題:
人們為什麼告訴我不要使用VLAN進行安全保護?
jtnire
2011-01-10 14:47:19 UTC
view on stackexchange narkive permalink

我有一個網絡,其中有幾個VLAN。兩個VLAN之間有一個防火牆。我正在使用HP Procurve交換機,並確保交換機到交換機的鏈接僅接受標記的幀,並且主機端口不接受標記的幀(它們不是“ VLAN Aware”)。我還確保中繼端口沒有本地VLAN。我還啟用了“入口過濾”。此外,我確保主機端口僅是單個VLAN的成員,這與相應端口的PVID相同。屬於多個VLAN的唯一端口是中繼端口。

有人可以向我解釋為什麼上述方法不安全嗎?我相信我已經解決了雙重標記問題。

更新:兩個交換機都是Hp Procurve 1800-24G

此問題是 IT安全性每週問題
閱讀2012年4月20日 博客條目 以獲取更多詳細信息或 提交您自己的 本週問題。

我不是超級超級交換機/路由器人員,但是在我看來某些環境無法將端口硬編碼為VLAN。尤其是在VOIP情況下,您的PC雛菊是從cisco或Shoretel電話中鏈接起來的。還是我誤會了?
十 答案:
Jakob Borg
2011-02-24 15:10:39 UTC
view on stackexchange narkive permalink

VLAN:s並不是天生不安全的。我是從服務提供商的角度寫這篇文章的,其中VLAN是在99%的案例(當場統計)中使用的技術,用於區分不同的客戶。您可以命名為彼此的居民客戶,企業專線的居民客戶,企業VPN彼此。

存在的VLAN跳躍攻擊都取決於幾個因素;

  • 交換機向您說出某種中繼協議,使您可以“註冊”其他VLAN。客戶端口永遠不會發生這種情況,否則應該被解僱。

  • 該端口是帶標記的端口,並且交換機也無法防止出現雙標記的數據包。僅當您在帶有VLAN標籤的端口上有客戶時才應該這樣做,而這不應該。即使這樣,如果您在交換機之間的中繼端口上允許使用未加標籤的數據包,這也是一個問題,那也是不應該的。

如果攻擊者可以訪問所涉及的物理線路,則推理是有效的。在這種情況下,您所面臨的問題比VLAN所能解決的要大得多。您希望彼此進行分段,並確實跟踪在面向此類實體的端口上啟用了哪些交換機功能。

是的-描述得很好。公平地說,ISP通常會做到這一點。最終用戶組織會有不同的結果-通常是由於缺乏經驗:-)
Rory McCune
2011-01-10 16:58:49 UTC
view on stackexchange narkive permalink

人們不鼓勵使用VLAN進行安全保護的一個原因是,由於交換機的配置錯誤,有些攻擊允許 VLAN跳動

思科也有一篇好的論文,針對一些潛在的VLAN安全問題。

本質上,使用VLAN進行網絡隔離會為交換機或其他設備上的錯誤配置帶來更大的可能性。運行它們的軟件中的錯誤可能使攻擊者可以繞過隔離。

這表示VLAN跳動和對VTP的攻擊中的許多問題現在已經很老了,因此有可能採用最新的交換機將解決他們。

jliendo
2011-03-01 10:36:59 UTC
view on stackexchange narkive permalink

我認為VLAN跳躍攻擊被嚴重高估了。這並不意味著您不應該部署非常容易理解的操作程序來減少/消除這種攻擊的風險(即,永遠不要在訪問端口中使用與本地相同的VLANID > 802.1q中繼上的VLAN作為結果,切勿使用VLAN 1)。我要說的是,從想要攻擊您的人的角度來看,還有其他第二層(L2)技術比VLAN跳躍攻擊更可靠,影響更大。

例如,ARP協議的附件非常易於部署,如果您的交換機不提供針對它的任何保護,則攻擊者可能會造成巨大破壞。如果您的VLAN很小,那麼您的風險就很大;如果您的VLAN很大,那麼您的風險就非常巨大(我的客戶的整個公司網絡都是巨大的VLAN,但這是另一個問題)。

然後,您將通過使用和濫用生成樹協議來攻擊局域網的穩定性(耶爾森菌是事實上的工具)。

如果您的“標準”黑客無法利用ARP或Spanning Tree或DHCP,這是我的經驗,那麼他將“移至” /專注於這一點。嘗試成功利用VLAN跳躍之前,基礎結構的其他部分(數據庫,Web,DNS)。從思科出版社。

Rory Alsop
2011-01-10 15:30:42 UTC
view on stackexchange narkive permalink

主要的安全缺陷歸結為以下事實:儘管從邏輯角度進行隔離,但實際上是在同一條線上運行網絡,因此從攻擊者的角度來看,在一個VLAN上通常工作量不大訪問另一個VLAN。

這就是為什麼如果在安全審核過程中發現與用戶域VLAN跨同一網絡運行的路由器的管理VLAN,會引起很大的危險。

組織的主要原因使用VLAN是便宜的,因為只需要實現一個物理網絡。

物理隔離是最簡單的解決方案,但確實需要更多的NIC,更多的電線等。

加密(本質上將VLAN轉換為VPN)也是可以的,而且不是火箭科學。

加密與火箭科學有某種關係,尤其是當您在沒有足夠的照料和理解的情況下將其拍打時,爆炸會以非常壯觀的方式爆炸。
:-)很好。當然,我的意思是,在這種情況下,創建VPN很簡單(因為我期望OP使用典型網絡設備中存在的加密功能,而不是自己編寫加密代碼)
如果您“通常沒有太多工作”表示“在正確配置的交換機中通常是不可能的”,則可以。否則,不會。
@JakobBorg-您希望不會。實際上您基本上是正確的-不幸的是,錯誤配置非常普遍!
毫無疑問。 :)不過,我從來沒有真正喜歡過“不應該將VLAN用於安全目的”的心態,因為世界上每個ISP每天都將其成功地用於此目的。我改了一個答案,因為它不適合註釋字段。 :)
“用戶區”是什麼意思?
我使用userland來指代用戶將要連接的網絡,而不是管理,報告或其他網絡
@RoryAlsop-您的意思是“從攻擊者的角度來看,訪問一個VLAN通常不需要太多工作”?在什麼情況下這是可能的?這是否假設交換機或路由器配置錯誤?如果是,那麼哪些錯誤配置示例可能導致這些類型的攻擊?
silly hacker
2012-04-30 09:31:37 UTC
view on stackexchange narkive permalink

