Чому люди кажуть мені не використовувати VLAN для безпеки?


25

Що стосується назви, чому люди кажуть мені не використовувати VLAN в цілях безпеки?

У мене є мережа, де є пара VLANS. Між 2 VLAN є міжмережевий екран. Я використовую перемикачі HP Procurve і переконався, що посилання "перемикач на комутатор" приймають лише теги кадрів і що хост-порти не приймають позначені кадри (вони не "VLAN Aware"). Я також переконався, що нативна VLAN (PVID) посилань магістралі не збігається з будь-якою з двох хостів VLAN. Я також увімкнув "Фільтрування". Крім того, я переконався, що порти хосту - це лише члени одного VLAN, що є таким же, як PVID відповідного порту. Єдині порти, які є членами декількох VLAN, - це магістральні порти.

Чи можете мені хтось пояснити, чому вищезазначене не є безпечним? Я вважаю, що я вирішив проблему подвійного тегування ..

Спасибі

Оновлення: обидва перемикачі - Hp Procurve 1800-24G


1
Ви також можете спробувати запитати на сторінку security.stackexchange.com , якщо ви хочете отримати інформацію з профі ...
AviD,

Це безумовно має бути на security.se.
Марк Е. Хааз

@mehaase, питання не можна перенести через певний проміжок часу. Це питання занадто старе для міграції.
Зоредаче

Відповіді:


18

Чому люди кажуть мені не використовувати VLAN в цілях безпеки?

Є реальні ризики, якщо ви не повністю розумієте потенційні проблеми та правильно налаштуєте свою мережу, щоб зменшити ризик до точки, прийнятної для вашого оточення. У багатьох місцях VLAN забезпечують адекватний рівень поділу між двома VLAN.

Чи можете мені хтось пояснити, чому вищезазначене не є безпечним?

Здається, ви зробили всі основні кроки, необхідні для досягнення досить безпечної установки. Але я не зовсім знайомий із передачею HP. Можливо, ви зробили достатньо для свого оточення.

Гарною статтею, на яку також слід звернути увагу, буде Біла книга Cisco VLAN щодо безпеки .

Він включає перелік можливих атак на мережу на базі VLAN. Деякі з них неможливі на деяких комутаторах або можуть бути пом’якшені належним дизайном інфраструктури / мережі. Знайдіть час, щоб розібратися в них і вирішити, чи варто ризикувати зусиль, щоб його уникнути у вашому оточенні.

Цитується із статті.

  • MAC Flooding Attack
  • 802.1Q та ISL атака мітки
  • Подвійний капсульований 802.1Q / вкладений VLAN Attack
  • Атаки ARP
  • Приватна атака VLAN
  • Атака з грубою швидкістю
  • Атака, що перекидається на дерево

Дивись також:


1
Так, я прочитав цю статтю, перш ніж опублікувати цю статтю. Це дуже хороша стаття. Хоча я розумію всі пов'язані з цим ризики, Біла книга дійсно стосується лише механізму Cisco - принаймні для частин, які стосуватимуться глючно прошивки, такої як затоплення та ARP-атаки.
jtnire

10

Це безпечно для певних значень захищеності.

Помилки в прошивці, налаштування комутатора скидається, помилка людини може зробити це незахищеним. Поки лише дуже мало людей мають доступ до конфігурації самих комутаторів і комутаторів, це нормально в загальних бізнес-середовищах.

Хоча я б пішов на фізичне розлучення для дійсно чутливих даних.


1
Чи не всі ці проблеми стосуються звичайних брандмауерів 3-го рівня?
jtnire

Так, і VLAN повинні розглядатися так, ніби вони підключені до загального маршрутизатора. Мережу з дійсно чутливими даними не слід підключати ні до чого іншого. Якщо обоє мають доступ до Інтернету, тоді ви все в порядку.
Хуберт Каріо

2
+1 Ви першим реченням вдарили цвях по голові.
Джон Гарденєр

Чи можете ви пояснити своє перше речення? Оскільки я намагаюся використовувати VLAN в цілях безпеки, я не можу просто припустити, що вони небезпечні, і не використовувати їх для захищених підмереж :)
jtnire

1
Це зовсім не відповідає на питання ... це просто загальні бажання безпеки.
Марк Е. Хааз

4

Здається, я згадую, що раніше було простіше робити скачування VLAN, так що, можливо, саме тому "люди" говорять про це. Але чому б ти не попросив "людей" з причин? Ми можемо лише здогадуватися, чому вони вам це сказали. Я знаю, що HIPAA та аудитори PCI добре з VLAN для безпеки.


Дійсно? З аудиторами PCi все в порядку? Під "людьми" я маю на увазі читання в Інтернеті :)
jtnire

6
Аудитори PCI, безумовно, добре з цим, що дивно, враховуючи, що деякі з них можуть прийти, переконавшись, що система захищена! VLAN - це лише інструмент для розділення доменів широкомовної програми на рівні 2. 3 рівень і вище - це більшість серйозних вразливих місць. На той момент, коли хтось наблизився до вашої системи, щоб поспілкуватися з VLAN, у вас є набагато серйозніша проблема!
Niall Donegan

1
На щастя, мені не довелося мати справу з бездротовим зв’язком стосовно PCI DSS, так що не з’явилося. Я зазвичай маю справу з цим стосовно хостингових середовищ, де це приємно заблоковані кабіни та хороші старомодні кабелі.
Niall Donegan

1
Так, я планую розгорнути VLAN у своїй кабіні для своїх керованих клієнтів. Вимикачі будуть заблоковані в стійці :) Я думаю, що VLAN багато використовуються в колоритних умовах для обміну комутаторами, чи не так?
jtnire

1
@jnire Так, PCI DSS вимагає фізичного поділу для WLAN. Провідні мережі різні.
sysadmin1138

2

Я думаю, що головне питання полягає в тому, що vlans не захищені, тому що ви просто відокремлюєте широкомовні домени, а не фактично відокремлюєте трафік. Весь трафік від кількох вланів все ще протікає по одних і тих же фізичних проводах. Хост, що має доступ до цього трафіку, завжди може бути налаштований у безладному режимі та переглядати весь трафік на дроті.

Очевидно, що використання комутаторів зменшує цей ризик зовсім небагато, оскільки комутатори контролюють, які дані фактично з’являються на яких портах, однак основний ризик все ж є.


3
Вибачте, що цього не розумію. Оскільки комутатори керують трафіком, що протікає до портів, залежно від їх належності до VLAN, переведення хоста в розрядний режим нічого не призведе. Звичайно, якщо зловмисник отримав доступ до лінії магістралі, то безладний режим спрацював би, проте те саме можна сказати, якби зловмисник отримав доступ до кабелю для іншого сегмента фізичного брандмауера. Будь ласка, виправте мене, якщо я помиляюся ..
jtnire

Ну, якщо зловмисник отримав доступ до вашого комутатора по мережі, він міг би робити такі речі, як дзеркальні порти та збирати пакети від інших вланів, правда? Я думаю, що проблема повертається до того, що vlans є програмованою функцією, при цьому розділені кабелі та фізичний рівень захисту.
Phil Hollenback

1
Але я все ще не розумію, чим це відрізняється від звичайного брандмауера Layer-3 - вони також використовують програмне забезпечення для програмування. Звичайно, я намагався пом'якшити цю проблему, не розміщуючи недовірених хостів на VLAN управління, тому переключити доступ до веб-gui неможливо.
jtnire
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.