Frage:
Warum wird mir aus Sicherheitsgründen gesagt, dass ich keine VLANs verwenden soll?
jtnire
2011-01-10 14:47:19 UTC
view on stackexchange narkive permalink

Ich habe ein Netzwerk, in dem einige VLANs vorhanden sind. Zwischen den beiden VLANs befindet sich eine Firewall. Ich verwende HP Procurve-Switches und habe sichergestellt, dass Switch-to-Switch-Links nur getaggte Frames akzeptieren und dass Host-Ports keine getaggten Frames akzeptieren (sie sind nicht "VLAN Aware"). Ich habe auch sichergestellt, dass die Trunk-Ports kein natives VLAN haben. Ich habe auch "Ingress Filtering" aktiviert. Außerdem habe ich sichergestellt, dass Host-Ports nur Mitglieder eines einzelnen VLAN sind, was der PVID des jeweiligen Ports entspricht. Die einzigen Ports, die Mitglieder mehrerer VLANs sind, sind die Trunk-Ports.

Kann mir bitte jemand erklären, warum das oben Genannte nicht sicher ist? Ich glaube, ich habe das Problem der doppelten Kennzeichnung behoben.

Update: Beide Switches sind HP Procurve 1800-24G

Diese Frage lautete IT-Sicherheit Frage der Woche .
Lesen Sie den Blogeintrag vom 20. April 2012 , um weitere Informationen zu erhalten, oder senden Sie ihn ab Ihre eigene Frage der Woche.

Ich bin kein super über Switch / Router-Typ, aber in einigen Umgebungen ist es meiner Meinung nach nicht möglich, den Port fest auf ein VLAN zu codieren. Besonders in VOIP-Situationen, in denen ein PC-Gänseblümchen von einem Cisco- oder Shoretel-Telefon angekettet ist. Oder verstehe ich falsch?
Zehn antworten:
#1
+68
Jakob Borg
2011-02-24 15:10:39 UTC
view on stackexchange narkive permalink

VLAN: s sind nicht von Natur aus unsicher. Ich schreibe dies aus Sicht eines Dienstanbieters, bei dem VLANs die Technologie sind, die in 99% der Fälle (vor Ort erstellte Statistiken) verwendet wird, um verschiedene Kunden voneinander zu segmentieren. Privatkunden voneinander, Privatkunden von Mietleitungen, Unternehmens-VPNs voneinander, wie Sie es nennen.

Die vorhandenen VLAN-Hopping-Angriffe hängen von einigen Faktoren ab;

  • Der Switch spricht eine Art Trunk-Protokoll mit Ihnen, sodass Sie sich für ein anderes VLAN "registrieren" können. Dies sollte niemals an einem Kundenport auftreten oder jemand sollte gefeuert werden.

  • Der Port ist ein getaggerter Port, und der Switch ist nicht gegen doppelt getaggte Pakete geschützt. Dies ist nur dann ein Problem, wenn Sie Kunden an VLAN-gekennzeichneten Ports haben, was Sie nicht sollten. Selbst dann ist es nur dann ein Problem, wenn Sie nicht getaggte Pakete an Trunk-Ports zwischen Switches zulassen, was Sie auch nicht sollten.

Die "Pakete werden auf derselben Leitung übertragen" Die Argumentation ist gültig, wenn der Angreifer Zugriff auf die betreffende physische Leitung hat. In diesem Fall haben Sie viel größere Probleme als VLANs lösen können.

Verwenden Sie VLANs also auf jeden Fall als Sicherheitsmaßnahme, aber stellen Sie sicher, dass Sie niemals VLAN-Tags mit den Entitäten sprechen Sie möchten voneinander segmentiert sein und verfolgen, welche Switch-Funktionen an Ports aktiviert sind, die solchen Entitäten zugewandt sind.

Ja - beschreibt es gut. Und um fair zu sein, machen ISPs dies normalerweise richtig. Endbenutzerorganisationen haben unterschiedliche Ergebnisse - normalerweise aufgrund mangelnder Erfahrung :-)
#2
+32
Rory McCune
2011-01-10 16:58:49 UTC
view on stackexchange narkive permalink

Ein Grund, warum Menschen von der Verwendung von VLANs aus Sicherheitsgründen abraten, ist, dass es aufgrund von Fehlkonfigurationen der Switches einige Angriffe gegeben hat, die VLAN-Hopping ermöglichen.

Cisco hat auch ein gutes Papier, in dem einige potenzielle VLAN-Sicherheitsbedenken behandelt werden.

