Perché la gente mi dice di non usare le VLAN per motivi di sicurezza?

VLAN: s non sono intrinsecamente insicure. Sto scrivendo questo dal punto di vista di un fornitore di servizi, dove le VLAN sono la tecnologia utilizzata nel 99% (statistiche elaborate sul posto) di casi per segmentare clienti diversi gli uni dagli altri. Clienti residenziali gli uni dagli altri, clienti residenziali da linee affittate aziendali, VPN aziendali l'una dall'altra, è il nome.

Gli attacchi di salto VLAN che esistono tutti dipendono da alcuni fattori;

• L'interruttore parla di una sorta di protocollo trunk per te, permettendoti di "registrarti" per una VLAN diversa. Questo non dovrebbe mai, mai accadere su una porta del cliente, o qualcuno dovrebbe essere licenziato.

• La porta è una porta con tag e lo switch non è protetto da pacchetti con tag doppio. Questo è solo un problema se si hanno clienti su porte con tag VLAN, cosa che non si dovrebbe fare. Anche in questo caso, è solo un problema se si autorizzano i pacchetti senza tag sulle porte trunk tra switch che, ancora, non si dovrebbe.

Il ragionamento "I pacchetti viaggiano sullo stesso filo" è valido, se l'attaccante ha accesso al filo fisico in questione. Se è così, hai problemi molto più grandi di quelli che le VLAN possono risolvere.

Quindi, usare sempre le VLAN come misura di sicurezza, ma assicuratevi di non parlare mai, mai, i tag VLAN con le entità che volete segmentare l'una dall'altra, e tenete traccia di quali funzioni switch sono abilitate sulle porte che si trovano di fronte entità.

Uno dei motivi per cui le persone scoraggiano l'uso delle VLAN per la sicurezza è che ci sono stati alcuni attacchi che consentono VLAN hopping , a causa di errori di configurazione degli switch.

Cisco ha anche un buona carta per risolvere alcuni potenziali problemi di sicurezza della VLAN.

Essenzialmente utilizzando le VLAN per la segregazione di rete si introduce un maggior potenziale di errori di configurazione sugli interruttori o di bug nel software che li esegue potrebbe consentire a un utente malintenzionato di aggirare la segregazione.

Detto questo, molti problemi con il VLAN hopping e gli attacchi a VTP sono piuttosto vecchi ora, quindi è possibile che gli switch aggiornati li indirizzino.

È mia opinione che gli attacchi di luppolizzazione della VLAN siano estremamente sopravvalutati. Ciò non significa che non dovresti implementare procedure operative ben comprese per ridurre / eliminare i rischi di questo attacco (es. Non usare mai nelle tue porte di accesso lo stesso VLANID che stai usando per nativo VLAN sui trunk 802.1q. Come corollario, non utilizzare mai VLAN 1). Quello che sto cercando di dire è che dal punto di vista di qualcuno che vuole attaccarti, ci sono altre tecniche di livello due (L2) che sono molto più affidabili e di gran lunga più efficaci di un attacco di salto con VLAN.

Gli attacchi al protocollo ARP, ad esempio, sono estremamente semplici da implementare e se i tuoi switch non offrono alcun tipo di protezione contro di essi, l'attaccante può causare gravi danni. Se la tua VLAN è piccola, la tua esposizione è enorme, se la tua VLAN è grande, la tua esposizione è enormemente super-enorme (ho clienti la cui intera rete aziendale è una VLAN enorme, ma questo è un altro problema).

Quindi hai attacchi alla stabilità della tua LAN attraverso l'uso e l'abuso del protocollo Spanning Tree (yersinia è lo strumento di fatto per questo). Anche estremamente facile da implementare e con un grande impatto sulla tua infrastruttura.

Se il tuo hacker "standard" non può sfruttare ARP o Spanning Tree o DHCP, è mia esperienza che "passerà a" / focalizzerà su altre parti della tua infrastruttura (DB, Web, DNS) prima di tentare di sfruttare con successo la VLAN saltellando.

Se il livello 2 di sicurezza è il tuo tipo di sapore, non posso raccomandarti a sufficienza di leggere il libro "LAN Switch Security" da Cisco Press.

La maggiore mancanza di sicurezza è dovuta al fatto che, sebbene tu stia separando da una prospettiva logica, stai effettivamente eseguendo le reti attraverso gli stessi fili, quindi dal punto di vista di un utente malintenzionato su una VLAN in genere non è molto lavoro per accedere all'altra VLAN.

Questo è il motivo per cui se durante una verifica di sicurezza trovo una VLAN di gestione per i router che attraversano la stessa rete della VLAN userland, solleva una grande bandiera rossa.

Il motivo principale per cui le organizzazioni utilizzano le VLAN è che costa poco, poiché è necessario implementare solo una rete fisica.

La segregazione fisica è la soluzione più semplice, ma richiede più schede NIC, più cavi ecc.

Anche la crittografia (che trasforma sostanzialmente la VLAN in una VPN) può funzionare, e non è una scienza missilistica.

