Question:
Pourquoi les gens me disent-ils de ne pas utiliser les VLAN pour la sécurité?
jtnire
2011-01-10 14:47:19 UTC
view on stackexchange narkive permalink

J'ai un réseau, où j'ai quelques VLANS. Il y a un pare-feu entre les 2 VLAN. J'utilise des commutateurs HP Procurve et je me suis assuré que les liens de commutateur à commutateur acceptent uniquement les trames marquées et que les ports hôtes n'acceptent pas les trames marquées (ils ne sont pas «VLAN Aware»). Je me suis également assuré que les ports de jonction n'ont pas de VLAN natif. J'ai également activé le «filtrage d'entrée». De plus, je me suis assuré que les ports hôtes ne sont que membres d'un seul VLAN, qui est le même que le PVID du port respectif. Les seuls ports qui sont membres de plusieurs VLAN sont les ports de jonction.

Quelqu'un peut-il m'expliquer pourquoi ce qui précède n'est pas sécurisé? Je crois avoir résolu le problème du double marquage.

Mise à jour: les deux commutateurs sont Hp Procurve 1800-24G

Cette question était Sécurité informatique Question de la semaine .
Lisez le article de blog du 20 avril 2012 pour plus de détails ou envoyer votre propre Question de la semaine.

Je ne suis pas un gars super commutateur / routeur, mais certains environnements dans mon esprit, il n'est pas possible de coder en dur le port sur un vlan. Surtout avec les situations VOIP, où vous avez un PC connecté en série sur un téléphone Cisco ou Shoretel. Ou suis-je mal compris?
Dix réponses:
#1
+68
Jakob Borg
2011-02-24 15:10:39 UTC
view on stackexchange narkive permalink

Les VLAN: s ne sont pas intrinsèquement non sécurisés. J'écris ceci du point de vue du fournisseur de services, où les VLAN sont la technologie utilisée dans 99% (statistiques constituées sur place) des cas pour segmenter différents clients les uns des autres. Clients résidentiels les uns des autres, clients résidentiels des lignes louées d'entreprise, VPN d'entreprise les uns des autres, etc.

Les attaques par sauts de VLAN qui existent dépendent toutes de quelques facteurs;

  • Le commutateur vous dit une sorte de protocole de jonction, vous permettant de vous «enregistrer» pour un VLAN différent. Cela ne devrait jamais, jamais se produire sur un port client, ou quelqu'un devrait être viré.

  • Le port est un port balisé et le commutateur n'est pas protégé contre les paquets balisés. Ce n'est un problème que si vous avez des clients sur des ports balisés VLAN, ce que vous ne devriez pas. Même dans ce cas, ce n'est un problème que si vous autorisez les paquets non étiquetés sur les ports de jonction entre les commutateurs, ce qui, encore une fois, vous ne devriez pas.

Les "paquets voyagent sur le même câble" le raisonnement est valable, si l'attaquant a accès au fil physique en question. Si tel est le cas, vous avez beaucoup plus de problèmes que ce que les VLAN peuvent résoudre.

Donc, utilisez certainement les VLAN comme mesure de sécurité, mais assurez-vous de ne jamais, jamais parler de balises VLAN avec les entités que vous souhaitez segmenter les uns des autres, et gardez une trace des fonctionnalités de commutateur activées sur les ports faisant face à de telles entités.

Oui - le décrit bien. Et pour être honnête, les FAI réussissent généralement. Les organisations d'utilisateurs finaux ont des résultats différents - généralement par manque d'expérience :-)
#2
+32
Rory McCune
2011-01-10 16:58:49 UTC
view on stackexchange narkive permalink

L'une des raisons pour lesquelles les gens découragent l'utilisation des VLAN pour la sécurité est qu'il y a eu des attaques qui permettent le saut de VLAN, en raison de mauvaises configurations des commutateurs.

Cisco a également un bon article traitant de certains problèmes potentiels de sécurité VLAN.

L'utilisation essentielle de VLAN pour la ségrégation du réseau présente plus de risques de mauvaise configuration sur les commutateurs ou bogue dans le logiciel qui les exécute pourrait permettre à un attaquant de contourner la ségrégation.

