Tại sao Vlan bản địa không bao giờ nên được sử dụng?


10

Hiện đang học về CCNA Security, tôi đã được dạy không bao giờ sử dụng Vlan gốc cho mục đích bảo mật. Cuộc thảo luận cũ này từ diễn đàn của Cisco nêu rất rõ:

Bạn không bao giờ nên sử dụng Vlan mặc định vì nhảy Vlan dễ dàng thực hiện hơn nhiều so với Vlan mặc định.

Tuy nhiên, từ quan điểm thực tế, tôi không thể xác định chính xác mối đe dọa thực sự đang được giải quyết.

Suy nghĩ của tôi là như sau:

  • Kẻ tấn công được định vị trên Vlan bản địa, có thể anh ta có thể trực tiếp tiêm các gói 802.1q sẽ được chuyển tiếp mà không cần sửa đổi bởi công tắc đầu tiên (như đến từ Vlan bản địa) và các công tắc sắp tới sẽ coi các gói này là các gói hợp pháp đến từ bất kỳ Vlan nào được chọn bởi kẻ tấn công.

    Điều này thực sự đã làm cho các cuộc tấn công nhảy Vlan "dễ dàng hơn nhiều" . Tuy nhiên, điều này không hoạt động vì công tắc đầu tiên coi nó là bất thường khi nhận các gói 802.1q trên một cổng truy cập và do đó loại bỏ các gói đó.

  • Kẻ tấn công đang nằm trên một Vlan không bản địa quản lý để biến một cổng truy cập chuyển đổi thành một trung kế. Để gửi lưu lượng đến Vlan gốc, anh ta sẽ chỉ phải thay đổi địa chỉ IP của mình (một lệnh duy nhất) thay vì bật Vlan trên giao diện mạng của mình (bốn lệnh), lưu ba lệnh.

    Tôi rõ ràng coi điều này nhiều nhất là một lợi ích rất nhỏ ...

  • Khi đào sâu vào lịch sử, tôi nghĩ rằng tôi đã đọc được ở đâu đó những khuyến nghị cũ nói rằng việc tiêm 802.1q có thể yêu cầu một card mạng tương thích và trình điều khiển cụ thể. Các yêu cầu như vậy thực sự sẽ hạn chế khả năng của kẻ tấn công trong việc tiêm các gói 802.1q và làm cho việc khai thác Vlan tự nhiên trở nên thực tế hơn nhiều trong kịch bản trước đó.

    Tuy nhiên, điều này dường như không phải là một hạn chế thực sự hiện nay và các lệnh cấu hình Vlan là một phần phổ biến của các lệnh cấu hình mạng Linux (ít nhất là).

Chúng tôi có thể xem lời khuyên này về việc không sử dụng các Vlan bản địa đã lỗi thời và chỉ được giữ cho mục đích vệ sinh lịch sử và cấu hình, mặc dù thực tế này không giải quyết bất kỳ mối đe dọa cụ thể nào nữa? Hoặc có một kịch bản cụ thể trong đó việc nhảy Vlan thực sự trở nên dễ dàng hơn nhiều do Vlan gốc được sử dụng?


1
FYI, đây là một cuốn sách hay, LAN Switch Security
Mike Pennington

Để bảo mật hơn, bạn nên đặt một Vlan mới mà các bộ phận không sử dụng được đưa vào và các cổng này sẽ bị tắt
Harrison Brock

Câu trả lời:


11

Bạn có thể và rất có thể sẽ cần sử dụng Vlan gốc trên các cổng trung kế của mình, ít nhất là trên các thiết bị chuyển mạch của Cisco, các nhà cung cấp khác làm điều đó khác đi. Nhưng những gì bạn phải nhớ rằng rủi ro bảo mật có liên quan nhiều hơn với Vlan 1 (Vlan mặc định) được đặt làm Vlan gốc.

