VLAN: s sind nicht von Natur aus unsicher. Ich schreibe dies aus Sicht eines Dienstanbieters, bei dem VLANs die Technologie sind, die in 99% der Fälle (vor Ort erstellte Statistiken) verwendet wird, um verschiedene Kunden voneinander zu segmentieren. Privatkunden voneinander, Privatkunden von Mietleitungen, Unternehmens-VPNs voneinander, wie Sie es nennen.

Die vorhandenen VLAN-Hopping-Angriffe hängen von einigen Faktoren ab;

• Der Switch spricht eine Art Trunk-Protokoll mit Ihnen, sodass Sie sich für ein anderes VLAN "registrieren" können. Dies sollte niemals an einem Kundenport auftreten oder jemand sollte gefeuert werden.

• Der Port ist ein getaggerter Port, und der Switch ist nicht gegen doppelt getaggte Pakete geschützt. Dies ist nur dann ein Problem, wenn Sie Kunden an VLAN-gekennzeichneten Ports haben, was Sie nicht sollten. Selbst dann ist es nur dann ein Problem, wenn Sie nicht getaggte Pakete an Trunk-Ports zwischen Switches zulassen, was Sie auch nicht sollten.

Die "Pakete werden auf derselben Leitung übertragen" Die Argumentation ist gültig, wenn der Angreifer Zugriff auf die betreffende physische Leitung hat. In diesem Fall haben Sie viel größere Probleme als VLANs lösen können.

Verwenden Sie VLANs also auf jeden Fall als Sicherheitsmaßnahme, aber stellen Sie sicher, dass Sie niemals VLAN-Tags mit den Entitäten sprechen Sie möchten voneinander segmentiert sein und verfolgen, welche Switch-Funktionen an Ports aktiviert sind, die solchen Entitäten zugewandt sind.

Ein Grund, warum Menschen von der Verwendung von VLANs aus Sicherheitsgründen abraten, ist, dass es aufgrund von Fehlkonfigurationen der Switches einige Angriffe gegeben hat, die VLAN-Hopping ermöglichen.

Cisco hat auch ein gutes Papier, in dem einige potenzielle VLAN-Sicherheitsbedenken behandelt werden.

Die Verwendung von VLANs zur Netzwerktrennung führt im Wesentlichen zu einem höheren Potenzial für eine Fehlkonfiguration der Switches oder Ein Fehler in der Software, mit der sie ausgeführt werden, kann dazu führen, dass ein Angreifer die Trennung umgeht.

Viele Probleme mit VLAN-Hopping und Angriffen auf VTP sind jedoch mittlerweile ziemlich alt, sodass es möglich ist, dass aktuelle Änderungen vorgenommen werden würde sie ansprechen.

Ich bin der Meinung, dass VLAN-Hopping-Angriffe stark überbewertet werden. Dies bedeutet nicht, dass Sie keine sehr gut verstandenen Betriebsverfahren bereitstellen sollten, um die Risiken dieses Angriffs zu verringern / zu eliminieren (dh verwenden Sie in Ihren Zugriffsports niemals dieselbe VLANID, die Sie für das native strong verwenden > VLAN auf Ihren 802.1q-Amtsleitungen. Verwenden Sie daher niemals VLAN 1). Ich versuche zu sagen, dass es aus der Sicht von jemandem, der Sie angreifen möchte, andere Layer-Two-Techniken (L2) gibt, die weitaus zuverlässiger und wirkungsvoller sind als ein VLAN-Hopping-Angriff.

Angriffe auf das ARP-Protokoll sind beispielsweise äußerst einfach bereitzustellen. Wenn Ihre Switches keinen Schutz dagegen bieten, kann der Angreifer großen Schaden anrichten. Wenn Ihr VLAN klein ist, ist Ihre Gefährdung groß, wenn Ihr VLAN groß ist, ist Ihre Gefährdung mega-super-riesig (ich habe Kunden, deren gesamtes Unternehmensnetzwerk ein riesiges VLAN ist, aber das ist ein anderes Problem). P. >

Dann haben Sie durch die Verwendung und den Missbrauch des Spanning Tree-Protokolls Angriffe auf die Stabilität Ihres LAN (Yersinia ist das De-facto-Tool dafür). Auch extrem einfach bereitzustellen und hat große Auswirkungen auf Ihre Infrastruktur.