Die Verwendung von VLANs zur Netzwerktrennung führt im Wesentlichen zu einem höheren Potenzial für eine Fehlkonfiguration der Switches oder Ein Fehler in der Software, mit der sie ausgeführt werden, kann dazu führen, dass ein Angreifer die Trennung umgeht.

Viele Probleme mit VLAN-Hopping und Angriffen auf VTP sind jedoch mittlerweile ziemlich alt, sodass es möglich ist, dass aktuelle Änderungen vorgenommen werden würde sie ansprechen.

#3
+18
jliendo
2011-03-01 10:36:59 UTC
view on stackexchange narkive permalink

Ich bin der Meinung, dass VLAN-Hopping-Angriffe stark überbewertet werden. Dies bedeutet nicht, dass Sie keine sehr gut verstandenen Betriebsverfahren bereitstellen sollten, um die Risiken dieses Angriffs zu verringern / zu eliminieren (dh verwenden Sie in Ihren Zugriffsports niemals dieselbe VLANID, die Sie für das native strong verwenden > VLAN auf Ihren 802.1q-Amtsleitungen. Verwenden Sie daher niemals VLAN 1). Ich versuche zu sagen, dass es aus der Sicht von jemandem, der Sie angreifen möchte, andere Layer-Two-Techniken (L2) gibt, die weitaus zuverlässiger und wirkungsvoller sind als ein VLAN-Hopping-Angriff.

Angriffe auf das ARP-Protokoll sind beispielsweise äußerst einfach bereitzustellen. Wenn Ihre Switches keinen Schutz dagegen bieten, kann der Angreifer großen Schaden anrichten. Wenn Ihr VLAN klein ist, ist Ihre Gefährdung groß, wenn Ihr VLAN groß ist, ist Ihre Gefährdung mega-super-riesig (ich habe Kunden, deren gesamtes Unternehmensnetzwerk ein riesiges VLAN ist, aber das ist ein anderes Problem). P. >

Dann haben Sie durch die Verwendung und den Missbrauch des Spanning Tree-Protokolls Angriffe auf die Stabilität Ihres LAN (Yersinia ist das De-facto-Tool dafür). Auch extrem einfach bereitzustellen und hat große Auswirkungen auf Ihre Infrastruktur.

Wenn Ihr "Standard" -Hacker ARP oder Spanning Tree oder DHCP nicht ausnutzen kann, wird er meiner Erfahrung nach "wechseln" / sich darauf konzentrieren andere Teile Ihrer Infrastruktur (DBs, Web, DNSs), bevor Sie versuchen, das VLAN-Hopping erfolgreich auszunutzen.

Wenn Layer-2-Sicherheit Ihre Art von Geschmack ist, kann ich Ihnen nicht genug empfehlen, das Buch "LAN Switch Security" zu lesen von Cisco Press.

#4
+10
Rory Alsop
2011-01-10 15:30:42 UTC
view on stackexchange narkive permalink

Der größte Sicherheitsmangel ist auf die Tatsache zurückzuführen, dass Sie die Netzwerke zwar aus logischer Sicht trennen, die Netzwerke jedoch tatsächlich über dieselben Kabel laufen. Aus Sicht eines Angreifers in einem VLAN ist dies normalerweise nicht viel Arbeit um auf das andere VLAN zuzugreifen.

Wenn ich während eines Sicherheitsaudits ein Verwaltungs-VLAN für Router finde, die über dasselbe Netzwerk wie das Userland-VLAN ausgeführt werden, wird eine große rote Fahne angezeigt.

Der Hauptgrund für Organisationen Die Verwendung von VLANs ist kostengünstig, da nur ein physisches Netzwerk implementiert werden muss.

Die physische Trennung ist die einfachste Lösung, erfordert jedoch mehr Netzwerkkarten, mehr Kabel usw.

Verschlüsselung ( Das VLAN im Wesentlichen in ein VPN umzuwandeln, kann ebenfalls funktionieren und ist kein Hexenwerk.