Bạn nên thay đổi Vlan gốc từ Vlan 1 thành Vlan mới mà bạn tạo. Vlan gốc được sử dụng cho nhiều dữ liệu quản lý, chẳng hạn như khung DTP, VTP và CDP và cả BPDU cho cây bao trùm.

Khi bạn nhận được một bộ chuyển đổi hoàn toàn mới, Vlan 1 là Vlan duy nhất tồn tại, điều này cũng có nghĩa là tất cả các cổng đều là thành viên của Vlan này theo mặc định.

Nếu bạn đang sử dụng Vlan 1 làm Vlan gốc, bạn có tất cả các cổng mà bạn chưa định cấu hình là một phần của Vlan này. Vì vậy, nếu kẻ tấn công kết nối với một cổng không được sử dụng và không được định cấu hình (vì nó không được sử dụng), anh ta có quyền truy cập ngay vào Vlan quản lý của bạn và có thể đọc và tiêm các gói có thể cho phép nhảy Vlan hoặc bắt các gói bạn không muốn Anh ấy / cô ấy để xem, hoặc tệ hơn, SSH vào thiết bị chuyển mạch / bộ định tuyến của bạn (không bao giờ cho phép telnet).

Lời khuyên là luôn luôn không sử dụng Vlan 1, vì vậy nếu kẻ tấn công hoặc máy khách không mong muốn kết nối và kết thúc với Vlan 1 và không có cấu hình nào trên Vlan này, chẳng hạn như một cổng có thể sử dụng, chúng sẽ bị kẹt khá nhiều và không thể đi bất cứ đâu , trong khi Vlan bản địa của bạn là một cái gì đó giống như Vlan 900, ít có khả năng truy cập cổng hơn vì nó không phải là Vlan mặc định.

Rất nhiều kỹ sư không vô hiệu hóa các cổng không được sử dụng và sử dụng Vlan 1 cho các nội dung quan trọng khiến bạn rơi vào tình huống truy cập mở trừ khi bạn sử dụng một cái gì đó như 802.1x. Kỹ sư / Quản trị viên mạng quên và bạn có một lỗ hổng bảo mật nhỏ có thể mang lại lợi ích cho kẻ tấn công. Nếu Vlan 1 của bạn không được sử dụng và các cổng được để mặc định, thì đó không phải là vấn đề lớn vì nó không được sử dụng.

Hy vọng điều này sẽ giúp bạn trong nhiệm vụ của bạn.

Buồn ngủ


3
Trên thực tế, bạn không phải sử dụng Vlan gốc trên các thiết bị của Cisco. Điều này đã được trường hợp trong nhiều năm nay. Những gì bạn không thể làm là vô hiệu hóa Vlan 1, nhưng bạn có thể hạn chế nó từ một thân cây.
Ron Maupin

1
tuy nhiên, bạn chỉ có thể chặn vlan 1 trên một thân cây dot1q miễn là thân cây không chuyển sang một công tắc chạy cây bao trùm theo tiêu chuẩn IEEE 802.11.1d / s / W
Mike Pennington

1
Lời khuyên chung mà tôi thường gặp phải phân biệt rõ ràng vấn đề "Vlan gốc" khiến Vlan hy vọng dễ dàng hơn và vấn đề "Vlan 1" có thể ảnh hưởng đến các thiết bị chuyển mạch chưa được định cấu hình và khuyên bạn nên dành hai Vlan không bao giờ sử dụng để giải quyết từng vấn đề này. Điểm quan trọng đối với tôi dường như là tất cả phần cứng mà nó không được làm bằng nhau , và trong khi các thiết bị chuyển mạch hiện tại của Cisco không thực sự dễ bị ảnh hưởng bởi vấn đề "Vlan gốc" này và sẽ không cho phép Vlan hy vọng theo cách này, nó có thể không xảy ra với các nhà cung cấp và thiết bị cũ hơn .
WhiteWinterWolf
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.