Perché la VLAN nativa non dovrebbe mai essere utilizzata?

10

Attualmente studiando per una sicurezza CCNA, mi è stato insegnato a non usare mai la VLAN nativa per motivi di sicurezza. Questa vecchia discussione dal forum Cisco lo afferma chiaramente:

Non dovresti mai usare la VLAN predefinita neanche perché il salto della VLAN è realizzato molto più facilmente dalla VLAN predefinita.

Tuttavia, da un punto di vista pratico, non sono in grado di individuare con precisione quale sia la minaccia effettiva affrontata.

I miei pensieri sono i seguenti:

  • L'aggressore si trova sulla VLAN nativa, forse può iniettare direttamente i pacchetti 802.1q che verranno inoltrati senza modifiche dal primo switch (come proveniente da una VLAN nativa) e gli switch imminenti considereranno questi pacchetti come pacchetti legittimi provenienti da qualsiasi VLAN scelta dall'attaccante.

    Ciò avrebbe reso gli attacchi di salto della VLAN "molto più facili" . Tuttavia, ciò non funziona poiché il primo switch considera giustamente anormale ricevere pacchetti 802.1q su una porta di accesso e quindi rilascia tali pacchetti.

  • Un utente malintenzionato che si trova su una VLAN non nativa riesce a trasformare una porta di accesso allo switch in una porta trunk. Per inviare il traffico alla VLAN nativa dovrà solo cambiare il suo indirizzo IP (un singolo comando) invece di abilitare la VLAN sulla sua interfaccia di rete (quattro comandi), salvando tre comandi.

    Ovviamente lo considero al massimo come un guadagno molto marginale ...

  • Quando ho scavato nella storia, ho pensato di leggere da qualche parte vecchi consigli che affermano che l'iniezione 802.1q potrebbe richiedere una scheda di rete compatibile e driver specifici. Tali requisiti limiterebbero effettivamente la capacità dell'attaccante di iniettare pacchetti 802.1q e rendere molto più pratico lo sfruttamento VLAN nativo nello scenario precedente.

    Tuttavia, questo non sembra essere un vero limite al giorno d'oggi e i comandi di configurazione VLAN sono una parte comune dei comandi di configurazione della rete Linux (almeno).

Potremmo considerare questo consiglio di non usare le VLAN native come obsolete e conservate solo per scopi di integrità storici e di configurazione, anche se questa pratica non affronta più alcuna particolare minaccia? Oppure esiste uno scenario concreto in cui l'hopping della VLAN diventa davvero molto più semplice a causa dell'utilizzo della VLAN nativa?

vlan  security 
WhiteWinterWolf
fonte
1
Cordiali saluti, questa è una buona lettura, LAN Switch Security
Mike Pennington
Per maggiore sicurezza, dovresti creare una VLAN in cui vengano inserite parti inutilizzate e queste porte dovrebbero essere chiuse
Harrison Brock,

Risposte:

11

È possibile e molto probabilmente sarà necessario utilizzare una VLAN nativa sulle porte trunk, almeno sugli switch Cisco, altri fornitori lo fanno in modo diverso. Ma ciò che devi ricordare è che il rischio per la sicurezza ha più a che fare con la VLAN 1 (VLAN predefinita) impostata come VLAN nativa.

È necessario modificare la VLAN nativa da VLAN 1 a una nuova VLAN creata. La VLAN nativa viene utilizzata per molti dati di gestione come frame DTP, VTP e CDP e anche BPDU per lo spanning tree.

Quando si ottiene uno switch nuovo di zecca, VLAN 1 è l'unica VLAN esistente, questo significa anche che tutte le porte sono membri di questa VLAN per impostazione predefinita.

Se si utilizza VLAN 1 come VLAN nativa, si dispone di tutte le porte che non sono state configurate per far parte di questa VLAN. Pertanto, se un utente malintenzionato si connette a una porta non utilizzata e non configurata (perché non utilizzata), ha immediatamente accesso alla VLAN di gestione e può leggere e iniettare pacchetti che potrebbero consentire il salto della VLAN o l'acquisizione di pacchetti non desiderati lui / lei per vedere, o peggio, SSH nei tuoi switch / router (mai consentire telnet).

Il consiglio è sempre di non usare VLAN 1, quindi se un utente malintenzionato o client indesiderato si connette e finisce su VLAN 1 e non c'è nulla di configurato su questa VLAN, come un gateway utilizzabile, sono praticamente bloccati e non possono andare da nessuna parte , mentre la VLAN nativa è simile alla VLAN 900, che ha meno probabilità di avere accesso alle porte in quanto non è la VLAN predefinita.

Molti ingegneri non disabilitano le porte inutilizzate e l'uso della VLAN 1 per cose importanti ti lascia in una situazione in cui l'accesso è aperto a meno che tu non usi qualcosa come 802.1x. Gli ingegneri / amministratori di rete dimenticano e hai una piccola falla di sicurezza che può essere di beneficio a un utente malintenzionato. Se la VLAN 1 non viene utilizzata e le porte vengono lasciate predefinite, non è un grosso problema perché non viene utilizzato.

Spero che questo ti aiuti nella tua ricerca.

SleepyMan

SleepyMan
fonte
3
In realtà, non è necessario utilizzare una VLAN nativa su dispositivi Cisco. Questo è il caso da molti anni. Quello che non puoi fare è disabilitare la VLAN 1, ma puoi limitarla da un trunk.
Ron Maupin
1
tuttavia, puoi bloccare vlan 1 su un trunk dot1q solo se il trunk non passa a uno switch che esegue lo standard IEEE 802.1d / s / W spanning tree
Mike Pennington
1
Il consiglio generale che incontro spesso distingue chiaramente il problema della "VLAN nativa" che rende più facile la speranza della VLAN e il problema della "VLAN 1" che può influire sugli switch non configurati, e raccomandano di dedicare due VLAN mai utilizzate per affrontare ognuna di queste problematiche. Il punto per me sembra che tutto l'hardware non sia stato reso uguale , e mentre gli attuali switch Cisco non sono realmente vulnerabili a questo problema di "VLAN nativa" e non permetterebbero alla VLAN di sperare in questo modo, potrebbe non essere il caso di altri fornitori e dispositivi più vecchi .
WhiteWinterWolf
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.