it-swarm-vi.com

Tại sao mọi người bảo tôi không sử dụng Vlan để bảo mật?

Tôi có một mạng lưới, nơi có một vài VLans. Có một tường lửa giữa 2 Vlan. Tôi đang sử dụng các bộ chuyển mạch HP Procurve và đã đảm bảo rằng các liên kết chuyển đổi chỉ chấp nhận các khung được gắn thẻ và các cổng Máy chủ không chấp nhận các khung được gắn thẻ (Chúng không phải là "Vlan Aware"). Tôi cũng đã đảm bảo rằng các cổng trung kế không có Vlan gốc. Tôi cũng đã bật "Lọc Ingress". Hơn nữa, tôi đã đảm bảo rằng các cổng Máy chủ chỉ là thành viên của một Vlan duy nhất, giống như PVID của cổng tương ứng. Các cổng duy nhất là thành viên của nhiều Vlan là các cổng trung kế.

Ai đó có thể vui lòng giải thích cho tôi tại sao những điều trên không an toàn? Tôi tin rằng tôi đã giải quyết vấn đề gắn thẻ đôi ..

Cập nhật: Cả hai thiết bị chuyển mạch là Hp Procurve 1800-24G

Câu hỏi này là Câu hỏi bảo mật CNTT trong tuần.
[.__.] Đọc ngày 20 tháng 4 năm 2012 mục blog để biết thêm chi tiết hoặc gửi câu hỏi của riêng bạn Câu hỏi trong tuần.

82
jtnire

Vlan: s vốn không an toàn. Tôi đang viết điều này từ góc độ nhà cung cấp dịch vụ, trong đó Vlan là công nghệ được sử dụng trong 99% (số liệu thống kê được thực hiện tại chỗ) để phân chia các khách hàng khác nhau với nhau. Khách hàng dân cư từ nhau, khách hàng dân cư từ các dòng thuê doanh nghiệp, VPN doanh nghiệp từ nhau, bạn đặt tên cho nó.

Các cuộc tấn công nhảy VLAN tồn tại tất cả phụ thuộc vào một vài yếu tố;

  • Công tắc nói một số loại giao thức trung kế với bạn, cho phép bạn "đăng ký" cho một Vlan khác. Điều này sẽ không bao giờ, bao giờ xảy ra trên một cổng khách hàng, hoặc ai đó sẽ bị sa thải.

  • Cổng là một cổng được gắn thẻ và công tắc không được bảo vệ chống lại các gói được gắn thẻ đôi. Đây chỉ là một vấn đề nếu bạn có khách hàng trên các cổng được gắn thẻ Vlan mà bạn không nên. Ngay cả sau đó, nó chỉ là một vấn đề nếu bạn cho phép các gói không được gắn thẻ trên các cổng trung kế giữa các công tắc, một lần nữa, bạn không nên.

Lý do "các gói đi trên cùng một dây" là hợp lệ, nếu kẻ tấn công có quyền truy cập vào dây vật lý được đề cập. Nếu đó là trường hợp, bạn có vấn đề lớn hơn nhiều so với những gì Vlan có thể giải quyết.

Vì vậy, bằng mọi cách, hãy sử dụng Vlan như một biện pháp bảo mật, nhưng hãy đảm bảo rằng bạn sẽ không bao giờ nói VLAN thẻ với các thực thể bạn muốn phân đoạn với nhau và theo dõi các tính năng chuyển đổi nào được kích hoạt trên các cổng đối mặt với các thực thể đó.

66
Jakob Borg

Một lý do tại sao mọi người không khuyến khích sử dụng Vlan để bảo mật là đã có một số cuộc tấn công cho phép nhảy Vlan , do cấu hình sai của các công tắc.

Cisco cũng có một giấy tốt giải quyết một số tiềm năng VLAN mối quan tâm bảo mật.

Về cơ bản, việc sử dụng Vlan để phân tách mạng sẽ tiềm ẩn nhiều khả năng cấu hình sai trên các thiết bị chuyển mạch hoặc lỗi trong phần mềm đang chạy, chúng có thể cho phép kẻ tấn công bỏ qua sự phân tách.

Điều đó nói rằng rất nhiều vấn đề với VLAN nhảy và tấn công vào VTP đã khá cũ, vì vậy có thể các công tắc cập nhật sẽ giải quyết chúng.

31
Rory McCune

Theo ý kiến ​​của tôi, các cuộc tấn công nhảy vọt VLAN được đánh giá quá cao. Điều này không có nghĩa là bạn không nên triển khai các quy trình vận hành được hiểu rõ để giảm/loại bỏ các rủi ro của cuộc tấn công này (tức là không bao giờ sử dụng trong các cổng truy cập của bạn cùng một VlanID mà bạn đang sử dụng cho bản địa = VLAN trên các trung kế 802.1q của bạn. Là một hệ quả, không bao giờ sử dụng VLAN 1). Điều tôi đang cố gắng nói là từ góc nhìn của một người muốn tấn công bạn, có những kỹ thuật lớp hai (L2) khác đáng tin cậy hơn và có tác động hơn nhiều so với một cuộc tấn công nhảy vọt VLAN.

