web-dev-qa-db-fra.com

Pourquoi les gens me disent de ne pas utiliser de VLAN pour la sécurité?

J'ai un réseau, où j'ai quelques VLAN. Il y a un pare-feu entre les 2 VLAN. J'utilise des commutateurs HP Procurve et je me suis assuré que les liaisons de commutateur à commutateur n'acceptent que les trames marquées et que les ports hôtes n'acceptent pas les trames marquées (ils ne sont pas "VLAN Aware"). Je me suis également assuré que les ports de jonction n'ont pas de VLAN natif. J'ai également activé le "filtrage d'entrée". De plus, je me suis assuré que les ports hôtes ne sont membres que d'un seul VLAN, ce qui est le même que le PVID du port respectif. Les seuls ports qui sont membres de plusieurs VLAN sont les ports de jonction.

Quelqu'un peut-il m'expliquer pourquoi ce qui précède n'est pas sécurisé? Je pense avoir résolu le problème du double marquage.

Mise à jour: les deux commutateurs sont Hp Procurve 1800-24G

Cette question était Question de sécurité de la semaine de la TI.
Lisez le 20 avril 2012 entrée de blog pour plus de détails ou soumettez le vôtre Question de la semaine.

82
jtnire

VLAN: les s ne sont pas intrinsèquement non sécurisés. J'écris ceci du point de vue d'un fournisseur de services, où les VLAN sont la technologie utilisée dans 99% (statistiques établies sur place) des cas pour segmenter différents clients les uns des autres. Clients résidentiels les uns des autres, clients résidentiels des lignes louées d'entreprise, VPN d'entreprise les uns des autres, vous l'appelez.

Les attaques de saut VLAN qui existent dépendent toutes de quelques facteurs;

  • Le commutateur vous parle d'une sorte de protocole de jonction, vous permettant de vous "enregistrer" pour un VLAN différent. Cela ne devrait jamais, jamais se produire sur un port client, ou quelqu'un devrait être viré.

  • Le port est un port balisé et le commutateur n'est pas protégé contre les paquets balisés. Ce n'est un problème que si vous avez des clients sur des ports marqués VLAN, ce que vous ne devriez pas. Même alors, ce n'est un problème que si vous autorisez les paquets non balisés sur les ports de jonction entre les commutateurs, ce qui, encore une fois, ne devrait pas.

Le raisonnement "les paquets voyagent sur le même fil" est valable, si l'attaquant a accès au fil physique en question. Si tel est le cas, vous avez des problèmes bien plus importants que ce que les VLAN peuvent résoudre.

Donc, par tous les moyens, utilisez les VLAN comme mesure de sécurité, mais assurez-vous que vous ne parlez jamais, jamais VLAN balises avec les entités que vous souhaitez segmentées les unes des autres, et gardez une trace des fonctionnalités du commutateur sont activés sur les ports faisant face à de telles entités.

66
Jakob Borg

L'une des raisons pour lesquelles les gens découragent l'utilisation des VLAN pour la sécurité est qu'il y a eu des attaques qui permettent saut de VLAN , en raison de mauvaises configurations des commutateurs.

Cisco a également un bon article répondant à certains problèmes de sécurité potentiels VLAN).

Essentiellement, l'utilisation de VLAN pour la ségrégation du réseau présente plus de risques de mauvaise configuration sur les commutateurs ou un bogue dans le logiciel les exécutant pourrait permettre à un attaquant de contourner la ségrégation.

Cela dit, beaucoup de problèmes avec VLAN sauts et attaques sur VTP sont assez anciens maintenant, il est donc possible que des commutateurs à jour les résolvent.

31
Rory McCune

À mon avis, les attaques par sauts de VLAN sont extrêmement surévaluées. Cela ne signifie pas que vous ne devez pas déployer des procédures opérationnelles très bien comprises pour réduire/éliminer les risques de cette attaque (c'est-à-dire ne jamais utiliser dans vos ports d'accès le même VLANID que vous utilisez pour le natif = VLAN sur vos lignes réseau 802.1q. En corollaire, n'utilisez jamais VLAN 1). Ce que j'essaie de dire, c'est que du point de vue de quelqu'un qui veut vous attaquer, il existe d'autres techniques de couche deux (L2) qui sont beaucoup plus fiables et avec beaucoup plus d'impact qu'une VLAN attaque par sauts .

