Domanda:
Perché le persone mi dicono di non usare le VLAN per la sicurezza?
jtnire
2011-01-10 14:47:19 UTC
view on stackexchange narkive permalink

Ho una rete, dove ho un paio di VLANS. C'è un firewall tra le 2 VLAN. Utilizzo gli switch HP Procurve e mi sono assicurato che i collegamenti switch-to-switch accettino solo frame con tag e che le porte host non accettino frame con tag (non sono "VLAN Aware"). Mi sono anche assicurato che le porte del trunk non abbiano una VLAN nativa. Ho anche abilitato "Ingress Filtering". Inoltre, mi sono assicurato che le porte host siano solo membri di una singola VLAN, che è uguale al PVID della rispettiva porta. Le uniche porte che sono membri di più VLAN sono le porte trunk.

Qualcuno può spiegarmi perché quanto sopra non è sicuro? Credo di aver risolto il problema della doppia codifica ..

Aggiornamento: entrambi gli switch sono Hp Procurve 1800-24G

Questa domanda era Sicurezza IT Domanda della settimana .
Leggi il post di blog del 20 aprile 2012 per ulteriori dettagli o invia la tua domanda della settimana.

Non sono un tipo di switch / router super uber, ma alcuni ambienti nella mia mente non è possibile codificare la porta su un vlan. Soprattutto con le situazioni VOIP, in cui hai un PC collegato a margherita da un telefono Cisco o Shoretel. O sto fraintendendo?
Dieci risposte:
#1
+68
Jakob Borg
2011-02-24 15:10:39 UTC
view on stackexchange narkive permalink

Le VLAN: non sono intrinsecamente insicure. Sto scrivendo dal punto di vista di un fornitore di servizi, dove le VLAN sono la tecnologia utilizzata nel 99% (statistiche elaborate sul posto) dei casi per segmentare clienti diversi tra loro. Clienti privati ​​gli uni dagli altri, clienti residenziali da linee affittate aziendali, VPN aziendali l'uno dall'altro, lo chiami.

Gli attacchi di salto VLAN che esistono dipendono tutti da alcuni fattori;

  • Lo switch ti comunica una sorta di protocollo trunk, permettendoti di "registrarti" per una VLAN diversa. Questo non dovrebbe mai e poi mai accadere su una porta del cliente, o qualcuno dovrebbe essere licenziato.

  • La porta è una porta con tag e lo switch non è protetto contro i pacchetti con doppia etichetta. Questo è un problema solo se hai clienti su porte con tag VLAN, cosa che non dovresti. Anche in questo caso, è solo un problema se consenti pacchetti senza tag sulle porte trunk tra switch, cosa che, ancora una volta, non dovresti.

I "pacchetti viaggiano sullo stesso cavo" il ragionamento è valido, se l'aggressore ha accesso al filo fisico in questione. Se è così, hai problemi molto più grandi di quelli che possono risolvere le VLAN.

Quindi, usa assolutamente le VLAN come misura di sicurezza, ma assicurati di non parlare mai e poi mai di tag VLAN con le entità vuoi segmentati l'uno dall'altro e tieni traccia delle funzionalità dello switch abilitate sulle porte rivolte a tali entità.

Sì, lo descrive bene. E per essere onesti, gli ISP in genere lo fanno bene. Le organizzazioni degli utenti finali hanno risultati diversi, di solito per mancanza di esperienza :-)
#2
+32
Rory McCune
2011-01-10 16:58:49 UTC
view on stackexchange narkive permalink

Uno dei motivi per cui le persone scoraggiano l'uso delle VLAN per la sicurezza è che ci sono stati alcuni attacchi che consentono il salto delle VLAN, a causa di configurazioni errate degli switch.

Cisco ha anche un buon documento che affronta alcuni potenziali problemi di sicurezza delle VLAN.

L'utilizzo essenzialmente delle VLAN per la segregazione della rete introduce un maggiore potenziale di errori di configurazione sugli switch o bug nel software che li esegue potrebbe consentire a un utente malintenzionato di aggirare la segregazione.

Detto questo, molti dei problemi con il salto di VLAN e gli attacchi a VTP sono piuttosto vecchi ora, quindi è possibile che gli switch aggiornati li affronterebbe.

#3
+18
jliendo
2011-03-01 10:36:59 UTC
view on stackexchange narkive permalink

È mia opinione che gli attacchi VLAN hopping siano enormemente sopravvalutati. Ciò non significa che non dovresti implementare procedure operative ben note per ridurre / eliminare i rischi di questo attacco (cioè non usare mai e poi mai nelle tue porte di accesso lo stesso VLANID che stai usando per il nativo VLAN sui tuoi trunk 802.1q. Come corollario, non utilizzare mai VLAN 1). Quello che sto cercando di dire è che dal punto di vista di qualcuno che vuole attaccarti, ci sono altre tecniche di livello due (L2) che sono molto più affidabili e con un impatto molto maggiore di un attacco con salto di VLAN.

