it-swarm.dev

Perché le persone mi dicono di non usare le VLAN per la sicurezza?

Ho una rete, dove un paio di VLAN. C'è un firewall tra le 2 VLAN. Sto utilizzando gli switch HP Procurve e mi sono assicurato che i collegamenti switch-to-switch accettino solo i frame con tag e che le porte Host non accettino i frame con tag (non sono "VLAN Aware"). Mi sono anche assicurato che le porte trunk non abbiano una VLAN nativa. Ho anche abilitato il "Filtro di ingresso". Inoltre, mi sono assicurato che le porte Host siano solo membri di una singola VLAN, che è la stessa del PVID della rispettiva porta. Le uniche porte che sono membri di più VLAN sono le porte trunk.

Qualcuno può spiegarmi perché ciò che precede non è sicuro? Credo di aver affrontato il problema della doppia codifica ..

Aggiornamento: entrambi gli switch sono Hp Procurve 1800-24G

Questa domanda era Domanda sulla sicurezza IT della settimana.
Leggi il 20 aprile 2012 post di blog per maggiori dettagli o invia il tuo Domanda della settimana.

82
jtnire

VLAN: s non sono intrinsecamente insicuri. Sto scrivendo questo dal punto di vista del fornitore di servizi, in cui le VLAN sono la tecnologia utilizzata nel 99% (statistiche elaborate sul posto) dei casi per segmentare i diversi clienti l'uno dall'altro. I clienti residenziali l'uno dall'altro, i clienti residenziali dalle linee affittate aziendali, le VPN aziendali l'una dall'altra, tu lo chiami.

Gli attacchi hopping VLAN che esistono tutti dipendono da alcuni fattori;

  • Lo switch ti comunica una sorta di protocollo trunk che ti consente di "registrarti" per una VLAN diversa. Questo non dovrebbe mai e poi mai accadere sulla porta di un cliente o qualcuno dovrebbe essere licenziato.

  • La porta è una porta con tag e lo switch non è protetto dai pacchetti con tag doppio. Questo è un problema solo se hai clienti su porte con tag VLAN, cosa che non dovresti. Anche in questo caso, è solo un problema se si consentono pacchetti senza tag su porte trunk tra switch che, di nuovo, non si dovrebbe.

Il ragionamento "I pacchetti viaggiano sullo stesso filo" è valido se l'attaccante ha accesso al filo fisico in questione. In tal caso, hai problemi molto più grandi di quelli che le VLAN possono risolvere.

Quindi, usa sicuramente le VLAN come misura di sicurezza, ma assicurati di non parlare mai e poi mai VLAN con le entità che desideri vengano segmentate l'una dall'altra, e tieni traccia di quali funzioni dello switch sono abilitati su porte di fronte a tali entità.

66
Jakob Borg

Uno dei motivi per cui le persone scoraggiano l'uso delle VLAN per la sicurezza è che ci sono stati alcuni attacchi che consentono VLAN hopping , a causa di errate configurazioni degli switch.

Cisco ha anche un buon documento che affronta alcuni potenziali VLAN problemi di sicurezza.

L'utilizzo essenzialmente di VLAN per la segregazione di rete introduce un maggiore potenziale per una configurazione errata degli switch o un bug nel software che li esegue potrebbe consentire a un utente malintenzionato di ignorare la segregazione.

Detto questo, molti problemi con VLAN hopping e attacchi su VTP sono piuttosto vecchi ora, quindi è possibile che gli switch aggiornati li risolvano.

31
Rory McCune

Ritengo che VLAN gli attacchi hopping siano enormemente sopravvalutati. Questo non significa che non dovresti implementare procedure operative ben comprese per ridurre/eliminare i rischi di questo attacco (cioè non usare mai nelle tue porte di accesso lo stesso VLANID che stai usando per native = VLAN sui trunk 802.1q. Come corollario, non utilizzare mai VLAN 1). Quello che sto cercando di dire è che dal punto di vista di qualcuno che vuole attaccarti, ci sono altre tecniche di livello due (L2) che sono molto più affidabili e con un impatto molto maggiore di un attacco hopping VLAN.

