ทำไม VLAN ดั้งเดิมไม่ควรใช้?


10

ขณะนี้เรียนเพื่อความปลอดภัย CCNA ฉันได้รับการสอนให้ไม่ใช้ VLAN ดั้งเดิมเพื่อความปลอดภัย การสนทนาเก่าจากฟอรัมของ Cisco ระบุไว้อย่างชัดเจนว่า:

คุณไม่ควรใช้ค่าเริ่มต้นของ VLAN เช่นกันเนื่องจากการกระโดดแบบ VLAN ทำได้ง่ายกว่ามากจากค่าเริ่มต้นของ VLAN

อย่างไรก็ตามจากมุมมองเชิงปฏิบัติฉันไม่สามารถระบุจุดที่เป็นภัยคุกคามที่แท้จริงได้อย่างแม่นยำ

ความคิดของฉันมีดังต่อไปนี้:

  • ผู้โจมตีที่อยู่บน VLAN ดั้งเดิมบางทีเขาสามารถฉีดแพ็กเก็ต 802.1q โดยตรงซึ่งจะถูกส่งต่อโดยไม่มีการแก้ไขโดยสวิตช์แรก (มาจาก VLAN ดั้งเดิม) และสวิตช์ที่กำลังจะมาถึงจะพิจารณาแพ็กเก็ตเหล่านี้ว่าเป็นแพ็กเก็ตที่ถูกต้องตามกฎหมาย โดยผู้โจมตี

    เรื่องนี้จะต้องทำแน่นอน VLAN กระโดดโจมตี"ง่ายมากขึ้น" อย่างไรก็ตามวิธีนี้ใช้ไม่ได้เนื่องจากสวิตช์แรกพิจารณาอย่างถูกต้องว่าเป็นเรื่องผิดปกติในการรับแพ็คเก็ต 802.1q บนพอร์ตการเข้าถึงและดังนั้นจึงลดแพ็กเก็ตดังกล่าว

  • ผู้โจมตีที่อยู่บน VLAN ที่ไม่ใช่เจ้าของภาษาสามารถเปลี่ยนพอร์ตการเข้าถึงสวิตช์ให้เป็นช่องทางหนึ่งได้ ในการส่งทราฟฟิกไปยัง VLAN ดั้งเดิมเขาเพียงแค่ต้องเปลี่ยนที่อยู่ IP ของเขา (คำสั่งเดียว) แทนที่จะเปิดใช้งาน VLAN บนเครือข่ายอินเทอร์เฟซของเขา (สี่คำสั่ง) โดยบันทึกสามคำสั่ง

    เห็นได้ชัดว่าฉันคิดว่านี่เป็นกำไรเล็กน้อย ...

  • เมื่อขุดในประวัติศาสตร์ฉันคิดว่าฉันอ่านคำแนะนำเก่า ๆ ที่ระบุว่าการฉีด 802.1q อาจต้องใช้การ์ดเครือข่ายที่เข้ากันได้และไดรเวอร์เฉพาะ ข้อกำหนดดังกล่าวจะจำกัดความสามารถของผู้โจมตีในการฉีดแพ็คเก็ต 802.1q และทำให้การหาประโยชน์ VLAN แบบดั้งเดิมมีประโยชน์มากกว่าในสถานการณ์ก่อนหน้า

    อย่างไรก็ตามสิ่งนี้ดูเหมือนจะไม่เป็นข้อ จำกัด จริง ๆ ในปัจจุบันและคำสั่งการกำหนดค่า VLAN เป็นส่วนหนึ่งของคำสั่งการกำหนดค่าเครือข่าย Linux (อย่างน้อย)

เราสามารถพิจารณาคำแนะนำนี้ได้หรือไม่หากไม่ใช้ VLAN ดั้งเดิมเพื่อล้าสมัยและเก็บรักษาไว้เพื่อวัตถุประสงค์ด้านประวัติศาสตร์และการตั้งค่าเท่านั้น หรือมีสถานการณ์ที่เป็นรูปธรรมที่ VLAN กระโดดกลายเป็นเรื่องง่ายมากขึ้นเพราะมีการใช้ VLAN ดั้งเดิมหรือไม่


1
FYI, นี่คือการอ่านที่ดี, LAN Switch Security
Mike Pennington

เพื่อความปลอดภัยมากขึ้นคุณควรใหม่ VLAN ที่ใส่ชิ้นส่วนที่ไม่ได้ใช้และพอร์ตเหล่านี้ควรจะปิด
Harrison Brock

คำตอบ:


11

คุณสามารถและส่วนใหญ่จะต้องใช้ VLAN ดั้งเดิมบนพอร์ต trunk ของคุณอย่างน้อยในสวิตช์ของ Cisco ผู้ขายรายอื่นทำแตกต่างกัน แต่สิ่งที่คุณต้องจำไว้คือความเสี่ยงด้านความปลอดภัยนั้นเกี่ยวข้องกับ VLAN 1 (ค่าเริ่มต้นของ VLAN) มากกว่าซึ่งถูกตั้งค่าเป็น VLAN ดั้งเดิม

