¿Por qué la gente me dice que no use las VLAN por seguridad?

VLAN: s no son inherentemente inseguros. Estoy escribiendo esto desde la perspectiva del proveedor de servicios, donde las VLAN son la tecnología utilizada en el 99% (estadísticas compuestas en el momento) de casos para segmentar diferentes clientes entre sí. Los clientes residenciales entre sí, los clientes residenciales de líneas arrendadas empresariales, las VPN empresariales entre sí, lo que sea.

Los ataques de salto de VLAN que existen dependen de algunos factores;

• El conmutador habla algún tipo de protocolo troncal para usted, lo que le permite "registrarse" para una VLAN diferente. Esto nunca debería ocurrir nunca en un puerto del cliente, o alguien debería ser despedido.

• El puerto es un puerto etiquetado, y el conmutador no está protegido contra paquetes con doble etiqueta. Esto es solo un problema si tiene clientes en puertos con etiquetas VLAN, que no debería. Incluso entonces, solo es un problema si permites paquetes sin etiquetar en puertos troncales entre conmutadores que, de nuevo, no deberías.

El razonamiento de "los paquetes viajan en el mismo cable" es válido si el atacante tiene acceso al cable físico en cuestión. Si ese es el caso, tiene problemas mucho mayores que los que pueden resolver las VLAN.

Por lo tanto, por supuesto, use las VLAN como medida de seguridad, pero asegúrese de nunca hablar las etiquetas de VLAN con las entidades que desea segmentar entre sí, y haga un seguimiento de qué funciones de conmutador están habilitadas en los puertos que se encuentran frente a tales entidades.

Una de las razones por las que las personas desalientan el uso de VLAN para la seguridad es que ha habido algunos ataques que permiten VLAN hopping , debido a las malas configuraciones de los interruptores.

Cisco también tiene un good paper que trata algunos problemas de seguridad de VLAN.

Esencialmente, el uso de VLAN para la segregación de la red presenta un mayor potencial de configuración incorrecta en los conmutadores o el error en el software que los ejecuta podría permitir que un atacante omita la segregación.

Dijo que muchos de los problemas con el salto de VLAN y los ataques a VTP son bastante antiguos ahora, por lo que es posible que los interruptores actualizados los solucionen.

En mi opinión, los ataques de salto de VLAN están muy sobrevalorados. Esto no significa que no deba implementar procedimientos operativos bien entendidos para reducir / eliminar los riesgos de este ataque (es decir, nunca use en sus puertos de acceso el mismo VLANID que está usando para el nativo VLAN en sus troncales 802.1q. Como corolario, nunca use VLAN 1). Lo que estoy tratando de decir es que, desde la perspectiva de alguien que quiere atacarte, existen otras técnicas de capa dos (L2) que son mucho más confiables y con mucho más impacto que un ataque de salto de VLAN.

Los ataques al protocolo ARP, por ejemplo, son extremadamente fáciles de implementar y, si los conmutadores no ofrecen ningún tipo de protección, el atacante puede causar un gran daño. Si su VLAN es pequeña, entonces su exposición es enorme, si su VLAN es grande, entonces su exposición es muy grande (tengo clientes cuya red corporativa completa es una VLAN enorme, pero eso es otro problema).

Entonces tienes ataques a la estabilidad de tu LAN a través del uso y abuso del Protocolo de Árbol de expansión (yersinia es la herramienta de facto para esto). También es extremadamente fácil de implementar y con un gran impacto en su infraestructura.

Si su pirata informático "estándar" no puede explotar ARP o Spanning Tree o DHCP, es por mi experiencia que se "moverá" a otras partes de su infraestructura (DB, Web, DNS) antes de intentar explotar con éxito la VLAN saltando.

Si la seguridad de la capa 2 es su tipo de sabor, no puedo recomendar lo suficiente que lea el libro "Seguridad de conmutador de LAN" de Cisco Press.

La principal falta de seguridad se debe al hecho de que, aunque se está segregando desde una perspectiva lógica, en realidad está ejecutando las redes a través de los mismos cables, por lo que desde la perspectiva de un atacante en una VLAN, normalmente no es mucho trabajo Para acceder a la otra VLAN.

Por esta razón, si, durante una auditoría de seguridad, encuentro una VLAN de administración para los enrutadores que se ejecutan en la misma red que la VLAN de la zona del usuario, se genera una gran señal de alerta.

La principal razón por la que las organizaciones usan VLAN es que es barato, ya que solo se necesita implementar una red física.

La segregación física es la solución más sencilla, pero requiere más NIC, más cables, etc.

El cifrado (esencialmente, convertir la VLAN en una VPN) también puede funcionar, y no es ciencia espacial.

