¿Por qué la gente me dice que no use VLAN para seguridad?

25

Según el título, ¿por qué la gente me dice que no use VLAN por razones de seguridad?

Tengo una red, donde tengo un par de VLAN. Hay un firewall entre las 2 VLAN. Estoy usando conmutadores HP Procurve y me he asegurado de que los enlaces de conmutador a conmutador solo acepten tramas etiquetadas y que los puertos host no acepten tramas etiquetadas (no son "VLAN Aware"). También me he asegurado de que la VLAN nativa (PVID) de los enlaces troncales no sea la misma que cualquiera de las 2 VLAN del host. También he habilitado "Ingress Filtering". Además, me he asegurado de que los puertos host sean solo miembros de una única VLAN, que es lo mismo que el PVID del puerto respectivo. Los únicos puertos que son miembros de varias VLAN son los puertos troncales.

¿Puede alguien explicarme por qué lo anterior no es seguro? Creo que he abordado el problema del doble etiquetado ...

Gracias

Actualización: Ambos interruptores son Hp Procurve 1800-24G

jtnire
fuente
1
También puede intentar preguntar en security.stackexchange.com , si desea la entrada de profesionales de seguridad ...
AviD
Esto definitivamente debería estar en security.se.
Mark E. Haase
@mehaase, las preguntas no se pueden migrar después de un cierto período de tiempo. Esta pregunta es demasiado antigua para ser migrada.
Zoredache

Respuestas:

18

¿Por qué la gente me dice que no use VLAN por razones de seguridad?

Existen riesgos reales si no comprende completamente los posibles problemas y configura adecuadamente su red para mitigar el riesgo hasta un punto que sea aceptable para su entorno. En muchos lugares, las VLAN proporcionan un nivel adecuado de separación entre dos VLAN.

¿Puede alguien explicarme por qué lo anterior no es seguro?

Parece que ha tomado todos los pasos básicos necesarios para lograr una configuración bastante segura. Pero no estoy totalmente familiarizado con el equipo de HP. Es posible que haya hecho lo suficiente por su entorno.

Un buen artículo también sería el Libro blanco de seguridad de Cisco VLAN .

Incluye una lista de posibles ataques contra una red basada en VLAN. Algunos de estos no son posibles en algunos conmutadores, o pueden mitigarse mediante un diseño adecuado de la infraestructura / red. Tómese el tiempo para comprenderlos y decidir si el riesgo vale el esfuerzo que tomará para evitarlo en su entorno.

Citado del artículo.

  • Ataque de inundación MAC
  • Ataque de etiquetado 802.1Q e ISL
  • Ataque VLAN 802.1Q / anidado doble encapsulado
  • Ataques ARP
  • Ataque VLAN privado
  • Ataque de fuerza bruta multicast
  • Ataque de árbol de expansión

Ver también:

Zoredache
fuente
1
Sí, leí ese artículo antes de publicar esto. Es un muy buen artículo de hecho. Si bien entiendo todos los riesgos involucrados, el documento técnico solo se aplica realmente al equipo de Cisco, al menos para las partes que se relacionarían con firmware defectuoso, como inundaciones y ataques ARP.
jtnire
10

Es seguro para ciertos valores de seguridad.

Errores en el firmware, restablecimiento de la configuración del interruptor, un error humano puede hacer que no sea seguro. Siempre que muy pocas personas tengan acceso a la configuración de los conmutadores y ellos mismos, entonces está bien en el entorno comercial general.

Sin embargo, optaría por la separación física para datos realmente confidenciales.

Hubert Kario
fuente
1
Sin embargo, ¿no se aplicarían todos esos problemas a los firewalls normales de capa 3?
jtnire
Sí, y las VLAN deben considerarse como si estuvieran conectadas a un enrutador común. La red con datos realmente confidenciales no debería estar conectada a nada más. Si ambos tienen acceso a Internet, entonces estás bien.
Hubert Kario el
2
+1 Has dado en el clavo con la primera oración.
John Gardeniers
¿Puedes por favor explicar tu primera oración? Como estoy tratando de usar VLAN por razones de seguridad, no puedo asumir que no son seguras y no usarlas para subredes seguras :)
jtnire
1
Esto no responde a la pregunta en absoluto ... son solo tópicos de seguridad comunes.
Mark E. Haase
4

Me parece recordar que, en el pasado, era más fácil hacer el salto de VLAN, por lo que tal vez la "gente" esté diciendo esto. Pero, ¿por qué no le preguntas a la "gente" por las razones? Solo podemos adivinar por qué te dijeron eso. Sé que los auditores HIPAA y PCI están de acuerdo con las VLAN por seguridad.

mfinni
fuente
De Verdad? ¿Los auditores de PCi están de acuerdo? Por "personas", me
refiero a
66
Los auditores de PCI definitivamente están de acuerdo, ¡lo cual es sorprendente teniendo en cuenta algunos de los toros que pueden encontrar al asegurarse de que un sistema sea seguro! Las VLAN son solo una herramienta para separar los dominios de difusión en la Capa 2. La capa 3 y superiores son las vulnerabilidades más graves. Cuando alguien se acerca lo suficiente a su sistema como para jugar con las VLAN, ¡tiene un problema mucho más grave!
Niall Donegan
1
Afortunadamente, no he tenido que lidiar con la conexión inalámbrica en relación con PCI DSS, por lo que no ha surgido. Normalmente lo trato en relación con los entornos de alojamiento donde hay buenas cabinas cerradas y buenos cables pasados ​​de moda.
Niall Donegan
1
Sí, planeo implementar VLAN en mi cabina para mis clientes administrados. Los conmutadores se bloquearán en el bastidor :) Supongo que las VLAN se usan mucho en entornos colo para compartir conmutadores, ¿no?
jtnire
1
@ jnire Sí, PCI DSS requiere separación física para WLAN. Las redes alámbricas son diferentes.
sysadmin1138
2

Creo que el problema principal es que los vlans no son seguros porque solo estás segregando dominios de difusión, no segregando realmente el tráfico. Todo el tráfico de los vlans múltiples todavía fluye a través de los mismos cables físicos. Un host con acceso a ese tráfico siempre se puede configurar en modo promiscuo y ver todo el tráfico en el cable.

Obviamente, el uso de conmutadores reduce bastante el riesgo, ya que los conmutadores controlan qué datos aparecen realmente en qué puertos, sin embargo, el riesgo básico sigue ahí.

Phil Hollenback
fuente
3
Lo siento, no entiendo esto. Dado que los conmutadores controlan el tráfico que fluye a los puertos dependiendo de su membresía VLAN, poner un host en modo promiscuo no haría nada. Claro, si un atacante tiene acceso a la línea troncal, entonces el modo promiscuo funcionaría, sin embargo, lo mismo podría decirse si un atacante tiene acceso a un cable para otro segmento de firewall físico. Por favor
corrígeme
Bueno, si un atacante tiene acceso a su conmutador a través de la red, podría hacer cosas como puertos espejo y recopilar paquetes de otros vlans, ¿verdad? Creo que el problema vuelve al hecho de que los vlans son una característica programable, mientras que los cables separados y una capa física de protección.
Phil Hollenback
1
Sin embargo, todavía no entiendo cómo esto es diferente de un cortafuegos de capa 3 normal: también usan software para programar. Por supuesto, he tratado de mitigar este problema al no colocar hosts no confiables en la VLAN de administración, por lo que no es posible cambiar el acceso a la GUI web.
jtnire