it-swarm-eu.dev

Warum wird mir aus Sicherheitsgründen gesagt, dass ich keine VLANs verwenden soll?

Ich habe ein Netzwerk, in dem ich ein paar VLANs habe. Zwischen den beiden VLANs befindet sich eine Firewall. Ich verwende HP Procurve-Switches und habe sichergestellt, dass Switch-to-Switch-Links nur getaggte Frames akzeptieren und dass Host-Ports keine getaggten Frames akzeptieren (sie sind nicht "VLAN Aware"). Ich habe auch sichergestellt, dass die Trunk-Ports kein natives VLAN haben. Ich habe auch "Ingress Filtering" aktiviert. Außerdem habe ich sichergestellt, dass Host-Ports nur Mitglieder eines einzelnen VLAN sind, was der PVID des jeweiligen Ports entspricht. Die einzigen Ports, die Mitglieder mehrerer VLANs sind, sind die Trunk-Ports.

Kann mir bitte jemand erklären, warum das oben genannte nicht sicher ist? Ich glaube, ich habe das Problem der doppelten Kennzeichnung behoben.

Update: Beide Switches sind HP Procurve 1800-24G

Diese Frage war IT-Sicherheitsfrage der Woche.
Lesen Sie den 20. April 2012 Blogeintrag für weitere Details oder eigene einreichen Frage der Woche.

82
jtnire

VLANs sind nicht von Natur aus unsicher. Ich schreibe dies aus Sicht eines Dienstanbieters, bei dem VLANs die Technologie sind, die in 99% (vor Ort erstellte Statistiken) von Fällen verwendet wird, um verschiedene Kunden voneinander zu segmentieren. Privatkunden voneinander, Privatkunden von Enterprise-Mietleitungen, Enterprise-VPNs voneinander, wie Sie es nennen.

Die VLAN Hopping-Angriffe, die alle existieren, hängen von einigen Faktoren ab;

  • Der Switch spricht eine Art Trunk-Protokoll mit Ihnen, sodass Sie sich für ein anderes VLAN "registrieren" können. Dies sollte niemals an einem Kundenhafen auftreten, oder jemand sollte gefeuert werden.

  • Der Port ist ein getaggter Port, und der Switch ist nicht gegen doppelt getaggte Pakete geschützt. Dies ist nur dann ein Problem, wenn Sie Kunden an VLAN-gekennzeichneten Ports haben, was Sie nicht sollten. Selbst dann ist es nur dann ein Problem, wenn Sie Pakete ohne Tag an Trunk-Ports zwischen Switches zulassen, was Sie wiederum nicht sollten.

Die Argumentation "Pakete reisen auf derselben Leitung" ist gültig, wenn der Angreifer Zugriff auf die betreffende physische Leitung hat. Wenn dies der Fall ist, haben Sie viel größere Probleme als das, was VLANs lösen können.

Verwenden Sie also auf jeden Fall VLANs als Sicherheitsmaßnahme, aber stellen Sie sicher, dass Sie niemals VLAN Tags mit den Entitäten, die Sie voneinander segmentieren möchten, sprechen) und verfolgen Sie, welche Switch-Funktionen vorhanden sind sind an Ports aktiviert, die solchen Entitäten zugewandt sind.

66
Jakob Borg

Ein Grund, warum Menschen von der Verwendung von VLANs aus Sicherheitsgründen abraten, ist, dass es aufgrund von Fehlkonfigurationen der Switches einige Angriffe gegeben hat, die VLAN-Hopping ermöglichen.

Cisco hat auch ein gutes Papier , das sich mit potenziellen Sicherheitsbedenken befasst VLAN).

Die Verwendung von VLANs für die Netzwerksegregation führt im Wesentlichen zu einer höheren Fehlkonfiguration der Switches oder zu einem Fehler in der Software, mit der sie ausgeführt werden. Dies kann dazu führen, dass ein Angreifer die Segregation umgeht.

Das heißt, viele der Probleme mit VLAN Hopping und Angriffe auf VTP sind jetzt ziemlich alt, so dass es möglich ist, dass aktuelle Switches sie beheben würden.

31
Rory McCune

Ich bin der Meinung, dass VLAN Hopping-Angriffe stark überbewertet sind. Dies bedeutet nicht, dass Sie keine sehr gut verstandenen Betriebsverfahren bereitstellen sollten, um die Risiken dieses Angriffs zu verringern/zu eliminieren (dh verwenden Sie in Ihren Zugriffsports niemals dieselbe VLANID, die Sie für native verwenden = VLAN auf Ihren 802.1q-Amtsleitungen. Verwenden Sie daher niemals VLAN 1). Ich versuche zu sagen, dass es aus der Sicht von jemandem, der Sie angreifen möchte, andere Layer-Two-Techniken (L2) gibt, die weitaus zuverlässiger und wirkungsvoller sind als ein VLAN Hopping-Angriff .