Las otras respuestas son geniales. Sin embargo, creo que hay algunas circunstancias en las que no desea arriesgarse a mezclar clientes potencialmente maliciosos con clientes confiables. Un gran ejemplo es la red de entretenimiento de un vehículo (automóvil, avión, etc.) frente a la red de control de sistemas. En un avión, realmente no debería correr el riesgo de que algún pasajero aleatorio logre explotar el conmutador o el enrutador, lo que les da acceso al control de los sistemas. Del mismo modo, no debería ser necesario que su reproductor de CD hable con sus frenos en un automóvil.

Y cuando hablo de una vulnerabilidad, no me refiero a los ataques de salto de VLAN. Me refiero a explotar una vulnerabilidad que resulta en la ejecución de código arbitrario en el conmutador o enrutador. Sería ingenuo pensar que tales cosas nunca podrían suceder.

Creo que lo hiciste bastante bien configurando tus interruptores, porque entiendes cuáles son los vectores de ataque. Pero la gente a menudo tiende a no entender esto y eso es lo que genera un riesgo: configuración errónea, intencionada o no.

No hay ninguna razón para decir " nunca use VLAN para esto ", ya que puede configurar sus conmutadores correctamente. Sin embargo, las VLAN no se inventaron pensando en la seguridad, por lo que la configuración debe realizarse con cuidado, y debe considerar todos los posibles vectores de ataque al revisar su configuración. Después de todo, puede hacerlo correctamente, pero es propenso a errores (es decir, acepta un poco de riesgo ).

Cuando planea separar redes con una gran diferencia de requisitos en confidencialidad, integridad o disponibilidad, puede encontrar que el costo de perder una de estas propiedades en su red "dorada" supera el riesgo que tiene que aceptar cuando usa VLAN para separación. Esta suele ser la situación en la que recomiendo usar dispositivos físicos separados en lugar de VLAN.

Puede decir que hay buenas razones para usar VLAN para la segmentación, especialmente la relación costo-beneficio. Pero en algunos casos, cuando calcula con riesgos y valores de activos puede encontrar que la ecuación tiende a hablar de separación física, que suele ser menos propensa a errores pero más cara.

La respuesta simple es que las VLAN están diseñadas para segregar el tráfico (más desde una perspectiva de administración y flujo de datos que a la seguridad), no existen para asegurar ninguna de las corrientes de tráfico individuales (no hay encriptación involucrada), por lo que los evaluadores de seguridad no estará contento si su modelo de seguridad se basa únicamente en la segregación de VLAN.

Creo que me faltan algunos detalles de tu ejemplo -

¿Cada conmutador en una VLAN separada está separado por un firewall o los conmutadores contienen varias VLAN?

Si cada conmutador tiene una sola VLAN y todo el tráfico se enruta a través del firewall, entonces debería estar bien desde el punto de vista de seguridad, asumiendo que la base de reglas en el FW es correcta. En otras palabras, no podría saltar las VLAN sin pasar por el FW y el FW debería configurarse para bloquear ese tráfico. IE: el Switch 1 solo debe tener tráfico de VLAN 1, por lo que el FW eliminará el tráfico de VLAN 2 proveniente del Switch 1.

Leer en PVLANS (VLAN privadas). Proporcionan una verdadera segregación de capa 2 y evitarán los ataques de suplantación ARP.

Pueden hacer más que esto, pero esta es la configuración más simple. Supongamos que tiene los puertos 1,2 y 3 en vlan 1. El puerto 3 es la puerta de enlace predeterminada, 1 y 2 son hosts. Con PVLAN, 1 puede hablar con 3 y 2 puede hablar con 3, pero 1 no puede hablar con 2. Si esto funciona para ti, te lo sugiero.

Codifique sus puertos de acceso a una vlan específica para evitar saltos.

Hasta donde sé y entiendo el principio de las VLAN, no existe ningún riesgo de seguridad por parte del protocolo / dispositivo en sí. Con esto quiero decir que las VLAN están diseñadas para segregar los dominios de unidifusión Layer2, por lo tanto no, si VLAN_A y VLAN_B configuradas correctamente no deberían poder comunicarse entre sí.

En igualdad de condiciones, si pone al usuario en un troncal, no hay razón para que no puedan hablar con todas las VLAN ... (porque así es como se supone que debe ser) esto a su vez puede ser una mala configuración. configuración.

Ahora, si un hacker tiene acceso al hardware físico, también tiene acceso al software y luego puede acceder a CUALQUIER dispositivo en esa red.

Esta es la razón por la que la mayoría de las redes grandes usan VLAN para segregar las redes y con eso me refiero a bancos, ISP, a las obras ... en cumplimiento con PCI Las VLAN se aceptan como una medida de segregación (así es como el pinpad se separa de las cajas registradoras y pronto). Ahora que se dijo lo dicho anteriormente, el riesgo está siempre en la configuración y es a través de la configuración de los puertos de acceso y del firewall, ACL y otros puntos de configuración. la mayor parte de la conmutación se realiza en CPU dedicadas (ASIC) y, por lo tanto, implementará la segregación de VLAN a nivel de hardware (incluso si solo es un chip programable), de lo contrario, no podrá alcanzar las tasas que hace con los conmutadores.