绝不要使用默认VLAN,因为从默认VLAN更容易实现VLAN跳变。
/>
但是,从实际的角度来看,我无法精确指出正在解决的实际威胁。
我的想法是:
攻击者位于本机VLAN上,也许他可以直接注入802.1q数据包,这些数据包将在不经过第一台交换机修改的情况下被转发(如来自本机) VLAN)和即将到来的交换机将这些数据包视为来自攻击者选择的任何VLAN的合法数据包。
的确,这使VLAN跳跃攻击“更加容易”。但是,这不起作用,因为第一台交换机正确地认为在访问端口上接收802.1q数据包是异常的,因此会丢弃这些数据包。
攻击者位于非本机VLAN设法将交换机访问端口转变为中继端口。要将流量发送到本地VLAN,他只需更改其IP地址(单个命令),而不是在其网络接口上启用VLAN(四个命令),保存三个命令即可。
我显然考虑了这一点最多只是一个非常微不足道的收获。
回顾历史,我想我读了一些旧的建议,指出802.1q注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入802.1q数据包的能力,并在以前的情况下使本机VLAN的利用更加实际。
但是,如今这似乎并不是一个真正的限制,VLAN配置命令已成为一种限制。 Linux的公共部分(至少)是网络配置命令。
即使这种做法不再解决任何特定的威胁,我们是否也可以考虑不使用本机VLAN的建议已过时且仅出于历史和配置方面的考虑而保留?还是有一种具体的方案,由于使用了本地VLAN,VLAN跳跃确实变得更加容易了吗?
#1 楼
您可能并且很可能将需要在您的中继端口上使用本地VLAN,至少在Cisco交换机上,其他供应商会以不同的方式使用它。但是您要记住,将VLAN 1(默认VLAN)设置为本地VLAN的安全风险更多。您应将本地VLAN从VLAN 1更改为新的VLAN。您创建的。本机VLAN用于许多管理数据,例如DTP,VTP和CDP帧,还用于生成树的BPDU。
当您获得全新的交换机时,VLAN 1是唯一存在的VLAN ,这也意味着默认情况下所有端口都是该VLAN的成员。
如果您将VLAN 1用作本机VLAN,则所有未配置为该端口的端口VLAN。因此,如果攻击者连接到未使用且未配置的端口(因为未使用),则他可以直接访问您的管理VLAN,并且可以读取和注入可以允许VLAN跳频或捕获您不需要的数据包的数据包他/她看到SSH进入您的交换机/路由器,或更糟糕的是,SSH进入了您的交换机/路由器(切勿允许telnet)。
建议始终不要使用VLAN 1,因此,如果攻击者或不需要的客户端连接并结束在VLAN 1上,并且没有在此VLAN上配置任何东西(例如可用的网关),它们几乎卡住了,无法进入任何地方,而您的本机VLAN就像VLAN 900一样,它不太可能访问任何端口不是默认的VLAN。
许多工程师不会禁用未使用的端口,并且对重要的东西使用VLAN 1会使您处于开放访问的情况,除非您使用802.1x之类的东西。工程师/网络管理员会忘记,您会有一个安全漏洞,可以使攻击者受益。如果未使用您的VLAN 1并将端口保留为默认端口,那么这并不是什么大问题,因为未使用它。
希望这对您的搜索有所帮助。
SleepyMan
评论
实际上,您不必在Cisco设备上使用本机VLAN。多年来一直是这种情况。您不能执行的操作是禁用VLAN 1,但可以从中继限制它。
–罗恩·莫潘♦
16年7月1日在15:02
但是,只要中继未转到运行IEEE标准802.1d / s / W生成树的交换机,您就只能在dot1q中继上阻止vlan 1
–迈克·彭宁顿
16年7月1日在16:11
我经常遇到的一般建议清楚地区分了使VLAN跳跃更容易的“本地VLAN”问题和可能影响未配置的交换机的“ VLAN 1”问题,并建议专门使用两个从未使用过的VLAN来解决这些问题中的每一个。对我而言,似乎所有硬件都不尽相同,尽管当前的Cisco交换机并不真正容易受到“本地VLAN”问题的影响,并且不允许以这种方式进行VLAN跳动,但其他厂商和较旧的设备可能并非如此。
–WhiteWinterWolf
16年7月7日在15:18
评论
仅供参考,这是一本不错的书,局域网交换机安全性为了提高安全性,您应该新建一个VLAN,将未使用的部件放入其中,并关闭这些端口