it-swarm-tr.com

İnsanlar neden güvenlik için VLAN kullanmamamı söylüyor?

Bir ağım var, burada birkaç VLANS var. 2 VLAN arasında bir güvenlik duvarı vardır. HP Procurve anahtarları kullanıyorum ve anahtar-anahtar bağlantılarının yalnızca etiketli çerçeveleri kabul ettiğinden ve Ana makine bağlantı noktalarının etiketli çerçeveleri kabul etmediğinden emin oldum ("VLAN Aware" değiller). Ayrıca ana bağlantı noktalarında yerel bir VLAN olmadığından emin oldum. "Giriş Filtreleme" özelliğini de etkinleştirdim. Ayrıca, Ana makine bağlantı noktalarının yalnızca ilgili bağlantı noktasının PVID'si ile aynı olan tek bir VLAN'ın üyeleri olduğundan emin oldum. Birden çok VLAN'a üye olan tek portlar bagaj portlarıdır.

Birisi bana yukarıdakilerin neden güvenli olmadığını açıklayabilir mi? Çift etiketleme sorununu ele aldığımı düşünüyorum.

Güncelleme: Her iki anahtar da Hp Procurve 1800-24G

Bu soru Haftanın BT Güvenlik Sorus idi.
Daha fazla bilgi için 20 Nis 2012 blog girişi bölümünü okuyun veya kendinizinkini gönderin Haftanın Sorusu.

82
jtnire

VLAN: lar doğal olarak güvenli değildir. Bunu bir hizmet sağlayıcısı perspektifinden yazıyorum, burada VLAN'lar% 99 (yerinde istatistikler) olayların farklı müşterileri birbirinden segmentlere ayırmak için kullanılan teknolojidir. Birbirinden konut müşterileri, kurumsal kiralık hatlardan konut müşterileri, birbirinden kurumsal VPN'ler, adını siz koyun.

VLAN mevcut atlamalı saldırılar birkaç faktöre bağlıdır;

  • Anahtar size bir çeşit ana hat protokolü söyleyerek farklı bir VLAN için "kayıt olmanızı" sağlar. Bu asla bir müşteri limanında meydana gelmemeli veya birisinin ateşlenmesi gerekir.

  • Bağlantı noktası etiketli bir bağlantı noktasıdır ve anahtar, çift etiketli paketlere karşı korumalı değildir. Bu yalnızca, VLAN etiketli bağlantı noktalarında istememeniz gereken müşterileriniz varsa bir sorundur. O zaman bile, sadece anahtarlar arasında gövde bağlantı noktalarında etiketsiz paketlere izin verirseniz, yine de yapmamanız gereken bir sorun vardır.

Saldırganın söz konusu fiziksel kabloya erişimi varsa, "paketler aynı kablodan geçer" mantığı geçerlidir. Bu durumda, VLAN'ların çözebileceğinden çok daha büyük sorunlarınız var.

Bu nedenle, elbette bir güvenlik önlemi olarak VLAN'ları kullanın, ancak hiçbir zaman VLAN etiketlerini birbirinden segmentlere ayırmak istediğiniz varlıklar ile asla konuşmadığınızdan ve hangi anahtar özelliklerini izlediğinizden emin olun. bu tür varlıklara bakan bağlantı noktalarında etkinleştirilir.

66
Jakob Borg

İnsanların güvenlik için VLAN kullanımını caydırmalarının bir nedeni, anahtarların yanlış yapılandırılması nedeniyle VLAN atlaması 'a izin veren bazı saldırılar olmasıdır.

Cisco'nun ayrıca bazı potansiyel sorunları ele alan bir iyi makale var VLAN güvenlik endişeleri.

Esas olarak ağ ayrımı için VLAN'ların kullanılması, anahtarları veya bunları çalıştıran yazılımdaki hatayı yanlış yapılandırmak için daha fazla potansiyel sağlar, bir saldırganın ayırmayı atlamasına izin verebilir.

Bu, VLAN atlama ve VTP'ye yönelik saldırılarla ilgili birçok sorunun artık oldukça eski olduğunu, bu nedenle güncel anahtarların bunları ele alması mümkündür.

31
Rory McCune

Benim görüşüme göre VLAN atlamalı saldırılar aşırı abartılıyor. Bu, bu saldırının risklerini azaltmak/ortadan kaldırmak için çok iyi anlaşılmış operasyonel prosedürler kullanmamanız gerektiği anlamına gelmez (yani erişim portlarınızda asla native için kullandığınız aynı VLANID'i kullanmayın. = VLAN 802.1q gövdelerinizde. Sonuç olarak, asla VLAN 1) kullanmayın. Söylemeye çalıştığım şey, size saldırmak isteyen birinin bakış açısından, bir VLANatlamalı saldırıdan çok daha güvenilir ve çok daha etkili olan ikinci katman (L2) tekniklerinin var olmasıdır. .