Le altre risposte sono fantastiche. Tuttavia, penso che ci siano alcune circostanze in cui non si vuole rischiare di mischiare clienti potenzialmente maliziosi con quelli fidati. Un ottimo esempio è la rete di intrattenimento di un veicolo (auto, aereo, ecc.) Rispetto alla rete di controllo dei sistemi. Su un aereo, non dovresti correre il rischio che qualche passeggero casuale riesca a sfruttare lo switch o il router, dando loro accesso al controllo dei sistemi. Allo stesso modo, non dovrebbe esserci molto bisogno che il tuo lettore CD parli con i tuoi freni in un'automobile.

E quando parlo di un exploit, in realtà non intendo attacchi di tipo VLAN. Intendo sfruttare una vulnerabilità che si traduce nell'esecuzione di codice arbitrario sullo switch o sul router stesso. Sarebbe ingenuo pensare che cose del genere non possano mai accadere.

Penso che tu abbia configurato abbastanza bene i tuoi switch, perché capisci quali sono i vettori di attacco. Ma le persone tendono spesso a non capire questo e questo è ciò che genera un rischio - errata configurazione, intenzionale o no.

Non c'è motivo di dire " mai e poi mai utilizzare VLAN per questo ", perché puoi configurare correttamente i tuoi switch. Tuttavia, le VLAN non sono state inventate pensando alla sicurezza, e quindi la configurazione deve essere fatta con attenzione, e devi considerare tutti i potenziali vettori di attacco quando rivedi la tua configurazione. Dopotutto puoi farlo correttamente, ma è soggetto a errori (ad esempio accetti un piccolo rischio ).

Quando pianifichi di separare le reti con un'enorme differenza di requisiti in termini confidenziali, di integrità o di disponibilità, potresti scoprire che il costo di perdere una di queste proprietà nella tua rete "d'oro" supera il rischio che devi accettare quando usi le VLAN per separazione. Questa è solitamente la situazione in cui consiglio di utilizzare dispositivi fisici separati anziché VLAN.

Si può dire che ci sono buone ragioni per utilizzare le VLAN per la segmentazione, in particolare il rapporto costi-benefici. Ma in alcuni casi, quando si calcolano i rischi e i valori delle risorse, è possibile che l'equazione tenda a parlare per la separazione fisica, che di solito è meno soggetta a errori ma più costosa.

La semplice risposta è che le VLAN sono progettate per segregare il traffico (più da una prospettiva di gestione e flusso di dati che di sicurezza), non esistono per proteggere nessuno dei flussi di traffico individuali (non c'è alcuna crittografia in gioco), quindi valutatori di sicurezza non sarà felice se il tuo modello di sicurezza è basato esclusivamente sulla segregazione VLAN.

Penso che mi manchino alcuni dettagli del tuo esempio -

Ogni switch su una VLAN separata è separato da un firewall o gli switch contengono più VLAN?

Se ogni switch ha una singola VLAN e tutto il traffico viene instradato attraverso il firewall, si dovrebbe andare bene dal punto di vista della sicurezza, assumendo che la base di regole sul FW sia corretta. In altre parole, non sarebbe possibile saltare le VLAN senza passare attraverso il FW e il FW dovrebbe essere configurato per bloccare quel traffico. IE - Lo switch 1 dovrebbe avere solo il traffico VLAN 1, quindi il FW farà cadere qualsiasi traffico VLAN 2 proveniente dallo Switch 1.

Leggi in PVLANS (VLAN private). Forniscono la vera segregazione layer2 e prevengono gli attacchi di spoofing ARP.

Possono fare più di questo, ma questa è la configurazione più semplice. Supponiamo che tu abbia le porte 1,2 e 3 tutte su vlan 1. La porta 3 è il gateway predefinito, 1 e 2 sono host. Con PVLAN 1 puoi parlare con 3 e 2 puoi parlare con 3, ma 1 non puoi parlare con 2. Se questo funziona per te, lo consiglio.

Hardcode le tue porte di accesso a una specifica vlan per impedire l'hopping.

Per quanto ne so e capisco il principio delle VLAN, non vi è alcun rischio per la sicurezza dal protocollo / dispositivo stesso. Con questo intendo che le VLAN sono pensate per separare i domini unicast di Layer2 quindi no, se VLAN_A e VLAN_B correttamente configurate non dovrebbero essere in grado di comunicare tra loro.

A parità di condizioni, se si mette l'utente su un trunk non c'è motivo per cui non dovrebbero essere in grado di parlare con tutte le VLAN ... (perché questo è come dovrebbe essere) questo a sua volta può essere una configurazione errata configurazione.

Ora, se un hacker ha accesso all'hardware fisico, ha anche accesso al software e può quindi accedere a QUALSIASI dispositivo su quella rete.

Questo è il motivo per cui la maggior parte delle reti di grandi dimensioni utilizza VLAN per separare le reti e con questo intendo banche, ISP, i lavori ... in conformità PCI Le VLAN sono accettate come misura di separazione (è così che il pinpad è separato dai registratori di cassa e presto). Ora, come detto sopra, il rischio è sempre nella configurazione e ciò avviene sia per la configurazione delle porte di accesso sia per il firewall, l'ACL e altri punti di configurazione. la maggior parte della commutazione viene eseguita in CPU dedicate (ASIC) e quindi implementerà la segregazione VLAN a livello hardware (anche se si tratta solo di un chip programmabile) altrimenti non sarebbe possibile raggiungere le tariffe che si fanno con gli switch.