我有一个网络,其中有几个VLAN。两个VLAN之间有一个防火墙。我正在使用HP Procurve交换机,并确保交换机到交换机的链接仅接受标记的帧,并且主机端口不接受标记的帧(它们不是“ VLAN Aware”)。我还确保中继端口没有本地VLAN。我还启用了“入口过滤”。此外,我确保主机端口仅是单个VLAN的成员,这与相应端口的PVID相同。属于多个VLAN的唯一端口是中继端口。

有人可以向我解释为什么上述方法不安全吗?我相信我已经解决了双重标记问题。.

更新:两个交换机都是HP Procurve 1800-24G


这个问题是IT的安全问题。 Week。
阅读2012年4月20日的博客条目以了解更多详细信息,或提交自己的“每周问题”。


评论

我不是超级超级交换机/路由器人员,但是在我看来,某些环境无法将端口硬编码为VLAN。尤其是在VOIP情况下,您的PC雏菊是从cisco或Shoretel电话中链接起来的。还是我误会了?

#1 楼

VLAN:本质上不是不安全的。我是从服务提供商的角度写这篇文章的,其中VLAN是在99%的案例(当场统计)中使用的技术,用于将不同的客户彼此细分。彼此的住宅客户,企业的专线的住宅客户,企业的VPN彼此都可以命名。

存在的VLAN跳跃攻击都取决于几个因素;


交换机向您说出某种中继协议,使您可以“注册”其他VLAN。客户端口永远不会发生这种情况,否则应该被解雇。
该端口是带标签的端口,并且交换机也无法防止出现双标签数据包。仅当您在VLAN标记的端口上有客户时才应该这样做,这是不应该的。即使这样,如果您在交换机之间的中继端口上允许未加标签的数据包,这也是一个问题,那也是不应该的。

“数据包在同一根线上传输”的推理是有效的,如果攻击者可以访问有问题的物理线路。在这种情况下,您所面临的问题比VLAN所能解决的要大得多。

因此,一定要使用VLAN作为安全措施,但请确保您永远不要将VLAN标签与您想要彼此分段的实体,并确实跟踪在面对此类实体的端口上启用了哪些交换机功能。

评论


是的-描述得很好。公平地说,ISP通常会做到这一点。最终用户组织会有不同的结果-通常是由于缺乏经验:-)

–Rory Alsop♦
2011-2-24在9:23

#2 楼

人们不鼓励使用VLAN来保证安全的一个原因是,由于交换机的配置错误,存在一些允许VLAN跳跃的攻击。

思科对于解决某些潜在的VLAN安全问题也有出色的论文。它们可能允许攻击者绕开隔离。

这就是说,与VLAN跳变和对VTP的攻击有关的许多问题现在已经很老了,因此,最新的交换机可能会解决这些问题。

#3 楼

我认为VLAN跳跃攻击被严重高估了。这并不意味着您不应该部署易于理解的操作步骤来减少/消除这种攻击的风险(即,永远不要在访问端口中使用与802.1q中继上的本地VLAN相同的VLANID)因此,切勿使用VLAN 1)。我要说的是,从想要攻击您的人的角度来看,还有其他第二层(L2)技术比VLAN跳跃攻击更可靠,影响更大。

例如,ARP协议的附件部署起来非常简单,如果您的交换机不提供针对该协议的任何保护措施,则攻击者可能会造成巨大破坏。如果您的VLAN很小,那么您的风险就很大;如果您的VLAN很大,那么您的风险就非常巨大(我的客户的整个公司网络都是一个巨大的VLAN,但这是另一个问题)。

然后,您将通过使用和滥用生成树协议来攻击局域网的稳定性(耶尔森氏菌是事实上的工具)。同样非常容易部署,并且会对您的基础架构产生重大影响。

如果您的“标准”黑客无法利用ARP或生成树或DHCP,根据我的经验,他将“着手” /专注于-在尝试成功利用VLAN跳变之前,请在基础结构的其他部分(数据库,Web,DNS)中进行操作。

如果您喜欢使用第2层安全性,则我不建议您阅读“ LAN交换机安全性”。 ”,来自Cisco Press。

#4 楼

安全性的主要不足在于,尽管您从逻辑的角度进行隔离,但实际上是在同一条线上运行网络,所以从攻击者的角度来看,在一个VLAN上进行访问其他VLAN。

这就是为什么如果在安全审核过程中发现与用户域VLAN跨同一网络运行的路由器的管理VLAN,则会引起很大的危险。

组织使用VLAN的原因是它便宜,因为只需要实现一个物理网络。

物理隔离是最简单的解决方案,但确实需要更多的NIC,更多的电线等。

加密(实际上是将VLAN转换为VPN)也可以,而且不是火箭科学。

评论


加密与火箭科学有一定关系,尤其是当您在没有足够的照料和理解的情况下将其拍打时,它以非常壮观的方式爆炸。

–托马斯·波宁(Thomas Pornin)
2011年1月10日14:32

:-)很好。当然,我的意思是,在这种情况下,创建VPN很简单(因为我期望OP使用典型网络设备中存在的加密功能,而不是自己编写加密代码)

–Rory Alsop♦
2011年1月10日下午14:45

如果您“通常没有太多工作”表示“在正确配置的交换机中通常是不可能的”,则可以。否则,不会。

–雅各布伯格
2011-2-24在8:11

@JakobBorg-您希望不会。实际上,您基本上是正确的-不幸的是,错误配置非常普遍!