Örneğin ARP protokolüne yapılan saldırıların uygulanması son derece basittir ve anahtarlarınız buna karşı herhangi bir koruma sunmazsa, saldırgan büyük hasara neden olabilir. Eğer VLAN küçükse, pozlama çok büyük, VLAN büyükse, pozlama mega-çok büyüktür (tüm şirket ağı büyük bir VLAN olan müşterilerim var , ama bu başka bir sorun).

Ardından, Yayılan Ağaç Protokolü'nün kullanımı ve kötüye kullanımı yoluyla LAN'ınızın istikrarına saldırılar var (yersinia bunun için fiili araçtır). Ayrıca kurulumu son derece kolay ve altyapınız üzerinde büyük bir etkisi vardır.

"Standart" bilgisayar korsanınız ARP veya Spanning Tree veya DHCP'den yararlanamazsa, deneyimlerimden başarılı bir şekilde yararlanmaya çalışmadan önce altyapınızın diğer bölümlerine (DB'ler, Web, DNS'ler) "odaklanacağı" VLAN atlamalı.

Katman 2 güvenliği sizin tarzınızsa, Cisco Press'in "LAN Anahtarı Güvenliği" kitabını okumanızı tavsiye edemem.

16
jliendo

En büyük güvenlik eksikliği, mantıklı bir perspektiften ayrılmanıza rağmen, aslında ağları aynı kablolar üzerinde çalıştırdığınızdan kaynaklanmaktadır, bu nedenle bir saldırganın bakış açısından bir VLAN diğer VLAN'a erişmek genellikle fazla bir iş değildir.

Bu nedenle, bir güvenlik denetimi sırasında, bir yönetim VLAN userland VLAN ile aynı ağda çalışan yönlendiriciler için büyük bir kırmızı bayrak oluşturursa).

Kuruluşların VLAN'ları kullanmasının temel nedeni, yalnızca bir fiziksel ağın uygulanması gerektiğinden ucuz olmasıdır.

Fiziksel ayrışma en basit çözümdür, ancak daha fazla NIC, daha fazla kablo vb. Gerektirir.

Şifreleme (aslında VLAN bir VPN'e dönüştürmek) de işe yarayabilir ve roket bilimi değildir.

9
Rory Alsop

Diğer cevaplar harika. Ancak, potansiyel olarak kötü niyetli müşterileri güvenilir olanlarla karıştırmak istemediğiniz bazı durumlar olduğunu düşünüyorum. Buna iyi bir örnek, bir aracın eğlence ağı (araba, uçak vb.) İle sistem kontrol ağıdır. Bir uçakta, bazı rasgele yolcuların anahtar veya yönlendiriciden yararlanmayı başararak sistem kontrolüne erişmelerini sağlama riskini almamalısınız. Benzer şekilde, CD çalarınızın bir otomobildeki frenlerinizle konuşmasına gerek kalmamalıdır.

Ve bir istismardan bahsettiğimde, gerçekten VLAN saldırıları atlamak anlamına gelmiyorum. Anahtar veya yönlendiricinin kendisinde rasgele kod yürütme ile sonuçlanan bir güvenlik açığından yararlanmak demek istiyorum. böyle şeylerin asla olmayacağını düşünüyorum.

4
silly hacker

Bunun basit cevabı, VLAN'ların trafiği (güvenlik ve güvenlikten ziyade bir yönetim ve veri akışı perspektifinden daha fazla) ayırmak için tasarlandıklarıdır, tek tek trafik akışlarının (şifreleme dahil değildir) güvenliğini sağlamak için mevcut değildir, bu nedenle güvenlik değerlendiricileri güvenlik modeliniz yalnızca VLAN ayırma) temel alıyorsa mutlu olun.

2
ukcommando

Anahtarlarınızı oldukça iyi yapılandırdığınızı düşünüyorum, çünkü saldırı vektörlerinin ne olduğunu anlıyorsunuz. Ancak insanlar genellikle bunu anlama eğilimindedir ve bu, risk yaratan şeydir - amaçlanan ya da amaçlanmayan.

