Pourquoi les gens me disent de ne pas utiliser de VLAN pour la sécurité?

25

Selon le titre, pourquoi les gens me disent de ne pas utiliser de VLAN à des fins de sécurité?

J'ai un réseau, où j'ai quelques VLAN. Il y a un pare-feu entre les 2 VLAN. J'utilise des commutateurs HP Procurve et je me suis assuré que les liaisons de commutateur à commutateur n'acceptent que les trames marquées et que les ports hôtes n'acceptent pas les trames marquées (ils ne sont pas "VLAN Aware"). Je me suis également assuré que le VLAN natif (PVID) des liaisons de jonction n'est pas le même que l'un des 2 VLAN hôtes. J'ai également activé le "filtrage d'entrée". De plus, je me suis assuré que les ports hôtes ne sont membres que d'un seul VLAN, ce qui est le même que le PVID du port respectif. Les seuls ports qui sont membres de plusieurs VLAN sont les ports de jonction.

Quelqu'un peut-il m'expliquer pourquoi ce qui précède n'est pas sécurisé? Je pense avoir résolu le problème du double marquage.

Merci

Mise à jour: les deux commutateurs sont Hp Procurve 1800-24G

networking security vlan jtnire
la source
1
Vous pouvez également essayer de demander à security.stackexchange.com , si vous voulez les commentaires des professionnels de la sécurité ...
AviD
Cela devrait certainement être sur security.se.
Mark E. Haase
@mehaase, les questions ne peuvent pas être migrées après un certain laps de temps. Cette question est trop ancienne pour être migrée.
Zoredache

Réponses:

18

Pourquoi les gens me disent de ne pas utiliser de VLAN à des fins de sécurité?

Il existe des risques réels, si vous ne comprenez pas complètement les problèmes potentiels et si vous configurez correctement votre réseau pour atténuer le risque à un point acceptable pour votre environnement. À de nombreux endroits, les VLAN offrent un niveau de séparation adéquat entre deux VLAN.

Quelqu'un peut-il m'expliquer pourquoi ce qui précède n'est pas sécurisé?

Il semble que vous ayez pris toutes les étapes de base nécessaires pour obtenir une configuration assez sécurisée. Mais je ne suis pas totalement familier avec les équipements HP. Vous en avez peut-être fait assez pour votre environnement.

Un bon article à examiner également serait le livre blanc sur la sécurité des VLAN Cisco .

Il comprend une liste des attaques possibles contre un réseau VLAN. Certains d'entre eux ne sont pas possibles sur certains commutateurs ou peuvent être atténués par une conception appropriée de l'infrastructure / du réseau. Prenez le temps de les comprendre et décidez si le risque vaut l'effort qu'il faudra pour l'éviter dans votre environnement.

Cité de l'article.

  • MAC Flooding Attack
  • 802.1Q et attaque de marquage ISL
  • Attaque 802.1Q / VLAN imbriquée à double encapsulation
  • Attaques ARP
  • Attaque de VLAN privé
  • Multicast Brute Force Attack
  • Attaque Spanning Tree

Voir également:

Zoredache
la source
1
Oui, j'ai lu cet article avant de poster ceci. C'est vraiment un très bon article. Bien que je comprenne tous les risques impliqués, le livre blanc ne s'applique vraiment qu'aux équipements Cisco - au moins pour les parties qui se rapportent aux micrologiciels de bogues tels que les inondations et les attaques ARP.
jtnire
10

Il est sûr pour certaines valeurs de sécurisé.

Les bogues dans le firmware, la configuration des commutateurs sont réinitialisés, une erreur humaine peut la rendre non sécurisée. Tant que très peu de personnes ont accès à la configuration des commutateurs et aux commutateurs eux-mêmes, tout va bien dans un environnement commercial général.

Je choisirais la séparation physique pour les données vraiment sensibles.