Cela dit, beaucoup de problèmes avec le saut de VLAN et les attaques sur VTP sont assez anciens maintenant, il est donc possible que les commutateurs à jour les aborderaient.

#3
+18
jliendo
2011-03-01 10:36:59 UTC
view on stackexchange narkive permalink

À mon avis, les attaques par sauts de VLAN sont extrêmement surfaites. Cela ne signifie pas que vous ne devez pas déployer des procédures opérationnelles très bien comprises pour réduire / éliminer les risques de cette attaque (c'est-à-dire ne jamais utiliser dans vos ports d'accès le même VLANID que vous utilisez pour le natif VLAN sur vos jonctions 802.1q. En corollaire, n'utilisez jamais le VLAN 1). Ce que j'essaie de dire, c'est que du point de vue de quelqu'un qui veut vous attaquer, il existe d'autres techniques de couche deux (L2) qui sont beaucoup plus fiables et avec beaucoup plus d'impact qu'une attaque par sauts de VLAN.

Les attaques contre le protocole ARP par exemple sont extrêmement simples à déployer et si vos commutateurs n'offrent aucune protection contre celui-ci, l'attaquant peut causer de gros dégâts. Si votre VLAN est petit, votre exposition est énorme, si votre VLAN est grand, alors votre exposition est méga-super énorme (j'ai des clients dont tout le réseau d'entreprise est un énorme VLAN, mais c'est un autre problème).

Ensuite, vous avez des attaques contre la stabilité de votre LAN par l'utilisation et l'abus du protocole Spanning Tree (yersinia est l'outil de facto pour cela). Aussi extrêmement facile à déployer et avec un grand impact sur votre infrastructure.

Si votre hacker "standard" ne peut pas exploiter ARP ou Spanning Tree ou DHCP, c'est mon expérience qu'il "se déplacera vers" / focus-in d'autres parties de votre infrastructure (bases de données, Web, DNS) avant d'essayer d'exploiter avec succès le saut de VLAN.

Si la sécurité de la couche 2 est votre genre de saveur, je ne peux pas vous recommander suffisamment de lire le livre "LAN Switch Security" de Cisco Press.

#4
+10
Rory Alsop
2011-01-10 15:30:42 UTC
view on stackexchange narkive permalink

Le principal manque de sécurité est dû au fait que, même si vous séparez d'un point de vue logique, vous exécutez en fait les réseaux sur les mêmes fils, donc du point de vue d'un attaquant sur un VLAN, ce n'est généralement pas beaucoup de travail pour accéder à l'autre VLAN.

C'est pourquoi si, lors d'un audit de sécurité, je trouve un VLAN de gestion pour les routeurs fonctionnant sur le même réseau que le VLAN de la zone utilisateur, cela déclenche un gros drapeau rouge.

La principale raison pour laquelle les organisations utiliser des VLAN, c'est qu'il est bon marché car un seul réseau physique doit être implémenté.

La ségrégation physique est la solution la plus simple, mais nécessite plus de NIC, plus de fils, etc.

Chiffrement ( transformer le VLAN en VPN) peut également fonctionner, et ce n’est pas sorcier.