Gli attacchi al protocollo ARP, ad esempio, sono estremamente semplici da implementare e se i tuoi switch non offrono alcun tipo di protezione contro di esso, l'attaccante può causare gravi danni. Se la tua VLAN è piccola, la tua esposizione è enorme, se la tua VLAN è grande, allora la tua esposizione è mega-super-enorme (ho clienti la cui intera rete aziendale è una VLAN enorme, ma quello´ s un altro problema).

Quindi hai attacchi alla stabilità della tua LAN attraverso l'uso e l'abuso dello Spanning Tree Protocol (yersinia è lo strumento di fatto per questo). Inoltre estremamente facile da implementare e con un grande impatto sulla tua infrastruttura.

Se il tuo hacker "standard" non è in grado di sfruttare ARP o Spanning Tree o DHCP, è mia esperienza che si sposterà su "/ focus-in altre parti della tua infrastruttura (DB, Web, DNS) prima di provare a sfruttare con successo VLAN saltellando.

Se la sicurezza di livello 2 è il tuo tipo di sapore, non posso raccomandare sufficientemente di leggere il libro "LAN Switch Security" di Cisco Press.

16
jliendo

La maggiore mancanza di sicurezza dipende dal fatto che, sebbene si stia separando da una prospettiva logica, si stanno effettivamente eseguendo le reti attraverso gli stessi cavi, quindi dalla prospettiva di un utente malintenzionato su uno VLAN in genere non è molto difficile accedere all'altra VLAN.

Questo è il motivo per cui, durante un controllo di sicurezza, trovo una gestione VLAN per i router in esecuzione sulla stessa rete di userland VLAN genera una grande bandiera rossa.

Il motivo principale per cui le organizzazioni utilizzano le VLAN è che è economico poiché è necessario implementare solo una rete fisica.

La segregazione fisica è la soluzione più semplice, ma richiede più schede di rete, più fili ecc.

Anche la crittografia (essenzialmente trasformando il VLAN in una VPN) può funzionare, e non è scienza missilistica.

9
Rory Alsop

Le altre risposte sono fantastiche. Tuttavia, penso che ci siano alcune circostanze in cui non si desidera rischiare di mescolare client potenzialmente dannosi con clienti fidati. Un ottimo esempio è la rete di intrattenimento di un veicolo (auto, aereo, ecc.) Rispetto alla rete di controllo dei sistemi. Su un aereo, non dovresti davvero correre il rischio che alcuni passeggeri casuali riescano a sfruttare l'interruttore o il router, dando loro accesso al controllo dei sistemi. Allo stesso modo, non dovrebbe esserci molto bisogno che il tuo lettore CD parli con i tuoi freni in un'automobile.

E quando parlo di un exploit, non intendo davvero VLAN hopping attacchi. Intendo sfruttare una vulnerabilità che si traduce in esecuzione di codice arbitrario sullo switch o sul router stesso. Sarebbe ingenuo penso che cose del genere non possano mai accadere.

4
silly hacker

La semplice risposta è che le VLAN sono progettate per separare il traffico (più dal punto di vista della gestione e del flusso di dati che della sicurezza), non esistono per proteggere i singoli flussi di traffico (non è prevista alcuna crittografia), quindi i valutatori della sicurezza non lo faranno sii felice se il tuo modello di sicurezza è basato esclusivamente sulla segregazione VLAN.

2
ukcommando

Penso che tu abbia fatto abbastanza bene a configurare i tuoi switch, perché capisci quali sono i vettori di attacco. Ma le persone spesso tendono a non capirlo e questo è ciò che genera un rischio: errata configurazione, intenzionale o no.

