Pourquoi le VLAN natif ne devrait-il jamais être utilisé?

10

Actuellement étudiant pour une sécurité CCNA, on m'a appris à ne jamais utiliser le VLAN natif à des fins de sécurité. Cette vieille discussion du forum Cisco le dit très clairement:

Vous ne devez jamais utiliser le VLAN par défaut non plus car le saut de VLAN est beaucoup plus facile à réaliser à partir du VLAN par défaut.

Cependant, d'un point de vue pratique, je ne suis pas en mesure de déterminer précisément quelle menace réelle est en train d'être combattue.

Mes pensées sont les suivantes:

  • L'attaquant se trouvant sur le VLAN natif, il peut peut-être injecter directement des paquets 802.1q qui seront transmis sans modification par le premier commutateur (comme provenant d'un VLAN natif) et les commutateurs à venir considéreront ces paquets comme des paquets légitimes provenant de tout VLAN choisi par l'attaquant.

    Cela aurait en effet rendu les attaques par sauts de VLAN "beaucoup plus faciles" . Cependant, cela ne fonctionne pas car le premier commutateur considère à juste titre comme anormal de recevoir des paquets 802.1q sur un port d'accès et supprime donc ces paquets.

  • Un attaquant se trouvant sur un VLAN non natif parvient à transformer un port d'accès au commutateur en un trunk. Pour envoyer du trafic vers le VLAN natif, il n'aura qu'à changer son adresse IP (une seule commande) au lieu d'activer le VLAN sur son interface réseau (quatre commandes), en enregistrant trois commandes.

    Je considère évidemment cela tout au plus comme un gain très marginal ...

  • En creusant dans l'histoire, j'ai pensé avoir lu quelque part d'anciennes recommandations indiquant que l'injection 802.1q pouvait nécessiter une carte réseau compatible et des pilotes spécifiques. De telles exigences limiteraient en effet la capacité de l'attaquant à injecter des paquets 802.1q et rendraient l'exploitation VLAN native beaucoup plus pratique dans le scénario précédent.

    Cependant, cela ne semble pas être une véritable limitation de nos jours et les commandes de configuration VLAN sont une partie commune des commandes de configuration réseau Linux (au moins).

Pourrions-nous considérer que cet avis de ne pas utiliser les VLAN natifs est obsolète et conservé uniquement à des fins d'historique et de configuration, même si cette pratique ne traite plus aucune menace particulière? Ou existe-t-il un scénario concret où le saut de VLAN devient en effet beaucoup plus facile en raison du VLAN natif utilisé?

vlan security WhiteWinterWolf
la source
1
Pour info, ceci est une bonne lecture, sécurité des commutateurs LAN
Mike Pennington
Pour plus de sécurité, vous devez créer un VLAN dans lequel les pièces inutilisées sont insérées et ces ports doivent être fermés
Harrison Brock

Réponses:

11

Vous pouvez et devrez probablement utiliser un VLAN natif sur vos ports de jonction, au moins sur les commutateurs Cisco, d'autres fournisseurs le font différemment. Mais vous devez vous rappeler que le risque de sécurité est davantage lié au VLAN 1 (VLAN par défaut) défini comme VLAN natif.

Vous devez remplacer le VLAN natif par VLAN 1 par un nouveau VLAN que vous créez. Le VLAN natif est utilisé pour de nombreuses données de gestion telles que les trames DTP, VTP et CDP et également les BPDU pour le spanning-tree.

Lorsque vous obtenez un tout nouveau commutateur, le VLAN 1 est le seul VLAN qui existe, cela signifie également que tous les ports sont membres de ce VLAN par défaut.

Si vous utilisez VLAN 1 comme votre VLAN natif, vous disposez de tous les ports que vous n'avez pas configurés pour faire partie de ce VLAN. Donc, si un attaquant se connecte à un port non utilisé et non configuré (car il n'est pas utilisé), il a immédiatement accès à votre VLAN de gestion et peut lire et injecter des paquets qui pourraient permettre le saut de VLAN ou capturer des paquets dont vous ne voulez pas lui / elle pour voir, ou pire, SSH dans vos commutateurs / routeurs (ne jamais autoriser telnet).

Le conseil est toujours de ne pas utiliser le VLAN 1, donc si un attaquant ou un client indésirable se connecte et se retrouve sur le VLAN 1 et qu'il n'y a rien de configuré sur ce VLAN, comme une passerelle utilisable, ils sont à peu près bloqués et ne peuvent aller nulle part , alors que votre VLAN natif est quelque chose comme VLAN 900 qui est moins susceptible d'avoir un accès au port car ce n'est pas le VLAN par défaut.

Beaucoup d'ingénieurs ne désactivent pas les ports inutilisés et l'utilisation de VLAN 1 pour des choses importantes vous laisse dans une situation où l'accès est ouvert, sauf si vous utilisez quelque chose comme 802.1x. Les ingénieurs / administrateurs réseau oublient et vous avez un petit trou de sécurité qui peut bénéficier à un attaquant. Si votre VLAN 1 n'est pas utilisé et que les ports sont laissés par défaut, ce n'est pas si grave car il n'est pas utilisé.

J'espère que cela vous aidera dans votre quête.

SleepyMan

SleepyMan
la source
3
En fait, vous n'avez pas besoin d'utiliser un VLAN natif sur les appareils Cisco. C'est le cas depuis de nombreuses années maintenant. Ce que vous ne pouvez pas faire, c'est désactiver le VLAN 1, mais vous pouvez le restreindre à partir d'un tronc.
Ron Maupin
1
cependant, vous ne pouvez bloquer le vlan 1 que sur un tronc dot1q tant que le tronc ne passe pas à un commutateur exécutant un arbre couvrant la norme IEEE 802.1d / s / W
Mike Pennington
1
Les conseils généraux que je rencontre souvent distinguent clairement le problème "VLAN natif" qui rend l'espoir VLAN plus facile, et le problème "VLAN 1" qui peut affecter les commutateurs non configurés, et recommande de dédier deux VLAN jamais utilisés pour résoudre chacun de ces problèmes. Le point pour moi semble que tout le matériel ne soit pas égal , et bien que les commutateurs Cisco actuels ne soient pas vraiment vulnérables à ce problème de "VLAN natif" et ne permettraient pas au VLAN d'espérer de cette façon, ce n'est peut-être pas le cas avec d'autres fournisseurs et des appareils plus anciens. .
WhiteWinterWolf