Dlaczego ludzie mówią mi, żebym nie używał sieci VLAN dla bezpieczeństwa?

25

Jak w tytule, dlaczego ludzie mówią mi, aby nie używać sieci VLAN do celów bezpieczeństwa?

Mam sieć, w której mam kilka VLANS. Pomiędzy 2 sieciami VLAN znajduje się zapora ogniowa. Korzystam z przełączników HP Procurve i upewniłem się, że łącza przełączania do przełącznika akceptują tylko oznaczone ramki i że porty hosta nie akceptują oznaczonych ramek (nie są one „VLAN Aware”). Upewniłem się również, że natywna sieć VLAN (PVID) łączy magistrali nie jest taka sama, jak którykolwiek z 2 hostów VLAN. Włączyłem także „Filtrowanie Ingress”. Ponadto upewniłem się, że porty hosta są tylko członkami jednej sieci VLAN, która jest taka sama jak PVID odpowiedniego portu. Jedynymi portami, które są członkami wielu sieci VLAN, są porty trunk.

Czy ktoś może mi wyjaśnić, dlaczego powyższe nie jest bezpieczne? Myślę, że rozwiązałem problem podwójnego tagowania ..

Dzięki

Aktualizacja: oba przełączniki mają HP Procurve 1800-24G

jtnire
źródło
1
Możesz także spróbować zapytać na security.stackexchange.com , jeśli chcesz uzyskać informacje od profesjonalistów w dziedzinie bezpieczeństwa ...
AviD
To zdecydowanie powinno być na security.se.
Mark E. Haase,
@mehaase, pytania nie mogą być migrowane po pewnym czasie. To pytanie jest za stare, aby je migrować.
Zoredache

Odpowiedzi:

18

Dlaczego ludzie mówią mi, aby nie używać sieci VLAN do celów bezpieczeństwa?

Istnieje realne ryzyko, jeśli nie w pełni rozumiesz potencjalne problemy i odpowiednio skonfigurujesz swoją sieć, aby zmniejszyć ryzyko do punktu, który jest akceptowalny dla twojego środowiska. W wielu lokalizacjach sieci VLAN zapewniają odpowiedni poziom separacji między dwiema sieciami VLAN.

Czy ktoś może mi wyjaśnić, dlaczego powyższe nie jest bezpieczne?

Wygląda na to, że wykonałeś wszystkie podstawowe kroki niezbędne do uzyskania całkiem bezpiecznej konfiguracji. Ale nie znam się na sprzęcie HP. Być może zrobiłeś wystarczająco dużo dla swojego środowiska.

Dobry artykuł, na który też warto spojrzeć, to biała księga Cisco VLAN Security .

Zawiera listę możliwych ataków na sieć VLAN. Niektóre z nich nie są możliwe w przypadku niektórych przełączników lub można je złagodzić poprzez odpowiedni projekt infrastruktury / sieci. Poświęć czas na ich zrozumienie i zdecyduj, czy ryzyko jest warte wysiłku, jaki należy podjąć, aby go uniknąć w swoim otoczeniu.

Cytat z artykułu.

  • MAC Flooding Attack
  • Atak tagowania 802.1Q i ISL
  • Podwójnie enkapsulowany atak VLAN 802.1Q / zagnieżdżony
  • Ataki ARP
  • Prywatny atak VLAN
  • Multicast Brute Force Attack
  • Atak Spanning-Tree

Zobacz też:

Zoredache
źródło
1
Tak, przeczytałem ten artykuł przed opublikowaniem tego. To naprawdę bardzo dobry artykuł. Chociaż rozumiem wszystkie związane z tym ryzyko, biała księga naprawdę odnosi się tylko do sprzętu Cisco - przynajmniej do części związanych z błędnym oprogramowaniem, takim jak zalanie i ataki ARP.
jtnire 10.01.11
10

Jest bezpieczny dla niektórych wartości bezpieczeństwa.

Błędy w oprogramowaniu układowym, reset konfiguracji konfiguracji, błąd ludzki może sprawić, że będzie niezabezpieczony. Dopóki tylko nieliczne osoby mają dostęp do konfiguracji przełączników i samych przełączników, w ogólnym środowisku biznesowym jest OK.

Jednak wybrałbym fizyczne oddzielenie naprawdę wrażliwych danych.

