Frage Warum sagen mir Leute, dass ich VLANs nicht für die Sicherheit benutzen soll?


Warum sagen Leute, dass ich VLANs aus Sicherheitsgründen nicht verwende?

Ich habe ein Netzwerk, wo ein paar VLANs haben. Zwischen den beiden VLANs befindet sich eine Firewall. Ich verwende HP Procurve-Switches und habe dafür gesorgt, dass Switch-to-Switch-Links nur getaggte Frames akzeptieren und dass Host-Ports keine getaggten Frames akzeptieren (sie sind nicht "VLAN Aware"). Ich habe auch sichergestellt, dass das native VLAN (PVID) der Trunk-Links nicht identisch mit einem der beiden Host-VLANs ist. Ich habe auch "Ingress Filtering" aktiviert. Außerdem habe ich sichergestellt, dass Host-Ports nur Mitglieder eines einzigen VLANs sind, das mit der PVID des jeweiligen Ports übereinstimmt. Die einzigen Ports, die Mitglieder mehrerer VLANs sind, sind die Trunk-Ports.

Kann mir bitte jemand erklären, warum das Obige nicht sicher ist? Ich glaube, ich habe das doppelte Tagging-Problem angesprochen.

Vielen Dank

Update: Beide Schalter sind Hp Procurve 1800-24G


25
2018-01-09 22:27


Ursprung


Du könntest auch versuchen über zu fragen Sicherheit.stackexchange.com, wenn Sie die Eingabe von Sicherheitsprofis wollen ... - AviD
Dies sollte definitiv auf security.se sein. - Mark E. Haase
@mehase, Fragen können nach einer gewissen Zeit nicht mehr migriert werden. Diese Frage ist zu alt, um migriert zu werden. - Zoredache


Antworten:


Warum sagen mir Leute, dass ich VLANs aus Sicherheitsgründen nicht benutzen soll?

Es besteht ein echtes Risiko, wenn Sie die potenziellen Probleme nicht vollständig verstehen und Ihr Netzwerk ordnungsgemäß einrichten, um das Risiko auf einen für Ihre Umgebung akzeptablen Wert zu reduzieren. An vielen Standorten bieten VLANs eine ausreichende Trennung zwischen zwei VLANs.

Kann mir bitte jemand erklären, warum das Obige nicht sicher ist?

Es klingt, als hättest du alle grundlegenden Schritte unternommen, um ein ziemlich sicheres Setup zu erreichen. Aber HP-Geräte kenne ich nicht ganz. Sie haben vielleicht genug für Ihre Umgebung getan.

Ein guter Artikel wäre auch der Cisco VLAN-Sicherheits-Whitepaper.

Es enthält eine Liste möglicher Angriffe auf ein VLAN-basiertes Netzwerk. Einige davon sind bei einigen Switches nicht möglich oder können durch ein geeignetes Design der Infrastruktur / des Netzwerks gemildert werden. Nehmen Sie sich die Zeit, sie zu verstehen, und entscheiden Sie, ob sich das Risiko lohnt, um es in Ihrer Umgebung zu vermeiden.

Zitat aus dem Artikel.

  • MAC Überschwemmungsangriff
  • 802.1Q und ISL Tagging Attack
  • Double-Encapsulated 802.1Q / Nested VLAN Attack
  • ARP-Angriffe
  • Privater VLAN-Angriff
  • Multicast Brute Force Attack
  • Spanning-Tree-Angriff

Siehe auch:


18
2018-01-10 01:03



Ja, ich habe diesen Artikel vor der Veröffentlichung gelesen. Es ist in der Tat ein sehr guter Artikel. Obwohl ich alle Risiken verstehe, trifft das Whitepaper nur auf Cisco-Geräte zu - zumindest für Teile, die sich auf fehlerhafte Firmware wie Überflutungs- und ARP-Angriffe beziehen. - jtnire


Es ist sicher für bestimmte Werte von secure.

Bugs in der Firmware, Switch-Konfiguration wird zurückgesetzt, menschliche Fehler können es ungesichert machen. Solange nur wenige Leute Zugriff auf die Konfiguration der Switches und Switches selbst haben, ist es in der allgemeinen Geschäftsumgebung OK.

Ich würde allerdings für sehr sensible Daten eine physische Trennung vornehmen.


