it-swarm-id.com

Mengapa orang mengatakan kepada saya untuk tidak menggunakan VLAN untuk keamanan?

Saya memiliki jaringan, di mana memiliki beberapa VLAN. Ada firewall antara 2 VLAN. Saya menggunakan sakelar HP Procurve dan telah memastikan bahwa tautan sakelar ke sakelar hanya menerima bingkai yang ditandai dan bahwa port Host tidak menerima bingkai yang ditandai (Ini bukan "VLAN Sadar"). Saya juga memastikan bahwa port trunk tidak memiliki VLAN asli. Saya juga telah mengaktifkan "Penyaringan Ingress". Selain itu, saya telah memastikan bahwa port Host hanya anggota dari satu VLAN, yang sama dengan PVID masing-masing port. Satu-satunya port yang merupakan anggota dari beberapa VLAN adalah port trunk.

Dapatkah seseorang tolong jelaskan kepada saya mengapa hal di atas tidak aman? Saya yakin saya telah membahas masalah penandaan ganda ..

Pembaruan: Kedua sakelar Hp Procurve 1800-24G

Pertanyaan ini adalah Pertanyaan Keamanan IT Minggu Ini.
Baca pada 20 Apr 2012 entri blog untuk lebih jelasnya atau kirim milik Anda sendiri Pertanyaan dalam Pekan.

82
jtnire

VLAN: s secara inheren tidak aman. Saya menulis ini dari perspektif penyedia layanan, di mana VLAN adalah teknologi yang digunakan dalam 99% (statistik yang dibuat di tempat) dari kasus untuk mengelompokkan pelanggan yang berbeda satu sama lain. Pelanggan residensial satu sama lain, pelanggan residensial dari perusahaan leased line, VPN perusahaan dari satu sama lain, sebut saja.

The VLAN serangan hopping yang ada semua tergantung pada beberapa faktor;

  • Switch berbicara semacam protokol trunk kepada Anda, memungkinkan Anda untuk "mendaftar" untuk VLAN yang berbeda. Ini seharusnya tidak pernah terjadi di pelabuhan pelanggan, atau seseorang harus dipecat.

  • Port adalah port yang ditandai, dan sakelar itu tidak dilindungi terhadap paket-paket yang ditandai ganda. Ini hanya masalah jika Anda memiliki pelanggan di port yang ditandai VLAN, yang seharusnya tidak Anda lakukan. Meskipun demikian, ini hanya masalah jika Anda mengizinkan paket yang tidak ditandai pada port trunk di antara sakelar yang, sekali lagi, seharusnya tidak.

Penalaran "paket perjalanan dengan kabel yang sama" valid, jika penyerang memiliki akses ke kabel fisik yang dimaksud. Jika itu masalahnya, Anda memiliki masalah yang jauh lebih besar daripada yang dapat dipecahkan oleh VLAN.

Jadi, tentu saja gunakan VLAN sebagai langkah pengamanan, tetapi pastikan bahwa Anda tidak pernah berbicara VLAN tag dengan entitas yang Anda inginkan tersegmentasi satu sama lain, dan tetap melacak fitur pengalih yang mana diaktifkan pada port yang menghadap entitas tersebut.

66
Jakob Borg

Salah satu alasan mengapa orang mencegah penggunaan VLAN untuk keamanan adalah bahwa ada beberapa serangan yang memungkinkan VLAN hopping , karena kesalahan konfigurasi switch.

Cisco juga memiliki makalah yang bagus menangani beberapa potensi VLAN masalah keamanan.

Pada dasarnya menggunakan VLAN untuk segregasi jaringan memperkenalkan lebih banyak potensi kesalahan konfigurasi pada sakelar atau bug dalam perangkat lunak yang menjalankannya dapat memungkinkan penyerang memintas segregasi.

Itu mengatakan banyak masalah dengan VLAN hopping dan serangan pada VTP sudah cukup tua sekarang, jadi ada kemungkinan bahwa switch terkini akan mengatasinya.

31
Rory McCune

Saya berpendapat bahwa VLAN serangan hopping sangat dibesar-besarkan. Ini tidak berarti bahwa Anda tidak boleh menggunakan prosedur operasional yang dipahami dengan baik untuk mengurangi/menghilangkan risiko serangan ini (yaitu, jangan pernah menggunakan port akses Anda dengan VLANID yang sama dengan yang Anda gunakan untuk asli = VLAN pada batang 802.1q Anda. Sebagai konsekuensi wajar, jangan pernah menggunakan VLAN 1). Yang ingin saya katakan adalah bahwa dari sudut pandang seseorang yang ingin menyerang Anda, ada teknik lapisan dua (L2) lain yang jauh lebih dapat diandalkan dan dengan dampak yang jauh lebih besar daripada VLAN serangan hopping .

