Yerel VLAN neden asla kullanılmamalıdır?

10

Şu anda bir CCNA Güvenliği için okurken, yerel VLAN'ı asla güvenlik amacıyla kullanmam öğretildi. Cisco forumundan gelen bu eski tartışma bunu çok net bir şekilde açıklıyor:

Varsayılan VLAN'ı asla kullanmamalısınız, çünkü VLAN atlaması varsayılan VLAN'dan çok daha kolay gerçekleştirilir.

Bununla birlikte, pratik bir bakış açısıyla, gerçek tehdidin ele alındığı noktayı tam olarak belirleyemiyorum.

Düşüncelerim şunlardır:

  • Saldırgan yerel VLAN'da bulunuyor olabilir, belki de ilk anahtarla (yerel bir VLAN'dan geldiği gibi) değiştirilmeden iletilecek 802.1q paketlerini doğrudan enjekte edebilir ve yaklaşan anahtarlar bu paketleri seçilen herhangi bir VLAN'dan gelen meşru paketler olarak kabul eder. saldırgan tarafından.

    Bu gerçekten de VLAN atlamalı saldırılarını "çok daha kolay" yapardı . Ancak, ilk anahtar bir erişim bağlantı noktasında 802.1q paketleri almanın anormal olduğunu düşündüğü ve bu nedenle bu paketleri bıraktığı için bu çalışmaz.

  • Yerel olmayan bir VLAN'da bulunan bir saldırgan, anahtar erişim bağlantı noktasını bir ana bağlantı noktasına dönüştürmeyi başarır. Yerel VLAN'a trafik göndermek için, ağ arayüzünde (dört komut) VLAN'ı etkinleştirmek yerine üç komut kaydetmek yerine IP adresini (tek bir komut) değiştirmeniz yeterli olacaktır.

    Açıkçası bunu en çok marjinal bir kazanç olarak görüyorum ...

  • Geçmişi kazarken, 802.1q enjeksiyonunun uyumlu bir ağ kartı ve belirli sürücüler gerektirebileceğini belirten eski önerileri okuduğumu düşündüm. Bu tür gereksinimler gerçekten saldırganın 802.1q paketleri enjekte etme ve yerel VLAN sömürüsünü önceki senaryoda daha pratik hale getirme yeteneğini sınırlayacaktır.

    Ancak bu günümüzde gerçek bir sınırlama gibi görünmüyor ve VLAN yapılandırma komutları Linux (en azından) ağ yapılandırma komutlarının ortak bir parçası.

Bu uygulama artık belirli bir tehdidi ele almasa da, yerel VLAN'ları modası geçmiş ve yalnızca tarihi ve yapılandırma aklı başında olmak için kullanmama hakkındaki bu tavsiyeyi düşünebilir miyiz? Yoksa kullanılan VLAN nedeniyle VLAN atlamanın gerçekten çok daha kolay olduğu somut bir senaryo var mı?

vlan  security 
WhiteWinterWolf
kaynak
1
Bilginize, bu iyi bir okuma, LAN Anahtarı Güvenliği
Mike Pennington
Daha fazla güvenlik için, kullanılmayan parçaların yerleştirildiği ve bu bağlantı noktalarının kapatılması gereken bir VLAN kullanmalısınız
Harrison Brock

Yanıtlar:

11

Ana bağlantı noktalarınızda, en azından Cisco anahtarlarında yerel bir VLAN kullanmanız gerekebilir ve muhtemelen ihtiyacınız olacaktır, diğer satıcılar bunu farklı şekilde yapar. Ancak, güvenlik riskinin yerel bir VLAN olarak ayarlanmış VLAN 1 (varsayılan VLAN) ile daha fazla ilgili olduğunu hatırlamanız gerekenler.

Yerel VLAN'ı VLAN 1 olarak oluşturduğunuz yeni bir VLAN olarak değiştirmelisiniz. Yerel VLAN, DTP, VTP ve CDP çerçeveleri gibi birçok yönetim verisi ve ayrıca ağaç genişletme için BPDU'lar için kullanılır.

Yepyeni bir anahtar aldığınızda, VLAN 1 mevcut olan tek VLAN'dır, bu aynı zamanda tüm bağlantı noktalarının varsayılan olarak bu VLAN'ın üyesi olduğu anlamına gelir.

Yerel VLAN'ınız olarak VLAN 1 kullanıyorsanız, bu VLAN'ın bir parçası olacak şekilde yapılandırmamış olduğunuz tüm portlara sahipsiniz. Dolayısıyla, bir saldırgan kullanılmayan ve yapılandırılmayan bir bağlantı noktasına bağlanırsa (kullanılmadığı için) yönetim VLAN'ınıza doğrudan erişebilir ve istemediğiniz VLAN atlamasına veya yakalama paketlerine izin verebilecek paketleri okuyabilir ve enjekte edebilir SSH'yi anahtarlarınıza / yönlendiricilerinize (veya telnet'e asla izin vermeyin) görebilmeniz veya daha da kötüsü yapamazsınız.

Tavsiye her zaman VLAN 1'i kullanmamaktır, bu nedenle bir saldırgan veya istenmeyen istemci VLAN 1'e bağlanır ve sona ererse ve bu VLAN'da kullanılabilir bir ağ geçidi gibi yapılandırılmış bir şey yoksa, bunlar oldukça sıkışmış ve hiçbir yere gidemez yerel VLAN, VLAN 900 gibi bir şey olsa da, varsayılan VLAN olmadığı için bağlantı noktası erişimine sahip olma olasılığı daha düşüktür.

Birçok mühendis kullanılmayan bağlantı noktalarını devre dışı bırakmaz ve VLAN 1'i önemli şeyler için kullanmak, 802.1x gibi bir şey kullanmadığınız sürece erişimin açık olduğu bir durumda sizi bırakır. Mühendisler / Ağ yöneticileri unutur ve bir saldırgana fayda sağlayabilecek küçük bir güvenlik deliğiniz vardır. VLAN 1'iniz kullanılmazsa ve bağlantı noktaları varsayılan olarak bırakılırsa, kullanılmadığı için çok da önemli değildir.

Umarım bu sana yardımcı olur.

SleepyMan

SleepyMan
kaynak
3
Aslında, Cisco cihazlarında yerel bir VLAN kullanmak zorunda değilsiniz. Uzun yıllardır durum böyledir. Yapamadığınız şey VLAN 1'i devre dışı bırakmaktır, ancak bunu bir bagajdan kısıtlayabilirsiniz.
Ron Maupin
1
ancak, gövde IEEE standart 802.1d / s / W yayılan ağacını çalıştıran bir anahtara gitmediği sürece, vlan 1'i bir dot1q gövdesinde engelleyebilirsiniz
Mike Pennington
1
Sıklıkla karşılaştığım genel öneri, VLAN'ı daha kolay hale getiren "yerel VLAN" sorununu ve yapılandırılmamış anahtarları etkileyebilecek "VLAN 1" sorununu açıkça ayırt ediyor ve bu sorunların her birini ele almak için hiç kullanılmamış iki VLAN ayırmanızı tavsiye ediyor. Benim açımdan, tüm donanımların eşit olmadığı anlaşılıyor ve mevcut Cisco anahtarları bu "yerel VLAN" sorununa karşı gerçekten savunmasız olmasa da, VLAN'ın bu şekilde umut etmesine izin vermeyecek olsa da, diğer satıcılarda ve eski cihazlarda durum böyle olmayabilir .
WhiteWinterWolf
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.