Hiện đang học về CCNA Security, tôi đã được dạy không bao giờ sử dụng Vlan gốc cho mục đích bảo mật. Cuộc thảo luận cũ này từ diễn đàn của Cisco nêu rất rõ:
Bạn không bao giờ nên sử dụng Vlan mặc định vì nhảy Vlan dễ dàng thực hiện hơn nhiều so với Vlan mặc định.
Tuy nhiên, từ quan điểm thực tế, tôi không thể xác định chính xác mối đe dọa thực sự đang được giải quyết.
Suy nghĩ của tôi là như sau:
Kẻ tấn công được định vị trên Vlan bản địa, có thể anh ta có thể trực tiếp tiêm các gói 802.1q sẽ được chuyển tiếp mà không cần sửa đổi bởi công tắc đầu tiên (như đến từ Vlan bản địa) và các công tắc sắp tới sẽ coi các gói này là các gói hợp pháp đến từ bất kỳ Vlan nào được chọn bởi kẻ tấn công.
Điều này thực sự đã làm cho các cuộc tấn công nhảy Vlan "dễ dàng hơn nhiều" . Tuy nhiên, điều này không hoạt động vì công tắc đầu tiên coi nó là bất thường khi nhận các gói 802.1q trên một cổng truy cập và do đó loại bỏ các gói đó.
Kẻ tấn công đang nằm trên một Vlan không bản địa quản lý để biến một cổng truy cập chuyển đổi thành một trung kế. Để gửi lưu lượng đến Vlan gốc, anh ta sẽ chỉ phải thay đổi địa chỉ IP của mình (một lệnh duy nhất) thay vì bật Vlan trên giao diện mạng của mình (bốn lệnh), lưu ba lệnh.
Tôi rõ ràng coi điều này nhiều nhất là một lợi ích rất nhỏ ...
Khi đào sâu vào lịch sử, tôi nghĩ rằng tôi đã đọc được ở đâu đó những khuyến nghị cũ nói rằng việc tiêm 802.1q có thể yêu cầu một card mạng tương thích và trình điều khiển cụ thể. Các yêu cầu như vậy thực sự sẽ hạn chế khả năng của kẻ tấn công trong việc tiêm các gói 802.1q và làm cho việc khai thác Vlan tự nhiên trở nên thực tế hơn nhiều trong kịch bản trước đó.
Tuy nhiên, điều này dường như không phải là một hạn chế thực sự hiện nay và các lệnh cấu hình Vlan là một phần phổ biến của các lệnh cấu hình mạng Linux (ít nhất là).
Chúng tôi có thể xem lời khuyên này về việc không sử dụng các Vlan bản địa đã lỗi thời và chỉ được giữ cho mục đích vệ sinh lịch sử và cấu hình, mặc dù thực tế này không giải quyết bất kỳ mối đe dọa cụ thể nào nữa? Hoặc có một kịch bản cụ thể trong đó việc nhảy Vlan thực sự trở nên dễ dàng hơn nhiều do Vlan gốc được sử dụng?