Şu anda bir CCNA Güvenliği için okurken, yerel VLAN'ı asla güvenlik amacıyla kullanmam öğretildi. Cisco forumundan gelen bu eski tartışma bunu çok net bir şekilde açıklıyor:
Varsayılan VLAN'ı asla kullanmamalısınız, çünkü VLAN atlaması varsayılan VLAN'dan çok daha kolay gerçekleştirilir.
Bununla birlikte, pratik bir bakış açısıyla, gerçek tehdidin ele alındığı noktayı tam olarak belirleyemiyorum.
Düşüncelerim şunlardır:
Saldırgan yerel VLAN'da bulunuyor olabilir, belki de ilk anahtarla (yerel bir VLAN'dan geldiği gibi) değiştirilmeden iletilecek 802.1q paketlerini doğrudan enjekte edebilir ve yaklaşan anahtarlar bu paketleri seçilen herhangi bir VLAN'dan gelen meşru paketler olarak kabul eder. saldırgan tarafından.
Bu gerçekten de VLAN atlamalı saldırılarını "çok daha kolay" yapardı . Ancak, ilk anahtar bir erişim bağlantı noktasında 802.1q paketleri almanın anormal olduğunu düşündüğü ve bu nedenle bu paketleri bıraktığı için bu çalışmaz.
Yerel olmayan bir VLAN'da bulunan bir saldırgan, anahtar erişim bağlantı noktasını bir ana bağlantı noktasına dönüştürmeyi başarır. Yerel VLAN'a trafik göndermek için, ağ arayüzünde (dört komut) VLAN'ı etkinleştirmek yerine üç komut kaydetmek yerine IP adresini (tek bir komut) değiştirmeniz yeterli olacaktır.
Açıkçası bunu en çok marjinal bir kazanç olarak görüyorum ...
Geçmişi kazarken, 802.1q enjeksiyonunun uyumlu bir ağ kartı ve belirli sürücüler gerektirebileceğini belirten eski önerileri okuduğumu düşündüm. Bu tür gereksinimler gerçekten saldırganın 802.1q paketleri enjekte etme ve yerel VLAN sömürüsünü önceki senaryoda daha pratik hale getirme yeteneğini sınırlayacaktır.
Ancak bu günümüzde gerçek bir sınırlama gibi görünmüyor ve VLAN yapılandırma komutları Linux (en azından) ağ yapılandırma komutlarının ortak bir parçası.
Bu uygulama artık belirli bir tehdidi ele almasa da, yerel VLAN'ları modası geçmiş ve yalnızca tarihi ve yapılandırma aklı başında olmak için kullanmama hakkındaki bu tavsiyeyi düşünebilir miyiz? Yoksa kullanılan VLAN nedeniyle VLAN atlamanın gerçekten çok daha kolay olduğu somut bir senaryo var mı?