Чому рідну VLAN ніколи не слід використовувати?

10

В даний час навчаючись на безпеку CCNA, мене вчили ніколи не використовувати рідну VLAN в цілях безпеки. У цій старій дискусії з форуму Cisco це дуже чітко зазначено:

Ніколи не слід використовувати VLAN за замовчуванням, оскільки скачування VLAN набагато легше здійснюється від VLAN за замовчуванням.

Однак, з практичної точки зору, я не в змозі точно визначити, яка реальна загроза стосується.

Мої думки такі:

  • Зловмисник, розташований на вбудованій VLAN, можливо, він може безпосередньо ввести пакети 802.1q, які будуть передані без змін першим перемикачем (як з рідної VLAN), а майбутні комутатори будуть розглядати ці пакети як законні пакети, що надходять із будь-якої обраної VLAN зловмисником.

    Це дійсно зробило б скачування атак VLAN набагато легшими . Однак це не спрацьовує, оскільки перший комутатор справедливо вважає ненормальним отримання 802.1q пакетів на порту доступу і тому скидає такі пакети.

  • Зловмисник, розташований на не-рідній VLAN, вдається перетворити порт доступу комутатора в магістральний. Для передачі трафіку до рідної VLAN йому просто доведеться змінити свою IP-адресу (одну команду), а не ввімкнути VLAN у своєму мережевому інтерфейсі (чотири команди), заощадивши три команди.

    Я, очевидно, розглядаю це якнайкраще як дуже незначний виграш ...

  • Коли копався в історії, я думав, що десь прочитав старі рекомендації, згідно з якими введення 802.1q може вимагати сумісної мережевої карти та конкретних драйверів. Такі вимоги дійсно обмежують можливість зловмисника впорскувати пакети 802.1q та зробити власну експлуатацію VLAN набагато практичнішою у попередньому сценарії.

    Однак це, здається, не є справжнім обмеженням, і команди конфігурації VLAN є загальною частиною команд конфігурації мережі Linux (принаймні).

Чи можемо ми вважати цю пораду не використовувати вбудовані локальні локальні мережі застарілими та зберігатись лише з метою історичної та конфігураційної безпеки, хоча ця практика вже не стосується конкретної загрози? Або існує конкретний сценарій, коли сканування VLAN дійсно стає набагато простішим через використання нативного VLAN?

vlan  security 
WhiteWinterWolf
джерело
1
FYI, це добре прочитане, Безпека комутаторів LAN
Майк Пеннінгтон
Для більшої безпеки вам слід створити нову мережу VLAN, в яку будуть поставлені невикористані деталі, і ці порти мають бути відключені
Harrison Brock

Відповіді:

11

Ви можете і, швидше за все, вам потрібно буде використовувати вбудовану VLAN на своїх магістральних портах, принаймні на комутаторах Cisco, інші виробники роблять це інакше. Але ви повинні пам’ятати, що ризик для безпеки пов'язаний більше з тим, що VLAN 1 (VLAN за замовчуванням) встановлюється як власна VLAN.

Ви повинні змінити нативну VLAN з VLAN 1 на нову, яку ви створили. Нативна VLAN використовується для безлічі даних управління, таких як кадри DTP, VTP та CDP, а також BPDU для дерева, що охоплює.

Коли ви отримуєте абсолютно новий комутатор, VLAN 1 - єдина VLAN, яка існує, це також означає, що всі порти є учасниками цієї VLAN за замовчуванням.

Якщо ви використовуєте VLAN 1 як свою рідну VLAN, у вас є всі порти, які ви не налаштували як частина цієї VLAN. Тож якщо зловмисник підключається до порту, який не використовується та не налаштований (оскільки він не використовується), він має одразу доступ до вашої VLAN управління та може читати та вводити пакети, які можуть дозволити скачування або захоплення пакетів VLAN, які ви не хочете йому / їй бачити, або ще гірше, SSH у ваші комутатори / роутери (ніколи не дозволяйте telnet).

Порада завжди не використовувати VLAN 1, тому якщо зловмисник або небажаний клієнт підключиться і перетвориться на VLAN 1, і на цій VLAN нічого не налаштовано, наприклад, корисний шлюз, вони сильно застрягли і нікуди не можуть переходити , тоді як ваш рідний VLAN - це щось на кшталт VLAN 900, що рідше матиме доступ до порту, оскільки це не VLAN за замовчуванням.

Багато інженерів не вимикають невикористані порти, а використання VLAN 1 для важливих матеріалів залишає вас у ситуації, коли доступ відкритий, якщо ви не використовуєте щось на зразок 802.1x. Інженери / адміністратори мережі забувають, і у вас є невеликий отвір у захисті, який може принести користь зловмиснику. Якщо ваша VLAN 1 не використовується, а порти залишаються за замовчуванням, це не така вже й велика справа, оскільки вона не використовується.

Сподіваюся, це допоможе вам у ваших пошуках.

SleepyMan

SleepyMan
джерело
3
Насправді, вам не доведеться використовувати вбудовану VLAN на пристроях Cisco. Так вже багато років. Те, що ви не можете зробити, це відключити VLAN 1, але ви можете обмежити його з магістралі.
Рон Моупін
1
однак ви можете блокувати vlan 1 лише на магістралі dot1q до тих пір, поки магістраль не перейде до комутатора, що працює на стандартному стандарті IEEE 802.1d / s / W /
Майк Пеннінгтон
1
Загальна порада, з якою я часто стикаюся, чітко розрізняє проблему "рідної VLAN", яка робить сподівання VLAN більш простою, і проблему "VLAN 1", яка може вплинути на неконфігуровані комутатори, і рекомендую виділити дві не використовувані VLAN для вирішення кожної з цих проблем. Сенс для мене здається, що все обладнання воно не зробило рівним , і хоча нинішні комутатори Cisco не дуже вразливі до цієї "рідної VLAN" проблеми і не дозволять VLAN сподіватися таким чином, можливо, це не так з іншими постачальниками та старими пристроями .
WhiteWinterWolf
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.