
ブロードキャストトラフィックの制限
VLAN上のエンドステーションは、そのVLAN以外を宛先とするブロードキャストトラフィックの送受信が不要となる。そのため、トラフィック量が減少し、ブロードキャストでマルウェア感染が拡散する範囲を制限できる。ただし、VLANの仕様によっては制限できない場合もあるため、注意が必要だ。
異なるセキュリティポリシーの適用
組織では、部署ごとにそれぞれ異なるセキュリティポリシーが適用されるケースも少なくない。VLANを用いてデバイスや所属ユーザーの属性に合わせたネットワークセグメントに分割することで、部署ごとに適切なセキュリティ対策を行えるようになる。
種類別に見るVLAN
VLANには、ポートベース、タグベース、MACベース、ユーザーベース、サブネットベースなどの種類がある。導入の目的、期待する効果などによって、どの方式が最適であるかを選択することになる。
ポートベース
スイッチングハブのポート単位でVLANを割り当てる方式。シンプルな方式であることから広く採用されている。
タグベース
データの転送単位であるフレームにタグ付けを行うことでVLANを実現する方式。同じポートを別のVLANに割り当てる、あるいは複数のスイッチを跨いだVLANの構成を可能とする。
MACベース
接続されるデバイスのMACアドレスによってVLANを割り当てる方式。デバイス個々に割り当てられているMACアドレスを用いてアクセスできるネットワークを割り振る。
ユーザーベース
ネットワークを使うユーザーの認証情報によってVLANを割り当てる方式。ユーザーごとに与えられた認証範囲のネットワークにアクセスすることが可能となる。
サブネットベース
接続されるデバイスに割り当てられたIPアドレスのサブネットによってVLANを割り当てる方式。
VLANへの攻撃方法の例
VLANはネットワーク管理者が自由にネットワークを設定できる技術であり、先述のような利便性の高さなどメリットも多い。しかし、その一方でデメリットもある点には注意が必要だ。
例えば、タグベースVLANで用いられるフレームは攻撃者によって改ざんされる恐れがある。その結果、本来アクセスできないはずの別のセグメントへアクセスが可能になってしまう、VLANの特性に由来する脆弱性を利用した攻撃が懸念される。また、通信を偽装して、本来アクセスが許されないはずの別のセグメントへアクセス、あるいはVLANの脆弱性を利用して通信内容を傍受する攻撃も考えられるだろう。代表的なものとして、「VLANホッピング」、「ダブルタグによる攻撃」が挙げられる。
VLANホッピング
この攻撃はトランクポートを不正利用することで本来アクセスできないVLANにアクセスする攻撃だ。こうした攻撃に対して、DTP(Dynamic Trunking Protocol)を無効化するといった対策が挙げられる。DTPはスイッチポートのモードを自動的に決定するプロトコルだ。攻撃者がトランクポートにアクセスして、ほかのVLANに侵入することを可能にする。
ダブルタグによる攻撃
VLANのタグを悪用して、別のVLANへ不正にアクセスする攻撃だ。こうした攻撃に対して、ネイティブVLANの設定を変更することなどで防御は可能だ。しかしながら、VLANの設定には一定の知識が求められるため、誤った設定や管理不足がネットワークのパフォーマンスやセキュリティに悪影響を及ぼし得る。
VLANを補完する新たな仮想ネットワーク技術SDNとは
近年、VLANを補完する新たなネットワーク構築・管理・制御技術としてSDN(Software Defined Networking)が注目されている。SDNは、インターネットのデバイスの「伝送機能」と「制御機能」を分離し、制御機能をソフトウェアに集約して通信をコントロールするソリューションだ。
ネットワーク全体を一元管理することで構成をシンプル化し、セキュリティを向上させるだけでなく、状況に応じて迅速に設定を変更・更新できることが特長だ。従来のVLANをはじめ、ネットワーク制御ではハードウェアを手動でプログラミングして、場合によってはデータの流れをコントロールする必要がある。
しかし、SDNはソフトウェアへのプログラミングだけで対応可能だ。このSDNはVLANと相互補完の関係にある。SDNによりネットワーク全体が一元管理されることで、VLANの設定や管理が容易になる。また、VLANによりネットワークが論理的にセグメント化されることで、SDNの運用もより効率的になる。
ネットワークセキュリティは、単一の対策では不十分であり、多層的な対策を組み合わせることが重要だ。VLANは、ネットワークを論理的に分割することで、セキュリティを向上させるための有効な手段となる。また、SDNは、ソフトウェアでネットワークを制御する新しい技術であり、ネットワークセキュリティの強化にも貢献している。こうした技術を適切に組み合わせることで、より効率的かつ安全なネットワーク環境を実現することが可能となるだろう。