" bunun için asla VLAN kullanmayın ", çünkü can anahtarlarınızı doğru şekilde yapılandırabilirsiniz. Bununla birlikte, VLAN'lar güvenlik göz önünde bulundurularak icat edilmemiştir ve bu nedenle konfigürasyonun dikkatli bir şekilde yapılması gerekir ve konfigürasyonunuzu incelerken tüm potansiyel saldırı vektörlerini dikkate almanız gerekir. Sonuçta bunu doğru yapabilirsiniz, ancak hataya açıktır (yani biraz risk kabul ediyorsunuz).

Gizli, bütünlük veya kullanılabilirlik açısından büyük bir gereksinim farkına sahip ağları ayırmayı planladığınızda, "altın" ağınızdaki bu özelliklerden birini kaybetmenin maliyetinin, ayırma için VLAN'ları kullanırken kabul etmeniz riskinden daha ağır olduğunu görebilirsiniz. Bu genellikle VLAN'lar yerine ayrı fiziksel cihazlar kullanmanızı tavsiye ettiğim durumdur.

VLAN'ları segmentasyon için, özellikle maliyet-fayda oranını kullanmak için iyi nedenler olduğunu söyleyebilirsiniz. Ancak bazı durumlarda, riskler ve varlık değerleri ile hesapladığınızda, denklemin genellikle daha az hataya eğilimli ancak daha pahalı olan fiziksel ayırma için konuşma eğiliminde olduğunu görebilirsiniz.

2
fr00tyl00p

VLAN prensibini bildiğim ve anladığım kadarıyla protokolün/cihazın kendisi için herhangi bir güvenlik riski yoktur. Bununla demek istediğim VLAN Layer2 tek noktaya yayın alanlarını ayırmak içindir, bu nedenle hayır, düzgün yapılandırılmışsa VLAN_A ve VLAN_B birbirleriyle konuşamazlar.

Kullanıcıyı bir gövdeye koyarsanız, her şeyin eşit olması, tüm VLAN'larla konuşmamaları için hiçbir neden yoktur ... (çünkü bu olması gerektiği gibi) bu da yanlış bir konfigürasyon olabilir.

Artık bir bilgisayar korsanı fiziksel donanıma erişebiliyorsa, yazılıma da erişebilir ve bu ağdaki HERHANGİ aygıtlara erişebilir.

Bu yüzden çoğu büyük ağ, ağları ayırmak için VLAN'ları kullanır ve bu nedenle, bankalara, İSS'lere, işlere ... PCI uyumluluğundaki VLAN'lar bir ayrım önlemi olarak kabul edilir (bu, tuş takımının yazar kasalardan ayrılması vb.) . Şimdi yukarıda belirtildiği gibi, risk her zaman konfigürasyondadır ve bu hem erişim portlarının konfigürasyonu hem de güvenlik duvarı, ACL ve diğer konfigürasyon noktası için geçerlidir. anahtarlamanın çoğu özel CPU'larda (ASIC'ler) yapılır ve böylece donanım düzeyinde VLAN segregation (sadece programlanabilir bir yonga olsa bile) uygular, aksi takdirde elde edemezsiniz. oranları anahtarlar ile yapmak.

1
bob

Sanırım örneğinizden bazı ayrıntılar eksik -

Her anahtar ayrı bir VLAN bir güvenlik duvarından ayrılmış mı veya anahtarlar birden fazla VLAN içeriyor mu?

Her anahtarda tek bir VLAN varsa ve tüm trafik güvenlik duvarı üzerinden yönlendirilirse, FW'deki kural tabanının doğru olduğunu varsayarak bir güvenlik açısından iyi olmalısınız. t VLAN'ları FW'den geçmeden atlayabilmek ve FW bu trafiği engelleyecek şekilde yapılandırılmalıdır. IE - Anahtar 1'de yalnızca VLAN 1 trafik olmalıdır) böylece FW, Switch 1'den gelen tüm VLAN 2 trafiği düşürecektir).

0
user1490

PVLANS'ı (özel VLAN'lar) okuyun. Gerçek katman2 ayrımı sağlarlar ve ARP kimlik sahtekarlığı saldırılarını önlerler.

Bundan daha fazlasını yapabilirler, ancak bu en basit yapılandırmadır. Diyelim ki vlan 1'de 1, 2 ve 3 numaralı bağlantı noktalarınız var. 3 numaralı bağlantı noktası varsayılan ağ geçidi, 1 ve 2 ana bilgisayarlardır. PVLAN'lar ile 1 3 ile konuşabilir ve 2 3 ile konuşabilir, ancak 1 2 ile konuşamaz. Bu sizin için işe yararsa bunu öneririm.

Atlamayı önlemek için erişim portlarınızı belirli bir vlana sabitleyin.

0
user974896