VLAN で分けましたが・・。

ウイルスとかに侵入されたら　VLANで分けてあっても飛び越えて侵入されるんでしょうか。

とりあえずセグメント分けをして　リスクを回避できないかと　考えていますが・・・。

No.5 回答者： k-841 回答日時： 2023/04/04 16:59

考える軸が違いますので、質問文に書かれている情報だけでは何とも言えません。

VLANは、物理的なハードウェア上に論理的なネットワークを相乗りさせる技術なだけであって、リスク回避云々というのは論理的な経路が存在するかどうかというネットワーク設計の話です。

仮に1台のSW-A上でVLAN1とVLAN2が論理的に分割されており、SW-A内での直接通信経路がないとしても、別の機器SW-Bで両VLANのパケット交換が可能であれば、当然VLAN1とVLAN2では通信できることになりますし、両VLANに足を延ばしているホスト上のソフトウェアが片方から受け取ったデータを（L7的に）中継もしくは何らかの影響を受けて他方に配信する仕組みであれば間接的に影響を及ぼすことになります。

また、外部等から通信可能なソフトウェアに「任意のコードを実行される可能性」のあるセキュリティホールが存在する場合、実質的にそのソフトウェアが稼働するホストはルータや攻撃の踏み台として機能させられる可能性があります。外部と直接通信するような場所に配置されたホストはセキュリティを強化しつつも、内部セグメント間の通信のセキュリティは甘く設計しがちなため、万が一そういったホストが攻撃により踏み台にされた場合にはLAN内が一網打尽にされることもあり得ます。家庭の一番外にあるルータが攻撃の標的にされやすいのはそういう理由がありますし、最近ではインターネット経由ではなく裏口になるWi-Fi経由での攻撃も流行っています。

No.4 回答者： ミラ-_- 回答日時： 2023/04/04 14:43

VLANはネットワークを仮想的に分割するための技術であり、VLANの異なるセグメント間では通信が制限されますが、完全にセキュリティを保証するものではありません。

ウイルスやマルウェアなどが侵入する場合、VLAN間の通信を妨げることはできません。

したがって、VLANによるネットワークのセグメント分けは、セキュリティ対策の一つとして考えることができますが、それだけでは十分ではありません。そのため、セグメント分けとともに、ファイアウォールやセキュリティポリシーの設定などのセキュリティ対策が必要です。また、定期的な脆弱性診断やセキュリティパッチの適用など、セキュリティ対策の継続的な改善も必要です。

No.3 回答者： angkor_h 回答日時： 2023/04/04 14:35

ウイルスとかの侵入元は、

インターネットや他人とのファイルのやり取りです。
VLANにしても、
同じ使い方をしているならば、なんの効果もないです。

VLANの目的は、
ウイルスの侵入防止(入るを制す)ではなく、
通信路や中継設備の傍受による情報漏洩の防止(出るを制す)です。

No.2 回答者： ShowMeHow 回答日時： 2023/04/04 14:30

VLAN間の通信を不許可にしておけば、基本的には侵入はできません。

それらの道筋を管理しているルーター等に侵入されたら、元も子もありませんが。

No.1 回答者： 銀鱗 回答日時： 2023/04/04 14:30

セグメント分けても対策してなきゃ感染する。

(´・ω・`) そういうものです。