Por que as pessoas me dizem para não usar VLANs por segurança?

25

De acordo com o título, por que as pessoas me dizem para não usar VLANs para fins de segurança?

Eu tenho uma rede, onde tenho alguns VLANs. Há um firewall entre as 2 VLANs. Estou usando os comutadores HP Procurve e assegurei-me de que os links switch a switch aceitem apenas quadros marcados e que as portas do host não aceitem quadros marcados (eles não são "reconhecidos pela VLAN"). Também verifiquei que a VLAN nativa (PVID) dos links de tronco não é a mesma que as duas VLANs do host. Eu também habilitei a "Filtragem de ingresso". Além disso, assegurei-me de que as portas host sejam apenas membros de uma única VLAN, que é igual ao PVID da respectiva porta. As únicas portas que são membros de várias VLANs são as portas de tronco.

Alguém pode me explicar por que o exposto acima não é seguro? Acredito que resolvi o problema da dupla marcação.

obrigado

Atualização: os dois comutadores são Hp Procurve 1800-24G

jtnire
fonte
11
Você também pode tentar pedir em cima da security.stackexchange.com , se quiser que a entrada de profissionais de segurança ...
Avid
Definitivamente, isso deve estar no security.se.
precisa
@mehaase, as perguntas não podem ser migradas após um certo período de tempo. Esta é uma pergunta muito antiga para ser migrada.
precisa

Respostas:

18

Por que as pessoas me dizem para não usar VLANs para fins de segurança?

Existem riscos reais, se você não entender completamente os problemas em potencial e configurar sua rede adequadamente para reduzir o risco a um ponto aceitável para o seu ambiente. Em muitos locais, as VLANs fornecem um nível adequado de separação entre duas VLANs.

Alguém pode me explicar por que o exposto acima não é seguro?

Parece que você seguiu todas as etapas básicas necessárias para obter uma configuração bastante segura. Mas não estou totalmente familiarizado com o equipamento HP. Você pode ter feito o suficiente para o seu ambiente.

Um bom artigo também seria o Livro Branco de Segurança da Cisco VLAN .

Inclui uma lista de possíveis ataques contra uma rede baseada em VLAN. Alguns deles não são possíveis em alguns comutadores ou podem ser atenuados por um design adequado da infraestrutura / rede. Reserve um tempo para entendê-los e decidir se o risco vale o esforço necessário para evitá-lo em seu ambiente.

Citado no artigo.

  • Ataque de inundação MAC
  • Ataque de marcação 802.1Q e ISL
  • Ataque 802.1Q / VLAN aninhado com encapsulamento duplo
  • Ataques ARP
  • Ataque VLAN privado
  • Ataque de força bruta multicast
  • Ataque de Spanning Tree

Veja também:

Zoredache
fonte
11
Sim, li esse artigo antes de postar isso. É um artigo muito bom mesmo. Embora eu compreenda todos os riscos envolvidos, o white paper se aplica apenas aos equipamentos da Cisco - pelo menos para as partes que se relacionariam com o firmware de buggy, como inundações e ataques ARP.
Jtnire
10

É seguro para certos valores de seguro.

Erros no firmware, redefinição da configuração do switch, erro humano pode torná-lo inseguro. Contanto que apenas poucas pessoas tenham acesso à configuração dos comutadores e dos próprios comutadores, tudo bem no ambiente geral de negócios.

Eu iria para a separação física de dados realmente sensíveis.

Hubert Kario
fonte
11
Todos esses problemas não se aplicariam a firewalls normais da camada 3?
Jtnire
Sim, e as VLANs devem ser consideradas como se estivessem conectadas a um roteador comum. A rede com dados realmente confidenciais não deve estar conectada a mais nada. Se ambos tiverem acesso à Internet, você estará bem.
Hubert Kario
2
+1 Você acertou o prego na cabeça com a primeira frase.
John Gardeniers
Você pode explicar sua primeira frase? Desde que eu estou tentando VLANs de uso para fins de segurança, não posso apenas supor que eles são inseguros e não usá-los para sub-redes seguras :)
jtnire
11
Isso não responde à pergunta ... são apenas banalidades de segurança comuns.
Mark E. Haase
4

Lembro-me de que, no passado, era mais fácil fazer salto de VLAN, e talvez seja por isso que as pessoas estão dizendo isso. Mas, por que você não pergunta ao "povo" pelas razões? Só podemos adivinhar por que eles lhe disseram isso. Eu sei que os auditores HIPAA e PCI estão bem com VLANs por segurança.

mfinni
fonte
Sério? Os auditores da PCi estão bem com isso? Pelo "povo", eu só significando leitura em torno on-line :)
jtnire
6
Definitivamente, os auditores da PCI concordam com isso, o que é surpreendente, considerando alguns dos problemas que podem surgir ao garantir um sistema seguro! As VLANs são apenas uma ferramenta para separar os domínios de broadcast na Camada 2. A Camada 3 e acima são as principais vulnerabilidades sérias. Quando alguém chega perto do seu sistema para mexer nas VLANs, você tem um problema muito mais sério!
Niall Donegan
11
Felizmente, não tive que lidar com a conexão sem fio em relação ao PCI DSS para que isso não surja. Eu costumo lidar com isso em relação a ambientes de hospedagem em que são bons táxis trancados e bons cabos antiquados.
Niall Donegan
11
Sim, pretendo implantar VLANs na minha cabine para meus clientes gerenciados. Os comutadores serão bloqueados no rack :) Acho que as VLANs são muito usadas em ambientes colo para compartilhar comutadores, não são?
Jtnire
11
@jnire Sim, o PCI DSS requer separação física para WLAN. Redes com fio são diferentes.
sysadmin1138
2

Acho que o principal problema é que as vlans não são seguras porque você está apenas segregando domínios de transmissão, e não segregando tráfego. Todo o tráfego das várias vlans ainda flui pelos mesmos fios físicos. Um host com acesso a esse tráfego sempre pode ser configurado no modo promíscuo e visualizar todo o tráfego na conexão.

Obviamente, o uso de comutadores reduz bastante esse risco, pois os controladores controlam quais dados realmente aparecem em quais portas; no entanto, o risco básico ainda existe.

Phil Hollenback
fonte
3
Me desculpe, eu não entendo isso. Como os switches controlam o tráfego que flui para as portas, dependendo da associação à VLAN, colocar um host no modo promíscuo não faria nada. Certamente, se um invasor obtiver acesso à linha de tronco, o modo promíscuo funcionará; no entanto, o mesmo poderia ser dito se um invasor obtiver acesso a um cabo para outro segmento de firewall físico. Por favor, corrija-me se eu estiver errado ..
jtnire
Bem, se um invasor tiver acesso ao seu switch pela rede, ele poderá fazer coisas como portas de espelho e coletar pacotes de outras vlans, certo? Eu acho que a questão volta ao fato de que as vlans são um recurso programável, enquanto cabos separados e uma camada física de proteção.
Phil Hollenback
11
Mas ainda não entendo como isso é diferente de um firewall comum de camada 3 - eles usam software para programar também. Obviamente, tentei atenuar esse problema não colocando hosts não confiáveis ​​na VLAN de gerenciamento, portanto, não é possível alternar o acesso à GUI da Web.
Jtnire