Почему люди говорят мне не использовать VLAN для безопасности?

25

Согласно заголовку, почему люди говорят мне не использовать VLAN в целях безопасности?

У меня есть сеть, где есть пара VLANS. Существует межсетевой экран между двумя VLAN. Я использую коммутаторы HP Procurve и убедился в том, что ссылки «коммутатор-коммутатор» принимают только помеченные кадры, а порты хоста не принимают помеченные кадры (они не «VLAN Aware»). Я также убедился, что собственная VLAN (PVID) магистральных каналов не совпадает ни с одной из 2 хост-сетей VLAN. Я также включил "Ingress Filtering". Кроме того, я убедился, что порты хоста являются только членами одной VLAN, что совпадает с PVID соответствующего порта. Единственными портами, которые являются членами нескольких VLAN, являются магистральные порты.

Может кто-нибудь объяснить мне, почему вышесказанное не является безопасным? Я считаю, что я обратился к проблеме двойного тегирования.

Благодарность

Обновление: оба коммутатора Hp Procurve 1800-24G

jtnire
источник
1
Вы также можете попробовать задать вопрос на сайте security.stackexchange.com , если хотите получить информацию от специалистов по безопасности ...
AviD
Это обязательно должно быть на security.se.
Марк Э. Хаас
@mehaase, вопросы не могут быть перенесены через определенный промежуток времени. Это слишком старый вопрос для миграции.
Zoredache

Ответы:

18

Почему люди говорят мне не использовать VLAN в целях безопасности?

Существуют реальные риски, если вы не до конца понимаете потенциальные проблемы и правильно настроите свою сеть, чтобы снизить риск до уровня, приемлемого для вашей среды. Во многих местах VLAN обеспечивают адекватный уровень разделения между двумя VLAN.

Может кто-нибудь объяснить мне, почему вышесказанное не является безопасным?

Похоже, вы предприняли все основные шаги, необходимые для достижения довольно безопасной настройки. Но я не совсем знаком с оборудованием HP. Возможно, вы сделали достаточно для своего окружения.

Хорошей статьей также будет документ о безопасности Cisco VLAN .

Он включает в себя список возможных атак на сеть на основе VLAN. Некоторые из них невозможны на некоторых коммутаторах или могут быть смягчены путем правильного проектирования инфраструктуры / сети. Потратьте время, чтобы понять их и решить, стоит ли риск того, что потребуется, чтобы избежать его в вашей среде.

Цитируется из статьи.

  • Атака MAC-флудинга
  • 802.1Q и ISL Taging Attack
  • Двойная инкапсуляция 802.1Q / Nested VLAN Attack
  • ARP-атаки
  • Частная VLAN-атака
  • Многоадресная атака грубой силы
  • Атака связующего дерева

Смотрите также:

Zoredache
источник
1
Да, я прочитал эту статью перед публикацией. Это действительно очень хорошая статья. Хотя я понимаю все связанные с этим риски, настоящий документ действительно относится только к оборудованию Cisco - по крайней мере, к тем деталям, которые могут иметь отношение к ошибочному микропрограммному обеспечению, такому как атаки на флуд и ARP.
jtnire
10

Это безопасно для определенных значений безопасности.

Ошибки в прошивке, сброс настроек коммутатора, ошибка человека может сделать его небезопасным. Пока только очень немногие люди имеют доступ к настройке коммутаторов и самих коммутаторов, это нормально в обычной бизнес-среде.

Я бы пошел на физическое разделение для действительно конфиденциальных данных, хотя.

Хьюберт Карио
источник
1
Разве все эти проблемы не относятся к обычным брандмауэрам третьего уровня?
jtnire
Да, и сети VLAN следует рассматривать так, как если бы они были подключены к общему маршрутизатору. Сеть с действительно конфиденциальными данными не должна быть подключена ни к чему другому. Если у обоих есть доступ к Интернету, то все в порядке.
Хьюберт Карио
2
+1 Ты ударил гвоздь по голове первым предложением.
Джон Гарденье
Можете ли вы объяснить свое первое предложение? Поскольку я пытаюсь использовать VLAN в целях безопасности, я не могу просто предположить, что они небезопасны, и не использовать их для безопасных подсетей :)
jtnire
1
Это не отвечает на вопрос вообще ... это просто общие банальности в отношении безопасности.
Марк Э. Хаас
4

Кажется, я вспоминаю, что в прошлом было проще прыгать по VLAN, поэтому «люди» так говорят. Но почему бы вам не спросить «людей» о причинах? Мы можем только догадываться, почему они сказали вам это. Я знаю, что HIPAA и PCI-аудиторы в порядке с VLAN для безопасности.

mfinni
источник
В самом деле? Аудиторы PCi согласны с этим? Под «людьми» я имею в виду чтение вокруг онлайн :)
jtnire
6
Аудиторы PCI, безусловно, согласны с этим, что удивительно, если учесть, что с ними можно столкнуться, если убедиться в безопасности системы! Сети VLAN - это всего лишь инструмент для выделения широковещательных доменов на уровне 2. На уровне 3 и выше находятся большинство серьезных уязвимостей. К тому времени, когда кто-то подобрался к вашей системе достаточно близко, чтобы возиться с виртуальными локальными сетями, вы столкнулись с гораздо более серьезной проблемой!
Найл Донеган
1
К счастью, мне не приходилось иметь дело с беспроводной связью с PCI DSS, так что это не подошло. Обычно я имею дело с хостингом, где есть хорошие запертые кабины и старые добрые кабели.
Найл Донеган
1
Да, я планирую развернуть VLAN в моей кабине для моих управляемых клиентов. Коммутаторы будут заблокированы в стойке :) Я полагаю, что сети VLAN часто используются в средах colo для совместного использования коммутаторов, не так ли?
jtnire
1
@jnire Да, PCI DSS требует физического разделения для WLAN. Проводные сети разные.
sysadmin1138
2

Я думаю, что основная проблема заключается в том, что VLAN не безопасны, потому что вы просто разделяете широковещательные домены, а не на самом деле разделяете трафик. Весь трафик от нескольких VLAN все еще течет по одним и тем же физическим проводам. Узел с доступом к этому трафику всегда можно настроить на случайный режим и просматривать весь трафик по проводам.

Очевидно, что использование коммутаторов значительно снижает этот риск, поскольку коммутаторы контролируют, какие данные на каких портах фактически появляются, однако основной риск все еще остается.

Фил Холленбек
источник
3
Извини, я не понимаю этого. Поскольку коммутаторы управляют трафиком, проходящим к портам, в зависимости от их членства в VLAN, перевод узла в беспорядочный режим ничего не даст. Конечно, если злоумышленник получит доступ к магистральной линии, то будет работать беспорядочный режим, однако то же самое можно сказать, если злоумышленник получит доступ к кабелю для другого сегмента физического брандмауэра. Пожалуйста, поправьте меня, если я ошибаюсь ..
jtnire
Ну, если злоумышленник получил доступ к вашему коммутатору по сети, он мог бы делать такие вещи, как зеркальные порты и собирать пакеты из других сетей, верно? Я думаю, что проблема связана с тем фактом, что виртуальные локальные сети являются программируемой функцией, в то время как отдельные кабели и физический уровень защиты.
Фил Холленбек
1
Но я все еще не понимаю, чем это отличается от обычного брандмауэра 3-го уровня - они также используют программное обеспечение для программирования. Конечно, я пытался смягчить эту проблему, не помещая ненадежные узлы в управляющую VLAN, поэтому переключение доступа через веб-интерфейс невозможно.
jtnire