10
2018-01-09 23:07



Würden nicht alle diese Probleme für normale Layer-3-Firewalls gelten? - jtnire
Ja, und VLANs sollten so betrachtet werden, als wären sie an einen gemeinsamen Router angeschlossen. Netzwerk mit wirklich sensiblen Daten sollte nicht mit etwas anderem verbunden sein. Sch sch sch 100 100 sch 100 sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch sch dieser - Hubert Kario
+1 Du hast mit dem ersten Satz den Nagel auf den Kopf getroffen. - John Gardeniers
Kannst du bitte deinen ersten Satz erklären? Da ich versuche, VLANs für Sicherheitszwecke zu verwenden, kann ich nicht einfach davon ausgehen, dass sie unsicher sind und sie nicht für sichere Subnetze verwenden :) - jtnire
Dies beantwortet die Frage überhaupt nicht ... es sind nur allgemeine Sicherheitsplaudite. - Mark E. Haase


Ich erinnere mich, dass es in der Vergangenheit einfacher war, VLAN-Hopping zu machen, weshalb "Leute" das vielleicht auch so sagen. Aber warum fragst du die "Leute" nicht nach den Gründen? Wir können nur raten, warum sie dir das gesagt haben. Ich weiß, dass HIPAA und PCI-Auditoren aus Sicherheitsgründen mit VLANs in Ordnung sind.


4
2018-01-09 23:06



"Ja wirklich?" PCi Auditoren sind ok damit? Von "Leuten", ich bedeute einfach, online zu lesen :) - jtnire
PCI-Auditoren sind auf jeden Fall in Ordnung, was überraschend ist, wenn man bedenkt, dass einige der Bullen mit Sicherheit kommen, wenn sie sicherstellen, dass ein System sicher ist! VLANs sind nur ein Werkzeug, um Broadcast-Domains auf Layer 2 zu separieren. Layer 3 und höher sind die wichtigsten Sicherheitslücken. Zu der Zeit, wenn jemand nah genug an Ihrem System ist, um mit VLANs herumzuhantieren, haben Sie viel ernstere Probleme! - Niall Donegan
Glücklicherweise musste ich mich nicht mit WLAN in Bezug auf PCI DSS beschäftigen, so dass es nicht aufgetaucht ist. Ich gehe normalerweise damit um Hosting-Umgebungen, wo es schön verschlossenen Taxis und gute altmodische Kabel ist. - Niall Donegan
Ja, ich möchte VLANs in meinem Taxi für meine Kunden einrichten. Die Switches werden im Rack gesperrt sein :) Ich schätze, VLANs werden in Colo-Umgebungen häufig verwendet, um Switches zu teilen, oder? - jtnire
@jnire Ja, PCI DSS erfordert eine physische Trennung für WLAN. Drahtgebundene Netzwerke sind anders. - sysadmin1138♦


Ich denke, das Kernproblem ist, dass VLANs nicht sicher sind, weil Sie nur Broadcast-Domains trennen und den Datenverkehr nicht trennen. Der gesamte Verkehr von den mehreren VLANs fließt immer noch über die gleichen physischen Leitungen. Ein Host mit Zugriff auf diesen Datenverkehr kann immer im Promiscuous-Modus konfiguriert werden und den gesamten Datenverkehr auf der Leitung anzeigen.

Offensichtlich reduziert die Verwendung von Switches dieses Risiko ziemlich, da die Switches steuern, welche Daten tatsächlich an welchen Ports erscheinen, jedoch ist das Grundrisiko immer noch vorhanden.


2
2018-01-09 23:58



Tut mir leid, ich verstehe das nicht. Da Switches den Datenverkehr abhängig von ihrer VLAN-Mitgliedschaft steuern, würde ein Host in den Promiscuous-Modus versetzt. Sicher, wenn ein Angreifer Zugriff auf die Amtsleitung erhält, funktioniert der Promiscuous-Modus. Das Gleiche gilt jedoch, wenn ein Angreifer Zugriff auf ein Kabel für ein anderes physisches Firewall-Segment erhält. Bitte korrigiere mich wenn ich falsch liege.. - jtnire
Nun, wenn ein Angreifer Zugriff auf Ihren Switch über das Netzwerk hat, könnten sie Dinge wie Spiegel-Ports tun und Pakete von anderen VLANs sammeln, richtig? Ich denke, dass das Problem auf die Tatsache zurückzuführen ist, dass VLANs eine programmierbare Funktion sind, während getrennte Kabel und eine physische Schutzschicht vorhanden sind. - Phil Hollenback
Aber ich verstehe immer noch nicht, wie das sich von einer normalen Layer-3-Firewall unterscheidet - sie benutzen auch Software, um zu programmieren. Natürlich habe ich versucht, dieses Problem zu mildern, indem ich keine nicht vertrauenswürdigen Hosts auf dem Management-VLAN platziere, sodass der Wechsel des Web GUI-Zugriffs nicht möglich ist. - jtnire