bortolotti80 non lasci nemmeno una rete untagged verso un Ap ad esempio
No, dove possibile no 😉 così come non c'è nei trunk tra switch.
bortolotti80 Non è sbagliato considerare le VLAN come un layer di sicurezza?
Le VLAN sono segregazioni di reti, chiaramente il livello di sicurezza raggiunto dipende dai dispositivi che sono attraversati e da chi li configura.
bortolotti80 Non ricordo però se nascondessero l'accesso agli AP, ricordo che riuscivo a visualizzare le statistiche di ogni AP Cisco una volta autenticato alla rete, ma non so se fosse voluto
È sicuramente una cattiva configurazione degli ambienti; Dot1x permette di riconoscere il dispositivo e/o l'utente alla fine del cavo, ma poi passata l'autenticazione sei connesso alla VLAN scelta (statica o dinamicamente assegnata che sia), se da questa rete puoi raggiungere la management dei dispositivi è un cattivo segnale, almeno per le postazioni generiche e non dei sistemisti di gestione.
bortolotti80 la sicurezza se c'è DHCP, se c'è autenticazione, oltre al fatto che i dispositivi sono protetti da password e 2FA, se ho un attacco malevole fisico sulla rete LAN, la sola separazione di reti tramite id non credo sia la soluzione
Una volta che sei in rete sei in rete, DHCP non da sicurezza alcuna, sia perché nulla vieta di assegnarti un indirizzo a mano, sia perché anche se non hai un indirizzo hai visibilità e "diritto di parola" a layer 2... Puoi ad esempio fare ARP spoofing, o flood di pacchetti verso una destinazione, o clonare un MAC address di un dispositivo valido con l'intento di confondere gli switch. 😉