Gli attacchi al protocollo ARP, ad esempio, sono estremamente semplici da implementare e se i tuoi switch non offrono alcun tipo di protezione contro di esso, l'aggressore può causare gravi danni. Se la tua VLAN è piccola, la tua visibilità è enorme, se la tua VLAN è grande, la tua visibilità è mega-super-enorme (ho clienti la cui intera rete aziendale è un'enorme VLAN, ma questo è un altro problema).

Quindi hai attacchi alla stabilità della tua LAN attraverso l'uso e l'abuso del protocollo Spanning Tree (yersinia è lo strumento di fatto per questo). Anche estremamente facile da implementare e con un grande impatto sulla tua infrastruttura.

Se il tuo hacker "standard" non può sfruttare ARP o Spanning Tree o DHCP, è mia esperienza che si "muoverà su" / focus-in altre parti della tua infrastruttura (DB, Web, DNS) prima di tentare di sfruttare con successo il salto di VLAN.

Se la sicurezza di livello 2 è il tuo tipo di gusto, non posso raccomandare a sufficienza di leggere il libro "LAN Switch Security" da Cisco Press.

#4
+10
Rory Alsop
2011-01-10 15:30:42 UTC
view on stackexchange narkive permalink

La principale mancanza di sicurezza è dovuta al fatto che, sebbene ti stia separando da una prospettiva logica, in realtà stai eseguendo le reti sugli stessi cavi, quindi dal punto di vista di un aggressore su una VLAN in genere non è molto lavoro per accedere all'altra VLAN.

Questo è il motivo per cui se, durante un audit di sicurezza, trovo una VLAN di gestione per i router che girano sulla stessa rete della VLAN dell'area utenti, solleva una grande bandiera rossa.

utilizzare VLAN è che è economico in quanto deve essere implementata solo una rete fisica.

La segregazione fisica è la soluzione più semplice, ma richiede più NIC, più cavi ecc.

Crittografia ( essenzialmente trasformare la VLAN in una VPN) può anche funzionare, e non è scienza missilistica.

La crittografia _ha_ qualche relazione con la scienza missilistica, specialmente la parte in cui esplode in un modo molto spettacolare quando la si schiaffeggia con non abbastanza cura e comprensione.
:-) simpatico. Ovviamente quello che volevo dire era che in questo contesto, creare una VPN sarebbe stato semplice (poiché mi aspettavo che l'OP utilizzasse la funzionalità di crittografia presente nei dispositivi di rete tipici, non per scrivere il codice di crittografia da solo)
Se per "in genere non molto lavoro" intendi "tipicamente impossibile in uno switch configurato correttamente", allora sì. Altrimenti no.
@JakobBorg - speri di no. In realtà hai per lo più ragione - purtroppo una configurazione errata è molto comune!
Nessun dubbio. :) Tuttavia, non mi è mai piaciuta molto la mentalità "Le VLAN non dovrebbero essere utilizzate per scopi di sicurezza", perché vengono utilizzate con successo esattamente per quello scopo ogni giorno da ogni ISP nel mondo. Invece l'ho resa una risposta, perché non rientra nel campo dei commenti. :)
Cosa intendi per "userland"?
Ho usato userland per fare riferimento alla rete a cui gli utenti si collegheranno, al contrario della gestione, del reporting o di altre reti
@RoryAlsop - Cosa intendi con "dal punto di vista di un utente malintenzionato su una VLAN, in genere non è molto lavoro accedere all'altra VLAN"?In quali scenari è possibile?Ciò presuppone un'errata configurazione di uno switch o di un router?In caso affermativo, quali sono gli esempi di configurazioni errate che possono prestarsi a questi tipi di attacchi?
#5
+4
silly hacker
2012-04-30 09:31:37 UTC
view on stackexchange narkive permalink

Le altre risposte sono ottime. Tuttavia, penso che ci siano alcune circostanze in cui non si vuole rischiare di mescolare client potenzialmente dannosi con quelli affidabili. Un ottimo esempio è la rete di intrattenimento di un veicolo (automobile, aereo, ecc.) Rispetto alla rete di controllo dei sistemi. Su un aereo, non dovresti davvero correre il rischio che qualche passeggero casuale riesca a sfruttare lo switch o il router, dando loro accesso al controllo dei sistemi. Allo stesso modo, non dovrebbe esserci molto bisogno che il tuo lettore CD parli con i tuoi freni in un'automobile.

E quando parlo di un exploit, non intendo davvero attacchi VLAN hopping. Intendo sfruttare una vulnerabilità che si traduce in un'esecuzione arbitraria di codice sullo switch o sul router stesso. Sarebbe ingenuo pensare che cose del genere non potrebbero mai accadere.

#6
+2
ukcommando
2015-10-21 13:27:45 UTC
view on stackexchange narkive permalink

La risposta semplice è che le VLAN sono progettate per separare il traffico (più dal punto di vista della gestione e del flusso di dati che della sicurezza), non esistono per proteggere nessuno dei singoli flussi di traffico (non è coinvolta la crittografia), quindi i valutatori della sicurezza non sarò felice se il tuo modello di sicurezza si basa esclusivamente sulla segregazione VLAN.

