Почему родная VLAN никогда не должна использоваться?

10

В настоящее время я учусь на CCNA Security, меня учили никогда не использовать собственную VLAN в целях безопасности. Это старое обсуждение на форуме Cisco ясно говорит об этом:

Вы также никогда не должны использовать VLAN по умолчанию, потому что переключение VLAN гораздо проще осуществить из VLAN по умолчанию.

Однако с практической точки зрения я не могу точно определить, какая именно угроза решается.

Мои мысли следующие:

  • Злоумышленник, находящийся в собственной VLAN, может быть, он может напрямую внедрить пакеты 802.1q, которые будут переадресованы без изменения первым коммутатором (как поступающий из собственной VLAN), и предстоящие коммутаторы будут рассматривать эти пакеты как допустимые пакеты, поступающие из любой выбранной VLAN атакующим.

    Это действительно сделало бы атаки по VLAN «намного более легкими» . Однако это не работает, поскольку первый коммутатор справедливо считает ненормальным прием пакетов 802.1q через порт доступа и, следовательно, отбрасывает такие пакеты.

  • Злоумышленнику, находящемуся в чужой VLAN, удается превратить порт доступа коммутатора в магистральный. Чтобы отправлять трафик в собственную VLAN, ему просто нужно изменить свой IP-адрес (одну команду) вместо того, чтобы включить VLAN на своем сетевом интерфейсе (четыре команды), сохранив три команды.

    Я, очевидно, считаю это самое незначительное преимущество ...

  • Копаясь в истории, я думал, что где-то прочитал старые рекомендации, утверждающие, что для инъекции 802.1q может потребоваться совместимая сетевая карта и определенные драйверы. Такие требования действительно ограничат способность злоумышленника внедрять пакеты 802.1q и сделают использование собственной VLAN намного более практичным в предыдущем сценарии.

    Однако в настоящее время это не представляется реальным ограничением, и команды конфигурации VLAN являются общей частью команд конфигурации сети Linux (по крайней мере).

Можем ли мы считать этот совет не использовать собственные VLAN устаревшими и сохраненными только для исторических целей и в целях обеспечения безопасности конфигурации, даже несмотря на то, что эта практика больше не направлена ​​на устранение какой-либо конкретной угрозы? Или есть конкретный сценарий, в котором перескок VLAN действительно становится намного проще из-за использования собственной VLAN?

WhiteWinterWolf
источник
1
К вашему сведению, это хорошее чтение, Безопасность коммутатора локальной сети
Майк Пеннингтон,
Для большей безопасности вы должны создать новую виртуальную локальную сеть, в которую вставлены неиспользуемые части и эти порты должны быть отключены
Харрисон Брок,

Ответы:

11

Вы можете и, скорее всего, должны будете использовать собственную VLAN на своих магистральных портах, по крайней мере на коммутаторах Cisco, другие производители делают это по-другому. Но следует помнить, что риск безопасности больше связан с VLAN 1 (VLAN по умолчанию), установленной как собственная VLAN.

Вы должны изменить собственную VLAN с VLAN 1 на новую VLAN, которую вы создаете. Собственная VLAN используется для большого количества данных управления, таких как кадры DTP, VTP и CDP, а также BPDU для связующего дерева.

Когда вы получаете новый коммутатор, VLAN 1 является единственной существующей VLAN, это также означает, что все порты являются членами этой VLAN по умолчанию.

Если вы используете VLAN 1 в качестве собственной VLAN, у вас есть все порты, которые вы не настроили, чтобы быть частью этой VLAN. Таким образом, если злоумышленник подключается к порту, который не используется и не настроен (потому что он не используется), он сразу же получает доступ к вашей управляющей VLAN и может читать и вводить пакеты, которые могут позволить перескочить или захватить нежелательные пакеты VLAN. ему / ей, чтобы увидеть, или, что еще хуже, SSH в ваши коммутаторы / маршрутизаторы (никогда не позволяйте Telnet).

Совет всегда состоит в том, чтобы не использовать VLAN 1, поэтому, если злоумышленник или нежелательный клиент подключается и подключается к VLAN 1, и в этой VLAN ничего не настроено, например, используемый шлюз, они в значительной степени застряли и никуда не могут уйти. в то время как ваша собственная VLAN - это что-то вроде VLAN 900, которая с меньшей вероятностью будет иметь доступ к любому порту, поскольку это не VLAN по умолчанию.

Многие инженеры не отключают неиспользуемые порты, и использование VLAN 1 для важных вещей оставляет вас в ситуации, когда доступ открыт, если вы не используете что-то вроде 802.1x. Инженеры / сетевые администраторы забывают, и у вас есть небольшая дыра в безопасности, которая может помочь злоумышленнику. Если ваша VLAN 1 не используется и порты остаются по умолчанию, это не такая уж большая проблема, потому что она не используется.

Надеюсь, это поможет вам в ваших поисках.

SleepyMan

SleepyMan
источник
3
На самом деле вам не нужно использовать собственную VLAN на устройствах Cisco. Так было уже много лет. То, что вы не можете сделать, это отключить VLAN 1, но вы можете ограничить его из транка.
Рон Мопин
1
однако вы можете блокировать только vlan 1 на магистрали dot1q, если магистраль не переходит к коммутатору, работающему на покрывающем дереве стандарта IEEE 802.1d / s / W
Майк Пеннингтон,
1
Общий совет, с которым я часто сталкиваюсь, четко различает проблему «собственной VLAN», которая делает надежды VLAN более легкой, и проблему «VLAN 1», которая может повлиять на ненастроенные коммутаторы, и рекомендует выделить две никогда не использовавшиеся VLAN для решения каждой из этих проблем. Суть в том, что мне кажется, что все оборудование не сделано равным , и хотя современные коммутаторы Cisco не очень уязвимы для этой проблемы «родной VLAN» и не позволяют VLAN надеяться на это, это может быть не так с другими поставщиками и старыми устройствами. ,
WhiteWinterWolf