Le cryptage a une certaine relation avec la science des fusées, en particulier la partie où il explose de manière très spectaculaire lorsque vous le giflez avec pas assez de soin et de compréhension.
:-) agréable. Bien sûr, ce que je voulais dire, c'est que dans ce contexte, créer un VPN serait simple (car je m'attendais à ce que l'OP utilise la fonctionnalité de cryptage présente dans les périphériques réseau typiques, et non à écrire le code de cryptage lui-même)
Si vous par «généralement pas beaucoup de travail» signifie «généralement impossible dans un commutateur correctement configuré», alors oui. Sinon, non.
@JakobBorg - vous espérez ne pas vous. En fait, vous avez généralement raison - malheureusement, une mauvaise configuration est très courante!
Sans aucun doute. :) Néanmoins, je n'ai jamais vraiment aimé la mentalité "Les VLAN ne devraient pas être utilisés à des fins de sécurité", car ils sont utilisés avec succès dans exactement ce but chaque jour par tous les FAI du monde. Je lui ai fait une réponse à la place, car elle ne rentre pas dans le champ de commentaire. :)
Qu'entendez-vous par «userland»?
J'ai utilisé userland pour faire référence au réseau auquel les utilisateurs se connecteront, par opposition à la gestion, aux rapports ou à d'autres réseaux
@RoryAlsop - Que voulez-vous dire par "du point de vue d'un attaquant sur un VLAN, il n'est généralement pas beaucoup de travail pour accéder à l'autre VLAN"?Dans quels scénarios est-ce possible?Cela suppose-t-il une mauvaise configuration d'un commutateur ou d'un routeur?Si oui, quels sont les exemples de mauvaises configurations qui peuvent se prêter à ce type d'attaques?
#5
+4
silly hacker
2012-04-30 09:31:37 UTC
view on stackexchange narkive permalink

Les autres réponses sont excellentes. Cependant, je pense que dans certaines circonstances, vous ne voulez pas risquer de mélanger des clients potentiellement malveillants avec des clients de confiance. Un bon exemple est le réseau de divertissement d'un véhicule (voiture, avion, etc.) par rapport au réseau de contrôle des systèmes. Dans un avion, vous ne devriez vraiment pas prendre le risque qu'un passager aléatoire parvienne à exploiter le commutateur ou le routeur, en leur donnant accès au contrôle des systèmes. De la même manière, il ne devrait pas être nécessaire que votre lecteur CD parle à vos freins dans une automobile.

Et quand je parle d'un exploit, je ne parle pas vraiment d'attaques par sauts de VLAN. Je veux dire exploiter une vulnérabilité qui entraîne l'exécution de code arbitraire sur le commutateur ou le routeur lui-même. Il serait naïf de penser que de telles choses ne pourraient jamais arriver.

#6
+2
ukcommando
2015-10-21 13:27:45 UTC
view on stackexchange narkive permalink

La réponse simple est que les VLAN sont conçus pour séparer le trafic (plus du point de vue de la gestion et du flux de données que de la sécurité), ils n'existent pas pour sécuriser les flux de trafic individuels (il n'y a pas de cryptage impliqué), donc les évaluateurs de sécurité ne sera pas heureux si votre modèle de sécurité est basé uniquement sur la ségrégation VLAN.

#7
+2
fr00tyl00p
2015-10-21 17:57:30 UTC
view on stackexchange narkive permalink

Je pense que vous avez très bien configuré vos commutateurs, car vous comprenez quels sont les vecteurs d'attaque. Mais les gens ont souvent tendance à ne pas comprendre cela et c'est ce qui génère un risque - une mauvaise configuration, intentionnelle ou non.

Il n'y a aucune raison de dire " ne jamais utiliser de VLAN pour cela " , car vous pouvez configurer correctement vos commutateurs. Cependant, les VLAN n'ont pas été inventés avec la sécurité à l'esprit, et donc la configuration doit être faite avec soin, et vous devez considérer tous les vecteurs d'attaque potentiels lors de l'examen de votre configuration. Après tout, vous pouvez le faire correctement, mais il est sujet aux erreurs (c'est-à-dire vous acceptez un peu de risque ).

Lorsque vous prévoyez de séparer des réseaux avec une énorme différence d'exigences en confidentiellement, intégrité ou disponibilité, vous constaterez peut-être que le coût de la perte d'une de ces propriétés dans votre réseau «doré» l'emporte sur le risque que vous devez accepter lorsque vous utilisez des VLAN pour la séparation. C'est généralement le cas où je recommande d'utiliser des périphériques physiques séparés au lieu de VLAN.

Vous pouvez dire qu'il y a de bonnes raisons d'utiliser des VLAN pour la segmentation, en particulier le rapport coût-bénéfice. Mais dans certains cas, lorsque vous calculez avec les risques et les valeurs des actifs, vous pouvez constater que l'équation a tendance à parler de séparation physique, qui est généralement moins sujette aux erreurs mais plus coûteuse.