#7
+2
fr00tyl00p
2015-10-21 17:57:30 UTC
view on stackexchange narkive permalink

Penso che tu abbia configurato abbastanza bene i tuoi interruttori, perché capisci cosa sono i vettori di attacco. Ma le persone spesso tendono a non capirlo e questo è ciò che genera un rischio: configurazione errata, intenzionale o meno.

Non c'è motivo di dire " non usare mai le VLAN per questo " , perché puoi configurare correttamente i tuoi interruttori. Tuttavia, le VLAN non sono state inventate pensando alla sicurezza, quindi la configurazione deve essere eseguita con attenzione e devi considerare tutti i potenziali vettori di attacco durante la revisione della configurazione. Dopotutto puoi farlo correttamente, ma è soggetto a errori (ovvero accetti un piccolo rischio ).

Quando prevedi di separare reti con un'enorme differenza di requisiti in confidenzialmente, integrità o disponibilità potresti scoprire che il costo della perdita di una di queste proprietà nella tua rete "d'oro" supera il rischio che devi accettare quando utilizzi le VLAN per la separazione. Questa è di solito la situazione in cui consiglio di utilizzare dispositivi fisici separati invece di VLAN.

Puoi dire che ci sono buoni motivi per utilizzare le VLAN per la segmentazione, in particolare il rapporto costi-benefici. Ma in alcuni casi, quando si calcola con rischi e valori di asset, è possibile che l'equazione tenda a parlare di separazione fisica, che di solito è meno soggetta a errori ma più costosa.

Molto ben messo.Penso che la parte riguardante le situazioni in cui vi sia una grande disparità tra i requisiti di sicurezza di due (o più) reti sia particolarmente importante.L'utilizzo delle VLAN per ottenere la compartimentalizzazione di parti di ambienti di rete generici può fare un'enorme differenza rispetto al non farlo.(In modo che se un utente malintenzionato infrange una macchina non ha accesso all'intera azienda / organizzazione) Ma l'utilizzo delle sole VLAN spesso non è adeguato per segmentare le parti di rete ad alta sicurezza da tutto il resto;avrai bisogno di separazione fisica (preferibile) o VPN.
#8
+1
user974896
2012-10-17 18:23:44 UTC
view on stackexchange narkive permalink

Lettura in PVLANS (VLAN private). Forniscono una vera segregazione layer2 e prevengono gli attacchi di spoofing ARP.

Possono fare di più, ma questa è la configurazione più semplice. Supponiamo che tu abbia le porte 1,2 e 3 tutte su vlan 1. La porta 3 è il gateway predefinito, 1 e 2 sono host. Con le PVLAN 1 può parlare con 3 e 2 può parlare con 3, ma 1 non può parlare con 2. Se questo funziona per te lo consiglio.

Codifica le tue porte di accesso a una specifica vlan per evitare che saltino.

#9
+1
bob
2016-06-12 01:20:29 UTC
view on stackexchange narkive permalink

Per quanto ne so e comprendo il principio delle VLAN, non vi sono rischi per la sicurezza da parte del protocollo / dispositivo stesso. Con ciò intendo che VLAN ha lo scopo di separare i domini unicast Layer2, quindi no, se VLAN_A e VLAN_B correttamente configurati non dovrebbero essere in grado di parlare tra loro.

A parità di condizioni, se metti l'utente su un trunk non c'è motivo per cui non dovrebbe essere in grado di parlare con tutte le VLAN ... (perché è così che dovrebbe essere) questo a sua volta può essere un errori di configurazione sono una configurazione desiderata.

Ora, se un hacker ha accesso all'hardware fisico, ha anche accesso al software e quindi può ottenere l'accesso a QUALSIASI dispositivo su quella rete.

Questo è il motivo per cui la maggior parte delle reti di grandi dimensioni utilizza le VLAN per separare le reti e con questo intendo le banche, gli ISP, le opere ... nella conformità PCI le VLAN sono accettate come misura di segregazione (è così che il pinpad è separato i registratori di cassa e così via). Detto questo, come è stato detto sopra, il rischio è sempre nella configurazione e cioè sia per la configurazione delle porte di accesso che per il firewall, ACL e altri punti di configurazione. la maggior parte della commutazione viene eseguita in CPU dedicate (ASIC) e quindi implementerà la segregazione VLAN a livello hardware (anche se è solo un chip programmabile) altrimenti non saresti in grado di raggiungere le velocità che fai con gli switch.

#10
  0
user1490
2011-02-23 02:21:03 UTC
view on stackexchange narkive permalink

Penso che mi manchino alcuni dettagli dal tuo esempio -

Ogni switch su una VLAN separata è separato da un firewall o gli switch contengono più VLAN?

Se ciascuno switch ha una singola VLAN e tutto il traffico viene instradato attraverso il firewall, quindi dovresti stare bene dal punto di vista della sicurezza, supponendo che la base di regole sul FW sia corretta. In altre parole, non saresti in grado di saltare le VLAN senza passare attraverso il FW e il FW dovrebbe essere configurato per bloccare quel traffico. IE - Lo Switch 1 dovrebbe avere solo traffico VLAN 1, quindi il FW eliminerà qualsiasi traffico VLAN 2 proveniente dallo Switch 1.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...