คุณควรเปลี่ยน VLAN ดั้งเดิมจากการเป็น VLAN 1 เป็น VLAN ใหม่ที่คุณสร้าง VLAN ดั้งเดิมใช้สำหรับข้อมูลการจัดการจำนวนมากเช่นเฟรม DTP, VTP และ CDP และ BPDU สำหรับต้นไม้ทอด

เมื่อคุณได้สวิตช์ใหม่ VLAN 1 เป็น VLAN เดียวที่มีอยู่นี่ก็หมายความว่าพอร์ตทั้งหมดเป็นสมาชิกของ VLAN นี้ตามค่าเริ่มต้น

หากคุณใช้ VLAN 1 เป็น VLAN ดั้งเดิมของคุณคุณมีพอร์ตทั้งหมดที่คุณไม่ได้กำหนดค่าให้เป็นส่วนหนึ่งของ VLAN นี้ ดังนั้นหากผู้โจมตีเชื่อมต่อกับพอร์ตที่ไม่ได้ใช้งานและไม่ได้กำหนดค่า (เพราะไม่ได้ใช้) เขาจะเข้าถึงการจัดการ VLAN ของคุณได้ทันทีและสามารถอ่านและฉีดแพ็คเก็ตที่สามารถอนุญาตให้ VLAN กระโดดหรือจับแพ็กเก็ตที่คุณไม่ต้องการ เขา / เธอเห็นหรือแย่กว่านั้น SSH ในสวิตช์ / เราเตอร์ของคุณ (ไม่อนุญาต telnet)

คำแนะนำนั้นมักจะไม่ใช้ VLAN 1 ดังนั้นหากผู้โจมตีหรือลูกค้าที่ไม่ต้องการเชื่อมต่อและจบลงที่ VLAN 1 และไม่มีอะไรกำหนดค่าไว้บน VLAN นี้เช่นเกตเวย์ที่ใช้งานได้พวกเขาค่อนข้างติดขัดและไม่สามารถไปได้ทุกที่ ในขณะที่คุณเป็นเจ้าของ VLAN นั้นเป็นเหมือน VLAN 900 ซึ่งมีโอกาสน้อยกว่าที่จะเข้าถึงพอร์ตใด ๆ เนื่องจากไม่ใช่ค่าเริ่มต้นของ VLAN

วิศวกรจำนวนมากไม่ได้ปิดการใช้งานพอร์ตที่ไม่ได้ใช้งานและการใช้ VLAN 1 สำหรับสิ่งที่สำคัญทำให้คุณอยู่ในสถานการณ์ที่การเข้าถึงเปิดอยู่ยกเว้นว่าคุณใช้สิ่งที่ต้องการเช่น 802.1x ผู้ดูแลระบบวิศวกร / เครือข่ายลืมไปแล้วและคุณมีช่องโหว่เล็ก ๆ น้อย ๆ ที่สามารถโจมตีผู้โจมตี หาก VLAN 1 ของคุณไม่ได้ใช้งานและพอร์ตจะถูกทิ้งไว้เป็นค่าเริ่มต้นมันไม่ใช่เรื่องใหญ่อะไรเพราะมันไม่ได้ใช้

หวังว่าสิ่งนี้จะช่วยคุณในการสืบเสาะของคุณ

SleepyMan


3
ที่จริงแล้วคุณไม่จำเป็นต้องใช้ VLAN ดั้งเดิมบนอุปกรณ์ของ Cisco กรณีนี้เป็นเวลาหลายปีแล้ว สิ่งที่คุณไม่สามารถทำได้คือปิดการใช้งาน VLAN 1 แต่คุณสามารถ จำกัด ได้จากลำตัว
Ron Maupin

1
อย่างไรก็ตามคุณสามารถบล็อก vlan 1 บนลำตัว dot1q ได้ตราบใดที่ลำต้นไม่ไปที่สวิตช์ที่รัน IEEE มาตรฐาน 802.1d / s / W ซึ่งประกอบไปด้วยต้นไม้ที่ครอบคลุม
Mike Pennington

1
คำแนะนำทั่วไปที่ฉันพบมักจะแยกแยะปัญหา "native VLAN" อย่างชัดเจนซึ่งทำให้ VLAN หวังได้ง่ายขึ้นและปัญหา "VLAN 1" ซึ่งอาจส่งผลต่อสวิตช์ที่ไม่ได้กำหนดค่าและแนะนำให้อุทิศสองไม่เคยใช้ VLANs เพื่อแก้ไขปัญหาเหล่านี้ ประเด็นสำหรับฉันดูเหมือนว่าฮาร์ดแวร์ทั้งหมดไม่ได้สร้างความเท่าเทียมกันและในขณะที่สวิตช์ของ Cisco ปัจจุบันไม่ได้มีความเสี่ยงต่อปัญหา "native VLAN" นี้จริง ๆ และจะไม่อนุญาตให้ VLAN หวังด้วยวิธีนี้ แต่อาจไม่ใช่กรณีของผู้ขายรายอื่น .
WhiteWinterWolf
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.