Ich studiere derzeit für eine CCNA-Sicherheit und habe gelernt, das native VLAN niemals für Sicherheitszwecke zu verwenden. Diese alte Diskussion aus dem Cisco-Forum sagt es sehr deutlich:
Sie sollten auch niemals das Standard-VLAN verwenden, da das VLAN-Hopping mit dem Standard-VLAN viel einfacher durchgeführt werden kann.
Aus praktischer Sicht kann ich jedoch nicht genau bestimmen, welche tatsächliche Bedrohung angegangen wird.
Meine Gedanken sind folgende:
Wenn sich der Angreifer im nativen VLAN befindet, kann er möglicherweise direkt 802.1q-Pakete einspeisen, die vom ersten Switch (als aus einem nativen VLAN stammend) ohne Änderung weitergeleitet werden. Bei kommenden Switches werden diese Pakete als legitime Pakete betrachtet, die aus einem ausgewählten VLAN stammen vom Angreifer.
Dies hätte VLAN-Hopping-Angriffe in der Tat "viel einfacher" gemacht . Dies funktioniert jedoch nicht, da der erste Switch es zu Recht als abnormal ansieht, 802.1q-Pakete an einem Zugriffsport zu empfangen, und daher solche Pakete verwirft.
Ein Angreifer, der sich in einem nicht nativen VLAN befindet, kann einen Switch-Zugriffsport in einen Trunk-Port verwandeln. Um Datenverkehr an das native VLAN zu senden, muss er nur seine IP-Adresse ändern (ein einzelner Befehl), anstatt das VLAN auf seiner Netzwerkschnittstelle zu aktivieren (vier Befehle), wodurch drei Befehle gespeichert werden.
Ich betrachte dies offensichtlich höchstens als einen sehr geringen Gewinn ...
Als ich in der Geschichte stöberte, dachte ich, ich hätte irgendwo alte Empfehlungen gelesen, die besagen, dass für die 802.1q-Injektion eine kompatible Netzwerkkarte und bestimmte Treiber erforderlich sein könnten. Solche Anforderungen würden in der Tat die Fähigkeit des Angreifers einschränken, 802.1q-Pakete zu injizieren und die native VLAN-Ausnutzung im vorherigen Szenario viel praktischer zu machen.
Dies scheint jedoch heutzutage keine wirkliche Einschränkung zu sein, und VLAN-Konfigurationsbefehle sind ein häufiger Bestandteil von Linux-Netzwerkkonfigurationsbefehlen (zumindest).
Könnten wir diesen Ratschlag, die nativen VLANs nicht zu verwenden, als veraltet betrachten und nur für historische und konfigurationsbezogene Zwecke aufbewahren, obwohl diese Praxis keine besondere Bedrohung mehr anspricht? Oder gibt es ein konkretes Szenario, in dem das VLAN-Hopping aufgrund des verwendeten nativen VLAN tatsächlich viel einfacher wird?
Antworten:
Sie können und müssen höchstwahrscheinlich ein natives VLAN an Ihren Trunk-Ports verwenden, zumindest an Cisco-Switches. Andere Anbieter tun dies anders. Was Sie jedoch beachten müssen, ist, dass das Sicherheitsrisiko eher damit zu tun hat, dass VLAN 1 (Standard-VLAN) als natives VLAN festgelegt ist.
Sie sollten das native VLAN von VLAN 1 in ein neues VLAN ändern, das Sie erstellen. Das native VLAN wird für viele Verwaltungsdaten wie DTP-, VTP- und CDP-Frames sowie für BPDUs für Spanning Tree verwendet.
Wenn Sie einen brandneuen Switch erhalten, ist VLAN 1 das einzige vorhandene VLAN. Dies bedeutet auch, dass alle Ports standardmäßig Mitglieder dieses VLAN sind.
Wenn Sie VLAN 1 als natives VLAN verwenden, verfügen Sie über alle Ports, die Sie nicht als Teil dieses VLAN konfiguriert haben. Wenn ein Angreifer eine Verbindung zu einem Port herstellt, der nicht verwendet und nicht konfiguriert ist (weil er nicht verwendet wird), hat er sofort Zugriff auf Ihr Verwaltungs-VLAN und kann Pakete lesen und einfügen, die das VLAN-Hopping ermöglichen oder Pakete erfassen können, die Sie nicht möchten er / sie, um SSH in Ihren Switches / Routern zu sehen oder schlimmer noch (erlauben Sie niemals Telnet).
Es wird immer empfohlen, VLAN 1 nicht zu verwenden. Wenn also ein Angreifer oder unerwünschter Client eine Verbindung herstellt und in VLAN 1 landet und in diesem VLAN nichts konfiguriert ist, z. B. ein verwendbares Gateway, stecken sie ziemlich fest und können nirgendwo hingehen Während Ihr natives VLAN so etwas wie VLAN 900 ist, ist der Portzugriff weniger wahrscheinlich, da es nicht das Standard-VLAN ist.
Viele Ingenieure deaktivieren nicht verwendete Ports nicht. Wenn Sie VLAN 1 für wichtige Dinge verwenden, befinden Sie sich in einer Situation, in der der Zugriff offen ist, es sei denn, Sie verwenden etwas wie 802.1x. Ingenieure / Netzwerkadministratoren vergessen und Sie haben eine kleine Sicherheitslücke, von der ein Angreifer profitieren kann. Wenn Ihr VLAN 1 nicht verwendet wird und die Ports standardmäßig beibehalten werden, ist dies keine große Sache, da es nicht verwendet wird.
Hoffe das hilft dir auf deiner Suche.
SleepyMan
quelle