Serangan ke protokol ARP misalnya sangat mudah digunakan dan jika sakelar Anda tidak menawarkan perlindungan apa pun terhadapnya, penyerang dapat menyebabkan kerusakan hebat. Jika VLAN Anda kecil maka eksposur Anda besar, jika VLAN Anda besar, maka eksposur Anda sangat besar (saya punya pelanggan yang seluruh jaringan perusahaannya adalah VLAN besar) , tapi itu masalah lain).

Kemudian Anda memiliki serangan terhadap stabilitas LAN Anda melalui penggunaan dan penyalahgunaan Spanning Tree Protocol (yersinia adalah alat de-facto untuk ini). Juga sangat mudah digunakan dan berdampak besar pada infrastruktur Anda.

Jika peretas "standar" Anda tidak dapat mengeksploitasi ARP atau Spanning Tree atau DHCP, menurut pengalaman saya ia akan "pindah ke"/fokus-di bagian lain infrastruktur Anda (DB, Web, DNS) sebelum mencoba untuk berhasil mengeksploitasi VLAN melompat.

Jika keamanan lapisan 2 adalah jenis rasa Anda, saya tidak bisa merekomendasikan Anda untuk membaca buku "LAN Switch Security" dari Cisco Press.

16
jliendo

Kurangnya keamanan utama adalah kenyataan bahwa meskipun Anda memisahkan dari perspektif logis, Anda sebenarnya menjalankan jaringan di kabel yang sama, jadi dari perspektif penyerang pada satu VLAN biasanya tidak banyak pekerjaan untuk mengakses VLAN lainnya.

Inilah sebabnya mengapa, selama audit keamanan, saya menemukan manajemen VLAN untuk router yang berjalan di jaringan yang sama dengan userland VLAN itu menimbulkan bendera merah besar.

Alasan utama organisasi menggunakan VLAN adalah murah karena hanya satu jaringan fisik yang perlu diimplementasikan.

Pemisahan fisik adalah solusi paling sederhana, tetapi memang membutuhkan lebih banyak NIC, lebih banyak kabel dll.

Enkripsi (pada dasarnya mengubah VLAN menjadi VPN) juga bisa berfungsi, dan bukan ilmu roket.

9
Rory Alsop

Jawaban lainnya bagus. Namun, saya pikir ada beberapa keadaan di mana Anda tidak ingin mengambil risiko mencampurkan klien yang berpotensi jahat dengan yang tepercaya. Contoh yang bagus adalah jaringan hiburan kendaraan (mobil, pesawat terbang, dll) vs. jaringan kendali sistem. Di pesawat terbang, Anda seharusnya tidak mengambil risiko yang dilakukan beberapa penumpang acak untuk mengeksploitasi switch atau router, memberi mereka akses ke kontrol sistem. Demikian pula, seharusnya tidak ada banyak kebutuhan untuk pemutar CD Anda untuk berbicara dengan rem Anda di mobil.

Dan ketika saya berbicara tentang exploit, saya tidak bermaksud VLAN serangan hopping. Maksud saya mengeksploitasi kerentanan yang menghasilkan eksekusi kode arbitrer pada switch atau router itu sendiri. Akan naif untuk berpikir hal seperti itu tidak akan pernah terjadi.

4
silly hacker

Jawaban sederhananya adalah bahwa VLAN dirancang untuk memisahkan lalu lintas (lebih dari perspektif manajemen dan aliran data daripada keamanan), mereka tidak ada untuk mengamankan setiap arus lalu lintas individual (tidak ada enkripsi yang terlibat), sehingga penilai keamanan tidak akan berbahagialah jika model keamanan Anda hanya didasarkan pada VLAN segregasi.

2
ukcommando

Saya pikir Anda melakukan konfigurasi switch dengan cukup baik, karena Anda mengerti apa itu vektor serangan. Tetapi orang-orang sering cenderung untuk tidak memahami ini dan itulah yang menghasilkan risiko - kesalahan konfigurasi, yang dimaksudkan atau tidak.

Tidak ada alasan untuk mengatakan " tidak pernah menggunakan VLAN untuk ini ", karena Anda dapat mengkonfigurasi sakelar Anda dengan benar. Namun, VLAN tidak diciptakan dengan mempertimbangkan keamanan, sehingga konfigurasi harus dilakukan dengan hati-hati, dan Anda harus mempertimbangkan semua vektor serangan potensial saat meninjau konfigurasi Anda. Bagaimanapun Anda dapat melakukannya dengan benar, tetapi rawan kesalahan (mis. Anda menerima sedikit risiko).