Die Verschlüsselung hat eine gewisse Beziehung zur Raketenwissenschaft, insbesondere zu dem Teil, in dem sie auf sehr spektakuläre Weise explodiert, wenn Sie sie mit nicht genügend Sorgfalt und Verständnis zusammenschlagen.
:-) nett. Ich meinte natürlich, dass in diesem Zusammenhang das Erstellen eines VPN einfach sein würde (da ich erwartet hatte, dass das OP die in typischen Netzwerkgeräten vorhandenen Verschlüsselungsfunktionen verwendet und den Verschlüsselungscode nicht selbst schreibt).
Wenn Sie mit "normalerweise nicht viel Arbeit" "normalerweise unmöglich in einem ordnungsgemäß konfigurierten Switch" meinen, dann ja. Ansonsten nein.
@JakobBorg - Sie würden hoffen, nicht wahr? Eigentlich hast du meistens recht - leider kommt es häufig zu Fehlkonfigurationen!
Kein Zweifel. :) Trotzdem hat mir die Mentalität "VLANs sollten nicht für Sicherheitszwecke verwendet werden" nie wirklich gefallen, da sie jeden Tag von jedem ISP auf der Welt erfolgreich für genau diesen Zweck verwendet werden. Ich habe es stattdessen zu einer Antwort gemacht, weil es nicht in das Kommentarfeld passt. :) :)
Was meinst du mit "Userland"?
Ich habe Userland verwendet, um auf das Netzwerk zu verweisen, zu dem Benutzer eine Verbindung herstellen, im Gegensatz zu Verwaltungs-, Berichts- oder anderen Netzwerken
@RoryAlsop - Was meinen Sie mit "aus der Sicht eines Angreifers in einem VLAN ist es normalerweise nicht viel Arbeit, auf das andere VLAN zuzugreifen"?Unter welchen Szenarien ist dies möglich?Geht dies von einer Fehlkonfiguration eines Switches oder Routers aus?Wenn ja, welche Beispiele für Fehlkonfigurationen können sich für diese Art von Angriffen eignen?
#5
+4
silly hacker
2012-04-30 09:31:37 UTC
view on stackexchange narkive permalink

Die anderen Antworten sind großartig. Ich denke jedoch, dass es einige Umstände gibt, unter denen Sie nicht riskieren möchten, potenziell böswillige Clients mit vertrauenswürdigen zu mischen. Ein gutes Beispiel ist das Unterhaltungsnetzwerk eines Fahrzeugs (Auto, Flugzeug usw.) im Vergleich zum Systemsteuerungsnetzwerk. In einem Flugzeug sollten Sie wirklich nicht das Risiko eingehen, dass ein zufälliger Passagier den Switch oder Router ausnutzt und ihm Zugriff auf die Systemsteuerung gewährt. Ebenso sollte Ihr CD-Player in einem Auto nicht unbedingt mit Ihren Bremsen sprechen müssen.

Und wenn ich über einen Exploit spreche, meine ich nicht wirklich VLAN-Hopping-Angriffe. Ich meine, eine Sicherheitsanfälligkeit auszunutzen, die zu einer beliebigen Codeausführung auf dem Switch oder Router selbst führt. Es wäre naiv zu glauben, dass solche Dinge niemals passieren könnten.

#6
+2
ukcommando
2015-10-21 13:27:45 UTC
view on stackexchange narkive permalink

Die einfache Antwort lautet, dass VLANs so konzipiert sind, dass sie den Datenverkehr trennen (mehr aus Sicht des Managements und des Datenflusses als aus Sicht der Sicherheit). Sie sind nicht vorhanden, um einen der einzelnen Verkehrsströme zu sichern (es ist keine Verschlüsselung erforderlich) Ich bin nicht glücklich, wenn Ihr Sicherheitsmodell ausschließlich auf der VLAN-Trennung basiert.

#7
+2
fr00tyl00p
2015-10-21 17:57:30 UTC
view on stackexchange narkive permalink

Ich denke, Sie haben Ihre Switches recht gut konfiguriert, weil Sie die Angriffsmethoden verstehen. Aber die Leute neigen oft dazu, dies nicht zu verstehen, und das ist es, was ein Risiko erzeugt - Fehlkonfiguration, beabsichtigt oder nicht.

Es gibt keinen Grund zu sagen: " Verwenden Sie niemals VLANs für diese ". , weil Sie Ihre Switches korrekt konfigurieren können. VLANs wurden jedoch nicht aus Sicherheitsgründen erfunden. Daher muss die Konfiguration sorgfältig durchgeführt werden, und Sie müssen alle potenziellen Angriffsmethoden berücksichtigen, wenn Sie Ihre Konfiguration überprüfen. Immerhin können Sie es richtig machen, aber es ist fehleranfällig (dh Sie akzeptieren ein kleines Risiko ).

Wenn Sie planen, Netzwerke mit einem großen Unterschied der Anforderungen in zu trennen Vertraulich, Integrität oder Verfügbarkeit Möglicherweise stellen Sie fest, dass die Kosten für den Verlust einer dieser Eigenschaften in Ihrem "goldenen" Netzwerk das Risiko überwiegen, das Sie bei der Verwendung von VLANs zur Trennung eingehen müssen. Dies ist normalerweise die Situation, in der ich empfehle, separate physische Geräte anstelle von VLANs zu verwenden.