Les attaques contre le protocole ARP, par exemple, sont extrêmement simples à déployer et si vos commutateurs n'offrent aucune protection contre lui, l'attaquant peut causer de gros dégâts. Si votre VLAN est petit, votre exposition est énorme, si votre VLAN est grande, alors votre exposition est méga-super-énorme (j'ai des clients dont l'ensemble du réseau d'entreprise est un énorme VLAN , mais c'est un autre problème).

Ensuite, vous avez des attaques contre la stabilité de votre réseau local via l'utilisation et l'abus du protocole Spanning Tree (yersinia est l'outil de facto pour cela). Également extrêmement facile à déployer et avec un grand impact sur votre infrastructure.

Si votre pirate "standard" ne peut pas exploiter ARP ou Spanning Tree ou DHCP, mon expérience montre qu'il "se déplacera"/se concentrera sur d'autres parties de votre infrastructure (DB, Web, DNS) avant d'essayer d'exploiter avec succès VLAN saut.

Si la sécurité de la couche 2 est votre genre de saveur, je ne peux pas suffisamment vous recommander de lire le livre "LAN Switch Security" de Cisco Press.

16
jliendo

Le principal manque de sécurité est dû au fait que, bien que vous vous sépariez d'un point de vue logique, vous exécutez en fait les réseaux sur les mêmes fils, donc du point de vue d'un attaquant sur un VLAN ce n'est généralement pas beaucoup de travail pour accéder à l'autre VLAN.

C'est pourquoi si, lors d'un audit de sécurité, je trouve une gestion VLAN pour les routeurs fonctionnant sur le même réseau que userland VLAN il soulève un gros drapeau rouge).

La principale raison pour laquelle les organisations utilisent des VLAN est qu'il est bon marché car un seul réseau physique doit être implémenté.

La ségrégation physique est la solution la plus simple, mais nécessite plus de cartes réseau, plus de fils, etc.

Le cryptage (transformer essentiellement le VLAN en VPN) peut également fonctionner, et ce n'est pas sorcier.

9
Rory Alsop

Les autres réponses sont excellentes. Cependant, je pense que dans certaines circonstances, vous ne voulez pas risquer de mélanger des clients potentiellement malveillants avec des clients de confiance. Un bon exemple est le réseau de divertissement d'un véhicule (voiture, avion, etc.) par rapport au réseau de contrôle des systèmes. Dans un avion, vous ne devriez vraiment pas prendre le risque que certains passagers aléatoires parviennent à exploiter le commutateur ou le routeur, leur donnant accès au contrôle des systèmes. De même, votre lecteur de CD ne devrait pas avoir besoin de parler à vos freins dans une automobile.

Et quand je parle d'un exploit, je ne veux pas vraiment dire VLAN attaques sautantes. Je veux dire exploiter une vulnérabilité qui entraîne l'exécution de code arbitraire sur le commutateur ou le routeur lui-même. Il serait naïf de pense que de telles choses ne pourraient jamais arriver.

4
silly hacker

La réponse est simple: les VLAN sont conçus pour séparer le trafic (davantage du point de vue de la gestion et du flux de données que de la sécurité), ils n'existent pas pour sécuriser les flux de trafic individuels (aucun cryptage n'est impliqué), de sorte que les évaluateurs de sécurité ne le feront pas. soyez heureux si votre modèle de sécurité est basé uniquement sur la séparation VLAN.

2
ukcommando

Je pense que vous avez assez bien configuré vos commutateurs, car vous comprenez quels sont les vecteurs d'attaque. Mais les gens ont souvent tendance à ne pas comprendre cela et c'est ce qui génère un risque - une mauvaise configuration, voulue ou non.

