C’è un’espressione che, in ambito IT, riesce ancora a far abbassare le difese più di qualunque exploit zero-day: “Stai tranquillo, sono su VLAN diverse.”
È una frase rassicurante, detta spesso in buona fede, ma che nasconde un problema culturale enorme. Perché nel momento stesso in cui si attribuisce alla VLAN un valore di sicurezza “forte”, si sta già costruendo una vulnerabilità. Silenziosa, ordinata, pulita. Esattamente come piacciono agli attaccanti.
Le VLAN non sono mai nate per fare sicurezza. Sono nate per organizzare. E trattarle come un muro invalicabile è uno degli errori più comuni – e più longevi – nelle reti aziendali.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una VLAN serve a dividere domini di broadcast, a mettere ordine nel traffico, a rendere la rete più gestibile. Tutto legittimo. Tutto utile.
Ma non equivale a protezione.
Il problema nasce quando questa separazione logica viene scambiata per una barriera difensiva. Succede spesso: VLAN utenti da una parte, server dall’altra, management “un po’ più in là”. Sulla carta è tutto bellissimo. Nei diagrammi ancora di più. Nella realtà, però, basta poco perché quella separazione diventi puramente cosmetica.
E no, non serve un attacco sofisticato. Molto spesso basta una configurazione “comoda”.
È vero: molte tecniche classiche di VLAN hopping sono note da anni.
Ed è proprio questo il punto.
Se funzionano ancora, non è perché l’attaccante è un genio, ma perché la rete è rimasta indietro. Native VLAN ancora in uso, trunk lasciati aperti “per sicurezza”, porte access che negoziano dinamicamente. Tutte cose che non dovrebbero esistere nel 2026… e invece eccole lì.
Ma fermarsi al VLAN hopping è quasi fuorviante. Perché nella maggior parte degli incidenti reali non serve nemmeno saltare una VLAN.
Nella pratica quotidiana succede questo:
un attaccante entra da una VLAN a basso impatto, magari una postazione utente o un dispositivo marginale. Da lì scopre che il routing inter-VLAN è ampio, permissivo, pensato più per “far funzionare tutto” che per limitare davvero.
Nessun exploit. Nessun salto acrobatico.
Solo traffico consentito.
A quel punto la VLAN smette di essere un ostacolo e diventa una corsia preferenziale. Server, backup, sistemi di gestione, ambienti di test: tutto raggiungibile perché “interno”, perché “fidato”, perché “tanto è un’altra VLAN”.
Ed è qui che la sicurezza si rompe davvero.
Molte architetture di rete si portano ancora dietro un’idea vecchia di vent’anni:
dentro la rete ci si può fidare.
La VLAN, in questo modello, serve solo a dare ordine. Ma l’ordine non è sicurezza. E soprattutto non è Zero Trust.
Se la tua difesa si basa sul concetto che “chi è su quella VLAN è affidabile”, allora non stai segmentando: stai distribuendo fiducia a blocchi. E la fiducia, in cybersecurity, è sempre il primo asset a essere tradito.
Qualcuno pensa che il problema sia solo delle reti “tradizionali”. Non è così.
Nei datacenter virtualizzati e negli ambienti cloud, la segmentazione è ancora più astratta. VLAN, VXLAN, overlay, vSwitch. Tutto molto elegante. Tutto molto potente.
E tutto estremamente fragile se configurato male.
Un errore nel virtual switch, una policy troppo larga, una regola copiata e incollata male, ed ecco che il movimento laterale diventa invisibile, rapido, difficilissimo da intercettare. La segmentazione c’è, ma è solo teorica.
Una VLAN inizia ad avere senso dal punto di vista della sicurezza solo quando viene trattata per quello che è: un mattone, non un muro.
Serve altro. Serve controllo. Serve frizione. Serve un punto in cui il traffico viene davvero ispezionato, filtrato, autorizzato. Firewall inter-VLAN, ACL sensate, autenticazione degli accessi, monitoraggio continuo.
E soprattutto serve un cambio di mentalità:
la VLAN non è il confine della sicurezza. È solo una linea su una mappa.
Se c’è una cosa che andrebbe cancellata dal vocabolario IT aziendale è questa:
“Non può succedere, sono su VLAN diverse.”
Perché nella maggior parte dei casi, quando succede, sono proprio su VLAN diverse.
Solo che nessuno aveva capito che non bastava.
La VLAN organizza.
La sicurezza si costruisce.
Confondere le due cose è uno dei motivi per cui continuiamo a vedere reti “ben segmentate” cadere senza fare rumore.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Vulnerabilità
Innovazione
Cyberpolitica
Cultura