VLAN: quando la segmentazione diventa un’illusione di sicurezza

C’è un’espressione che, in ambito IT, riesce ancora a far abbassare le difese più di qualunque exploit zero-day: “Stai tranquillo, sono su VLAN diverse.”

È una frase rassicurante, detta spesso in buona fede, ma che nasconde un problema culturale enorme. Perché nel momento stesso in cui si attribuisce alla VLAN un valore di sicurezza “forte”, si sta già costruendo una vulnerabilità. Silenziosa, ordinata, pulita. Esattamente come piacciono agli attaccanti.

Le VLAN non sono mai nate per fare sicurezza. Sono nate per organizzare. E trattarle come un muro invalicabile è uno degli errori più comuni – e più longevi – nelle reti aziendali.

La VLAN non protegge: separa (che è un’altra cosa)

Una VLAN serve a dividere domini di broadcast, a mettere ordine nel traffico, a rendere la rete più gestibile. Tutto legittimo. Tutto utile.
Ma non equivale a protezione.

Il problema nasce quando questa separazione logica viene scambiata per una barriera difensiva. Succede spesso: VLAN utenti da una parte, server dall’altra, management “un po’ più in là”. Sulla carta è tutto bellissimo. Nei diagrammi ancora di più. Nella realtà, però, basta poco perché quella separazione diventi puramente cosmetica.

E no, non serve un attacco sofisticato. Molto spesso basta una configurazione “comoda”.

“Ma tanto il VLAN hopping non lo fa più nessuno”

È vero: molte tecniche classiche di VLAN hopping sono note da anni.
Ed è proprio questo il punto.

Se funzionano ancora, non è perché l’attaccante è un genio, ma perché la rete è rimasta indietro. Native VLAN ancora in uso, trunk lasciati aperti “per sicurezza”, porte access che negoziano dinamicamente. Tutte cose che non dovrebbero esistere nel 2026… e invece eccole lì.

Ma fermarsi al VLAN hopping è quasi fuorviante. Perché nella maggior parte degli incidenti reali non serve nemmeno saltare una VLAN.

Il vero problema: il movimento laterale “legittimo”

Nella pratica quotidiana succede questo:
un attaccante entra da una VLAN a basso impatto, magari una postazione utente o un dispositivo marginale. Da lì scopre che il routing inter-VLAN è ampio, permissivo, pensato più per “far funzionare tutto” che per limitare davvero.

Nessun exploit. Nessun salto acrobatico.
Solo traffico consentito.

A quel punto la VLAN smette di essere un ostacolo e diventa una corsia preferenziale. Server, backup, sistemi di gestione, ambienti di test: tutto raggiungibile perché “interno”, perché “fidato”, perché “tanto è un’altra VLAN”.

Ed è qui che la sicurezza si rompe davvero.

VLAN e fiducia: un matrimonio sbagliato

Molte architetture di rete si portano ancora dietro un’idea vecchia di vent’anni:
dentro la rete ci si può fidare.

La VLAN, in questo modello, serve solo a dare ordine. Ma l’ordine non è sicurezza. E soprattutto non è Zero Trust.

Se la tua difesa si basa sul concetto che “chi è su quella VLAN è affidabile”, allora non stai segmentando: stai distribuendo fiducia a blocchi. E la fiducia, in cybersecurity, è sempre il primo asset a essere tradito.

Datacenter, virtualizzazione, cloud: cambia il contesto, non l’errore

Qualcuno pensa che il problema sia solo delle reti “tradizionali”. Non è così.
Nei datacenter virtualizzati e negli ambienti cloud, la segmentazione è ancora più astratta. VLAN, VXLAN, overlay, vSwitch. Tutto molto elegante. Tutto molto potente.

E tutto estremamente fragile se configurato male.

Un errore nel virtual switch, una policy troppo larga, una regola copiata e incollata male, ed ecco che il movimento laterale diventa invisibile, rapido, difficilissimo da intercettare. La segmentazione c’è, ma è solo teorica.

Quando una VLAN smette di essere un’illusione

Una VLAN inizia ad avere senso dal punto di vista della sicurezza solo quando viene trattata per quello che è: un mattone, non un muro.

Serve altro. Serve controllo. Serve frizione. Serve un punto in cui il traffico viene davvero ispezionato, filtrato, autorizzato. Firewall inter-VLAN, ACL sensate, autenticazione degli accessi, monitoraggio continuo.

E soprattutto serve un cambio di mentalità:
la VLAN non è il confine della sicurezza. È solo una linea su una mappa.

La frase da smettere di dire

Se c’è una cosa che andrebbe cancellata dal vocabolario IT aziendale è questa:

“Non può succedere, sono su VLAN diverse.”

Perché nella maggior parte dei casi, quando succede, sono proprio su VLAN diverse.
Solo che nessuno aveva capito che non bastava.

La VLAN organizza.
La sicurezza si costruisce.

Confondere le due cose è uno dei motivi per cui continuiamo a vedere reti “ben segmentate” cadere senza fare rumore.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore