Warum sollte das native VLAN niemals verwendet werden?

10

Ich studiere derzeit für eine CCNA-Sicherheit und habe gelernt, das native VLAN niemals für Sicherheitszwecke zu verwenden. Diese alte Diskussion aus dem Cisco-Forum sagt es sehr deutlich:

Sie sollten auch niemals das Standard-VLAN verwenden, da das VLAN-Hopping mit dem Standard-VLAN viel einfacher durchgeführt werden kann.

Aus praktischer Sicht kann ich jedoch nicht genau bestimmen, welche tatsächliche Bedrohung angegangen wird.

Meine Gedanken sind folgende:

  • Wenn sich der Angreifer im nativen VLAN befindet, kann er möglicherweise direkt 802.1q-Pakete einspeisen, die vom ersten Switch (als aus einem nativen VLAN stammend) ohne Änderung weitergeleitet werden. Bei kommenden Switches werden diese Pakete als legitime Pakete betrachtet, die aus einem ausgewählten VLAN stammen vom Angreifer.

    Dies hätte VLAN-Hopping-Angriffe in der Tat "viel einfacher" gemacht . Dies funktioniert jedoch nicht, da der erste Switch es zu Recht als abnormal ansieht, 802.1q-Pakete an einem Zugriffsport zu empfangen, und daher solche Pakete verwirft.

  • Ein Angreifer, der sich in einem nicht nativen VLAN befindet, kann einen Switch-Zugriffsport in einen Trunk-Port verwandeln. Um Datenverkehr an das native VLAN zu senden, muss er nur seine IP-Adresse ändern (ein einzelner Befehl), anstatt das VLAN auf seiner Netzwerkschnittstelle zu aktivieren (vier Befehle), wodurch drei Befehle gespeichert werden.

    Ich betrachte dies offensichtlich höchstens als einen sehr geringen Gewinn ...

  • Als ich in der Geschichte stöberte, dachte ich, ich hätte irgendwo alte Empfehlungen gelesen, die besagen, dass für die 802.1q-Injektion eine kompatible Netzwerkkarte und bestimmte Treiber erforderlich sein könnten. Solche Anforderungen würden in der Tat die Fähigkeit des Angreifers einschränken, 802.1q-Pakete zu injizieren und die native VLAN-Ausnutzung im vorherigen Szenario viel praktischer zu machen.

    Dies scheint jedoch heutzutage keine wirkliche Einschränkung zu sein, und VLAN-Konfigurationsbefehle sind ein häufiger Bestandteil von Linux-Netzwerkkonfigurationsbefehlen (zumindest).

Könnten wir diesen Ratschlag, die nativen VLANs nicht zu verwenden, als veraltet betrachten und nur für historische und konfigurationsbezogene Zwecke aufbewahren, obwohl diese Praxis keine besondere Bedrohung mehr anspricht? Oder gibt es ein konkretes Szenario, in dem das VLAN-Hopping aufgrund des verwendeten nativen VLAN tatsächlich viel einfacher wird?

vlan  security 
WhiteWinterWolf
quelle
1
Zu
Mike Pennington
Für mehr Sicherheit sollten Sie ein neues VLAN erstellen, in das nicht verwendete Teile eingelegt werden, und diese Ports sollten heruntergefahren werden
Harrison Brock

Antworten:

11

Sie können und müssen höchstwahrscheinlich ein natives VLAN an Ihren Trunk-Ports verwenden, zumindest an Cisco-Switches. Andere Anbieter tun dies anders. Was Sie jedoch beachten müssen, ist, dass das Sicherheitsrisiko eher damit zu tun hat, dass VLAN 1 (Standard-VLAN) als natives VLAN festgelegt ist.

Sie sollten das native VLAN von VLAN 1 in ein neues VLAN ändern, das Sie erstellen. Das native VLAN wird für viele Verwaltungsdaten wie DTP-, VTP- und CDP-Frames sowie für BPDUs für Spanning Tree verwendet.

Wenn Sie einen brandneuen Switch erhalten, ist VLAN 1 das einzige vorhandene VLAN. Dies bedeutet auch, dass alle Ports standardmäßig Mitglieder dieses VLAN sind.

Wenn Sie VLAN 1 als natives VLAN verwenden, verfügen Sie über alle Ports, die Sie nicht als Teil dieses VLAN konfiguriert haben. Wenn ein Angreifer eine Verbindung zu einem Port herstellt, der nicht verwendet und nicht konfiguriert ist (weil er nicht verwendet wird), hat er sofort Zugriff auf Ihr Verwaltungs-VLAN und kann Pakete lesen und einfügen, die das VLAN-Hopping ermöglichen oder Pakete erfassen können, die Sie nicht möchten er / sie, um SSH in Ihren Switches / Routern zu sehen oder schlimmer noch (erlauben Sie niemals Telnet).

Es wird immer empfohlen, VLAN 1 nicht zu verwenden. Wenn also ein Angreifer oder unerwünschter Client eine Verbindung herstellt und in VLAN 1 landet und in diesem VLAN nichts konfiguriert ist, z. B. ein verwendbares Gateway, stecken sie ziemlich fest und können nirgendwo hingehen Während Ihr natives VLAN so etwas wie VLAN 900 ist, ist der Portzugriff weniger wahrscheinlich, da es nicht das Standard-VLAN ist.

Viele Ingenieure deaktivieren nicht verwendete Ports nicht. Wenn Sie VLAN 1 für wichtige Dinge verwenden, befinden Sie sich in einer Situation, in der der Zugriff offen ist, es sei denn, Sie verwenden etwas wie 802.1x. Ingenieure / Netzwerkadministratoren vergessen und Sie haben eine kleine Sicherheitslücke, von der ein Angreifer profitieren kann. Wenn Ihr VLAN 1 nicht verwendet wird und die Ports standardmäßig beibehalten werden, ist dies keine große Sache, da es nicht verwendet wird.

Hoffe das hilft dir auf deiner Suche.

SleepyMan

SleepyMan
quelle
3
Tatsächlich müssen Sie auf Cisco-Geräten kein natives VLAN verwenden. Dies ist seit vielen Jahren der Fall. Was Sie nicht tun können, ist VLAN 1 zu deaktivieren, aber Sie können es von einem Trunk aus einschränken.
Ron Maupin
1
Sie können jedoch nur vlan 1 auf einem dot1q-Trunk blockieren, solange der Trunk nicht zu einem Switch mit dem IEEE-Standard 802.1d / s / W Spanning Tree wechselt
Mike Pennington
1
Die allgemeinen Ratschläge, auf die ich häufig stoße, unterscheiden klar das "native VLAN" -Problem, das das Hoffen auf VLAN erleichtert, und das "VLAN 1" -Problem, das sich auf nicht konfigurierte Switches auswirken kann, und empfehlen, zwei nie verwendete VLANs zuzuweisen, um jedes dieser Probleme zu beheben. Der Punkt für mich scheint, dass nicht alle Hardware gleich ist , und obwohl aktuelle Cisco-Switches nicht wirklich anfällig für dieses "native VLAN" -Problem sind und VLAN nicht auf diese Weise hoffen lassen, ist dies bei anderen Anbietern und älteren Geräten möglicherweise nicht der Fall .
WhiteWinterWolf
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.