Các cuộc tấn công vào giao thức ARP chẳng hạn rất đơn giản để triển khai và nếu các thiết bị chuyển mạch của bạn không cung cấp bất kỳ loại bảo vệ nào chống lại nó, kẻ tấn công có thể gây ra thiệt hại lớn. Nếu VLAN của bạn nhỏ thì mức độ phơi sáng của bạn rất lớn, nếu VLAN của bạn lớn, thì mức độ phơi sáng của bạn là siêu lớn (Tôi có những khách hàng có toàn bộ mạng công ty là một Vlan khổng lồ, nhưng đó là một vấn đề khác).

Sau đó, bạn có các cuộc tấn công vào sự ổn định của mạng LAN của bạn thông qua việc sử dụng và lạm dụng Giao thức Cây Spanning (yersinia là công cụ thực tế cho việc này). Cũng cực kỳ dễ triển khai và có tác động lớn đến cơ sở hạ tầng của bạn.

Nếu tin tặc "tiêu chuẩn" của bạn không thể khai thác ARP hoặc Spanning Tree hoặc DHCP, thì đó là kinh nghiệm của tôi rằng anh ta sẽ "chuyển sang"/tập trung vào các phần khác trong cơ sở hạ tầng của bạn (DB, Web, DNS) trước khi cố gắng khai thác thành công VLAN nhảy.

Nếu bảo mật lớp 2 là loại hương vị của bạn, tôi không thể khuyên bạn nên đọc cuốn sách "LAN Switch Security" từ Cisco Press.

16
jliendo

Sự thiếu bảo mật chủ yếu là do mặc dù bạn đang tách biệt từ góc độ logic, nhưng thực tế bạn đang chạy các mạng trên cùng một dây, do đó, từ góc độ của kẻ tấn công trên một VLAN thông thường không có nhiều công việc để truy cập Vlan khác.

Đây là lý do tại sao, trong quá trình kiểm toán bảo mật, tôi tìm thấy một quản lý VLAN cho các bộ định tuyến chạy trên cùng một mạng với userland VLAN nó sẽ giơ cờ đỏ lớn.

Lý do chính khiến các tổ chức sử dụng Vlan là nó rẻ vì chỉ có một mạng vật lý cần được triển khai.

Phân tách vật lý là giải pháp đơn giản nhất, nhưng không đòi hỏi nhiều NIC hơn, nhiều dây hơn, v.v.

Mã hóa (về cơ bản biến VLAN thành VPN) cũng có thể hoạt động và không phải là khoa học tên lửa.

9
Rory Alsop

Các câu trả lời khác là tuyệt vời. Tuy nhiên, tôi nghĩ rằng có một số trường hợp bạn không muốn mạo hiểm trộn lẫn các khách hàng độc hại tiềm ẩn với những khách hàng đáng tin cậy. Một ví dụ tuyệt vời là mạng giải trí của một phương tiện (ô tô, máy bay, v.v.) so với mạng điều khiển hệ thống. Trên máy bay, bạn thực sự không nên mạo hiểm khi một số hành khách ngẫu nhiên quản lý để khai thác công tắc hoặc bộ định tuyến, cho phép họ truy cập vào hệ thống điều khiển. Tương tự như vậy, không cần nhiều máy nghe nhạc CD để nói chuyện với phanh của bạn trong ô tô.

Và khi tôi nói về một khai thác, tôi thực sự không có ý VLAN nhảy tấn công. Tôi có nghĩa là khai thác một lỗ hổng dẫn đến việc thực thi mã tùy ý trên chính bộ chuyển đổi hoặc bộ định tuyến. nghĩ rằng những điều như vậy không bao giờ có thể xảy ra.

4
silly hacker

Câu trả lời đơn giản là Vlan được thiết kế để phân tách lưu lượng truy cập (nhiều hơn từ góc độ quản lý và luồng dữ liệu hơn là bảo mật), chúng không tồn tại để bảo mật bất kỳ luồng lưu lượng riêng lẻ nào (không có mã hóa liên quan), vì vậy người đánh giá bảo mật sẽ không rất vui nếu mô hình bảo mật của bạn chỉ dựa trên khoảng VLAN cách ly.

2
ukcommando

Tôi nghĩ rằng bạn đã cấu hình khá tốt các thiết bị chuyển mạch của mình, bởi vì bạn hiểu các vectơ tấn công là gì. Nhưng mọi người thường có xu hướng không hiểu điều này và đó là điều tạo ra rủi ro - cấu hình sai, dự định hay không.

