Warum fordern mich die Leute auf, aus Sicherheitsgründen keine VLANs zu verwenden?

25

Warum sollte ich laut Titel aus Sicherheitsgründen keine VLANs verwenden?

Ich habe ein Netzwerk, wo ein paar VLANs haben. Zwischen den beiden VLANs befindet sich eine Firewall. Ich verwende HP Procurve-Switches und habe sichergestellt, dass Switch-to-Switch-Verbindungen nur getaggte Frames akzeptieren und dass Host-Ports keine getaggten Frames akzeptieren (sie sind nicht "VLAN Aware"). Ich habe auch sichergestellt, dass das native VLAN (PVID) der Trunk-Links nicht mit den beiden Host-VLANs identisch ist. Ich habe auch "Ingress Filtering" aktiviert. Außerdem habe ich darauf geachtet, dass Host-Ports nur Mitglieder eines einzelnen VLAN sind, was der PVID des jeweiligen Ports entspricht. Die einzigen Ports, die Mitglied mehrerer VLANs sind, sind die Trunk-Ports.

Kann mir bitte jemand erklären, warum das oben genannte nicht sicher ist? Ich glaube, ich habe das Problem der doppelten Kennzeichnung angesprochen.

Vielen Dank

Update: Beide Switches sind Hp Procurve 1800-24G

jtnire
quelle
1
Sie können auch versuchen, unter security.stackexchange.com
nachzufragen
Dies sollte auf jeden Fall auf security.se stehen.
Mark E. Haase
@mehaase, Fragen können nach einer bestimmten Zeit nicht migriert werden. Diese Frage ist zu alt, um migriert zu werden.
Zoredache

Antworten:

18

Warum fordern mich die Leute auf, VLANs nicht zu Sicherheitszwecken zu verwenden?

Es gibt echte Risiken, wenn Sie die potenziellen Probleme nicht vollständig verstehen und Ihr Netzwerk so einrichten, dass das Risiko auf einen für Ihre Umgebung akzeptablen Wert reduziert wird. An vielen Standorten bieten VLANs ein angemessenes Maß an Trennung zwischen zwei VLANs.

Kann mir bitte jemand erklären, warum das oben genannte nicht sicher ist?

Es hört sich so an, als hätten Sie alle grundlegenden Schritte unternommen, um ein ziemlich sicheres Setup zu erreichen. Aber ich bin mit HP-Ausrüstung nicht ganz vertraut. Möglicherweise haben Sie genug für Ihre Umgebung getan.

Ein guter Artikel wäre auch das Cisco VLAN Security White Paper .

Es enthält eine Liste möglicher Angriffe auf ein VLAN-basiertes Netzwerk. Einige davon sind auf einigen Switches nicht möglich oder können durch eine ordnungsgemäße Gestaltung der Infrastruktur / des Netzwerks gemindert werden. Nehmen Sie sich die Zeit, sie zu verstehen, und entscheiden Sie, ob sich das Risiko lohnt, um es in Ihrer Umgebung zu vermeiden.

Zitiert aus dem Artikel.

  • MAC Flooding Attack
  • 802.1Q- und ISL-Tagging-Angriff
  • Doppelt gekapselter 802.1Q / Nested VLAN-Angriff
  • ARP-Angriffe
  • Privater VLAN-Angriff
  • Multicast-Brute-Force-Angriff
  • Spanning-Tree-Angriff

Siehe auch:

Zoredache
quelle
1
Ja, ich habe diesen Artikel vor dem Posten gelesen. Es ist in der Tat ein sehr guter Artikel. Obwohl ich alle damit verbundenen Risiken verstehe, gilt das Whitepaper nur für Cisco-Geräte - zumindest für die Teile, die sich auf fehlerhafte Firmware wie Flooding und ARP-Angriffe beziehen würden.
Jtnire
10

Es ist sicher für bestimmte Werte von sicher.

Fehler in der Firmware, Zurücksetzen der Switch-Konfiguration und menschliches Versagen können die Sicherheit beeinträchtigen. Solange nur sehr wenige Personen Zugriff auf die Konfiguration der Switches und der Switches selbst haben, ist dies im allgemeinen Geschäftsumfeld in Ordnung.

Ich würde mich jedoch für eine physische Trennung von wirklich sensiblen Daten entscheiden.