Il n'y a aucune raison de dire " n'utilisez jamais de VLAN pour cela ", car vous pouvez configurer correctement vos commutateurs. Cependant, les VLAN n'ont pas été inventés avec la sécurité à l'esprit, et donc la configuration doit être effectuée avec soin, et vous devez considérer tous les vecteurs d'attaque potentiels lors de l'examen de votre configuration. Après tout, vous pouvez le faire correctement, mais il est sujet aux erreurs (c'est-à-dire vous acceptez un peu de risque).

Lorsque vous envisagez de séparer des réseaux avec une énorme différence d'exigences en termes de confidentialité, d'intégrité ou de disponibilité, vous pourriez constater que le coût de la perte d'une de ces propriétés dans votre réseau "d'or" l'emporte sur le risque que vous devez accepter lorsque vous utilisez des VLAN pour la séparation. C'est généralement la situation où je recommande d'utiliser des périphériques physiques distincts au lieu des VLAN.

Vous pouvez dire qu'il existe de bonnes raisons d'utiliser les VLAN pour la segmentation, en particulier le rapport coût-bénéfice. Mais dans certains cas, lorsque vous calculez avec des risques et des valeurs d'actifs, vous pouvez constater que l'équation a tendance à parler de séparation physique, qui est généralement moins sujette aux erreurs mais plus coûteuse.

2
fr00tyl00p

Pour autant que je connaisse et comprenne le principe des VLAN, il n'y a aucun risque de sécurité par le protocole/périphérique lui-même. J'entends par là que VLAN sont destinés à séparer les domaines de monodiffusion Layer2 donc non, s'ils sont correctement configurés, VLAN_A et VLAN_B ne devraient pas pouvoir se parler.

Toutes choses étant égales par ailleurs, si vous placez un utilisateur sur une jonction, il n'y a aucune raison pour qu'il ne puisse pas parler à tous les VLAN ... (car c'est ainsi que cela devrait être), cela peut être une mauvaise configuration.

Maintenant, si un pirate a accès au matériel physique, il a également accès au logiciel et peut alors accéder à N'IMPORTE QUEL appareil sur ce réseau.

C'est pourquoi la plupart des grands réseaux utilisent des VLAN pour séparer les réseaux et j'entends par là les banques, les FAI, les travaux ... en conformité PCI, les VLAN sont acceptés comme une mesure de ségrégation (c'est ainsi que le clavier NIP est séparé des caisses enregistreuses, etc.) . Maintenant que cela a été dit ci-dessus, le risque est toujours dans la configuration et c'est à la fois pour la configuration des ports d'accès et pour le pare-feu, l'ACL et les autres points de configuration. la plupart de la commutation se fait dans des CPU dédiés (ASIC) et implémentera donc la ségrégation VLAN au niveau matériel (même si c'est juste une puce programmable) sinon vous ne seriez pas en mesure d'atteindre le tarifs que vous faites avec les commutateurs.

1
bob

Je pense que je manque certains détails de votre exemple -

Chaque commutateur est-il sur un VLAN séparé par un pare-feu ou les commutateurs contiennent-ils plusieurs VLAN?

Si chaque commutateur a un seul VLAN et que tout le trafic est acheminé via le pare-feu, vous devriez être bien du point de vue de la sécurité, en supposant que la base de règles sur le FW est correcte. En d'autres termes, vous ne t pouvoir sauter des VLAN sans passer par le FW et le FW doit être configuré pour bloquer ce trafic. IE - Le commutateur 1 ne devrait avoir que VLAN 1 trafic de sorte que le FW supprimera tout trafic VLAN 2 provenant du commutateur 1.

0
user1490

Lire dans PVLANS (VLAN privés). Ils fournissent une véritable ségrégation de couche 2 et empêchent les attaques d'usurpation ARP.

Ils peuvent faire plus que cela, mais c'est la configuration la plus simple. Disons que vous avez tous les ports 1, 2 et 3 sur vlan 1. Le port 3 est la passerelle par défaut, 1 et 2 sont des hôtes. Avec les PVLAN, 1 peut parler à 3 et 2 peut parler à 3, mais 1 ne peut pas parler à 2. Si cela fonctionne pour vous, je le suggère.

Codez en dur vos ports d'accès à un vlan spécifique pour éviter les sauts.

0
user974896