ขณะนี้เรียนเพื่อความปลอดภัย CCNA ฉันได้รับการสอนให้ไม่ใช้ VLAN ดั้งเดิมเพื่อความปลอดภัย การสนทนาเก่าจากฟอรัมของ Cisco ระบุไว้อย่างชัดเจนว่า:
คุณไม่ควรใช้ค่าเริ่มต้นของ VLAN เช่นกันเนื่องจากการกระโดดแบบ VLAN ทำได้ง่ายกว่ามากจากค่าเริ่มต้นของ VLAN
อย่างไรก็ตามจากมุมมองเชิงปฏิบัติฉันไม่สามารถระบุจุดที่เป็นภัยคุกคามที่แท้จริงได้อย่างแม่นยำ
ความคิดของฉันมีดังต่อไปนี้:
ผู้โจมตีที่อยู่บน VLAN ดั้งเดิมบางทีเขาสามารถฉีดแพ็กเก็ต 802.1q โดยตรงซึ่งจะถูกส่งต่อโดยไม่มีการแก้ไขโดยสวิตช์แรก (มาจาก VLAN ดั้งเดิม) และสวิตช์ที่กำลังจะมาถึงจะพิจารณาแพ็กเก็ตเหล่านี้ว่าเป็นแพ็กเก็ตที่ถูกต้องตามกฎหมาย โดยผู้โจมตี
เรื่องนี้จะต้องทำแน่นอน VLAN กระโดดโจมตี"ง่ายมากขึ้น" อย่างไรก็ตามวิธีนี้ใช้ไม่ได้เนื่องจากสวิตช์แรกพิจารณาอย่างถูกต้องว่าเป็นเรื่องผิดปกติในการรับแพ็คเก็ต 802.1q บนพอร์ตการเข้าถึงและดังนั้นจึงลดแพ็กเก็ตดังกล่าว
ผู้โจมตีที่อยู่บน VLAN ที่ไม่ใช่เจ้าของภาษาสามารถเปลี่ยนพอร์ตการเข้าถึงสวิตช์ให้เป็นช่องทางหนึ่งได้ ในการส่งทราฟฟิกไปยัง VLAN ดั้งเดิมเขาเพียงแค่ต้องเปลี่ยนที่อยู่ IP ของเขา (คำสั่งเดียว) แทนที่จะเปิดใช้งาน VLAN บนเครือข่ายอินเทอร์เฟซของเขา (สี่คำสั่ง) โดยบันทึกสามคำสั่ง
เห็นได้ชัดว่าฉันคิดว่านี่เป็นกำไรเล็กน้อย ...
เมื่อขุดในประวัติศาสตร์ฉันคิดว่าฉันอ่านคำแนะนำเก่า ๆ ที่ระบุว่าการฉีด 802.1q อาจต้องใช้การ์ดเครือข่ายที่เข้ากันได้และไดรเวอร์เฉพาะ ข้อกำหนดดังกล่าวจะจำกัดความสามารถของผู้โจมตีในการฉีดแพ็คเก็ต 802.1q และทำให้การหาประโยชน์ VLAN แบบดั้งเดิมมีประโยชน์มากกว่าในสถานการณ์ก่อนหน้า
อย่างไรก็ตามสิ่งนี้ดูเหมือนจะไม่เป็นข้อ จำกัด จริง ๆ ในปัจจุบันและคำสั่งการกำหนดค่า VLAN เป็นส่วนหนึ่งของคำสั่งการกำหนดค่าเครือข่าย Linux (อย่างน้อย)
เราสามารถพิจารณาคำแนะนำนี้ได้หรือไม่หากไม่ใช้ VLAN ดั้งเดิมเพื่อล้าสมัยและเก็บรักษาไว้เพื่อวัตถุประสงค์ด้านประวัติศาสตร์และการตั้งค่าเท่านั้น หรือมีสถานการณ์ที่เป็นรูปธรรมที่ VLAN กระโดดกลายเป็นเรื่องง่ายมากขึ้นเพราะมีการใช้ VLAN ดั้งเดิมหรือไม่