Atualmente estudando para um CCNA Security, fui ensinado a nunca usar a VLAN nativa para fins de segurança. Esta discussão antiga do fórum da Cisco afirma muito claramente:
Você nunca deve usar a VLAN padrão porque o salto na VLAN é muito mais fácil com a VLAN padrão.
No entanto, de um ponto de vista prático, não sou capaz de identificar com precisão qual ameaça real está sendo abordada.
Meus pensamentos são os seguintes:
Como o invasor está localizado na VLAN nativa, talvez ele possa injetar diretamente pacotes 802.1q que serão encaminhados sem modificação pelo primeiro comutador (como proveniente de uma VLAN nativa) e os próximos comutadores considerarão esses pacotes como pacotes legítimos de qualquer VLAN escolhida pelo atacante.
Isso realmente tornaria os ataques de salto de VLAN "muito mais fáceis" . No entanto, isso não funciona, pois o primeiro comutador considera corretamente anormal receber pacotes 802.1q em uma porta de acesso e, portanto, descarta esses pacotes.
Um invasor localizado em uma VLAN não nativa consegue transformar uma porta de acesso do switch em uma de tronco. Para enviar tráfego para a VLAN nativa, ele apenas precisará alterar seu endereço IP (um único comando) em vez de habilitar a VLAN em sua interface de rede (quatro comandos), salvando três comandos.
Obviamente, considero isso no máximo um ganho muito marginal ...
Ao investigar a história, pensei em ler em algum lugar recomendações antigas afirmando que a injeção 802.1q poderia exigir uma placa de rede compatível e drivers específicos. Esses requisitos realmente limitariam a capacidade do invasor de injetar pacotes 802.1q e tornar a exploração de VLAN nativa muito mais prática no cenário anterior.
No entanto, hoje em dia isso não parece ser uma limitação real e os comandos de configuração da VLAN são uma parte comum dos comandos de configuração de rede do Linux (pelo menos).
Poderíamos considerar esse conselho de não usar as VLANs nativas desatualizadas e mantidas apenas para fins históricos e de configuração da sanidade, mesmo que essa prática não lide mais com nenhuma ameaça em particular? Ou existe um cenário concreto em que o salto de VLAN realmente se torna muito mais fácil devido ao uso da VLAN nativa?
Respostas:
Você pode e provavelmente precisará usar uma VLAN nativa nas portas de tronco, pelo menos nos comutadores Cisco, outros fornecedores fazem isso de maneira diferente. Mas o que você deve lembrar é que o risco à segurança tem mais a ver com a VLAN 1 (VLAN padrão) sendo definida como uma VLAN nativa.
Você deve alterar a VLAN nativa de VLAN 1 para uma nova VLAN criada por você. A VLAN nativa é usada para muitos dados de gerenciamento, como quadros DTP, VTP e CDP e também BPDUs para expansão de árvore.
Quando você obtém um novo switch, a VLAN 1 é a única VLAN existente, isso também significa que todas as portas são membros dessa VLAN por padrão.
Se você estiver usando a VLAN 1 como sua VLAN nativa, terá todas as portas que você não configurou para fazer parte desta VLAN. Portanto, se um invasor se conectar a uma porta que não é usada e não configurada (porque não é usada), ele tem acesso imediato à sua VLAN de gerenciamento e pode ler e injetar pacotes que podem permitir o salto ou captura de pacotes que você não deseja. ele / ela para ver, ou pior, SSH em seus switches / roteadores (nunca permita telnet).
O conselho é sempre não usar a VLAN 1; portanto, se um invasor ou cliente indesejado se conectar e terminar na VLAN 1 e não houver nada configurado nessa VLAN, como um gateway utilizável, eles ficarão praticamente travados e não poderão ir a lugar algum , enquanto a VLAN nativa é semelhante à VLAN 900, é menos provável que ela tenha acesso à porta, pois não é a VLAN padrão.
Muitos engenheiros não desabilitam portas não utilizadas e o uso da VLAN 1 para coisas importantes deixa você em uma situação em que o acesso é aberto, a menos que você use algo como 802.1x. Os engenheiros / administradores de rede esquecem e você tem uma pequena brecha na segurança que pode beneficiar um invasor. Se a sua VLAN 1 não for usada e as portas forem deixadas como padrão, não é tão importante porque não é usada.
Espero que isso ajude você em sua busca.
SleepyMan
fonte