web-dev-qa-db-ja.com

セキュリティのためにVLANを使用しないように言われるのはなぜですか?

ネットワークがあり、VLANがいくつかあります。 2つのVLANの間にファイアウォールがあります。 HP Procurveスイッチを使用しており、スイッチ間のリンクがタグ付きフレームのみを受け入れ、ホストポートがタグ付きフレームを受け入れないことを確認しました(これらは「VLAN対応」ではありません)。また、トランクポートにネイティブVLANがないことも確認しました。 「イングレスフィルタリング」も有効にしました。さらに、ホストポートが単一のVLANのメンバーのみであることを確認しました。これは、それぞれのポートのPVIDと同じです。複数のVLANのメンバーである唯一のポートは、トランクポートです。

上記が安全でない理由を誰かに説明してもらえますか?二重タグ付けの問題に対処したと思います。

更新:両方のスイッチがHP Procurve 1800-24Gです。

この質問は今週のITセキュリティ質問でした。
詳細については、2012年4月20日ブログエントリをお読みください。または自分で送信今週の質問。

82
jtnire

VLANは本質的に安全ではありません。これは、サービスプロバイダーの観点から書いています。VLANは、さまざまな顧客を互いにセグメント化するためにケースの99%(その場で作成された統計)で使用されるテクノロジーです。お互いの住宅顧客、企業の専用線の住宅顧客、お互いの企業VPNなどに名前を付けます。

VLAN存在するホッピング攻撃はすべて、いくつかの要因に依存しています。

  • スイッチは、ある種のトランクプロトコルを話し、別のVLANに「登録」できるようにします。これは、お客様のポートで発生することは決してありません。

  • ポートはタグ付きポートであり、スイッチは二重タグ付きパケットから保護されていません。これは、お客様がVLANタグ付きポートを使用している場合にのみ問題となります。それでも、スイッチ間のトランクポートでタグなしパケットを許可する場合にのみ問題になりますが、これも許可されません。

攻撃者が問題の物理的なワイヤにアクセスできる場合、「パケットは同じワイヤ上を移動する」推論は有効です。その場合は、VLANが解決できる問題よりもはるかに大きな問題があります。

したがって、セキュリティ対策として必ずVLANを使用してください。ただし、VLANタグを、エンティティを互いにセグメント化したい場合は絶対に話さないようにし、どのスイッチ機能を追跡するかを確認してください)このようなエンティティに面するポートで有効になっています。

66
Jakob Borg

セキュリティのためにVLANの使用を推奨しない理由の1つは、スイッチの設定ミスにより、 VLANホッピング を可能にする攻撃がいくつかあったためです。

シスコには 良い論文 潜在的な可能性に対処するVLANセキュリティ上の懸念もあります。

基本的に、VLANをネットワーク分離に使用すると、スイッチの設定ミスや、VLANを実行するソフトウェアのバグの可能性が高まり、攻撃者が分離を回避できる可能性があります。

VLANホッピングとVTPへの攻撃に関する問題の多くは現在かなり古いため、最新のスイッチで対処できる可能性があります。

31
Rory McCune

VLANホッピング攻撃は非常に過大評価されていると私は考えています。これは、この攻撃のリスクを軽減/排除するために非常によく理解された操作手順を展開すべきではないことを意味しません(つまり、アクセスポートでnativeに使用しているのと同じVLANIDを決して使用しないでください= 802.1qトランクではVLAN当然、VLANを使用しないでください1)。私が言いたいのは、あなたを攻撃したい誰かの観点から、他のレイヤー2(L2)テクニックがあり、これはVLANホッピング攻撃よりもはるかに信頼性が高く、影響がはるかに大きいということです。 。

たとえば、ARPプロトコルへの攻撃は非常に簡単に導入でき、スイッチがそれに対するいかなる種類の保護も提供しない場合、攻撃者は大きな損害を与える可能性があります。あなたのVLANが小さい場合、あなたの露出は巨大です、あなたのVLANが大きい場合、あなたの露出は非常に巨大です(私には企業ネットワーク全体が巨大なVLANである顧客がいます、しかしそれは別の問題です)。

次に、スパニングツリープロトコルの使用と乱用を通じて、LANの安定性を攻撃します(このための事実上のツールとして、エルシニアが使用されています)。また、導入が非常に簡単で、インフラストラクチャに大きな影響を与えます。

「標準」のハッカーがARP、スパニングツリー、またはDHCPを利用できない場合、彼がインフラストラクチャの他の部分(DB、Web、DNS)に「移動」/フォーカスインするのは、私の経験ですVLANホッピング。

レイヤー2のセキュリティが好みの場合、Cisco Pressの「LAN Switch Security」を読むことはお勧めできません。

16
jliendo

セキュリティの主な欠如は、論理的な観点から分離しているものの、実際には同じワイヤを介してネットワークを実行しているため、1つの攻撃者の観点からは、VLAN通常、他のVLANにアクセスするのはそれほど多くの作業ではありません。

これが、セキュリティ監査中に、ユーザーランドと同じネットワークを介して実行されているルーターの管理VLANを見つけた場合VLANそれが大きな赤いフラグを立てる理由です。

