Por que a VLAN nativa nunca deve ser usada?

10

Atualmente estudando para um CCNA Security, fui ensinado a nunca usar a VLAN nativa para fins de segurança. Esta discussão antiga do fórum da Cisco afirma muito claramente:

Você nunca deve usar a VLAN padrão porque o salto na VLAN é muito mais fácil com a VLAN padrão.

No entanto, de um ponto de vista prático, não sou capaz de identificar com precisão qual ameaça real está sendo abordada.

Meus pensamentos são os seguintes:

  • Como o invasor está localizado na VLAN nativa, talvez ele possa injetar diretamente pacotes 802.1q que serão encaminhados sem modificação pelo primeiro comutador (como proveniente de uma VLAN nativa) e os próximos comutadores considerarão esses pacotes como pacotes legítimos de qualquer VLAN escolhida pelo atacante.

    Isso realmente tornaria os ataques de salto de VLAN "muito mais fáceis" . No entanto, isso não funciona, pois o primeiro comutador considera corretamente anormal receber pacotes 802.1q em uma porta de acesso e, portanto, descarta esses pacotes.

  • Um invasor localizado em uma VLAN não nativa consegue transformar uma porta de acesso do switch em uma de tronco. Para enviar tráfego para a VLAN nativa, ele apenas precisará alterar seu endereço IP (um único comando) em vez de habilitar a VLAN em sua interface de rede (quatro comandos), salvando três comandos.

    Obviamente, considero isso no máximo um ganho muito marginal ...

  • Ao investigar a história, pensei em ler em algum lugar recomendações antigas afirmando que a injeção 802.1q poderia exigir uma placa de rede compatível e drivers específicos. Esses requisitos realmente limitariam a capacidade do invasor de injetar pacotes 802.1q e tornar a exploração de VLAN nativa muito mais prática no cenário anterior.

    No entanto, hoje em dia isso não parece ser uma limitação real e os comandos de configuração da VLAN são uma parte comum dos comandos de configuração de rede do Linux (pelo menos).

Poderíamos considerar esse conselho de não usar as VLANs nativas desatualizadas e mantidas apenas para fins históricos e de configuração da sanidade, mesmo que essa prática não lide mais com nenhuma ameaça em particular? Ou existe um cenário concreto em que o salto de VLAN realmente se torna muito mais fácil devido ao uso da VLAN nativa?

WhiteWinterWolf
fonte
11
Para sua informação, esta é uma boa leitura, LAN Switch Security #
Mike Pennington
Para mais segurança, você deve novo uma VLAN que as peças não utilizadas são colocados em e essas portas devem ser desligado
Harrison Brock

Respostas:

11

Você pode e provavelmente precisará usar uma VLAN nativa nas portas de tronco, pelo menos nos comutadores Cisco, outros fornecedores fazem isso de maneira diferente. Mas o que você deve lembrar é que o risco à segurança tem mais a ver com a VLAN 1 (VLAN padrão) sendo definida como uma VLAN nativa.

Você deve alterar a VLAN nativa de VLAN 1 para uma nova VLAN criada por você. A VLAN nativa é usada para muitos dados de gerenciamento, como quadros DTP, VTP e CDP e também BPDUs para expansão de árvore.

Quando você obtém um novo switch, a VLAN 1 é a única VLAN existente, isso também significa que todas as portas são membros dessa VLAN por padrão.

Se você estiver usando a VLAN 1 como sua VLAN nativa, terá todas as portas que você não configurou para fazer parte desta VLAN. Portanto, se um invasor se conectar a uma porta que não é usada e não configurada (porque não é usada), ele tem acesso imediato à sua VLAN de gerenciamento e pode ler e injetar pacotes que podem permitir o salto ou captura de pacotes que você não deseja. ele / ela para ver, ou pior, SSH em seus switches / roteadores (nunca permita telnet).

O conselho é sempre não usar a VLAN 1; portanto, se um invasor ou cliente indesejado se conectar e terminar na VLAN 1 e não houver nada configurado nessa VLAN, como um gateway utilizável, eles ficarão praticamente travados e não poderão ir a lugar algum , enquanto a VLAN nativa é semelhante à VLAN 900, é menos provável que ela tenha acesso à porta, pois não é a VLAN padrão.

Muitos engenheiros não desabilitam portas não utilizadas e o uso da VLAN 1 para coisas importantes deixa você em uma situação em que o acesso é aberto, a menos que você use algo como 802.1x. Os engenheiros / administradores de rede esquecem e você tem uma pequena brecha na segurança que pode beneficiar um invasor. Se a sua VLAN 1 não for usada e as portas forem deixadas como padrão, não é tão importante porque não é usada.

Espero que isso ajude você em sua busca.

SleepyMan

SleepyMan
fonte
3
Na verdade, você não precisa usar uma VLAN nativa em dispositivos Cisco. Esse é o caso há muitos anos. O que você não pode fazer é desativar a VLAN 1, mas você pode restringi-la de um tronco.
Ron Maupin
11
no entanto, você só pode bloquear vlan 1 em um tronco de dot1q enquanto o tronco não vai para um interruptor de correr padrão IEEE 802.1d / s / W Spanning Tree
Mike Pennington
11
O conselho geral que encontro frequentemente distingue claramente o problema "VLAN nativo", que torna a esperança de VLAN mais fácil, e o problema "VLAN 1", que pode afetar os switches não configurados, e recomenda dedicar duas VLANs nunca usadas para resolver cada um desses problemas. O ponto para mim parece que todo o hardware não ficou igual e, embora os comutadores atuais da Cisco não sejam realmente vulneráveis ​​a esse problema de "VLAN nativa" e não permitam que a VLAN espere dessa maneira, pode não ser o caso de outros fornecedores e dispositivos mais antigos .
WhiteWinterWolf