–Rory Alsop♦
2011-2-24在8:59

毫无疑问。 :)不过,我从来没有真正喜欢过“不应将VLAN用于安全目的”的心态,因为世界上每个ISP每天都将其成功地用于此目的。我改了一个答案,因为它不适合注释字段。 :)

–雅各布伯格
11年2月24日在9:12

#5 楼

其他答案很好。但是,我认为在某些情况下,您不想冒险将潜在的恶意客户端与受信任的客户端混在一起。一个很好的例子是车辆(汽车,飞机等)的娱乐网络与系统的控制网络。在一架飞机上,您真的不应该冒险冒险让一些随机的乘客设法利用交换机或路由器,使他们能够访问系统控制权。同样,您的CD播放器也不需要在汽车上跟刹车说话。

当我谈论漏洞利用时,我并不是说VLAN跳跃攻击。我的意思是利用漏洞导致交换机或路由器本身执行任意代码。认为这样的事情永远不会发生会很天真。

#6 楼

简单的答案是,VLAN旨在隔离流量(从管理和数据流的角度出发,而不是安全性),它们不存在以保护任何单独的流量(不涉及加密),因此安全评估师不会如果您的安全模型仅基于VLAN隔离,请感到高兴。

#7 楼

我认为您在配置交换机方面做得很好,因为您了解攻击媒介是什么。但是人们经常不理解这一点,而这就是造成风险的原因-是否配置错误,是否故意。

没有理由说“从不为此使用VLAN”,因为可以配置自己的VLAN。正确切换。但是,在发明VLAN时并未考虑安全性,因此必须谨慎进行配置,并且在查看配置时必须考虑所有潜在的攻击媒介。毕竟,您可以做到这一点是正确的,但是它容易出错(即,您承担一点风险)。

如果您计划以机密性,完整性或可用性方面的巨大差异来分离网络,您将可能会发现丢失“黄金”网络中这些属性之一的成本超过了使用VLAN进行分离时必须承担的风险。通常,在这种情况下,我建议使用单独的物理设备而不是VLAN。

您可以说有充分的理由将VLAN用于分段,尤其是成本效益比。但是在某些情况下,使用风险和资产价值进行计算时,您可能会发现该方程式倾向于物理分离,这通常不易出错,但更昂贵。

评论


非常好。我认为,关于两个(或多个)网络的安全要求之间存在巨大差异的情况,这一部分尤为重要。与不使用VLAN相比,使用VLAN来实现通用网络环境中各个部分的分隔可以带来巨大的不同。 (因此,如果攻击者破坏了一台计算机,他/她将无法访问整个公司/组织。)但是,仅使用VLAN往往不足以将高安全性网络部分与其他所有部分分开;您将需要物理隔离(首选)或VPN。

–大多数情况下
16年6月11日在23:05

#8 楼

读入PVLANS(专用VLAN)。它们提供了真正的第2层隔离,可以防止ARP欺骗攻击。

它们可以做更多的事情,但这是最简单的配置。假设您在vlan 1上有端口1,2和3。端口3是默认网关,端口1和2是主机。使用PVLAN,1可以与3对话,2可以与3对话,但1不能与2对话。如果这对您有用,我建议这样做。

将访问端口硬编码到特定的vlan以防止跳频。

#9 楼

据我了解和理解VLAN的原理,协议/设备本身没有安全风险。我的意思是说,VLAN旨在隔离第2层单播域,因此如果正确配置,则VLAN_A和VLAN_B不能相互通信。

如果将用户放在中继上,所有事情都是平等的,那么没有理由他们不应该与所有VLAN进行通话...(因为那应该是这样),这反过来可以错误的配置是理想的配置。

现在,如果黑客可以访问物理硬件,那么他们也可以访问软件,然后可以访问该网络上的任何设备。

这就是为什么大多数大型网络都使用VLAN隔离网络的原因,我的意思是银行,ISP,符合PCI规范的工作... VLAN被接受为隔离措施(这就是Pinpad分开的方式)从收银机等)。就像上面所说的,风险始终存在于配置中,这对于访问端口的配置以及防火墙,ACL和其他配置点都是如此。大多数交换是在专用CPU(ASIC)中完成的,因此将在硬件级别(即使只是可编程芯片)实现VLAN隔离,否则您将无法获得与交换器相同的速率。

#10 楼

我想我在您的示例中缺少一些细节-

每个交换机是在被防火墙隔开的单独VLAN上还是交换机包含多个VLAN?

如果每个交换机如果具有单个VLAN,并且所有流量都通过防火墙进行路由,那么从安全的角度出发,假设FW上的规则库正确,您应该没事。换句话说,如果不通过FW,您将无法跳VLAN,并且应将FW配置为阻止该流量。 IE-交换机1仅应具有VLAN 1流量,因此FW将丢弃来自交换机1的任何VLAN 2流量。