組織がVLANを使用する主な理由は、実装する必要があるのは1つの物理ネットワークだけなので安価であることです。

物理的な分離は最も単純なソリューションですが、より多くのNIC、より多くのワイヤーなどが必要です。

暗号化(本質的にVLAN=をVPNに変換する)も機能しますが、これはロケット科学ではありません。

9
Rory Alsop

他の答えは素晴らしいです。ただし、悪意のある可能性のあるクライアントと信頼できるクライアントを混在させるリスクを冒したくない状況もあると思います。優れた例は、車両(車、飛行機など)のエンターテイメントネットワークとシステム制御ネットワークです。飛行機の中では、ランダムな乗客がスイッチやルーターを悪用してシステム制御へのアクセスを許可するリスクを実際に負ってはいけません。同様に、CDプレーヤーが自動車のブレーキに話しかける必要はあまりありません。

そして、エクスプロイトについて話すとき、私は実際にVLANホッピング攻撃を意味するわけではありません。スイッチまたはルーター自体で任意のコードが実行される脆弱性を悪用することを意味します。そのようなことは決して起こり得ないと思います。

4
silly hacker

簡単な答えは、VLANはトラフィックを分離するように設計されており(セキュリティよりも管理とデータフローの観点から)、個々のトラフィックストリームを保護するために存在しない(暗号化は含まれていない)ため、セキュリティ評価担当者はセキュリティモデルがVLAN分離のみに基づいている場合は、喜んでください。

2
ukcommando

攻撃経路が何であるかを理解しているので、スイッチの構成はかなりうまくいきました。しかし、人々はしばしばこれを理解しない傾向があり、それがリスクを生み出すものです-構成の誤り、意図されているかどうかにかかわらず。

canスイッチを正しく構成するため、「VLANを決して使用しない」と言う理由はありません。ただし、VLANはセキュリティを念頭に置いて発明されたものではないため、構成は慎重に行う必要があり、構成を確認する際にはすべての潜在的な攻撃ベクトルを考慮する必要があります。結局、あなたはそれを正しく行うことができますが、それはエラーが発生しやすいです(つまり、あなたは少しのリスクを受け入れます)。

機密性、整合性、または可用性の要件が大幅に異なるネットワークを分離することを計画している場合、「ゴールデン」ネットワークでこれらのプロパティの1つを失うコストが、分離にVLANを使用する場合に受け入れる必要があるリスクを上回ることに気付く場合があります。これは通常、VLANではなく個別の物理デバイスを使用することをお勧めする状況です。

VLANをセグメンテーションに使用する理由、特に費用対効果の比率には十分な理由があると言えます。ただし、場合によっては、リスクと資産値を使用して計算すると、方程式が物理的な分離を表す傾向にあり、通常、エラーが発生しにくく、コストが高くなることがあります。

2
fr00tyl00p

VLANの原理を理解している限り、プロトコル/デバイス自体によるセキュリティリスクはありません。つまり、VLANはLayer2ユニキャストドメインを分離することを意図しているため、適切に構成されていないと、VLAN_AとVLAN_Bは互いに通信できないはずです。

ユーザーをトランクに配置した場合、すべてが等しい場合、すべてのVLANと通信できないはずの理由はありません...(それが想定されているため)これは、誤った構成である可能性があり、望ましい構成です。

これで、ハッカーが物理ハードウェアにアクセスできる場合、ソフトウェアにもアクセスできるため、そのネットワーク上の任意のデバイスにアクセスできます。

これが、ほとんどの大規模ネットワークがVLANを使用してネットワークを分離する理由です。つまり、銀行、ISP、その動作を意味します... PCIコンプライアンスでは、VLANは分離手段として受け入れられます(つまり、ピンパッドがキャッシュレジスタから分離される方法など)。 。上記のように言ったので、リスクは常に構成にあり、それはアクセスポートの構成とファイアウォール、ACL、およびその他の構成ポイントの両方で発生します。スイッチングのほとんどは専用CPU(ASIC)で行われるため、VLAN分離がハードウェアレベルで実装されます(プログラム可能なチップのみであっても)。そうしないと、達成できません。スイッチで行うレート。

1
bob

私はあなたの例からいくつかの詳細を見逃していると思います-

各スイッチは別々のVLAN=ファイアウォールで分離されていますか?スイッチに複数のVLANが含まれていますか?

各スイッチに1つのVLAN=があり、すべてのトラフィックがファイアウォールを介してルーティングされる場合、FWのルールベースが適切であると想定すると、セキュリティの観点からは問題ありません。つまり、 t FWを通過せずにVLANをホッピングでき、FWはそのトラフィックをブロックするように構成する必要があります。IE-スイッチ1はVLAN 1トラフィックのみを持つ必要がありますそのため、FWはスイッチ1からのすべてのVLAN 2トラフィックをドロップします。

0
user1490

PVLANS(プライベートVLAN)に読み取ります。これらは真のレイヤー2分離を提供し、ARPスプーフィング攻撃を防ぎます。

彼らはこれ以上のことができますが、これが最も簡単な構成です。ポート1、2、および3がすべてvlan 1にあるとします。ポート3はデフォルトゲートウェイで、1および2はホストです。 PVLANを使用すると、1は3と通信でき、2は3と通信できますが、1は2と通信できません。これが機能する場合は、それをお勧めします。

アクセスポートを特定のVLANにハードコーディングして、ホッピングを防止します。

0
user974896