Hubert Kario
quelle
1
Würden all diese Probleme nicht auf normale Layer-3-Firewalls zutreffen?
Jtnire
Ja, und VLANs sollten so betrachtet werden, als wären sie mit einem gemeinsamen Router verbunden. Netzwerke mit sehr sensiblen Daten sollten nicht mit anderen verbunden werden. Wenn beide über einen Internetzugang verfügen, ist alles in Ordnung.
Hubert Kario
2
+1 Sie haben mit dem ersten Satz den Nagel auf den Kopf getroffen.
John Gardeniers
Kannst du bitte deinen ersten Satz erklären? Da ich versuche, VLANs für Sicherheitszwecke zu verwenden, kann ich nicht einfach davon ausgehen, dass sie unsicher sind und sie nicht für sichere Subnetze verwenden :)
jtnire
1
Dies beantwortet die Frage überhaupt nicht ... es sind nur übliche Sicherheits-Plattitüden.
Mark E. Haase
4

Ich erinnere mich anscheinend, dass es in der Vergangenheit einfacher war, VLAN-Hopping zu betreiben, weshalb dies möglicherweise von "Leuten" gesagt wird. Aber warum fragst du nicht die "Leute" nach den Gründen? Wir können nur raten, warum sie dir das gesagt haben. Ich weiß, dass VLANs für HIPAA- und PCI-Auditoren aus Sicherheitsgründen in Ordnung sind.

mfinni
quelle
"Ja wirklich?" PCi Auditoren sind damit einverstanden? Mit "Menschen"
meine
6
PCI-Auditoren sind auf jeden Fall damit einverstanden, was angesichts der Tatsache, dass ein System sicher ist, überraschend ist. VLANs sind nur ein Werkzeug, um Broadcast-Domänen auf Layer 2 zu trennen. Layer 3 und höher sind die häufigsten Schwachstellen. Bis jemand nah genug an Ihrem System ist, um mit VLANs herumzuspielen, haben Sie ein viel ernsthafteres Problem!
Niall Donegan
1
Glücklicherweise musste ich mich in Bezug auf PCI DSS nicht mit Wireless befassen, sodass dies nicht der Fall war. Normalerweise beschäftige ich mich damit in Bezug auf Hosting-Umgebungen, in denen es sich um gut verschlossene Taxis und gute, altmodische Kabel handelt.
Niall Donegan
1
Ja, ich plane, VLANs in meiner Kabine für meine verwalteten Kunden bereitzustellen. Die Switches werden im Rack verriegelt :) Ich denke, VLANs werden häufig in Colo-Umgebungen verwendet, um Switches gemeinsam zu nutzen, oder?
Jtnire
1
@jnire Ja, PCI DSS erfordert eine physische Trennung für WLAN. Drahtgebundene Netzwerke sind unterschiedlich.
sysadmin1138
2

Ich denke, das Hauptproblem ist, dass vlans nicht sicher ist, weil Sie nur Broadcast-Domains trennen, nicht aber den Datenverkehr. Der gesamte Datenverkehr von den mehreren VLANs fließt immer noch über die gleichen physischen Leitungen. Ein Host mit Zugriff auf diesen Datenverkehr kann immer im Promiscuous-Modus konfiguriert werden und den gesamten Datenverkehr auf der Leitung anzeigen.

Offensichtlich reduziert die Verwendung von Switches dieses Risiko erheblich, da die Switches steuern, welche Daten tatsächlich an welchen Ports angezeigt werden, das grundlegende Risiko jedoch weiterhin besteht.

Phil Hollenback
quelle
3
Es tut mir leid, dass ich das nicht verstehe. Da Switches den Datenfluss zu Ports in Abhängigkeit von ihrer VLAN-Mitgliedschaft steuern, kann ein Host nicht in den Promiscuous-Modus versetzt werden. Sicher, wenn ein Angreifer Zugriff auf die Amtsleitung hat, funktioniert der Promiscuous-Modus. Dasselbe gilt jedoch, wenn ein Angreifer Zugriff auf ein Kabel für ein anderes physisches Firewall-Segment hat. Bitte korrigieren Sie mich , wenn ich falsch ..
jtnire
Nun, wenn ein Angreifer über das Netzwerk Zugriff auf Ihren Switch hat, kann er beispielsweise Spiegelports ausführen und Pakete von anderen VLANs sammeln, oder? Ich denke, dass das Problem auf die Tatsache zurückgeht, dass Vlans ein programmierbares Feature sind, während getrennte Kabel und eine physikalische Schutzschicht.
Phil Hollenback
1
Aber ich verstehe immer noch nicht, wie sich dies von einer normalen Layer-3-Firewall unterscheidet - sie verwenden auch Software zum Programmieren. Natürlich habe ich versucht, dieses Problem zu beheben, indem nicht vertrauenswürdige Hosts nicht in das Verwaltungs-VLAN eingefügt werden. Daher ist ein Wechsel des Web-GUI-Zugriffs nicht möglich.
Jtnire