Perché le persone mi dicono di non usare le VLAN per la sicurezza?


25

Come da titolo, perché le persone mi dicono di non usare le VLAN per motivi di sicurezza?

Ho una rete, dove un paio di VLAN. C'è un firewall tra le 2 VLAN. Sto utilizzando gli switch HP Procurve e mi sono assicurato che i collegamenti switch-to-switch accettino solo i frame con tag e che le porte host non accettino i frame con tag (non sono "VLAN Aware"). Ho anche fatto in modo che la VLAN nativa (PVID) dei collegamenti trunk non coincidesse con nessuna delle 2 VLAN host. Ho anche abilitato il "Filtro di ingresso". Inoltre, mi sono assicurato che le porte host siano solo membri di una singola VLAN, che è la stessa del PVID della rispettiva porta. Le uniche porte che sono membri di più VLAN sono le porte trunk.

Qualcuno può spiegarmi perché ciò che precede non è sicuro? Credo di aver affrontato il problema della doppia codifica ..

Grazie

Aggiornamento: entrambi gli switch sono Hp Procurve 1800-24G


1
Potresti anche provare a chiedere a security.stackexchange.com , se vuoi l'input dei professionisti della sicurezza ...
AviD

Questo dovrebbe sicuramente essere su security.se.
Mark E. Haase,

@mehaase, le domande non possono essere migrate dopo un certo periodo di tempo. Questa domanda è troppo vecchia per essere migrata.
Zoredache,

Risposte:


18

Perché le persone mi dicono di non usare le VLAN per motivi di sicurezza?

Esistono rischi reali, se non si comprendono appieno i potenziali problemi e si configura correttamente la rete per mitigare il rischio a un livello accettabile per il proprio ambiente. In molte località le VLAN forniscono un adeguato livello di separazione tra due VLAN.

Qualcuno può spiegarmi perché ciò che precede non è sicuro?

Sembra che tu abbia preso tutti i passaggi di base necessari per ottenere una configurazione abbastanza sicura. Ma non ho familiarità con gli attrezzi HP. Potresti aver fatto abbastanza per il tuo ambiente.

Un buon articolo anche da guardare sarebbe il white paper sulla sicurezza di Cisco VLAN .

Include un elenco di possibili attacchi contro una rete basata su VLAN. Alcuni di questi non sono possibili su alcuni switch o possono essere mitigati da una corretta progettazione dell'infrastruttura / rete. Prenditi il ​​tempo per capirli e decidi se il rischio vale lo sforzo che ci vorrà per evitarlo nel tuo ambiente.

Citato dall'articolo.

  • MAC Flooding Attack
  • Attacco con tag 802.1Q e ISL
  • Attacco VLAN 802.1Q / nidificato doppio incapsulato
  • Attacchi ARP
  • Attacco VLAN privato
  • Multicast Brute Force Attack
  • Spanning-Tree Attack

Guarda anche:


1
Sì, ho letto l'articolo prima di pubblicarlo. È davvero un ottimo articolo. Mentre comprendo tutti i rischi, il white paper si applica solo ai dispositivi Cisco, almeno per le parti che si riferiscono a firmware difettoso come allagamenti e attacchi ARP.
jtnire,

10

È sicuro per determinati valori di sicuro.

Bug nel firmware, reset della configurazione dello switch, errore umano possono renderlo non sicuro. Finché solo pochissime persone hanno accesso alla configurazione degli switch e degli switch stessi, va bene in un ambiente aziendale generale.

Vorrei optare per la separazione fisica per dati molto sensibili.


1
Tuttavia, tutti questi problemi non si applicherebbero ai normali firewall di livello 3?
jtnire,

Sì, e le VLAN dovrebbero essere considerate come se fossero connesse a un router comune. La rete con dati veramente sensibili non dovrebbe essere connessa a nient'altro. Se entrambi hanno accesso a Internet, allora stai bene.
Hubert Kario,

2
+1 Hai colpito l'unghia sulla testa con la prima frase.
John Gardeniers,

Puoi per favore spiegare la tua prima frase? Dal momento che sto cercando di utilizzare le VLAN per motivi di sicurezza, non posso solo supporre che siano non sicure e non le utilizzino per le sottoreti sicure :)
jtnire,

1
Questo non risponde affatto alla domanda ... sono solo banalità di sicurezza comuni.
Mark E. Haase,

4

Mi sembra di ricordare che, in passato, era più semplice eseguire il salto della VLAN, quindi potrebbe essere il motivo per cui "persone" lo dicono. Ma perché non chiedi alle "persone" le ragioni? Possiamo solo indovinare perché te l'hanno detto. So che i revisori HIPAA e PCI stanno bene con le VLAN per motivi di sicurezza.


Veramente? I revisori dei conti PCi sono d'accordo? Per "persone" intendo solo leggere in giro online :)
jtnire

6
I revisori PCI sono sicuramente d'accordo, il che è sorprendente considerando alcuni dei tori che possono venire quando si assicurano che un sistema sia sicuro! Le VLAN sono solo uno strumento per separare i domini di trasmissione al Livello 2. Il Livello 3 in su rappresenta la maggior parte delle gravi vulnerabilità. Quando qualcuno è abbastanza vicino al tuo sistema da armeggiare con le VLAN, hai un problema molto più serio!
Niall Donegan,

1
Fortunatamente non ho avuto a che fare con il wireless in relazione al PCI DSS, quindi non è emerso. Di solito mi occupo di ciò in relazione agli ambienti di hosting in cui sono belle cabine chiuse e buoni cavi vecchio stile.
Niall Donegan,

1
Sì, ho intenzione di implementare VLAN nella mia cabina per i miei clienti gestiti. Gli switch saranno bloccati nel rack :) Immagino che le VLAN siano usate molto in ambienti colo per condividere switch, no?
jtnire,

1
@jnire Sì, PCI DSS richiede la separazione fisica per la WLAN. Le reti cablate sono diverse.
sysadmin1138

2

Penso che il problema principale sia che i vlan non siano sicuri perché stai solo separando i domini di trasmissione, non in realtà separando il traffico. Tutto il traffico proveniente da più Vlan scorre ancora sugli stessi cavi fisici. Un host con accesso a quel traffico può sempre essere configurato in modalità promiscua e visualizzare tutto il traffico sul filo.

Ovviamente l'uso degli switch riduce un po 'quel rischio, poiché gli switch controllano quali dati vengono effettivamente visualizzati su quali porte, tuttavia il rischio di base è ancora presente.


3
Mi dispiace non capirlo. Poiché gli switch controllano il flusso del traffico verso le porte in base alla loro appartenenza alla VLAN, mettere un host in modalità promiscua non farebbe nulla. Certo, se un utente malintenzionato avesse accesso alla linea principale, allora la modalità promiscua funzionerebbe, tuttavia lo stesso si potrebbe dire se un utente malintenzionato avesse accesso a un cavo per un altro segmento di firewall fisico. Per favore, correggimi se sbaglio ..
jtnire,

Bene, se un utente malintenzionato avesse accesso al tuo switch sulla rete, potrebbe fare cose come le porte mirror e raccogliere pacchetti da altri Vlan, giusto? Penso che il problema ritorni al fatto che i vlan sono una funzione programmabile, mentre i cavi separati e uno strato fisico di protezione.
Phil Hollenback il

1
Ma non capisco ancora come sia diverso da un normale firewall di livello 3: usano anche il software per programmare. Naturalmente, ho cercato di mitigare questo problema non posizionando host non attendibili sulla VLAN di gestione, quindi non è possibile cambiare l'accesso alla gui web.
jtnire,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.