Très bien mis.Je pense que la partie sur les situations où il y a une grande disparité entre les exigences de sécurité de deux (ou plus) réseaux est particulièrement importante.L'utilisation de VLAN pour réaliser la compartimentation de parties d'environnements réseau à usage général peut faire une énorme différence par rapport à ne pas le faire.(De sorte que si un attaquant enfreint une machine, il / elle n'a pas accès à l'ensemble de l'entreprise / organisation) Mais l'utilisation des VLAN seuls ne sera souvent pas adéquate pour segmenter les portions de réseau à haute sécurité de tout le reste;vous aurez besoin d'une séparation physique (préférable) ou de VPN.
#8
+1
user974896
2012-10-17 18:23:44 UTC
view on stackexchange narkive permalink

Lire dans PVLANS (VLAN privés). Ils fournissent une véritable ségrégation layer2 et empêcheront les attaques par usurpation ARP.

Ils peuvent faire plus que cela mais c'est la configuration la plus simple. Disons que vous avez les ports 1, 2 et 3 tous sur vlan 1. Le port 3 est la passerelle par défaut, 1 et 2 sont des hôtes. Avec les PVLAN, 1 peut parler à 3 et 2 peut parler à 3, mais 1 ne peut pas parler à 2. Si cela fonctionne pour vous, je le suggère.

Codez en dur vos ports d'accès à un vlan spécifique pour éviter les sauts.

#9
+1
bob
2016-06-12 01:20:29 UTC
view on stackexchange narkive permalink

Pour autant que je sache et que je comprends le principe des VLAN, il n'y a aucun risque de sécurité lié au protocole / périphérique lui-même. Je veux dire par là que les VLAN sont destinés à séparer les domaines de monodiffusion Layer2, donc non, s'ils sont correctement configurés, VLAN_A et VLAN_B ne devraient pas pouvoir se parler.

Toutes choses étant égales par ailleurs, si vous mettez un utilisateur sur un tronc, il n'y a aucune raison pour qu'il ne puisse pas parler à tous les VLAN ... (parce que c'est comme ça que c'est censé être) cela peut à son tour être un une mauvaise configuration est une configuration souhaitée.

Désormais, si un pirate informatique a accès au matériel physique, il a également accès au logiciel et peut ensuite accéder à TOUT appareil sur ce réseau.

C'est pourquoi la plupart des grands réseaux utilisent les VLAN pour séparer les réseaux et j'entends par là les banques, les FAI, les travaux ... en conformité PCI, les VLAN sont acceptés comme mesure de ségrégation (c'est ainsi que le clavier est séparé de les caisses enregistreuses et ainsi de suite). Maintenant que dit comme cela a été dit ci-dessus, le risque est toujours dans la configuration et c'est à la fois pour la configuration des ports d'accès et pour le pare-feu, ACL et autre point de configuration. la plupart de la commutation est effectuée dans des processeurs dédiés (ASIC) et implémentera donc la ségrégation VLAN au niveau matériel (même si ce n'est qu'une puce programmable), sinon vous ne seriez pas en mesure d'atteindre les taux que vous faites avec les commutateurs.

#10
  0
user1490
2011-02-23 02:21:03 UTC
view on stackexchange narkive permalink

Je pense qu'il me manque quelques détails dans votre exemple -

Chaque commutateur sur un VLAN séparé est-il séparé par un pare-feu ou est-ce que les commutateurs contiennent plusieurs VLAN?

Si chacun Le commutateur a un seul VLAN et tout le trafic est acheminé à travers le pare-feu, alors vous devriez être bien du point de vue de la sécurité, en supposant que la base de règles sur le FW est correcte. En d'autres termes, vous ne pourriez pas sauter de VLAN sans passer par le FW et le FW doit être configuré pour bloquer ce trafic. IE - Le commutateur 1 ne devrait avoir que du trafic VLAN 1, de sorte que le FW abandonnera tout trafic VLAN 2 provenant du commutateur 1.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...