ネイティブVLANを使用すべきではないのはなぜですか?


10

現在CCNAセキュリティーについて勉強しており、ネイティブVLANをセキュリティー目的で使用しないように教えられています。シスコフォーラムからのこの古い議論はそれを非常に明確に述べています:

デフォルトのVLANからVLANホッピングを実行する方がはるかに簡単であるため、デフォルトのVLANを使用しないでください。

ただし、実際の観点からは、実際の脅威に対処しているものを正確に特定することはできません。

私の考えは次のとおりです。

  • 攻撃者はネイティブVLANにいるため、最初のスイッチによって変更されることなく転送される802.1qパケットを直接注入でき(ネイティブVLANからのものとして)、今後のスイッチはこれらのパケットを、選択した任意のVLANからの正当なパケットと見なします攻撃者によって。

    これは実際にVLANホッピング攻撃を「はるかに簡単」にしたでしょう。ただし、最初のスイッチはアクセスポートで802.1qパケットを受信すると異常であると正しく見なし、そのようなパケットをドロップするため、これは機能しません。

  • 非ネイティブVLANにいる攻撃者は、なんとかしてスイッチアクセスポートをトランクポートに変えます。トラフィックをネイティブVLANに送信するには、ネットワークインターフェイスでVLANを有効にする(4つのコマンド)代わりに、IPアドレスを変更(1つのコマンド)するだけで、3つのコマンドを保存できます。

    私は明らかにこれを非常にわずかな利益と考えています...

  • 歴史を掘り下げるとき、802.1qインジェクションには互換性のあるネットワークカードと特定のドライバーが必要になる可能性があるという古い推奨事項をどこかで読んだと思いました。このような要件は、攻撃者が802.1qパケットを注入する能力を実際に制限し、前のシナリオではネイティブVLANの活用をはるかに実用的にします。

    ただし、これは現在のところ実際の制限ではないようで、VLAN構成コマンドはLinuxの(少なくとも)ネットワーク構成コマンドの一般的な部分です。

ネイティブVLANを使用しないというこのアドバイスは古くなっていて、歴史的および構成の健全性の目的のためだけに保持されていると考えることはできますか?または、ネイティブVLANが使用されているためにVLANホッピングが実際にはるかに容易になる具体的なシナリオはありますか?


1
参考までに、これは良い読み物です。LANスイッチのセキュリティ
マイクペニントン2016

セキュリティを強化するには、未使用のパーツを配置するVLANを新しく作成し、これらのポートをシャットダウンする必要があります
Harrison Brock

回答:


11

少なくともCiscoスイッチでは、トランクポートでネイティブVLANを使用する必要があり、ほとんどの場合、他のベンダーが異なる方法で使用します。ただし、セキュリティリスクは、VLAN 1(デフォルトVLAN)がネイティブVLANとして設定されている場合に発生することです。

ネイティブVLANをVLAN 1から作成した新しいVLANに変更する必要があります。ネイティブVLANは、DTP、VTP、CDPフレームなどの多くの管理データと、スパニングツリーのBPDUに使用されます。

新しいスイッチを入手した場合、VLAN 1が存在する唯一のVLANです。これは、デフォルトですべてのポートがこのVLANのメンバーであることも意味します。

VLAN 1をネイティブVLANとして使用している場合、このVLANの一部として構成されていないすべてのポートがあります。そのため、攻撃者が使用されていない(使用されていないため)構成されていないポートに接続した場合、攻撃者は管理VLANにすぐにアクセスでき、VLANホッピングを許可したり、不要なパケットをキャプチャしたりする可能性のあるパケットを読み取って挿入できます。彼/彼女は見るか、さらに悪いことに、スイッチ/ルーターにSSHで接続します(Telnetを許可しないでください)。

常にVLAN 1を使用しないことをお勧めします。攻撃者または不要なクライアントが接続してVLAN 1に到達し、使用可能なゲートウェイなど、このVLANに何も構成されていない場合、それらはかなり行き詰まり、どこにも行けません。 、ネイティブVLANはVLAN 900のようなものですが、デフォルトのVLANではないため、ポートにアクセスする可能性は低くなります。

多くのエンジニアが未使用のポートを無効にせず、重要なものにVLAN 1を使用すると、802.1xのようなものを使用しない限り、アクセスは開いたままになります。エンジニア/ネットワーク管理者は忘れており、攻撃者に利益をもたらす小さなセキュリティホールがあります。VLAN 1が使用されておらず、ポートがデフォルトのままになっている場合、使用されていないため、それほど大きな問題ではありません。

これがあなたの探求に役立つことを願っています。

スリーピーマン


3
実際には、CiscoデバイスでネイティブVLANを使用する必要はありません。これは何年も前から当てはまります。VLAN 1を無効にすることはできませんが、トランクから制限することができます。
Ron Maupin

1
ただし、トランクがIEEE標準の802.1d / s / Wスパニングツリーを実行しているスイッチに到達しない限り、dot1qトランク上のvlan 1のみをブロックできます
Mike Pennington

1
私が頻繁に遭遇する一般的なアドバイスは、VLANのホップを容易にする「ネイティブVLAN」の問題と、未構成のスイッチに影響を与える可能性のある「VLAN 1」の問題を明確に区別し、これらの問題のそれぞれに対処するために2つの使用されていないVLANを専用にすることをお勧めします。私にとってのポイントは、すべてのハードウェアが同じではなかったようであり、現在のCiscoスイッチはこの「ネイティブVLAN」の問題に対して実際には脆弱ではなく、VLANがこのように動作することを許可しませんが、他のベンダーや古いデバイスには当てはまらない場合があります。
WhiteWinterWolf 2016
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.