Actualmente estudiando para un CCNA Security, me enseñaron a nunca usar la VLAN nativa por motivos de seguridad. Esta vieja discusión del foro de Cisco lo dice muy claramente:
Tampoco debe usar la VLAN predeterminada porque el salto de VLAN se logra mucho más fácilmente desde la VLAN predeterminada.
Sin embargo, desde un punto de vista práctico, no puedo precisar con precisión qué amenaza real se está abordando.
Mis pensamientos son los siguientes:
El atacante se encuentra en la VLAN nativa, tal vez pueda inyectar directamente los paquetes 802.1q que se enviarán sin modificación por el primer conmutador (como proveniente de una VLAN nativa) y los próximos conmutadores considerarán estos paquetes como paquetes legítimos provenientes de cualquier VLAN elegida por el atacante
De hecho, esto habría hecho que los ataques de salto de VLAN fueran "mucho más fáciles" . Sin embargo, esto no funciona ya que el primer conmutador considera correctamente que es anormal recibir paquetes 802.1q en un puerto de acceso y, por lo tanto, descarta dichos paquetes.
Un atacante que se encuentra en una VLAN no nativa logra convertir un puerto de acceso del conmutador en uno troncal. Para enviar tráfico a la VLAN nativa, solo tendrá que cambiar su dirección IP (un solo comando) en lugar de habilitar la VLAN en su interfaz de red (cuatro comandos), guardando tres comandos.
Obviamente considero esto a lo sumo como una ganancia muy marginal ...
Al buscar en el historial, pensé que había leído en alguna parte recomendaciones antiguas que indicaban que la inyección 802.1q podría requerir una tarjeta de red compatible y controladores específicos. Dichos requisitos limitarían la capacidad del atacante para inyectar paquetes 802.1q y hacer que la explotación de VLAN nativas sea mucho más práctica en el escenario anterior.
Sin embargo, esto no parece ser una limitación real hoy en día y los comandos de configuración de VLAN son una parte común de los comandos de configuración de red de Linux (al menos).
¿Podríamos considerar este consejo de no usar las VLAN nativas para que estén desactualizadas y se conserven solo con fines de cordura histórica y de configuración, a pesar de que esta práctica ya no aborda ninguna amenaza en particular? ¿O hay un escenario concreto en el que el salto de VLAN se vuelve mucho más fácil debido al uso de la VLAN nativa?