Wenn Ihr "Standard" -Hacker ARP oder Spanning Tree oder DHCP nicht ausnutzen kann, wird er meiner Erfahrung nach "wechseln" / sich darauf konzentrieren andere Teile Ihrer Infrastruktur (DBs, Web, DNSs), bevor Sie versuchen, das VLAN-Hopping erfolgreich auszunutzen.

Wenn Layer-2-Sicherheit Ihre Art von Geschmack ist, kann ich Ihnen nicht genug empfehlen, das Buch "LAN Switch Security" zu lesen von Cisco Press.

Der größte Sicherheitsmangel ist auf die Tatsache zurückzuführen, dass Sie die Netzwerke zwar aus logischer Sicht trennen, die Netzwerke jedoch tatsächlich über dieselben Kabel laufen. Aus Sicht eines Angreifers in einem VLAN ist dies normalerweise nicht viel Arbeit um auf das andere VLAN zuzugreifen.

Wenn ich während eines Sicherheitsaudits ein Verwaltungs-VLAN für Router finde, die über dasselbe Netzwerk wie das Userland-VLAN ausgeführt werden, wird eine große rote Fahne angezeigt.

Der Hauptgrund für Organisationen Die Verwendung von VLANs ist kostengünstig, da nur ein physisches Netzwerk implementiert werden muss.

Die physische Trennung ist die einfachste Lösung, erfordert jedoch mehr Netzwerkkarten, mehr Kabel usw.

Verschlüsselung ( Das VLAN im Wesentlichen in ein VPN umzuwandeln, kann ebenfalls funktionieren und ist kein Hexenwerk.

Die anderen Antworten sind großartig. Ich denke jedoch, dass es einige Umstände gibt, unter denen Sie nicht riskieren möchten, potenziell böswillige Clients mit vertrauenswürdigen zu mischen. Ein gutes Beispiel ist das Unterhaltungsnetzwerk eines Fahrzeugs (Auto, Flugzeug usw.) im Vergleich zum Systemsteuerungsnetzwerk. In einem Flugzeug sollten Sie wirklich nicht das Risiko eingehen, dass ein zufälliger Passagier den Switch oder Router ausnutzt und ihm Zugriff auf die Systemsteuerung gewährt. Ebenso sollte Ihr CD-Player in einem Auto nicht unbedingt mit Ihren Bremsen sprechen müssen.

Und wenn ich über einen Exploit spreche, meine ich nicht wirklich VLAN-Hopping-Angriffe. Ich meine, eine Sicherheitsanfälligkeit auszunutzen, die zu einer beliebigen Codeausführung auf dem Switch oder Router selbst führt. Es wäre naiv zu glauben, dass solche Dinge niemals passieren könnten.

Die einfache Antwort lautet, dass VLANs so konzipiert sind, dass sie den Datenverkehr trennen (mehr aus Sicht des Managements und des Datenflusses als aus Sicht der Sicherheit). Sie sind nicht vorhanden, um einen der einzelnen Verkehrsströme zu sichern (es ist keine Verschlüsselung erforderlich) Ich bin nicht glücklich, wenn Ihr Sicherheitsmodell ausschließlich auf der VLAN-Trennung basiert.

Ich denke, Sie haben Ihre Switches recht gut konfiguriert, weil Sie die Angriffsmethoden verstehen. Aber die Leute neigen oft dazu, dies nicht zu verstehen, und das ist es, was ein Risiko erzeugt - Fehlkonfiguration, beabsichtigt oder nicht.

Es gibt keinen Grund zu sagen: " Verwenden Sie niemals VLANs für diese ". , weil Sie Ihre Switches korrekt konfigurieren können. VLANs wurden jedoch nicht aus Sicherheitsgründen erfunden. Daher muss die Konfiguration sorgfältig durchgeführt werden, und Sie müssen alle potenziellen Angriffsmethoden berücksichtigen, wenn Sie Ihre Konfiguration überprüfen. Immerhin können Sie es richtig machen, aber es ist fehleranfällig (dh Sie akzeptieren ein kleines Risiko ).

