it-swarm-eu.dev

Proč mi lidé říkají, abych nepoužíval VLAN pro zabezpečení?

Mám síť, kde má pár VLANS. Mezi 2 VLANy je firewall. Používám přepínače HP Procurve a ujistil jsem se, že odkazy typu switch-to-switch akceptují pouze označené rámce a hostitelské porty nepřijímají označené rámce (nejedná se o „VLAN Aware“). Také jsem se ujistil, že kufrové porty nemají nativní VLAN. Povolil jsem také funkci „Ingress Filtering“. Dále jsem se ujistil, že hostitelské porty jsou pouze členy jediné VLAN, což je stejné jako PVID příslušného portu. Jedinými porty, které jsou členy více sítí VLAN, jsou kufry portů.

Může mi někdo prosím vysvětlit, proč výše uvedené není bezpečné? Věřím, že jsem vyřešil problém dvojitého označování.

Aktualizace: Oba přepínače jsou Hp Procurve 1800-24G

Tato otázka byla IT bezpečnostní otázka týdne.
Přečtěte si 20. dubna 2012 položka blog pro více informací nebo zadejte svůj vlastní Otázka týdne.

82
jtnire

VLAN: s nejsou ze své podstaty nejisté. Píšu to z pohledu poskytovatele služeb, kde VLAN jsou technologie používané v 99% (statistika sestavená na místě) případů k segmentaci různých zákazníků od sebe navzájem. Obytní zákazníci od sebe, obytní zákazníci z podnikových pronajatých linek, podnikové VPN od sebe, pojmenujete to.

Útoky typu VLAN), které existují, závisí na několika faktorech;

  • Přepínač k vám hovoří o nějakém kmenovém protokolu, který vám umožní „zaregistrovat“ jinou VLAN. K tomu by nikdy nemělo dojít v zákaznickém přístavu, nebo by někdo měl být vyhozen.

  • Port je označený port a přepínač není chráněn proti dvojím označeným paketům. To je problém, pouze pokud máte zákazníky na portech označených VLAN, což byste neměli. I tehdy je to problém, pouze pokud povolíte neoznačené pakety na kmenových portech mezi přepínači, které byste opět neměli.

Úvaha „pakety putují po stejném drátu“ platí, pokud má útočník přístup k dotyčnému fyzickému drátu. Pokud tomu tak je, máte mnohem větší problémy, než co mohou sítě VLAN vyřešit.

Takže všemi prostředky používejte sítě VLAN jako bezpečnostní opatření, ale ujistěte se, že nikdy neřeknete VLAN s entitami, které chcete segmentovat od sebe, a sledujte, které funkce přepínání jsou povoleny na portech čelících těmto entitám.

66
Jakob Borg

Jedním z důvodů, proč lidé odrazují od používání VLAN pro zabezpečení, je to, že došlo k útokům, které umožňují přeskakování VLAN , kvůli nesprávné konfiguraci přepínačů.

Cisco má také dobrý papír řešení některých potenciálních VLAN bezpečnostních problémů).

V zásadě použití sítí VLAN pro segregaci sítě představuje větší potenciál pro nesprávnou konfiguraci přepínačů nebo chyba v softwaru, který je spouští, by mohla útočníkovi umožnit obejít segregaci.

To říká, že mnoho problémů s VLAN hopping a útoky na VTP jsou nyní dost staré, takže je možné, že je budou řešit aktuální přepínače).

31
Rory McCune

Podle mého názoru jsou VLAN hopping útoky velmi nadhodnoceny. To neznamená, že byste neměli nasazovat dobře srozumitelné operační postupy ke snížení/vyloučení rizik tohoto útoku (tj. Nikdy nepoužívejte ve svých přístupových portech stejné VLANID, které používáte pro nativní = VLAN na vašich kmenech 802.1q. Jako důsledek nikdy nepoužívejte VLAN 1). Snažím se říci, že z pohledu někoho, kdo vás chce zaútočit, existují další techniky druhé vrstvy (L2), které jsou mnohem spolehlivější a mají mnohem větší dopad než skokový útok VLAN.

Útoky na protokol ARP jsou například velmi snadno implementovatelné a pokud vaše přepínače nenabízejí žádnou ochranu proti němu, může útočník způsobit velké škody. Pokud je vaše VLAN malá, pak je vaše expozice obrovská, pokud je vaše VLAN velká, pak je vaše expozice mega-super-obrovská (mám zákazníky, jejichž celá firemní síť je obrovská VLAN, ale to “ je další vydání).

Pak máte útoky na stabilitu vaší LAN pomocí použití a zneužití protokolu Spanning Tree (yersinia je de-facto nástrojem). Rovněž je velmi snadno použitelný a má velký dopad na vaši infrastrukturu.

Pokud váš „standardní“ hacker nemůže využívat ARP nebo Spanning Tree nebo DHCP, je mou zkušeností, že se před pokusem o úspěšné využití VLAN poskakování.

Pokud je zabezpečení typu 2 vaším druhem chuti, nemohu dostatečně doporučit, abyste si přečetli knihu „LAN Switch Security“ od společnosti Cisco Press.

16
jliendo

Hlavní nedostatek bezpečnosti spočívá v tom, že ačkoli se oddělujete z logické perspektivy, provozujete sítě přes stejné dráty, takže z pohledu útočníka na jednom VLAN) obvykle není moc práce s přístupem k jiné VLAN.

To je důvod, proč pokud během bezpečnostního auditu najdu management VLAN) pro směrovače běžící ve stejné síti jako userland VLAN), vyvolá to velkou červenou vlajku.

Hlavním důvodem, proč organizace používají sítě VLAN, je to, že je levný, protože je třeba implementovat pouze jednu fyzickou síť.

