Les VLAN: s ne sont pas intrinsèquement non sécurisés. J'écris ceci du point de vue du fournisseur de services, où les VLAN sont la technologie utilisée dans 99% (statistiques constituées sur place) des cas pour segmenter différents clients les uns des autres. Clients résidentiels les uns des autres, clients résidentiels des lignes louées d'entreprise, VPN d'entreprise les uns des autres, etc.

Les attaques par sauts de VLAN qui existent dépendent toutes de quelques facteurs;

• Le commutateur vous dit une sorte de protocole de jonction, vous permettant de vous «enregistrer» pour un VLAN différent. Cela ne devrait jamais, jamais se produire sur un port client, ou quelqu'un devrait être viré.

• Le port est un port balisé et le commutateur n'est pas protégé contre les paquets balisés. Ce n'est un problème que si vous avez des clients sur des ports balisés VLAN, ce que vous ne devriez pas. Même dans ce cas, ce n'est un problème que si vous autorisez les paquets non étiquetés sur les ports de jonction entre les commutateurs, ce qui, encore une fois, vous ne devriez pas.

Les "paquets voyagent sur le même câble" le raisonnement est valable, si l'attaquant a accès au fil physique en question. Si tel est le cas, vous avez beaucoup plus de problèmes que ce que les VLAN peuvent résoudre.

Donc, utilisez certainement les VLAN comme mesure de sécurité, mais assurez-vous de ne jamais, jamais parler de balises VLAN avec les entités que vous souhaitez segmenter les uns des autres, et gardez une trace des fonctionnalités de commutateur activées sur les ports faisant face à de telles entités.

L'une des raisons pour lesquelles les gens découragent l'utilisation des VLAN pour la sécurité est qu'il y a eu des attaques qui permettent le saut de VLAN, en raison de mauvaises configurations des commutateurs.

Cisco a également un bon article traitant de certains problèmes potentiels de sécurité VLAN.

L'utilisation essentielle de VLAN pour la ségrégation du réseau présente plus de risques de mauvaise configuration sur les commutateurs ou bogue dans le logiciel qui les exécute pourrait permettre à un attaquant de contourner la ségrégation.

Cela dit, beaucoup de problèmes avec le saut de VLAN et les attaques sur VTP sont assez anciens maintenant, il est donc possible que les commutateurs à jour les aborderaient.

À mon avis, les attaques par sauts de VLAN sont extrêmement surfaites. Cela ne signifie pas que vous ne devez pas déployer des procédures opérationnelles très bien comprises pour réduire / éliminer les risques de cette attaque (c'est-à-dire ne jamais utiliser dans vos ports d'accès le même VLANID que vous utilisez pour le natif VLAN sur vos jonctions 802.1q. En corollaire, n'utilisez jamais le VLAN 1). Ce que j'essaie de dire, c'est que du point de vue de quelqu'un qui veut vous attaquer, il existe d'autres techniques de couche deux (L2) qui sont beaucoup plus fiables et avec beaucoup plus d'impact qu'une attaque par sauts de VLAN.

Les attaques contre le protocole ARP par exemple sont extrêmement simples à déployer et si vos commutateurs n'offrent aucune protection contre celui-ci, l'attaquant peut causer de gros dégâts. Si votre VLAN est petit, votre exposition est énorme, si votre VLAN est grand, alors votre exposition est méga-super énorme (j'ai des clients dont tout le réseau d'entreprise est un énorme VLAN, mais c'est un autre problème).

Ensuite, vous avez des attaques contre la stabilité de votre LAN par l'utilisation et l'abus du protocole Spanning Tree (yersinia est l'outil de facto pour cela). Aussi extrêmement facile à déployer et avec un grand impact sur votre infrastructure.

Si votre hacker "standard" ne peut pas exploiter ARP ou Spanning Tree ou DHCP, c'est mon expérience qu'il "se déplacera vers" / focus-in d'autres parties de votre infrastructure (bases de données, Web, DNS) avant d'essayer d'exploiter avec succès le saut de VLAN.

Si la sécurité de la couche 2 est votre genre de saveur, je ne peux pas vous recommander suffisamment de lire le livre "LAN Switch Security" de Cisco Press.

Le principal manque de sécurité est dû au fait que, même si vous séparez d'un point de vue logique, vous exécutez en fait les réseaux sur les mêmes fils, donc du point de vue d'un attaquant sur un VLAN, ce n'est généralement pas beaucoup de travail pour accéder à l'autre VLAN.

C'est pourquoi si, lors d'un audit de sécurité, je trouve un VLAN de gestion pour les routeurs fonctionnant sur le même réseau que le VLAN de la zone utilisateur, cela déclenche un gros drapeau rouge.

La principale raison pour laquelle les organisations utiliser des VLAN, c'est qu'il est bon marché car un seul réseau physique doit être implémenté.

La ségrégation physique est la solution la plus simple, mais nécessite plus de NIC, plus de fils, etc.

Chiffrement ( transformer le VLAN en VPN) peut également fonctionner, et ce n’est pas sorcier.

Les autres réponses sont excellentes. Cependant, je pense que dans certaines circonstances, vous ne voulez pas risquer de mélanger des clients potentiellement malveillants avec des clients de confiance. Un bon exemple est le réseau de divertissement d'un véhicule (voiture, avion, etc.) par rapport au réseau de contrôle des systèmes. Dans un avion, vous ne devriez vraiment pas prendre le risque qu'un passager aléatoire parvienne à exploiter le commutateur ou le routeur, en leur donnant accès au contrôle des systèmes. De la même manière, il ne devrait pas être nécessaire que votre lecteur CD parle à vos freins dans une automobile.

