देशी वीएलएएन का उपयोग क्यों नहीं किया जाना चाहिए?

10

वर्तमान में एक CCNA सुरक्षा के लिए अध्ययन, मुझे सिखाया गया है कि सुरक्षा उद्देश्यों के लिए देशी वीएलएएन का उपयोग कभी न करें। सिस्को फोरम की यह पुरानी चर्चा इसे बहुत स्पष्ट रूप से बताती है:

आपको डिफ़ॉल्ट VLAN का उपयोग कभी नहीं करना चाहिए क्योंकि VLAN hopping डिफ़ॉल्ट वीएलएएन से बहुत आसानी से पूरा होता है।

हालांकि, एक व्यावहारिक दृष्टिकोण से, मैं ठीक से इंगित नहीं कर पा रहा हूं कि वास्तविक खतरे का क्या पता है।

मेरे विचार निम्नलिखित हैं:

  • हमलावर को देशी वीएलएएन पर स्थित किया जा रहा है, हो सकता है कि वह सीधे 802.1q पैकेट को इंजेक्ट कर सकता है जिसे पहले स्विच (जैसे कि एक देशी वीएलएएन से आ रहा है) द्वारा संशोधन के बिना आगे बढ़ाया जाएगा और आगामी स्विच इन पैकेटों को किसी भी वीएलएएन के लिए आने वाले वैध पैकेट के रूप में मानेंगे। हमलावर द्वारा।

    यह वास्तव में वीएलएएन hopping हमलों "बहुत आसान" होगा । हालांकि, यह काम नहीं करता है क्योंकि पहला स्विच सही तरीके से इसे एक्सेस पोर्ट पर 802.1q पैकेट प्राप्त करने के लिए असामान्य मानता है और इसलिए ऐसे पैकेट को छोड़ देता है।

  • एक गैर-देशी वीएलएएन पर स्थित एक हमलावर एक स्विच एक्सेस पोर्ट को ट्रंक एक में बदलने का प्रबंधन करता है। देशी वीएलएएन को ट्रैफ़िक भेजने के लिए उसे अपने नेटवर्क इंटरफ़ेस (चार कमांड्स) पर वीएलएएन को सक्षम करने के बजाय, अपने आईपी पते (एक कमांड) को तीन कमांड को बदलना होगा।

    मैं स्पष्ट रूप से इसे बहुत सीमांत लाभ के रूप में मानता हूं ...

  • इतिहास में खुदाई करते समय, मैंने सोचा कि मैंने कहीं पुरानी सिफारिशें पढ़ते हुए कहा कि 802.1q इंजेक्शन के लिए एक संगत नेटवर्क कार्ड और विशिष्ट ड्राइवरों की आवश्यकता हो सकती है। इस तरह की आवश्यकताएं वास्तव में 802.1q पैकेट इंजेक्ट करने और पिछले परिदृश्य में देशी वीएलएएन शोषण को और अधिक व्यावहारिक बनाने के लिए हमलावर की क्षमता को सीमित करेगी।

    हालाँकि यह आजकल वास्तविक सीमा नहीं लगती है और वीएलएएन कॉन्फ़िगरेशन कमांड लिनक्स (कम से कम) नेटवर्क कॉन्फ़िगरेशन कमांड का एक सामान्य हिस्सा है।

क्या हम देशी वीएलएएन का उपयोग न करने की इस सलाह पर विचार कर सकते हैं कि इसे पुराना और केवल ऐतिहासिक और विन्यास के उद्देश्यों के लिए रखा जाए, भले ही यह अभ्यास अब किसी विशेष खतरे को संबोधित नहीं करता है? या वहाँ एक ठोस परिदृश्य है जहाँ VLAN hopping वास्तव में अधिक आसान हो जाता है क्योंकि देशी वीएलएएन का उपयोग किया जा रहा है?

vlan  security 
WhiteWinterWolf
स्रोत
1
FYI करें, यह एक अच्छा पढ़ा है, LAN स्विच सुरक्षा
माइक पेनिंगटन
अधिक सुरक्षा के लिए आपको एक वीएलएएन नया चाहिए जो अप्रयुक्त भागों में डाला जाता है और इन बंदरगाहों को बंद किया जाना चाहिए
हैरिसन ब्रॉक

जवाबों:

11

आपको अपने ट्रंक पोर्ट पर एक देशी वीएलएएन का उपयोग करने की आवश्यकता हो सकती है, कम से कम सिस्को स्विच पर, अन्य विक्रेता इसे अलग तरीके से करते हैं। लेकिन आपको यह याद रखना होगा कि सुरक्षा जोखिम VLAN 1 (डिफ़ॉल्ट VLAN) के साथ देशी वीएलएएन के रूप में सेट करने के लिए अधिक है।

