В настоящее время я учусь на CCNA Security, меня учили никогда не использовать собственную VLAN в целях безопасности. Это старое обсуждение на форуме Cisco ясно говорит об этом:
Вы также никогда не должны использовать VLAN по умолчанию, потому что переключение VLAN гораздо проще осуществить из VLAN по умолчанию.
Однако с практической точки зрения я не могу точно определить, какая именно угроза решается.
Мои мысли следующие:
Злоумышленник, находящийся в собственной VLAN, может быть, он может напрямую внедрить пакеты 802.1q, которые будут переадресованы без изменения первым коммутатором (как поступающий из собственной VLAN), и предстоящие коммутаторы будут рассматривать эти пакеты как допустимые пакеты, поступающие из любой выбранной VLAN атакующим.
Это действительно сделало бы атаки по VLAN «намного более легкими» . Однако это не работает, поскольку первый коммутатор справедливо считает ненормальным прием пакетов 802.1q через порт доступа и, следовательно, отбрасывает такие пакеты.
Злоумышленнику, находящемуся в чужой VLAN, удается превратить порт доступа коммутатора в магистральный. Чтобы отправлять трафик в собственную VLAN, ему просто нужно изменить свой IP-адрес (одну команду) вместо того, чтобы включить VLAN на своем сетевом интерфейсе (четыре команды), сохранив три команды.
Я, очевидно, считаю это самое незначительное преимущество ...
Копаясь в истории, я думал, что где-то прочитал старые рекомендации, утверждающие, что для инъекции 802.1q может потребоваться совместимая сетевая карта и определенные драйверы. Такие требования действительно ограничат способность злоумышленника внедрять пакеты 802.1q и сделают использование собственной VLAN намного более практичным в предыдущем сценарии.
Однако в настоящее время это не представляется реальным ограничением, и команды конфигурации VLAN являются общей частью команд конфигурации сети Linux (по крайней мере).
Можем ли мы считать этот совет не использовать собственные VLAN устаревшими и сохраненными только для исторических целей и в целях обеспечения безопасности конфигурации, даже несмотря на то, что эта практика больше не направлена на устранение какой-либо конкретной угрозы? Или есть конкретный сценарий, в котором перескок VLAN действительно становится намного проще из-за использования собственной VLAN?
Ответы:
Вы можете и, скорее всего, должны будете использовать собственную VLAN на своих магистральных портах, по крайней мере на коммутаторах Cisco, другие производители делают это по-другому. Но следует помнить, что риск безопасности больше связан с VLAN 1 (VLAN по умолчанию), установленной как собственная VLAN.
Вы должны изменить собственную VLAN с VLAN 1 на новую VLAN, которую вы создаете. Собственная VLAN используется для большого количества данных управления, таких как кадры DTP, VTP и CDP, а также BPDU для связующего дерева.
Когда вы получаете новый коммутатор, VLAN 1 является единственной существующей VLAN, это также означает, что все порты являются членами этой VLAN по умолчанию.
Если вы используете VLAN 1 в качестве собственной VLAN, у вас есть все порты, которые вы не настроили, чтобы быть частью этой VLAN. Таким образом, если злоумышленник подключается к порту, который не используется и не настроен (потому что он не используется), он сразу же получает доступ к вашей управляющей VLAN и может читать и вводить пакеты, которые могут позволить перескочить или захватить нежелательные пакеты VLAN. ему / ей, чтобы увидеть, или, что еще хуже, SSH в ваши коммутаторы / маршрутизаторы (никогда не позволяйте Telnet).
Совет всегда состоит в том, чтобы не использовать VLAN 1, поэтому, если злоумышленник или нежелательный клиент подключается и подключается к VLAN 1, и в этой VLAN ничего не настроено, например, используемый шлюз, они в значительной степени застряли и никуда не могут уйти. в то время как ваша собственная VLAN - это что-то вроде VLAN 900, которая с меньшей вероятностью будет иметь доступ к любому порту, поскольку это не VLAN по умолчанию.
Многие инженеры не отключают неиспользуемые порты, и использование VLAN 1 для важных вещей оставляет вас в ситуации, когда доступ открыт, если вы не используете что-то вроде 802.1x. Инженеры / сетевые администраторы забывают, и у вас есть небольшая дыра в безопасности, которая может помочь злоумышленнику. Если ваша VLAN 1 не используется и порты остаются по умолчанию, это не такая уж большая проблема, потому что она не используется.
Надеюсь, это поможет вам в ваших поисках.
SleepyMan
источник