Et quand je parle d'un exploit, je ne parle pas vraiment d'attaques par sauts de VLAN. Je veux dire exploiter une vulnérabilité qui entraîne l'exécution de code arbitraire sur le commutateur ou le routeur lui-même. Il serait naïf de penser que de telles choses ne pourraient jamais arriver.

La réponse simple est que les VLAN sont conçus pour séparer le trafic (plus du point de vue de la gestion et du flux de données que de la sécurité), ils n'existent pas pour sécuriser les flux de trafic individuels (il n'y a pas de cryptage impliqué), donc les évaluateurs de sécurité ne sera pas heureux si votre modèle de sécurité est basé uniquement sur la ségrégation VLAN.

Je pense que vous avez très bien configuré vos commutateurs, car vous comprenez quels sont les vecteurs d'attaque. Mais les gens ont souvent tendance à ne pas comprendre cela et c'est ce qui génère un risque - une mauvaise configuration, intentionnelle ou non.

Il n'y a aucune raison de dire " ne jamais utiliser de VLAN pour cela " , car vous pouvez configurer correctement vos commutateurs. Cependant, les VLAN n'ont pas été inventés avec la sécurité à l'esprit, et donc la configuration doit être faite avec soin, et vous devez considérer tous les vecteurs d'attaque potentiels lors de l'examen de votre configuration. Après tout, vous pouvez le faire correctement, mais il est sujet aux erreurs (c'est-à-dire vous acceptez un peu de risque ).

Lorsque vous prévoyez de séparer des réseaux avec une énorme différence d'exigences en confidentiellement, intégrité ou disponibilité, vous constaterez peut-être que le coût de la perte d'une de ces propriétés dans votre réseau «doré» l'emporte sur le risque que vous devez accepter lorsque vous utilisez des VLAN pour la séparation. C'est généralement le cas où je recommande d'utiliser des périphériques physiques séparés au lieu de VLAN.

Vous pouvez dire qu'il y a de bonnes raisons d'utiliser des VLAN pour la segmentation, en particulier le rapport coût-bénéfice. Mais dans certains cas, lorsque vous calculez avec les risques et les valeurs des actifs, vous pouvez constater que l'équation a tendance à parler de séparation physique, qui est généralement moins sujette aux erreurs mais plus coûteuse.

Lire dans PVLANS (VLAN privés). Ils fournissent une véritable ségrégation layer2 et empêcheront les attaques par usurpation ARP.

Ils peuvent faire plus que cela mais c'est la configuration la plus simple. Disons que vous avez les ports 1, 2 et 3 tous sur vlan 1. Le port 3 est la passerelle par défaut, 1 et 2 sont des hôtes. Avec les PVLAN, 1 peut parler à 3 et 2 peut parler à 3, mais 1 ne peut pas parler à 2. Si cela fonctionne pour vous, je le suggère.

Codez en dur vos ports d'accès à un vlan spécifique pour éviter les sauts.

Pour autant que je sache et que je comprends le principe des VLAN, il n'y a aucun risque de sécurité lié au protocole / périphérique lui-même. Je veux dire par là que les VLAN sont destinés à séparer les domaines de monodiffusion Layer2, donc non, s'ils sont correctement configurés, VLAN_A et VLAN_B ne devraient pas pouvoir se parler.

Toutes choses étant égales par ailleurs, si vous mettez un utilisateur sur un tronc, il n'y a aucune raison pour qu'il ne puisse pas parler à tous les VLAN ... (parce que c'est comme ça que c'est censé être) cela peut à son tour être un une mauvaise configuration est une configuration souhaitée.

Désormais, si un pirate informatique a accès au matériel physique, il a également accès au logiciel et peut ensuite accéder à TOUT appareil sur ce réseau.

C'est pourquoi la plupart des grands réseaux utilisent les VLAN pour séparer les réseaux et j'entends par là les banques, les FAI, les travaux ... en conformité PCI, les VLAN sont acceptés comme mesure de ségrégation (c'est ainsi que le clavier est séparé de les caisses enregistreuses et ainsi de suite). Maintenant que dit comme cela a été dit ci-dessus, le risque est toujours dans la configuration et c'est à la fois pour la configuration des ports d'accès et pour le pare-feu, ACL et autre point de configuration. la plupart de la commutation est effectuée dans des processeurs dédiés (ASIC) et implémentera donc la ségrégation VLAN au niveau matériel (même si ce n'est qu'une puce programmable), sinon vous ne seriez pas en mesure d'atteindre les taux que vous faites avec les commutateurs.

Je pense qu'il me manque quelques détails dans votre exemple -

Chaque commutateur sur un VLAN séparé est-il séparé par un pare-feu ou est-ce que les commutateurs contiennent plusieurs VLAN?

Si chacun Le commutateur a un seul VLAN et tout le trafic est acheminé à travers le pare-feu, alors vous devriez être bien du point de vue de la sécurité, en supposant que la base de règles sur le FW est correcte. En d'autres termes, vous ne pourriez pas sauter de VLAN sans passer par le FW et le FW doit être configuré pour bloquer ce trafic. IE - Le commutateur 1 ne devrait avoir que du trafic VLAN 1, de sorte que le FW abandonnera tout trafic VLAN 2 provenant du commutateur 1.