В даний час навчаючись на безпеку CCNA, мене вчили ніколи не використовувати рідну VLAN в цілях безпеки. У цій старій дискусії з форуму Cisco це дуже чітко зазначено:
Ніколи не слід використовувати VLAN за замовчуванням, оскільки скачування VLAN набагато легше здійснюється від VLAN за замовчуванням.
Однак, з практичної точки зору, я не в змозі точно визначити, яка реальна загроза стосується.
Мої думки такі:
Зловмисник, розташований на вбудованій VLAN, можливо, він може безпосередньо ввести пакети 802.1q, які будуть передані без змін першим перемикачем (як з рідної VLAN), а майбутні комутатори будуть розглядати ці пакети як законні пакети, що надходять із будь-якої обраної VLAN зловмисником.
Це дійсно зробило б скачування атак VLAN набагато легшими . Однак це не спрацьовує, оскільки перший комутатор справедливо вважає ненормальним отримання 802.1q пакетів на порту доступу і тому скидає такі пакети.
Зловмисник, розташований на не-рідній VLAN, вдається перетворити порт доступу комутатора в магістральний. Для передачі трафіку до рідної VLAN йому просто доведеться змінити свою IP-адресу (одну команду), а не ввімкнути VLAN у своєму мережевому інтерфейсі (чотири команди), заощадивши три команди.
Я, очевидно, розглядаю це якнайкраще як дуже незначний виграш ...
Коли копався в історії, я думав, що десь прочитав старі рекомендації, згідно з якими введення 802.1q може вимагати сумісної мережевої карти та конкретних драйверів. Такі вимоги дійсно обмежують можливість зловмисника впорскувати пакети 802.1q та зробити власну експлуатацію VLAN набагато практичнішою у попередньому сценарії.
Однак це, здається, не є справжнім обмеженням, і команди конфігурації VLAN є загальною частиною команд конфігурації мережі Linux (принаймні).
Чи можемо ми вважати цю пораду не використовувати вбудовані локальні локальні мережі застарілими та зберігатись лише з метою історичної та конфігураційної безпеки, хоча ця практика вже не стосується конкретної загрози? Або існує конкретний сценарій, коли сканування VLAN дійсно стає набагато простішим через використання нативного VLAN?