Angriffe auf das ARP-Protokoll sind beispielsweise äußerst einfach bereitzustellen. Wenn Ihre Switches keinen Schutz dagegen bieten, kann der Angreifer großen Schaden anrichten. Wenn Ihr VLAN klein ist, dann ist Ihre Exposition groß, wenn Ihre VLAN groß ist, dann ist Ihre Exposition mega-super-riesig (ich habe Kunden, deren gesamtes Unternehmensnetzwerk ein riesiges VLAN ist , aber das ist ein anderes Problem).

Dann haben Sie Angriffe auf die Stabilität Ihres LAN durch die Verwendung und den Missbrauch des Spanning Tree-Protokolls (Yersinia ist das De-facto-Tool dafür). Auch extrem einfach bereitzustellen und mit großer Auswirkung auf Ihre Infrastruktur.

Wenn Ihr "Standard" -Hacker ARP oder Spanning Tree oder DHCP nicht ausnutzen kann, wird er meiner Erfahrung nach in andere Teile Ihrer Infrastruktur (DBs, Web, DNSs) "wechseln"/sich darauf konzentrieren, bevor er versucht, VLAN hüpfen.

Wenn Layer 2-Sicherheit Ihre Art von Geschmack ist, kann ich Ihnen nicht genug empfehlen, das Buch "LAN Switch Security" von Cisco Press zu lesen.

16
jliendo

Der Hauptmangel an Sicherheit ist auf die Tatsache zurückzuführen, dass Sie die Netzwerke zwar aus logischer Sicht trennen, die Netzwerke jedoch tatsächlich über dieselben Kabel betreiben, also aus der Sicht eines Angreifers auf einem VLAN) Der Zugriff auf das andere VLAN ist normalerweise nicht sehr aufwendig.

Dies ist der Grund, warum, wenn ich während eines Sicherheitsaudits ein Management finde VLAN für Router, die über dasselbe Netzwerk wie userland ausgeführt werden VLAN es eine große rote Fahne auslöst).

Der Hauptgrund, warum Unternehmen VLANs verwenden, ist, dass es billig ist, da nur ein physisches Netzwerk implementiert werden muss.

Die physikalische Trennung ist die einfachste Lösung, erfordert jedoch mehr Netzwerkkarten, mehr Drähte usw.

Die Verschlüsselung (im Wesentlichen die Umwandlung des VLAN in ein VPN) kann ebenfalls funktionieren und ist kein Hexenwerk.

9
Rory Alsop

Die anderen Antworten sind großartig. Ich denke jedoch, dass es einige Umstände gibt, unter denen Sie nicht riskieren möchten, potenziell böswillige Clients mit vertrauenswürdigen zu mischen. Ein gutes Beispiel ist das Unterhaltungsnetzwerk eines Fahrzeugs (Auto, Flugzeug usw.) im Vergleich zum Systemsteuerungsnetzwerk. In einem Flugzeug sollten Sie wirklich nicht das Risiko eingehen, dass ein zufälliger Passagier den Switch oder Router ausnutzt und ihm Zugriff auf die Systemsteuerung gewährt. Ebenso sollte es nicht unbedingt erforderlich sein, dass Ihr CD-Player in einem Auto mit Ihren Bremsen spricht.

Und wenn ich über einen Exploit spreche, meine ich nicht wirklich VLAN Hopping-Angriffe. Ich meine das Ausnutzen einer Sicherheitsanfälligkeit, die zu einer willkürlichen Codeausführung auf dem Switch oder Router selbst führt. Das wäre naiv Ich denke, solche Dinge könnten niemals passieren.

4
silly hacker

Die einfache Antwort lautet, dass VLANs so konzipiert sind, dass sie den Datenverkehr trennen (eher aus Sicht des Managements und des Datenflusses als aus Sicht der Sicherheit). Sie sind nicht vorhanden, um einzelne Verkehrsströme zu sichern (es ist keine Verschlüsselung erforderlich), sodass Sicherheitsprüfer dies nicht tun Seien Sie froh, wenn Ihr Sicherheitsmodell ausschließlich auf VLAN Segregation) basiert.

2
ukcommando

Ich denke, Sie haben Ihre Switches recht gut konfiguriert, weil Sie die Angriffsmethoden verstehen. Aber Menschen neigen oft dazu, dies nicht zu verstehen, und das ist es, was ein Risiko erzeugt - Fehlkonfiguration, beabsichtigt oder nicht.

