Mengapa VLAN asli tidak boleh digunakan?

10

Saat ini sedang belajar untuk Keamanan CCNA, saya telah diajarkan untuk tidak pernah menggunakan VLAN asli untuk tujuan keamanan. Diskusi lama dari forum Cisco ini menyatakan dengan sangat jelas:

Anda sebaiknya tidak pernah menggunakan VLAN default karena VLAN hopping jauh lebih mudah dicapai dari VLAN default.

Namun, dari sudut pandang praktis, saya tidak dapat menunjukkan secara tepat apa ancaman aktual yang sedang ditangani.

Pikiranku adalah sebagai berikut:

  • Penyerang berada di VLAN asli, mungkin dia bisa langsung menyuntikkan paket 802.1q yang akan diteruskan tanpa modifikasi oleh saklar pertama (yang berasal dari VLAN asli) dan sakelar mendatang akan menganggap paket ini sebagai paket sah yang berasal dari VLAN apa pun yang dipilih oleh penyerang.

    Ini tentu saja membuat VLAN serangan hopping "jauh lebih mudah" . Namun, ini tidak berfungsi karena saklar pertama menganggapnya tidak normal untuk menerima paket 802.1q pada port akses dan karenanya menjatuhkan paket-paket tersebut.

  • Seorang penyerang yang berada di VLAN non-asli berhasil mengubah port akses sakelar menjadi yang trunk. Untuk mengirim lalu lintas ke VLAN asli, ia hanya perlu mengubah alamat IP-nya (satu perintah) daripada mengaktifkan VLAN pada antarmuka jaringannya (empat perintah), menyimpan tiga perintah.

    Saya jelas menganggap ini paling sebagai keuntungan yang sangat marjinal ...

  • Ketika menggali dalam sejarah, saya pikir saya membaca rekomendasi lama yang menyatakan bahwa injeksi 802.1q dapat memerlukan kartu jaringan yang kompatibel dan driver khusus. Persyaratan seperti itu memang akan membatasi kemampuan penyerang untuk menyuntikkan paket 802.1q dan membuat eksploitasi VLAN asli jauh lebih praktis dalam skenario sebelumnya.

    Namun ini tampaknya tidak menjadi batasan nyata saat ini dan perintah konfigurasi VLAN adalah bagian umum dari perintah konfigurasi jaringan Linux (setidaknya).

Bisakah kita menganggap saran ini agar tidak menggunakan VLAN asli menjadi usang dan disimpan hanya untuk tujuan historis dan konfigurasi kewarasan, meskipun praktik ini tidak lagi menangani ancaman khusus? Atau ada skenario konkret di mana VLAN hopping memang menjadi jauh lebih mudah karena VLAN asli yang digunakan?

WhiteWinterWolf
sumber
1
FYI, ini bacaan yang bagus, LAN Switch Security
Mike Pennington
Untuk keamanan lebih lanjut Anda harus membuat VLAN baru yang memasukkan komponen yang tidak digunakan dan port ini harus dimatikan
Harrison Brock

Jawaban:

11

Anda dapat dan kemungkinan besar akan perlu menggunakan VLAN asli pada port trunk Anda, setidaknya pada switch Cisco, vendor lain melakukannya secara berbeda. Tetapi apa yang harus Anda ingat bahwa risiko keamanan lebih berkaitan dengan VLAN 1 (VLAN default) yang ditetapkan sebagai VLAN asli.

Anda harus mengubah VLAN asli dari VLAN 1 menjadi VLAN baru yang Anda buat. VLAN asli digunakan untuk banyak data manajemen seperti DTP, VTP dan frame CDP dan juga BPDU untuk spanning tree.

Ketika Anda mendapatkan switch baru, VLAN 1 adalah satu-satunya VLAN yang ada, ini juga berarti bahwa semua port adalah anggota VLAN ini secara default.

Jika Anda menggunakan VLAN 1 sebagai VLAN asli Anda, Anda memiliki semua port yang belum Anda konfigurasikan untuk menjadi bagian dari VLAN ini. Jadi jika penyerang terhubung ke port yang tidak digunakan dan tidak dikonfigurasi (karena tidak digunakan), ia memiliki akses langsung ke VLAN manajemen Anda dan dapat membaca dan menyuntikkan paket yang dapat memungkinkan VLAN melompat atau menangkap paket yang tidak Anda inginkan dia melihat, atau lebih buruk, SSH ke switch / router Anda (jangan pernah izinkan telnet).

Saran selalu untuk tidak menggunakan VLAN 1, jadi jika penyerang atau klien yang tidak diinginkan menghubungkan dan berakhir di VLAN 1 dan tidak ada yang dikonfigurasi pada VLAN ini, seperti gateway yang bisa digunakan, mereka cukup macet dan tidak bisa pergi ke mana pun , sementara Anda VLAN asli adalah sesuatu seperti VLAN 900 yang cenderung memiliki akses port karena itu bukan VLAN default.

Banyak insinyur tidak menonaktifkan port yang tidak digunakan dan menggunakan VLAN 1 untuk hal-hal penting membuat Anda dalam situasi di mana akses terbuka kecuali jika Anda menggunakan sesuatu seperti 802.1x. Insinyur / Admin jaringan lupa dan Anda memiliki sedikit celah keamanan yang dapat menguntungkan penyerang. Jika VLAN 1 Anda tidak digunakan dan port dibiarkan sebagai default, itu bukan masalah besar karena tidak digunakan.

Semoga ini bisa membantu Anda dalam pencarian Anda.

SleepyMan

SleepyMan
sumber
3
Sebenarnya, Anda tidak harus menggunakan VLAN asli pada perangkat Cisco. Ini telah menjadi kasus selama bertahun-tahun sekarang. Yang tidak bisa Anda lakukan adalah menonaktifkan VLAN 1, tetapi Anda dapat membatasinya dari trunk.
Ron Maupin
1
Namun, Anda hanya dapat memblokir vlan 1 pada trunk dot1q selama trunk tidak beralih ke switch yang menjalankan standar IEEE 802.1d / s / W spanning tree
Mike Pennington
1
Saran umum yang sering saya temui jelas membedakan masalah "VLAN asli" yang membuat VLAN berharap lebih mudah, dan masalah "VLAN 1" yang dapat memengaruhi switch yang tidak dikonfigurasi, dan merekomendasikan untuk mendedikasikan dua VLAN yang tidak pernah digunakan untuk mengatasi masing-masing masalah ini. Intinya bagi saya tampaknya bahwa semua perangkat keras itu tidak dibuat sama , dan sementara switch Cisco saat ini tidak benar-benar rentan terhadap masalah "VLAN asli" ini dan tidak akan membiarkan VLAN berharap dengan cara ini, mungkin tidak demikian halnya dengan vendor lain dan perangkat yang lebih lama .
WhiteWinterWolf