其他答案很好。但是,我認為在某些情況下,您不想冒險將潛在的惡意客戶端與受信任的客戶端混在一起。一個很好的例子是車輛(汽車,飛機等)的娛樂網絡與系統的控製網絡。在飛機上,您真的不應該冒一些隨機乘客設法利用交換機或路由器,使他們能夠訪問系統控制的風險。同樣,您的CD播放器也不需要在汽車上跟剎車說話。我的意思是利用漏洞導致交換機或路由器本身執行任意代碼。認為這種事情永遠不會發生是很天真的。

ukcommando
2015-10-21 13:27:45 UTC
view on stackexchange narkive permalink

簡單的答案是,VLAN旨在隔離流量(從管理和數據流的角度出發,而不是安全性),它們不存在以保護任何單獨的流量(不涉及加密),因此安全評估師如果您的安全模型僅基於VLAN隔離,那將不會很高興。

fr00tyl00p
2015-10-21 17:57:30 UTC
view on stackexchange narkive permalink

我認為您在配置交換機方面做得很好,因為您了解攻擊媒介是什麼。但是人們常常不理解這一點,而這就是造成風險的原因-是否配置錯誤,有意或無意。

沒有理由說“ 永遠不要為此使用VLAN ”。 ,因為您可以正確配置交換機。但是,在發明VLAN時並未考慮安全性,因此必須謹慎進行配置,並且在查看配置時必須考慮所有潛在的攻擊媒介。畢竟,您可以糾正它,但是它很容易出錯(即,您承擔一點風險)。

當您計劃將網絡中需求差異很大的網絡分開時在機密性,完整性或可用性方面,您可能會發現丟失“黃金”網絡中這些屬性之一的成本超過了使用VLAN進行分離時必須承擔的風險。通常,在這種情況下,我建議使用單獨的物理設備而不是VLAN。

您可以說有充分的理由使用VLAN進行分段,尤其是成本效益比。但是在某些情況下,當您使用風險和資產價值進行計算時,您可能會發現該方程式傾向於物理分離,這通常不易出錯,但更昂貴。

非常好。我認為,關於兩個(或多個)網絡的安全要求之間存在巨大差異的情況,這一部分尤為重要。與不使用VLAN相比,使用VLAN來實現通用網絡環境中各個部分的分隔可以帶來巨大的不同。(因此,如果攻擊者破壞了一台計算機,他/她將無權訪問整個公司/組織。)但是,僅使用VLAN往往不足以將高安全性網絡部分與其他所有部分分開;您將需要物理隔離(首選)或VPN。
user974896
2012-10-17 18:23:44 UTC
view on stackexchange narkive permalink

讀入PVLANS(專用VLAN)。它們提供了真正的第2層隔離,並可以防止ARP欺騙攻擊。

他們可以做更多的事情,但這是最簡單的配置。假設您在vlan 1上有端口1,2和3。端口3是默認網關,端口1和2是主機。使用PVLAN,1可以與3對話,2可以與3對話,但1不能與2對話。如果這對您有用,我建議您這樣做。

bob
2016-06-12 01:20:29 UTC
view on stackexchange narkive permalink

據我了解和理解VLAN的原理,協議/設備本身沒有安全風險。我的意思是說,VLAN旨在隔離第2層單播域,因此如果正確配置,則VLAN_A和VLAN_B不能相互通信。

如果將用戶放在中繼上,所有事情都是平等的,那麼沒有理由他們不應該與所有VLAN通話...(因為那應該是這樣),這反過來可能是錯誤配置是理想的配置。

現在,如果黑客可以訪問物理硬件,那麼他們也可以訪問軟件,然後可以訪問該網絡上的任何設備。

這就是為什麼大多數大型網絡都使用VLAN隔離網絡的原因,我的意思是銀行,ISP,符合PCI規範的工作... VLAN被接受為隔離措施(這就是Pinpad與收銀機等)。就像上面所說的,風險始終存在於配置中,這對於訪問端口的配置以及防火牆,ACL和其他配置點都是如此。大多數交換是在專用CPU(ASIC)中完成的,因此將在硬件級別(即使只是可編程芯片)實現VLAN隔離,否則您將無法獲得與交換器相同的速率。

user1490
2011-02-23 02:21:03 UTC
view on stackexchange narkive permalink

我認為您的示例中缺少一些細節-

每個交換機是位於由防火牆分隔的單獨VLAN上還是交換機包含多個VLAN?

如果每個交換機如果交換機具有單個VLAN,並且所有流量都通過防火牆路由,那麼從安全的角度出發,假設FW上的規則庫正確,您應該沒事。換句話說,如果不通過FW,您將無法跳VLAN,並且應將FW配置為阻止該流量。 IE-交換機1應該僅具有VLAN 1流量,因此FW將丟棄來自交換機1的所有VLAN 2流量。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 2.0許可。
Loading...