Không có lý do gì để nói " không bao giờ sử dụng Vlan cho việc này ", bởi vì bạn có thể định cấu hình chính xác các công tắc của bạn. Tuy nhiên, Vlan không được phát minh với mục đích bảo mật và do đó, cấu hình phải được thực hiện cẩn thận và bạn phải xem xét tất cả các vectơ tấn công tiềm năng khi xem xét cấu hình của mình. Sau tất cả, bạn có thể làm điều đó đúng, nhưng nó dễ bị lỗi (tức là bạn chấp nhận một chút rủi ro).

Khi bạn có kế hoạch tách các mạng có sự khác biệt lớn về yêu cầu về tính bảo mật, tính toàn vẹn hoặc tính khả dụng, bạn có thể thấy rằng chi phí mất một trong các tài sản này trong mạng "vàng" của bạn vượt xa rủi ro bạn phải chấp nhận khi sử dụng Vlan để phân tách. Đây thường là tình huống mà tôi khuyên bạn nên sử dụng các thiết bị vật lý riêng biệt thay vì Vlan.

Bạn có thể nói rằng có những lý do chính đáng để sử dụng Vlan cho phân khúc, đặc biệt là tỷ lệ lợi ích chi phí. Nhưng trong một số trường hợp, khi bạn tính toán với rủi ro và giá trị tài sản, bạn có thể thấy rằng phương trình có xu hướng nói về sự tách biệt vật lý, thường ít bị lỗi hơn nhưng đắt hơn.

2
fr00tyl00p

Theo như tôi biết và hiểu nguyên tắc của Vlan thì không có rủi ro bảo mật bởi chính giao thức/thiết bị. Điều đó có nghĩa là VLAN có nghĩa là tách biệt các miền unicast của Layer2 do đó không, nếu Vlan_A và Vlan_B được cấu hình đúng sẽ không thể nói chuyện với nhau.

Tất cả mọi thứ đều bình đẳng nếu bạn đặt người dùng trên một thân cây, không có lý do gì họ không thể nói chuyện với tất cả các Vlan ... (vì đó là cách nó phải như vậy) đến lượt nó có thể là một cấu hình sai là một cấu hình mong muốn.

Bây giờ nếu tin tặc có quyền truy cập vào phần cứng vật lý, chúng cũng có quyền truy cập vào phần mềm và sau đó có thể truy cập vào BẤT K device thiết bị nào trên mạng đó.

Đây là lý do tại sao hầu hết các mạng lớn sử dụng Vlan để phân tách mạng và ý tôi là các ngân hàng, ISP, công việc ... trong Vlan tuân thủ PCI được chấp nhận như một biện pháp tách biệt (đó là cách pinpad được tách ra khỏi máy tính tiền và v.v.) . Bây giờ đã nói như đã nói ở trên, rủi ro luôn nằm ở cấu hình và điều đó thông qua cả cấu hình của các cổng truy cập và cho tường lửa, ACL và điểm cấu hình khác. hầu hết việc chuyển đổi được thực hiện trong các CPU chuyên dụng (ASIC) và do đó sẽ thực hiện phân tách VLAN ở cấp độ phần cứng (ngay cả khi chỉ là chip lập trình) nếu không bạn sẽ không thể đạt được tỷ lệ bạn làm với thiết bị chuyển mạch.

1
bob

Tôi nghĩ rằng tôi đang thiếu một số chi tiết từ ví dụ của bạn -

Có phải mỗi công tắc trên một VLAN được phân tách bằng tường lửa hoặc các công tắc có chứa nhiều Vlan không?

Nếu mỗi công tắc có một VLAN và tất cả lưu lượng truy cập được chuyển qua tường lửa thì bạn sẽ ổn từ quan điểm bảo mật, giả sử cơ sở quy tắc trên FW là đúng. Nói cách khác, bạn sẽ không ' Không thể nhảy Vlan mà không cần thông qua FW và FW phải được định cấu hình để chặn lưu lượng đó. IE - Chuyển đổi 1 chỉ nên có VLAN 1 lưu lượng vì vậy FW sẽ giảm bất kỳ lưu lượng VLAN 2 đến từ Switch 1.

0
user1490

Đọc vào PVLANS (Vlan tư nhân). Chúng cung cấp sự phân tách layer2 thực sự và sẽ ngăn chặn các cuộc tấn công giả mạo ARP.

Họ có thể làm nhiều hơn thế nhưng đây là cấu hình đơn giản nhất. Giả sử bạn có các cổng 1,2 và 3 tất cả trên vlan 1. Cổng 3 là cổng mặc định, 1 và 2 là máy chủ lưu trữ. Với PVlans 1 có thể nói chuyện với 3 và 2 có thể nói chuyện với 3, nhưng 1 không thể nói chuyện với 2. Nếu điều này hiệu quả với bạn, tôi đề nghị điều đó.

Hardcode cổng truy cập của bạn vào một vlan cụ thể để ngăn chặn nhảy.

0
user974896