Sie können sagen, dass es gute Gründe gibt, VLANs für die Segmentierung zu verwenden, insbesondere das Kosten-Nutzen-Verhältnis. In einigen Fällen kann es jedoch vorkommen, dass die Gleichung bei der Berechnung mit Risiken und Vermögenswerten für eine physische Trennung spricht, die normalerweise weniger fehleranfällig, aber teurer ist.

Sehr gut ausgedrückt.Ich denke, der Teil über Situationen, in denen die Sicherheitsanforderungen von zwei (oder mehr) Netzwerken sehr unterschiedlich sind, ist besonders wichtig.Die Verwendung von VLANs zur Unterteilung von Teilen von Allzweck-Netzwerkumgebungen kann einen großen Unterschied machen, wenn Sie dies nicht tun.(Wenn ein Angreifer einen Computer verletzt, hat er keinen Zugriff auf das gesamte Unternehmen / die gesamte Organisation.) Die Verwendung von VLANs allein reicht jedoch häufig nicht aus, um hochsichere Netzwerkteile von allem anderen zu trennen.Sie benötigen eine physische Trennung (vorzuziehen) oder VPNs.
#8
+1
user974896
2012-10-17 18:23:44 UTC
view on stackexchange narkive permalink

In PVLANS (private VLANs) einlesen. Sie bieten eine echte Layer2-Trennung und verhindern ARP-Spoofing-Angriffe.

Sie können mehr als das, aber dies ist die einfachste Konfiguration. Angenommen, Sie haben die Ports 1,2 und 3 auf vlan 1. Port 3 ist das Standard-Gateway, 1 und 2 sind Hosts. Mit PVLANs kann 1 mit 3 und 2 mit 3 sprechen, aber 1 kann nicht mit 2. Wenn dies für Sie funktioniert, empfehle ich es.

Codieren Sie Ihre Zugriffsports fest auf ein bestimmtes VLAN, um ein Hüpfen zu verhindern.

#9
+1
bob
2016-06-12 01:20:29 UTC
view on stackexchange narkive permalink

Soweit ich das Prinzip von VLANs kenne und verstehe, besteht für das Protokoll / Gerät selbst kein Sicherheitsrisiko. Damit meine ich, dass VLAN Layer2-Unicast-Domänen trennen soll, also nein, wenn richtig konfiguriert, sollten VLAN_A und VLAN_B nicht miteinander kommunizieren können.

Wenn alle Dinge gleich sind, wenn Sie einen Benutzer auf einen Trunk setzen, gibt es keinen Grund, warum er nicht in der Lage sein sollte, mit allen VLANs zu sprechen ... (weil es so sein soll) dies kann wiederum ein sein Fehlkonfiguration ist eine gewünschte Konfiguration.

Wenn ein Hacker nun Zugriff auf die physische Hardware hat, hat er auch Zugriff auf Software und kann dann auf JEDE Geräte in diesem Netzwerk zugreifen.

Aus diesem Grund verwenden die meisten großen Netzwerke VLANs, um Netzwerke zu trennen. Damit meine ich Banken, ISPs, die Arbeit ... bei der PCI-Konformität werden VLANs als Trennungsmaßnahme akzeptiert (so wird das Pinpad von diesen getrennt die Registrierkassen und so weiter). Nun, wie oben gesagt, liegt das Risiko immer in der Konfiguration und dies gilt sowohl für die Konfiguration der Zugriffsports als auch für die Firewall, die ACL und andere Konfigurationspunkte. Der größte Teil des Switchings erfolgt in dedizierten CPUs (ASICs) und implementiert daher die VLAN-Trennung auf Hardwareebene (auch wenn es sich nur um einen programmierbaren Chip handelt), da Sie sonst nicht die Raten erreichen könnten, die Sie mit Switches erzielen.

#10
  0
user1490
2011-02-23 02:21:03 UTC
view on stackexchange narkive permalink

Ich glaube, ich vermisse einige Details in Ihrem Beispiel -

Ist jeder Switch in einem separaten VLAN durch eine Firewall getrennt oder enthalten die Switches mehrere VLANs?

Wenn jeweils Der Switch verfügt über ein einziges VLAN und der gesamte Datenverkehr wird durch die Firewall geleitet. Unter Sicherheitsgesichtspunkten sollte dies in Ordnung sein, vorausgesetzt, die Regelbasis auf der FW stimmt. Mit anderen Worten, Sie könnten keine VLANs hüpfen, ohne die FW zu durchlaufen, und die FW sollte so konfiguriert sein, dass dieser Verkehr blockiert wird. IE - Switch 1 sollte nur VLAN 1-Verkehr haben, damit die FW jeglichen VLAN 2-Verkehr von Switch 1 löscht.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...