it-swarm-es.com

¿Por qué la gente me dice que no use VLAN para seguridad?

Tengo una red, donde tengo un par de VLAN. Hay un firewall entre las 2 VLAN. Estoy utilizando conmutadores HP Procurve y me he asegurado de que los enlaces de conmutador a conmutador solo acepten tramas etiquetadas y que los puertos Host no acepten tramas etiquetadas (no son "VLAN Aware"). También me he asegurado de que los puertos troncales no tengan una VLAN nativa. También he habilitado "Ingress Filtering". Además, me he asegurado de que los puertos del Host sean solo miembros de una única VLAN, que es lo mismo que el PVID del puerto respectivo. Los únicos puertos que son miembros de varias VLAN son los puertos troncales.

¿Puede alguien explicarme por qué lo anterior no es seguro? Creo que he abordado el problema del doble etiquetado ...

Actualización: Ambos interruptores son Hp Procurve 1800-24G

Esta pregunta fue Pregunta de seguridad de TI de la semana.
Lea el 20 de abril de 2012 entrada del blog para más detalles o envíe el suyo Pregunta de la semana.

82
jtnire

VLAN: no son inherentemente inseguros. Escribo esto desde la perspectiva de un proveedor de servicios, donde las VLAN son la tecnología utilizada en el 99% (estadísticas hechas en el acto) de casos para segmentar a diferentes clientes entre sí. Clientes residenciales entre sí, clientes residenciales de líneas arrendadas empresariales, VPN empresariales entre sí, lo que sea.

Los VLAN ataques de salto que existen dependen de algunos factores;

  • El conmutador le comunica algún tipo de protocolo troncal, lo que le permite "registrarse" para una VLAN diferente. Esto nunca debería ocurrir en el puerto de un cliente, o alguien debería ser despedido.

  • El puerto es un puerto etiquetado y el conmutador no está protegido contra paquetes con doble etiqueta. Esto es solo un problema si tiene clientes en puertos con etiqueta VLAN, lo cual no debería. Incluso entonces, solo es un problema si permite paquetes sin etiquetar en puertos troncales entre conmutadores que, una vez más, no debería.

El razonamiento de "los paquetes viajan en el mismo cable" es válido si el atacante tiene acceso al cable físico en cuestión. Si ese es el caso, tiene problemas mucho mayores que los que las VLAN pueden resolver.

Por lo tanto, utilice todas las VLAN como medida de seguridad, pero asegúrese de no hablar nunca con etiquetas VLAN) con las entidades que desea segmentar entre sí, y realizar un seguimiento de las características del conmutador están habilitados en los puertos que enfrentan tales entidades.

66
Jakob Borg

Una razón por la cual las personas desalientan el uso de las VLAN para la seguridad es que ha habido algunos ataques que permiten salto de VLAN , debido a configuraciones incorrectas de los conmutadores.

Cisco también tiene un buen papel abordando algunas posibles preocupaciones de seguridad VLAN.

Esencialmente, el uso de VLAN para la segregación de red presenta un mayor potencial para una configuración incorrecta en los conmutadores o un error en el software que los ejecuta podría permitir que un atacante omita la segregación.

Dicho esto, muchos de los problemas con VLAN saltos y ataques en VTP son bastante antiguos ahora, por lo que es posible que los conmutadores actualizados los solucionen.

31
Rory McCune

En mi opinión, los ataques de salto VLAN están enormemente sobrevalorados. Esto no significa que no deba implementar procedimientos operativos muy bien entendidos para reducir/eliminar los riesgos de este ataque (es decir, nunca use en sus puertos de acceso el mismo VLANID que está usando para nativo = VLAN en sus troncales 802.1q. Como corolario, nunca use VLAN 1). Lo que estoy tratando de decir es que desde la perspectiva de alguien que quiere atacarte, hay otras técnicas de capa dos (L2) que son mucho más confiables y con mucho más impacto que un ataque de salto VLAN.

Los ataques al protocolo ARP, por ejemplo, son extremadamente fáciles de implementar y si sus interruptores no ofrecen ningún tipo de protección contra él, el atacante puede causar un gran daño. Si su VLAN es pequeña, entonces su exposición es enorme, si su VLAN es grande, entonces su exposición es mega-súper enorme (tengo clientes cuya red corporativa completa es una VLAN enorme, pero eso ' s otro problema).

Luego tiene ataques a la estabilidad de su LAN a través del uso y abuso del Protocolo Spanning Tree (yersinia es la herramienta de facto para esto). También extremadamente fácil de implementar y con un gran impacto en su infraestructura.

Si su pirata informático "estándar" no puede explotar ARP o Spanning Tree o DHCP, según mi experiencia, se "moverá"/enfocará en otras partes de su infraestructura (DB, Web, DNS) antes de intentar explotar con éxito VLAN saltando.

Si la seguridad de la capa 2 es su tipo de sabor, no puedo recomendarle lo suficiente que lea el libro "LAN Switch Security" de Cisco Press.

16
jliendo

La mayor falta de seguridad se debe al hecho de que, aunque se está segregando desde una perspectiva lógica, en realidad está ejecutando las redes a través de los mismos cables, por lo que desde la perspectiva de un atacante en uno VLAN Por lo general, no es mucho trabajo acceder a la otra VLAN.

Es por esto que si, durante una auditoría de seguridad, encuentro una administración VLAN para los enrutadores que se ejecutan en la misma red que userland VLAN) levanta una gran bandera roja.

La razón principal por la que las organizaciones usan VLAN es que es barata, ya que solo se necesita implementar una red física.