Ketika Anda berencana untuk memisahkan jaringan dengan perbedaan besar persyaratan dalam kerahasiaan, integritas atau ketersediaan, Anda mungkin menemukan bahwa biaya kehilangan salah satu dari properti ini di jaringan "emas" Anda melebihi risiko yang harus Anda terima ketika menggunakan VLAN untuk pemisahan. Ini biasanya situasi di mana saya merekomendasikan untuk menggunakan perangkat fisik terpisah, bukan VLAN.

Anda dapat mengatakan bahwa ada alasan bagus untuk menggunakan VLAN untuk segmentasi, terutama rasio biaya-manfaat. Tetapi dalam beberapa kasus, ketika Anda menghitung dengan risiko dan nilai aset Anda mungkin menemukan bahwa persamaan cenderung berbicara untuk pemisahan fisik, yang biasanya lebih sedikit rawan kesalahan tetapi lebih mahal.

2
fr00tyl00p

Sejauh yang saya tahu dan mengerti prinsip VLAN tidak ada risiko keamanan oleh protokol/perangkat itu sendiri. Maksud saya VLAN dimaksudkan untuk memisahkan domain unicast Layer2 sehingga tidak, jika VLAN_A dan VLAN_B yang dikonfigurasi dengan benar seharusnya tidak dapat saling berbicara.

Semua hal dianggap sama jika Anda menempatkan pengguna pada trunk, tidak ada alasan mereka tidak dapat berbicara dengan semua VLAN ... (karena memang begitulah seharusnya) hal ini pada gilirannya bisa menjadi kesalahan konfigurasi adalah konfigurasi yang diinginkan.

Sekarang jika seorang hacker memiliki akses ke perangkat keras fisik mereka juga memiliki akses ke perangkat lunak dan kemudian dapat memperoleh akses ke perangkat APAPUN di jaringan itu.

Inilah sebabnya mengapa sebagian besar jaringan besar menggunakan VLAN untuk memisahkan jaringan dan maksud saya bank, ISP, pekerjaan ... dalam kepatuhan PCI, VLAN diterima sebagai ukuran pemisahan (itulah cara pinpad dipisahkan dari register kas dan sebagainya) . Sekarang mengatakan seperti dikatakan di atas risiko selalu dalam konfigurasi dan itu adalah baik untuk konfigurasi port akses dan untuk firewall, ACL dan titik konfigurasi lainnya. sebagian besar peralihan dilakukan dalam CPU khusus (ASICs) dan karenanya akan mengimplementasikan segregasi VLAN pada tingkat perangkat keras (bahkan jika itu hanya chip yang dapat diprogram) jika tidak, Anda tidak akan dapat mencapai tarif yang Anda lakukan dengan switch.

1
bob

Saya pikir saya kehilangan beberapa detail dari contoh Anda -

Apakah setiap sakelar pada VLAN yang terpisah dipisahkan oleh firewall atau apakah sakelar-sakelar itu memuat banyak VLAN?

Jika setiap sakelar memiliki satu VLAN dan semua lalu lintas dirutekan melalui firewall maka Anda harus baik-baik saja dari sudut pandang keamanan, dengan asumsi basis aturan pada FW benar. Dengan kata lain, Anda tidak akan dapat melompat VLAN tanpa melewati FW dan FW harus dikonfigurasi untuk memblokir lalu lintas itu. IE - Switch 1 seharusnya hanya memiliki VLAN 1 traffic sehingga FW akan menghapus setiap VLAN 2 traffic yang datang dari Switch 1.

0
user1490

Baca ke dalam PVLANS (VLAN pribadi). Mereka menyediakan segregasi layer2 yang benar dan akan mencegah serangan spoofing ARP.

Mereka dapat melakukan lebih dari ini tetapi ini adalah konfigurasi yang paling sederhana. Katakanlah Anda memiliki port 1,2, dan 3 semuanya di vlan 1. Port 3 adalah gateway default, 1 dan 2 adalah host. Dengan PVLAN 1 dapat berbicara dengan 3 dan 2 dapat berbicara dengan 3, tetapi 1 tidak dapat berbicara dengan 2. Jika ini berhasil, saya sarankan.

Hardcode port akses Anda ke vlan tertentu untuk mencegah melompat.

0
user974896