Wenn Sie planen, Netzwerke mit einem großen Unterschied der Anforderungen in zu trennen Vertraulich, Integrität oder Verfügbarkeit Möglicherweise stellen Sie fest, dass die Kosten für den Verlust einer dieser Eigenschaften in Ihrem "goldenen" Netzwerk das Risiko überwiegen, das Sie bei der Verwendung von VLANs zur Trennung eingehen müssen. Dies ist normalerweise die Situation, in der ich empfehle, separate physische Geräte anstelle von VLANs zu verwenden.

Sie können sagen, dass es gute Gründe gibt, VLANs für die Segmentierung zu verwenden, insbesondere das Kosten-Nutzen-Verhältnis. In einigen Fällen kann es jedoch vorkommen, dass die Gleichung bei der Berechnung mit Risiken und Vermögenswerten für eine physische Trennung spricht, die normalerweise weniger fehleranfällig, aber teurer ist.

In PVLANS (private VLANs) einlesen. Sie bieten eine echte Layer2-Trennung und verhindern ARP-Spoofing-Angriffe.

Sie können mehr als das, aber dies ist die einfachste Konfiguration. Angenommen, Sie haben die Ports 1,2 und 3 auf vlan 1. Port 3 ist das Standard-Gateway, 1 und 2 sind Hosts. Mit PVLANs kann 1 mit 3 und 2 mit 3 sprechen, aber 1 kann nicht mit 2. Wenn dies für Sie funktioniert, empfehle ich es.

Codieren Sie Ihre Zugriffsports fest auf ein bestimmtes VLAN, um ein Hüpfen zu verhindern.

Soweit ich das Prinzip von VLANs kenne und verstehe, besteht für das Protokoll / Gerät selbst kein Sicherheitsrisiko. Damit meine ich, dass VLAN Layer2-Unicast-Domänen trennen soll, also nein, wenn richtig konfiguriert, sollten VLAN_A und VLAN_B nicht miteinander kommunizieren können.

Wenn alle Dinge gleich sind, wenn Sie einen Benutzer auf einen Trunk setzen, gibt es keinen Grund, warum er nicht in der Lage sein sollte, mit allen VLANs zu sprechen ... (weil es so sein soll) dies kann wiederum ein sein Fehlkonfiguration ist eine gewünschte Konfiguration.

Wenn ein Hacker nun Zugriff auf die physische Hardware hat, hat er auch Zugriff auf Software und kann dann auf JEDE Geräte in diesem Netzwerk zugreifen.

Aus diesem Grund verwenden die meisten großen Netzwerke VLANs, um Netzwerke zu trennen. Damit meine ich Banken, ISPs, die Arbeit ... bei der PCI-Konformität werden VLANs als Trennungsmaßnahme akzeptiert (so wird das Pinpad von diesen getrennt die Registrierkassen und so weiter). Nun, wie oben gesagt, liegt das Risiko immer in der Konfiguration und dies gilt sowohl für die Konfiguration der Zugriffsports als auch für die Firewall, die ACL und andere Konfigurationspunkte. Der größte Teil des Switchings erfolgt in dedizierten CPUs (ASICs) und implementiert daher die VLAN-Trennung auf Hardwareebene (auch wenn es sich nur um einen programmierbaren Chip handelt), da Sie sonst nicht die Raten erreichen könnten, die Sie mit Switches erzielen.

Ich glaube, ich vermisse einige Details in Ihrem Beispiel -

Ist jeder Switch in einem separaten VLAN durch eine Firewall getrennt oder enthalten die Switches mehrere VLANs?

Wenn jeweils Der Switch verfügt über ein einziges VLAN und der gesamte Datenverkehr wird durch die Firewall geleitet. Unter Sicherheitsgesichtspunkten sollte dies in Ordnung sein, vorausgesetzt, die Regelbasis auf der FW stimmt. Mit anderen Worten, Sie könnten keine VLANs hüpfen, ohne die FW zu durchlaufen, und die FW sollte so konfiguriert sein, dass dieser Verkehr blockiert wird. IE - Switch 1 sollte nur VLAN 1-Verkehr haben, damit die FW jeglichen VLAN 2-Verkehr von Switch 1 löscht.