La segregación física es la solución más simple, pero requiere más NIC, más cables, etc.

El cifrado (esencialmente convertir el VLAN en una VPN) también puede funcionar, y no es ciencia espacial.

9
Rory Alsop

Las otras respuestas son geniales. Sin embargo, creo que hay algunas circunstancias en las que no desea arriesgarse a mezclar clientes potencialmente maliciosos con clientes confiables. Un gran ejemplo es la red de entretenimiento de un vehículo (automóvil, avión, etc.) frente a la red de control de sistemas. En un avión, realmente no debería correr el riesgo de que algún pasajero al azar se las arregle para explotar el interruptor o enrutador, dándoles acceso al control de los sistemas. Del mismo modo, su reproductor de CD no debería tener mucha necesidad de hablar con sus frenos en un automóvil.

Y cuando hablo de un exploit, en realidad no me refiero a VLAN ataques de salto. Me refiero a explotar una vulnerabilidad que resulta en la ejecución de código arbitrario en el conmutador o enrutador en sí. Sería ingenuo piensa que tales cosas nunca podrían suceder.

4
silly hacker

La respuesta simple es que las VLAN están diseñadas para segregar el tráfico (más desde una perspectiva de gestión y flujo de datos que de seguridad), no existen para proteger ninguno de los flujos de tráfico individuales (no hay cifrado involucrado), por lo que los asesores de seguridad no lo harán sea ​​feliz si su modelo de seguridad se basa únicamente en la segregación VLAN.

2
ukcommando

Creo que lo hiciste bastante bien configurando tus interruptores, porque entiendes cuáles son los vectores de ataque. Pero las personas a menudo tienden a no entender esto y eso es lo que genera un riesgo: una configuración incorrecta, intencionada o no.

No hay razón para decir " nunca use VLAN para esto ", porque usted puede configurar sus conmutadores correctamente. Sin embargo, las VLAN no se inventaron teniendo en cuenta la seguridad, por lo que la configuración debe hacerse con cuidado y debe considerar todos los posibles vectores de ataque al revisar su configuración. Después de todo, puede hacerlo correctamente, pero es propenso a errores (es decir, acepta un pequeño riesgo).

Cuando planea separar las redes con una gran diferencia de requisitos en cuanto a confidencialidad, integridad o disponibilidad, puede encontrar que el costo de perder una de estas propiedades en su red "dorada" supera el riesgo que tiene que aceptar al usar VLAN para la separación. Esta suele ser la situación en la que recomiendo usar dispositivos físicos separados en lugar de VLAN.

Puede decir que hay buenas razones para usar VLAN para la segmentación, especialmente la relación costo-beneficio. Pero en algunos casos, cuando calcula con riesgos y valores de activos, puede encontrar que la ecuación tiende a hablar de separación física, que generalmente es menos propensa a errores pero más costosa.

2
fr00tyl00p

Hasta donde yo sé y entiendo el principio de las VLAN, no existe ningún riesgo de seguridad por el protocolo/dispositivo en sí. Con esto quiero decir que VLAN están destinados a segregar dominios de unidifusión de capa 2, por lo tanto no, si VLAN_A y VLAN_B configurados correctamente no deberían poder comunicarse entre sí.

En igualdad de condiciones, si coloca al usuario en una troncal, no hay razón para que no puedan hablar con todas las VLAN ... (porque así es como se supone que debe ser), esto a su vez puede ser una configuración incorrecta.

Ahora, si un hacker tiene acceso al hardware físico, también tiene acceso al software y luego puede acceder a CUALQUIER dispositivo en esa red.

Esta es la razón por la cual la mayoría de las redes grandes usan VLAN para segregar redes y con eso me refiero a bancos, ISP, las obras ... en el cumplimiento de PCI, las VLAN se aceptan como una medida de segregación (así es como se separa el pinpad de las cajas registradoras, etc.) . Ahora que dicho lo dicho anteriormente, el riesgo siempre está en la configuración y eso es a través de la configuración de los puertos de acceso y del firewall, ACL y otros puntos de configuración. la mayor parte de la conmutación se realiza en CPU dedicadas (ASIC) y, por lo tanto, implementará la segregación VLAN a nivel de hardware (incluso si es solo un chip programable)) de lo contrario no podría lograr el tasas que haces con los interruptores.

1
bob

Creo que me faltan algunos detalles de tu ejemplo:

¿Está cada conmutador en un VLAN separado por un cortafuegos o los conmutadores contienen varias VLAN?

Si cada conmutador tiene un solo VLAN y todo el tráfico se enruta a través del firewall, entonces debería estar bien desde el punto de vista de la seguridad, suponiendo que la base de reglas en el FW sea correcta. En otras palabras, no No puede saltar las VLAN sin pasar por el FW y el FW debe configurarse para bloquear ese tráfico. IE - El Switch 1 solo debe tener VLAN 1 tráfico entonces el FW descartará cualquier tráfico VLAN 2 proveniente del Switch 1.

0
user1490

Lea en PVLANS (VLAN privadas). Proporcionan una verdadera segregación de capa 2 y evitarán los ataques de falsificación de ARP.

Pueden hacer más que esto, pero esta es la configuración más simple. Digamos que tiene los puertos 1,2 y 3, todos en vlan 1. El puerto 3 es la puerta de enlace predeterminada, 1 y 2 son hosts. Con PVLAN 1 puede hablar con 3 y 2 puede hablar con 3, pero 1 no puede hablar con 2. Si esto funciona para usted, lo sugiero.

Codifique sus puertos de acceso a un vlan específico para evitar saltos.

0
user974896