Non c'è motivo di dire " non utilizzare mai VLAN per questo ", perché puoi configura correttamente i tuoi switch. Tuttavia, le VLAN non sono state inventate pensando alla sicurezza, quindi la configurazione deve essere eseguita con cura e durante la revisione della configurazione è necessario considerare tutti i potenziali vettori di attacco. Dopotutto puoi farlo correttamente, ma è soggetto a errori (cioè accetti un piccolo rischio).

Quando si prevede di separare le reti con un'enorme differenza di requisiti in termini di riservatezza, integrità o disponibilità, è possibile che il costo della perdita di una di queste proprietà nella propria rete "dorata" superi il rischio che si deve accettare quando si utilizzano le VLAN per la separazione. Questa è di solito la situazione in cui consiglio di utilizzare dispositivi fisici separati anziché VLAN.

Puoi dire che ci sono buoni motivi per usare le VLAN per la segmentazione, in particolare il rapporto costi-benefici. Ma in alcuni casi, quando si calcola con rischi e valori delle attività, è possibile che l'equazione tenda a parlare di separazione fisica, che di solito è meno soggetta a errori ma più costosa.

2
fr00tyl00p

Per quanto ne so e comprendo il principio delle VLAN non vi è alcun rischio per la sicurezza dal protocollo/dispositivo stesso. Con ciò intendo che VLAN ha lo scopo di separare i domini unicast Layer2, quindi no, se VLAN_A e VLAN_B correttamente configurati non dovrebbero essere in grado di dialogare.

A parità di condizioni se si mette l'utente su un trunk, non vi è alcun motivo per cui non dovrebbero essere in grado di parlare con tutte le VLAN ... (poiché è così che dovrebbe essere), questo a sua volta può essere un'errata configurazione, è una configurazione desiderata.

Ora, se un hacker ha accesso all'hardware fisico, ha anche accesso al software e quindi può accedere a QUALSIASI dispositivo su quella rete.

Questo è il motivo per cui la maggior parte delle reti di grandi dimensioni utilizza le VLAN per separare le reti e con ciò intendo le banche, gli ISP, i lavori ... nelle conformità PCI Le VLAN sono accettate come misura di separazione (è così che il pinpad è separato dai registratori di cassa e così via) . Ora, come detto sopra, il rischio è sempre nella configurazione e ciò è dovuto sia alla configurazione delle porte di accesso sia al firewall, ACL e altri punti di configurazione. la maggior parte della commutazione avviene in CPU dedicate (ASIC) e quindi implementerà la segregazione VLAN a livello hardware (anche se è solo un chip programmabile) altrimenti non saresti in grado di raggiungere il tassi che fai con gli switch.

1
bob

Penso che mi manchino alcuni dettagli del tuo esempio -

Ogni switch è separato VLAN separato da un firewall o gli switch contengono più VLAN?

Se ogni switch ha un singolo VLAN e tutto il traffico viene instradato attraverso il firewall, allora dovresti stare bene dal punto di vista della sicurezza, supponendo che la base di regole sull'FW sia corretta. In altre parole, non essere in grado di saltare le VLAN senza passare attraverso il FW e il FW dovrebbe essere configurato per bloccare quel traffico. IE - Lo Switch 1 dovrebbe avere solo VLAN 1 traffico quindi il FW rilascerà qualsiasi VLAN 2 traffico proveniente dallo Switch 1.

0
user1490

Leggi in PVLANS (VLAN private). Forniscono una vera segregazione layer2 e prevengono gli attacchi di spoofing ARP.

Possono fare di più ma questa è la configurazione più semplice. Supponiamo che tu abbia le porte 1,2 e 3 tutte su vlan 1. La porta 3 è il gateway predefinito, 1 e 2 sono host. Con le PVLAN 1 può parlare con 3 e 2 può parlare con 3, ma 1 non può parlare con 2. Se questo funziona per te lo consiglio.

Hardcode delle porte di accesso a un vlan specifico per evitare il salto.

0
user974896