Hubert Kario
la source
1
Cependant, tous ces problèmes ne s'appliqueraient-ils pas aux pare-feu de couche 3 normaux?
jtnire
Oui, et les VLAN doivent être considérés comme s'ils étaient connectés à un routeur commun. Un réseau avec des données vraiment sensibles ne doit être connecté à rien d'autre. Si les deux ont accès à Internet, vous êtes d'accord.
Hubert Kario
2
+1 Vous avez mis le doigt sur la tête avec la première phrase.
John Gardeniers
Pouvez-vous expliquer votre première phrase? Puisque j'essaie d'utiliser des VLAN à des fins de sécurité, je ne peux pas simplement supposer qu'ils sont dangereux et ne pas les utiliser pour des sous-réseaux sécurisés :)
jtnire
1
Cela ne répond pas du tout à la question ... ce sont juste des platitudes de sécurité courantes.
Mark E. Haase
4

Je semble me rappeler que, dans le passé, il était plus facile de faire un saut de VLAN, donc c'est peut-être la raison pour laquelle "les gens" disent cela. Mais pourquoi ne demandez-vous pas au "peuple" les raisons? Nous ne pouvons que deviner pourquoi ils vous ont dit cela. Je sais que les auditeurs HIPAA et PCI sont OK avec les VLAN pour la sécurité.

mfinni
la source
Vraiment? Les auditeurs PCi sont d'accord avec ça? Par "personnes", je veux juste dire lire en ligne :)
jtnire
6
Les auditeurs PCI sont très certainement d'accord avec cela, ce qui est surprenant compte tenu du taureau qu'ils peuvent trouver lorsqu'ils s'assurent qu'un système est sécurisé! Les VLAN ne sont qu'un outil pour séparer les domaines de diffusion sur la couche 2. Les couches 3 et supérieures sont la plupart des vulnérabilités graves. Au moment où quelqu'un s'est suffisamment approché de votre système pour jouer avec les VLAN, vous avez un problème beaucoup plus grave!
Niall Donegan
1
Heureusement, je n'ai pas eu à gérer le sans fil par rapport au PCI DSS, donc cela n'a pas été abordé. Je le traite normalement en ce qui concerne les environnements d'hébergement où ce sont de belles cabines verrouillées et de bons câbles à l'ancienne.
Niall Donegan
1
Oui, je prévois de déployer des VLAN dans ma cabine pour mes clients gérés. Les commutateurs seront verrouillés dans le rack :) Je suppose que les VLAN sont beaucoup utilisés dans les environnements colo pour partager des commutateurs, n'est-ce pas?
jtnire
1
@jnire Oui, PCI DSS nécessite une séparation physique pour le WLAN. Les réseaux filaires sont différents.
sysadmin1138
2

Je pense que le problème principal est que les réseaux locaux virtuels ne sont pas sécurisés parce que vous séparez simplement les domaines de diffusion, pas réellement le trafic. Tout le trafic provenant des multiples réseaux locaux virtuels circule toujours sur les mêmes câbles physiques. Un hôte ayant accès à ce trafic peut toujours être configuré en mode promiscuous et afficher tout le trafic sur le câble.

De toute évidence, l'utilisation de commutateurs réduit considérablement ce risque, car les commutateurs contrôlent quelles données apparaissent réellement sur quels ports, mais le risque de base est toujours là.

Phil Hollenback
la source
3
Je suis désolé de ne pas comprendre cela. Étant donné que les commutateurs contrôlent le trafic circulant vers les ports en fonction de leur appartenance au VLAN, mettre un hôte en mode promiscuous ne ferait rien. Bien sûr, si un attaquant avait accès à la ligne principale, le mode promiscuous fonctionnerait, mais la même chose pourrait être dite si un attaquant avait accès à un câble pour un autre segment de pare-feu physique. Veuillez me corriger si je me trompe ..
jtnire
Eh bien, si un attaquant avait accès à votre commutateur sur le réseau, il pourrait faire des choses comme des ports miroir et collecter des paquets à partir d'autres réseaux locaux virtuels, non? Je pense que le problème revient au fait que les réseaux locaux virtuels sont une fonctionnalité programmable, tout en séparant les câbles et une couche de protection physique.
Phil Hollenback
1
Mais je ne comprends toujours pas en quoi cela est différent d'un pare-feu ordinaire de couche 3 - ils utilisent également des logiciels pour programmer. Bien sûr, j'ai essayé d'atténuer ce problème en ne plaçant pas d'hôtes non approuvés sur le VLAN de gestion, il n'est donc pas possible de changer l'accès à l'interface graphique Web.
jtnire