¿Por qué nunca se debe usar la VLAN nativa?

10

Actualmente estudiando para un CCNA Security, me enseñaron a nunca usar la VLAN nativa por motivos de seguridad. Esta vieja discusión del foro de Cisco lo dice muy claramente:

Tampoco debe usar la VLAN predeterminada porque el salto de VLAN se logra mucho más fácilmente desde la VLAN predeterminada.

Sin embargo, desde un punto de vista práctico, no puedo precisar con precisión qué amenaza real se está abordando.

Mis pensamientos son los siguientes:

  • El atacante se encuentra en la VLAN nativa, tal vez pueda inyectar directamente los paquetes 802.1q que se enviarán sin modificación por el primer conmutador (como proveniente de una VLAN nativa) y los próximos conmutadores considerarán estos paquetes como paquetes legítimos provenientes de cualquier VLAN elegida por el atacante

    De hecho, esto habría hecho que los ataques de salto de VLAN fueran "mucho más fáciles" . Sin embargo, esto no funciona ya que el primer conmutador considera correctamente que es anormal recibir paquetes 802.1q en un puerto de acceso y, por lo tanto, descarta dichos paquetes.

  • Un atacante que se encuentra en una VLAN no nativa logra convertir un puerto de acceso del conmutador en uno troncal. Para enviar tráfico a la VLAN nativa, solo tendrá que cambiar su dirección IP (un solo comando) en lugar de habilitar la VLAN en su interfaz de red (cuatro comandos), guardando tres comandos.

    Obviamente considero esto a lo sumo como una ganancia muy marginal ...

  • Al buscar en el historial, pensé que había leído en alguna parte recomendaciones antiguas que indicaban que la inyección 802.1q podría requerir una tarjeta de red compatible y controladores específicos. Dichos requisitos limitarían la capacidad del atacante para inyectar paquetes 802.1q y hacer que la explotación de VLAN nativas sea mucho más práctica en el escenario anterior.

    Sin embargo, esto no parece ser una limitación real hoy en día y los comandos de configuración de VLAN son una parte común de los comandos de configuración de red de Linux (al menos).

¿Podríamos considerar este consejo de no usar las VLAN nativas para que estén desactualizadas y se conserven solo con fines de cordura histórica y de configuración, a pesar de que esta práctica ya no aborda ninguna amenaza en particular? ¿O hay un escenario concreto en el que el salto de VLAN se vuelve mucho más fácil debido al uso de la VLAN nativa?

vlan  security 
WhiteWinterWolf
fuente
1
FYI, esta es una buena lectura, LAN Switch Security
Mike Pennington
Para mayor seguridad, debe crear una VLAN nueva en la que se coloquen partes no utilizadas y estos puertos se deben cerrar
Harrison Brock,

Respuestas:

11

Puede y probablemente necesitará usar una VLAN nativa en sus puertos troncales, al menos en los conmutadores Cisco, otros proveedores lo hacen de manera diferente. Pero lo que debe recordar es que el riesgo de seguridad tiene más que ver con que la VLAN 1 (VLAN predeterminada) se configure como una VLAN nativa.

Debe cambiar la VLAN nativa de VLAN 1 a una nueva VLAN que cree. La VLAN nativa se utiliza para una gran cantidad de datos de administración, como tramas DTP, VTP y CDP, y también BPDU para árbol de expansión.

Cuando obtiene un nuevo conmutador, la VLAN 1 es la única VLAN que existe, esto también significa que todos los puertos son miembros de esta VLAN de manera predeterminada.

Si está utilizando la VLAN 1 como su VLAN nativa, tiene todos los puertos que no ha configurado para formar parte de esta VLAN. Entonces, si un atacante se conecta a un puerto que no se usa y no está configurado (porque no se usa), tiene acceso inmediato a su VLAN de administración y puede leer e inyectar paquetes que podrían permitir el salto de VLAN o capturar paquetes que no desea él / ella para ver, o peor, SSH en sus conmutadores / enrutadores (nunca permita telnet).

El consejo siempre es no usar la VLAN 1, por lo que si un atacante o un cliente no deseado se conecta y termina en la VLAN 1 y no hay nada configurado en esta VLAN, como una puerta de enlace utilizable, están prácticamente atascados y no pueden ir a ningún lado , mientras que su VLAN nativa es algo así como la VLAN 900, que es menos probable que tenga acceso a un puerto, ya que no es la VLAN predeterminada.

Muchos ingenieros no deshabilitan los puertos no utilizados y el uso de la VLAN 1 para cosas importantes lo deja en una situación en la que el acceso está abierto a menos que use algo como 802.1x. Los ingenieros / administradores de red olvidan y tiene un pequeño agujero de seguridad que puede beneficiar a un atacante. Si su VLAN 1 no se usa y los puertos se dejan como predeterminados, no es tan importante porque no se usa.

Espero que esto te ayude en tu búsqueda.

SleepyMan

SleepyMan
fuente
3
En realidad, no tiene que usar una VLAN nativa en dispositivos Cisco. Este ha sido el caso durante muchos años. Lo que no puede hacer es desactivar la VLAN 1, pero puede restringirla desde una troncal.
Ron Maupin
1
sin embargo, solo puede bloquear el vlan 1 en un enlace troncal dot1q siempre que el enlace troncal no vaya a un conmutador que ejecute el árbol de expansión 802.1d / s / W estándar IEEE
Mike Pennington
1
El consejo general que encuentro a menudo distingue claramente el problema de "VLAN nativa" que hace que la esperanza de VLAN sea más fácil, y el problema de "VLAN 1" que puede afectar a los conmutadores no configurados, y recomiendo dedicar dos VLAN nunca utilizadas para abordar cada uno de estos problemas. El punto para mí parece que todo el hardware no es igual , y aunque los conmutadores Cisco actuales no son realmente vulnerables a este problema de "VLAN nativa" y no permitirían que VLAN esperara de esta manera, puede que no sea el caso con otros proveedores y dispositivos más antiguos. .
WhiteWinterWolf
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.