Fyzická segregace je nejjednodušším řešením, ale vyžaduje více NIC, více vodičů atd.

Šifrování (v podstatě přeměňující VLAN na VPN)) může také fungovat, a není to věda o raketách.

9
Rory Alsop

Ostatní odpovědi jsou skvělé. Myslím si však, že za určitých okolností nechcete riskovat smíchání potenciálně škodlivých klientů s důvěryhodnými. Skvělým příkladem je zábavní síť vozidla (auto, letadlo atd.) Vs. síť řízení systémů. V letadle byste opravdu neměli riskovat, že se náhodnému cestujícímu podaří využít přepínač nebo směrovač, což jim umožní přístup k řízení systémů. Podobně by nemělo být nutné, aby váš přehrávač CD mluvil s brzdami v automobilu.

A když mluvím o vykořisťování, nemyslím opravdu VLAN skokové útoky). Mám na mysli zneužití zranitelnosti, které má za následek spuštění libovolného kódu na samotném přepínači nebo routeru. že takové věci se nikdy nestanou.

4
silly hacker

Jednoduchá odpověď je, že sítě VLAN jsou navrženy tak, aby oddělily provoz (více z pohledu správy a toku dat než zabezpečení), neexistují k zabezpečení žádného z jednotlivých toků provozu (není zahrnuto šifrování), takže hodnotitelé bezpečnosti nebudou být šťastný, pokud je váš model zabezpečení založen výhradně na segregaci VLAN segregace).

2
ukcommando

Myslím, že jste docela dobře nakonfigurovali své přepínače, protože chápete, jaké jsou útočné vektory. Lidé to však často nechápou a to je riziko, které vytváří - nesprávná konfigurace, zamýšlená či nikoli.

Není důvod říkat „ nikdy k tomu nepoužívat VLAN “, protože můžete správně nakonfigurovat své přepínače. VLAN však nebyly vynalezeny s ohledem na zabezpečení, a proto je nutné konfiguraci provést pečlivě a při kontrole konfigurace musíte vzít v úvahu všechny potenciální vektory útoku. Nakonec to dokážete opravit, ale je náchylné k chybám (tj. přijímáte malé riziko).

Když plánujete oddělit sítě s velkým rozdílem požadavků na důvěrnost, integritu nebo dostupnost, možná zjistíte, že náklady na ztrátu jedné z těchto vlastností ve vaší „zlaté“ síti převažují nad rizikem, které musíte přijmout, když používáte VLAN k oddělení. To je obvykle situace, kdy doporučuji místo VLAN používat samostatná fyzická zařízení.

Můžete říci, že existují dobré důvody pro použití VLAN pro segmentaci, zejména poměr nákladů a přínosů. Ale v některých případech, když počítáte s riziky a hodnotami aktiv, můžete zjistit, že rovnice má sklon mluvit o fyzickém oddělení, což je obvykle méně náchylné na chyby, ale dražší.

2
fr00tyl00p

Pokud vím a rozumím principu sítí VLAN, neexistuje žádné bezpečnostní riziko samotným protokolem/zařízením. Tím myslím, že VLAN jsou určeny k oddělování domén unicast Layer2, takže ne, pokud jsou správně nakonfigurovány, VLAN_A a VLAN_B by neměly být schopny spolu mluvit).

Všechny věci jsou stejné, pokud dáte uživatele na kufr, není důvod, proč by neměly být schopny hovořit se všemi VLANy ... (protože to je, jak to má být), toto může zase být nesprávná konfigurace jsou žádoucí konfigurací.

Pokud má hacker přístup k fyzickému hardwaru, má také přístup k softwaru a poté může získat přístup k JAKÝKOLI zařízením v této síti.

To je důvod, proč většina velkých sítí používá VLAN k oddělení sítí, a tím myslím banky, ISP, práce ... v souladu s PCI VLAN jsou přijímány jako segregační opatření (takto se pinpad odděluje od registračních pokladen atd.) . Nyní, jak bylo řečeno výše, je riziko vždy v konfiguraci a to je jak pro konfiguraci přístupových portů, tak pro firewall, ACL a další konfigurační bod. většina přepínání se provádí ve vyhrazených procesorech (ASIC), a proto bude implementovat segregaci VLAN na hardwarové úrovni (i když je to jen programovatelný čip), jinak byste nebyli schopni dosáhnout sazby, které děláte s přepínači.

1
bob

Myslím, že z vašeho příkladu chybí nějaké podrobnosti -

Je každý přepínač na samostatném VLAN) oddělený firewallem nebo obsahují přepínače více VLAN?

Pokud má každý přepínač jediný VLAN a veškerý provoz je směrován bránou firewall), měli byste být z bezpečnostního hlediska v pořádku, za předpokladu, že základna pravidel na FW je správná. Jinými slovy, t být schopen přeskočit VLAN bez průchodu FW a FW by měl být nakonfigurován tak, aby blokoval tento provoz. IE - Přepínač 1 by měl mít pouze VLAN 1 přenos) takže FW vypustí jakýkoli provoz VLAN 2 přenos z přepínače 1).

0
user1490

Číst do PVLANS (soukromé VLAN). Poskytují skutečnou segregaci vrstvy 2 a zabrání útokům typu spoofing ARP.

Mohou dělat více než toto, ale toto je nejjednodušší konfigurace. Řekněme, že máte porty 1,2 a 3 všechny na vlan 1. Port 3 je výchozí brána, 1 a 2 jsou hostitelé. S PVLAN 1 může mluvit s 3 a 2 může mluvit s 3, ale 1 nemůže mluvit s 2. Pokud to funguje pro vás, doporučuji.

Chcete-li zabránit poskakování, zafixujte své přístupové porty do konkrétního vlan.

0
user974896