Es gibt keinen Grund zu sagen, dass " niemals VLANs für diese verwenden", da Sie können Ihre Switches korrekt konfigurieren. VLANs wurden jedoch nicht aus Sicherheitsgründen erfunden. Daher muss die Konfiguration sorgfältig durchgeführt werden, und Sie müssen alle potenziellen Angriffsmethoden berücksichtigen, wenn Sie Ihre Konfiguration überprüfen. Immerhin können Sie es richtig machen, aber es ist fehleranfällig (d. H. Sie akzeptieren ein kleines Risiko).

Wenn Sie planen, Netzwerke mit sehr unterschiedlichen Anforderungen an Vertraulichkeit, Integrität oder Verfügbarkeit zu trennen, überwiegen möglicherweise die Kosten für den Verlust einer dieser Eigenschaften in Ihrem "goldenen" Netzwerk das Risiko, das Sie bei der Verwendung von VLANs zur Trennung eingehen müssen. Dies ist normalerweise die Situation, in der ich empfehle, separate physische Geräte anstelle von VLANs zu verwenden.

Man kann sagen, dass es gute Gründe gibt, VLANs für die Segmentierung zu verwenden, insbesondere das Kosten-Nutzen-Verhältnis. In einigen Fällen kann es jedoch vorkommen, dass die Gleichung bei der Berechnung mit Risiken und Vermögenswerten für eine physische Trennung spricht, die normalerweise weniger fehleranfällig, aber teurer ist.

2
fr00tyl00p

Soweit ich das Prinzip von VLANs kenne und verstehe, besteht für das Protokoll/Gerät selbst kein Sicherheitsrisiko. Damit meine ich, dass VLAN) Layer2-Unicast-Domänen trennen sollen, also nein, wenn richtig konfiguriert, sollten VLAN_A und VLAN_B nicht miteinander kommunizieren können.

Wenn alle Dinge gleich sind, wenn Sie einen Benutzer auf einen Trunk setzen, gibt es keinen Grund, warum er nicht in der Lage sein sollte, mit allen VLANs zu sprechen ... (weil es so sein soll). Dies kann wiederum eine Fehlkonfiguration sein. Dies ist eine gewünschte Konfiguration.

Wenn ein Hacker nun Zugriff auf die physische Hardware hat, hat er auch Zugriff auf Software und kann dann auf JEDE Geräte in diesem Netzwerk zugreifen.

Aus diesem Grund verwenden die meisten großen Netzwerke VLANs, um Netzwerke zu trennen, und damit meine ich Banken, ISPs, die Arbeit ... bei der PCI-Konformität werden VLANs als Trennungsmaßnahme akzeptiert (so wird das Pinpad von den Registrierkassen getrennt und so weiter). . Nun, wie oben gesagt, liegt das Risiko immer in der Konfiguration und dies gilt sowohl für die Konfiguration der Zugriffsports als auch für die Firewall, die ACL und andere Konfigurationspunkte. Der größte Teil der Umschaltung erfolgt in dedizierten CPUs (ASICs) und implementiert daher die VLAN - Trennung auf Hardwareebene (auch wenn es sich nur um einen programmierbaren Chip handelt), da Sie sonst nicht in der Lage wären, die zu erreichen Preise, die Sie mit Schaltern machen.

1
bob

Ich glaube, ich vermisse einige Details in Ihrem Beispiel -

Befindet sich jeder Switch in einem separaten VLAN durch eine Firewall getrennt) oder enthalten die Switches mehrere VLANs?

Wenn jeder Switch ein einzelnes VLAN] hat und der gesamte Datenverkehr durch die Firewall geleitet wird, sollten Sie aus Sicherheitsgründen in Ordnung sein, vorausgesetzt, die Regelbasis auf der FW ist richtig. Mit anderen Worten, Sie würden nicht Sie können keine VLANs hüpfen, ohne die FW zu passieren, und die FW sollte so konfiguriert sein, dass dieser Datenverkehr blockiert wird. IE - Switch 1 sollte nur VLAN 1 Datenverkehr) haben Daher löscht die FW jeglichen VLAN 2-Datenverkehr, der von Switch 1 kommt.

0
user1490

In PVLANS (private VLANs) einlesen. Sie bieten eine echte Layer2-Trennung und verhindern ARP-Spoofing-Angriffe.

Sie können mehr als das, aber dies ist die einfachste Konfiguration. Angenommen, Sie haben die Ports 1,2 und 3 auf vlan 1. Port 3 ist das Standard-Gateway, 1 und 2 sind Hosts. Mit PVLANs kann 1 mit 3 und 2 mit 3 sprechen, aber 1 kann nicht mit 2 sprechen. Wenn dies für Sie funktioniert, schlage ich es vor.

Codieren Sie Ihre Zugriffsports fest auf ein bestimmtes VLAN, um ein Hüpfen zu verhindern.

0
user974896