ネイティブVLANを使用すべきではないのはなぜですか?
現在CCNAセキュリティーについて勉強しており、ネイティブVLANをセキュリティー目的で使用しないように教えられています。シスコフォーラムからのこの古い議論はそれを非常に明確に述べています: デフォルトのVLANからVLANホッピングを実行する方がはるかに簡単であるため、デフォルトのVLANを使用しないでください。 ただし、実際の観点からは、実際の脅威に対処しているものを正確に特定することはできません。 私の考えは次のとおりです。 攻撃者はネイティブVLANにいるため、最初のスイッチによって変更されることなく転送される802.1qパケットを直接注入でき(ネイティブVLANからのものとして)、今後のスイッチはこれらのパケットを、選択した任意のVLANからの正当なパケットと見なします攻撃者によって。 これは実際にVLANホッピング攻撃を「はるかに簡単」にしたでしょう。ただし、最初のスイッチはアクセスポートで802.1qパケットを受信すると異常であると正しく見なし、そのようなパケットをドロップするため、これは機能しません。 非ネイティブVLANにいる攻撃者は、なんとかしてスイッチアクセスポートをトランクポートに変えます。トラフィックをネイティブVLANに送信するには、ネットワークインターフェイスでVLANを有効にする(4つのコマンド)代わりに、IPアドレスを変更(1つのコマンド)するだけで、3つのコマンドを保存できます。 私は明らかにこれを非常にわずかな利益と考えています... 歴史を掘り下げるとき、802.1qインジェクションには互換性のあるネットワークカードと特定のドライバーが必要になる可能性があるという古い推奨事項をどこかで読んだと思いました。このような要件は、攻撃者が802.1qパケットを注入する能力を実際に制限し、前のシナリオではネイティブVLANの活用をはるかに実用的にします。 ただし、これは現在のところ実際の制限ではないようで、VLAN構成コマンドはLinuxの(少なくとも)ネットワーク構成コマンドの一般的な部分です。 ネイティブVLANを使用しないというこのアドバイスは古くなっていて、歴史的および構成の健全性の目的のためだけに保持されていると考えることはできますか?または、ネイティブVLANが使用されているためにVLANホッピングが実際にはるかに容易になる具体的なシナリオはありますか?