Dlaczego nigdy nie należy używać natywnej sieci VLAN?

10

Obecnie studiuję dla bezpieczeństwa CCNA, nauczono mnie, aby nigdy nie używać natywnej sieci VLAN do celów bezpieczeństwa. Ta stara dyskusja z forum Cisco mówi bardzo wyraźnie:

Nigdy nie powinieneś używać domyślnej sieci VLAN, ponieważ przeskakiwanie sieci VLAN jest znacznie łatwiejsze z domyślnej sieci VLAN.

Jednak z praktycznego punktu widzenia nie jestem w stanie precyzyjnie wskazać, jakie rzeczywiste zagrożenie jest eliminowane.

Moje myśli są następujące:

  • Osoba atakująca znajduje się w natywnej sieci VLAN, być może może on bezpośrednio wstrzyknąć pakiety 802.1q, które zostaną przekazane bez modyfikacji przez pierwszy przełącznik (jako pochodzący z natywnej sieci VLAN), a nadchodzące przełączniki uznają te pakiety za uzasadnione pakiety pochodzące z dowolnej wybranej sieci VLAN przez napastnika.

    To rzeczywiście uczyniłoby ataki chmielowe VLAN „znacznie łatwiejszymi” . Nie działa to jednak, ponieważ pierwszy przełącznik słusznie uważa, że ​​odbieranie pakietów 802.1q na porcie dostępowym jest nienormalne i dlatego odrzuca takie pakiety.

  • Atakującemu znajdującemu się w nienatywnej sieci VLAN udaje się przekształcić port dostępu do przełącznika w port trunk. Aby wysłać ruch do natywnej sieci VLAN, będzie musiał po prostu zmienić swój adres IP (pojedyncze polecenie) zamiast włączać VLAN w interfejsie sieciowym (cztery polecenia), zapisując trzy polecenia.

    Najwyraźniej uważam to za bardzo marginalny zysk ...

  • Podczas kopania historii pomyślałem, że przeczytałem gdzieś stare rekomendacje stwierdzające, że wstrzyknięcie 802.1q może wymagać kompatybilnej karty sieciowej i określonych sterowników. Takie wymagania faktycznie ograniczyłyby zdolność atakującego do wstrzykiwania pakietów 802.1q i sprawiły, że wykorzystanie natywnej sieci VLAN było znacznie bardziej praktyczne w poprzednim scenariuszu.

    Jednak nie wydaje się to obecnie prawdziwym ograniczeniem, a polecenia konfiguracyjne sieci VLAN są powszechną częścią poleceń konfiguracyjnych sieci Linux (przynajmniej).

Czy moglibyśmy uznać tę radę dotyczącą nieużywania natywnych sieci VLAN za przestarzałą i przechowywaną wyłącznie do celów bezpieczeństwa historycznego i konfiguracyjnego, nawet jeśli ta praktyka nie odnosi się już do żadnego konkretnego zagrożenia? Czy istnieje konkretny scenariusz, w którym przeskakiwanie VLAN rzeczywiście staje się znacznie łatwiejsze z powodu użycia natywnej sieci VLAN?

vlan security WhiteWinterWolf
źródło
1
Do Twojej wiadomości, to dobra lektura, LAN Switch Security
Mike Pennington
Dla większego bezpieczeństwa powinieneś stworzyć nową sieć VLAN, w której umieszczane są nieużywane części, a te porty powinny zostać zamknięte
Harrison Brock

Odpowiedzi:

11

Możesz i najprawdopodobniej będziesz musiał użyć natywnej sieci VLAN na portach magistrali, przynajmniej na przełącznikach Cisco, inni dostawcy robią to inaczej. Należy jednak pamiętać, że ryzyko związane z bezpieczeństwem dotyczy bardziej sieci VLAN 1 (domyślnej sieci VLAN) jako macierzystej sieci VLAN.

Powinieneś zmienić natywną sieć VLAN z VLAN 1 na nową, którą tworzysz. Natywna sieć VLAN jest używana do wielu danych zarządzania, takich jak ramki DTP, VTP i CDP, a także BPDU do drzewa opinającego.

Gdy otrzymasz zupełnie nowy przełącznik, VLAN 1 jest jedyną istniejącą siecią VLAN, oznacza to również, że wszystkie porty są domyślnie członkami tej sieci VLAN.

Jeśli używasz VLAN 1 jako natywnej sieci VLAN, masz wszystkie porty, które nie zostały skonfigurowane jako część tej sieci VLAN. Jeśli więc osoba atakująca połączy się z portem, który nie jest używany i nie jest skonfigurowany (ponieważ nie jest używany), ma on natychmiastowy dostęp do Twojej sieci VLAN zarządzania i może odczytywać i wstrzykiwać pakiety, które mogą pozwalać na przeskakiwanie VLAN lub przechwytywanie pakietów, których nie chcesz go / ją, aby zobaczyć, lub gorzej, SSH do twoich przełączników / routerów (nigdy nie zezwalaj na telnet).

Zaleca się, aby zawsze nie używać sieci VLAN 1, więc jeśli osoba atakująca lub niechciany klient połączy się i znajdzie się w sieci VLAN 1, a na tej sieci VLAN nie ma nic skonfigurowanego, na przykład użytecznej bramy, są one bardzo zablokowane i nigdzie nie mogą się udać , podczas gdy twoja natywna sieć VLAN jest podobna do VLAN 900, która ma mniejszy dostęp do portów, ponieważ nie jest domyślną siecią VLAN.

Wielu inżynierów nie wyłącza nieużywanych portów, a używanie VLAN 1 do ważnych rzeczy pozostawia Cię w sytuacji, gdy dostęp jest otwarty, chyba że używasz czegoś takiego jak 802.1x. Inżynierowie / Administratorzy sieci zapominają i masz małą lukę w zabezpieczeniach, która może przynieść korzyść atakującemu. Jeśli twoja sieć VLAN 1 nie jest używana, a porty są pozostawione jako domyślne, nie jest to taka wielka sprawa, ponieważ nie jest używana.

Mam nadzieję, że to pomoże ci w twojej misji.

SleepyMan

SleepyMan
źródło
3
W rzeczywistości nie trzeba używać natywnej sieci VLAN na urządzeniach Cisco. Tak jest od wielu lat. To, czego nie możesz zrobić, to wyłączyć VLAN 1, ale możesz ograniczyć go z łącza.
Ron Maupin
1
można jednak zablokować VLAN 1 tylko na pniu dot1q, dopóki pień nie przejdzie do przełącznika obsługującego standardowe drzewo IEEE 802.1d / s / W
Mike Pennington
1
Ogólna rada, którą często spotykam, wyraźnie rozróżnia problem „natywnej sieci VLAN”, który sprawia, że ​​nadzieja na VLAN jest łatwiejsza, oraz problem „VLAN 1”, który może wpływać na nieskonfigurowane przełączniki, i zalecam poświęcenie dwóch nigdy nieużywanych sieci VLAN, aby rozwiązać każdy z tych problemów. Wydaje mi się, że cały sprzęt nie jest równy i chociaż obecne przełączniki Cisco nie są tak naprawdę narażone na ten „natywny VLAN” i nie pozwolą VLAN mieć takiej nadziei, może nie być tak w przypadku innych dostawców i starszych urządzeń .
WhiteWinterWolf