Hubert Kario
źródło
1
Czy wszystkie te problemy nie dotyczą normalnych zapór ogniowych warstwy 3?
jtnire
Tak, a sieci VLAN należy traktować tak, jakby były podłączone do wspólnego routera. Sieć z naprawdę wrażliwymi danymi nie powinna być połączona z niczym innym. Jeśli oba mają dostęp do Internetu, wszystko jest w porządku.
Hubert Kario
2
+1 Uderzyłeś paznokcią w głowę pierwszym zdaniem.
John Gardeniers,
Czy możesz wyjaśnić swoje pierwsze zdanie? Ponieważ staram się używania sieci VLAN dla celów bezpieczeństwa, nie mogę po prostu przyjąć, że są one niebezpieczne i nie używać ich do bezpiecznych podsieci :)
jtnire
1
To wcale nie odpowiada na pytanie ... to po prostu powszechne frazesy bezpieczeństwa.
Mark E. Haase,
4

Wydaje mi się, że w przeszłości łatwiej było przeskakiwać VLAN, więc być może dlatego „ludzie” to mówią. Ale dlaczego nie zapytasz „ludzi” z powodów? Możemy tylko zgadywać, dlaczego ci to powiedzieli. Wiem, że kontrolerzy HIPAA i PCI są zgodni z sieciami VLAN pod względem bezpieczeństwa.

mfinni
źródło
Naprawdę? Audytorzy PCi są w porządku? Przez „ludzi” rozumiem tylko czytanie online :)
jtnire
6
Audytorzy PCI zdecydowanie się z tym zgadzają, co jest zaskakujące, biorąc pod uwagę niektórych byków, których mogą wymyślić, upewniając się, że system jest bezpieczny! Sieci VLAN to tylko narzędzie do oddzielania domen rozgłoszeniowych w warstwie 2. Warstwa 3 i nowsze stanowią większość poważnych luk w zabezpieczeniach. Zanim ktoś zbliży się do twojego systemu, aby bawić się z sieciami VLAN, masz o wiele poważniejszy problem!
Niall Donegan
1
Na szczęście nie miałem do czynienia z siecią bezprzewodową w stosunku do PCI DSS, więc to nie wyszło. Zwykle radzę sobie z tym w środowiskach hostingowych, w których są ładne zamknięte kabiny i dobre, stare kable.
Niall Donegan
1
Tak, planuję wprowadzić w mojej kabinie sieci VLAN dla moich zarządzanych klientów. Przełączniki zostaną zablokowane w szafie :) Sądzę, że sieci VLAN są często używane w środowiskach colo do udostępniania przełączników, prawda?
jtnire
1
@jnire Tak, PCI DSS nie wymaga fizycznej separacji dla sieci WLAN. Sieci przewodowe są różne.
sysadmin1138
2

Myślę, że podstawową kwestią jest to, że vlany nie są bezpieczne, ponieważ po prostu segregujesz domeny rozgłoszeniowe, a nie segregujesz ruch. Cały ruch z wielu sieci wciąż przepływa przez te same fizyczne przewody. Host z dostępem do tego ruchu można zawsze skonfigurować w tryb rozwiązany i przeglądać cały ruch w sieci.

Oczywiście użycie przełączników znacznie zmniejsza to ryzyko, ponieważ przełączniki kontrolują, które dane faktycznie pojawiają się na poszczególnych portach, jednak podstawowe ryzyko nadal istnieje.

Phil Hollenback
źródło
3
Przepraszam, nie rozumiem tego. Ponieważ przełączniki kontrolują ruch przepływający do portów w zależności od ich członkostwa w VLAN, przełączenie hosta w tryb rozwiązawczy nie zrobiłoby nic. Jasne, jeśli atakujący uzyska dostęp do linii głównej, tryb rozwiązany będzie działał, jednak to samo można powiedzieć, jeśli atakujący uzyska dostęp do kabla dla innego fizycznego segmentu zapory. Popraw mnie, jeśli się mylę ...
jtnire
Cóż, jeśli atakujący uzyska dostęp do twojego przełącznika przez sieć, może robić takie rzeczy jak porty lustrzane i zbierać pakiety z innych sieci, prawda? Myślę, że problem wraca do faktu, że vlany są funkcją programowalną, podczas gdy oddzielone kable i fizyczna warstwa ochrony.
Phil Hollenback,
1
Ale nadal nie rozumiem, jak to się różni od zwykłej zapory ogniowej w warstwie 3 - używają również oprogramowania do programowania. Oczywiście próbowałem zminimalizować ten problem, nie umieszczając niezaufanych hostów w sieci VLAN zarządzania, więc przełączanie dostępu do GUI nie jest możliwe.
jtnire 10.01.11