आपको देशी वीएलएएन को वीएलएएन 1 से एक नए वीएलएएन में बदलना चाहिए जो आप बनाते हैं। देशी वीएलएएन का उपयोग बहुत सारे प्रबंधन डेटा जैसे डीटीपी, वीटीपी और सीडीपी फ्रेम और बीपीडीयू के लिए पेड़ लगाने के लिए किया जाता है।

जब आपको एक नया स्विच मिलता है, तो VLAN 1 एकमात्र VLAN है जो मौजूद है, इसका मतलब यह भी है कि सभी पोर्ट डिफ़ॉल्ट रूप से इस VLAN के सदस्य हैं।

यदि आप VLAN 1 को अपने मूल VLAN के रूप में उपयोग कर रहे हैं, तो आपके पास सभी पोर्ट हैं जिन्हें आपने इस VLAN का हिस्सा बनने के लिए कॉन्फ़िगर नहीं किया है। इसलिए यदि कोई हमलावर ऐसे पोर्ट से कनेक्ट होता है जिसका उपयोग नहीं किया गया है और कॉन्फ़िगर नहीं किया गया है (क्योंकि इसका उपयोग नहीं किया गया है), तो वह सीधे आपके प्रबंधन वीएलएएन तक पहुंच प्राप्त करता है और उन पैकेटों को पढ़ सकता है और इंजेक्ट कर सकता है जो वीएलएएन को आप को रोकना या कैप्चर करना चाहते हैं। उसे देखने के लिए / या उससे भी बदतर, आपके स्विच / राउटर में SSH (टेलनेट की अनुमति कभी नहीं)।

सलाह हमेशा वीएलएएन 1 का उपयोग नहीं करने की होती है, इसलिए यदि कोई हमलावर या अवांछित ग्राहक कनेक्ट होता है और वीएलएएन 1 पर समाप्त होता है और इस वीएलएएन पर कुछ भी कॉन्फ़िगर नहीं किया गया है, जैसे कि एक उपयोगी गेटवे, तो वे बहुत अधिक अटक जाते हैं और कहीं भी नहीं जा सकते हैं , जबकि आप देशी वीएलएएन, वीएलएएन 900 जैसी कोई चीज है जो किसी भी बंदरगाह तक पहुंचने की संभावना कम है क्योंकि यह डिफ़ॉल्ट वीएलएएन नहीं है।

इंजीनियरों के अधिकांश अप्रयुक्त बंदरगाहों को अक्षम नहीं करते हैं और महत्वपूर्ण सामान के लिए वीएलएएन 1 का उपयोग करके आपको ऐसी स्थिति में छोड़ देता है जहां पहुंच तब तक खुली रहती है जब तक कि आप 802.1x जैसी किसी चीज का उपयोग न करें। इंजीनियर / नेटवर्क भूल जाते हैं और आपके पास थोड़ा सुरक्षा छेद है जो एक हमलावर को लाभ पहुंचा सकता है। यदि आपके वीएलएएन 1 का उपयोग नहीं किया गया है और बंदरगाहों को डिफ़ॉल्ट के रूप में छोड़ दिया गया है, तो यह इतना बड़ा सौदा नहीं है क्योंकि इसका उपयोग नहीं किया जाता है।

आशा है कि यह आपकी खोज में मदद करता है।

SleepyMan

SleepyMan
स्रोत
3
दरअसल, आपको सिस्को उपकरणों पर एक देशी वीएलएएन का उपयोग करने की आवश्यकता नहीं है। अब कई सालों से यही स्थिति है। आप VLAN 1 को अक्षम नहीं कर सकते, लेकिन आप इसे एक ट्रंक से प्रतिबंधित कर सकते हैं।
रॉन Maupin
1
हालाँकि, आप केवल vlan 1 को एक dot1q ट्रंक पर तब तक रोक सकते हैं, जब तक ट्रंक IEEE मानक 802.1d / s / W फैले पेड़ पर चलने वाले स्विच पर नहीं जाता
माइक पेनिंगटन
1
सामान्य सलाह जो मैं अक्सर सामना करता हूं वह "देशी वीएलएएन" मुद्दे को स्पष्ट रूप से अलग करता है जो वीएलएएन को अधिक आसान बनाने की उम्मीद करता है, और "वीएलएएन 1" मुद्दा जो अपुष्ट स्विच को प्रभावित कर सकता है, और इनमें से हर एक मुद्दे को संबोधित करने के लिए दो कभी इस्तेमाल किए गए वीएलएएन को समर्पित करने की सलाह नहीं देता है। मेरे लिए यह प्रतीत होता है कि सभी हार्डवेयर इसे समान नहीं बनाते हैं , और जबकि वर्तमान सिस्को स्विच वास्तव में इस "देशी वीएलएएन" मुद्दे के लिए असुरक्षित नहीं हैं और इस तरह से वीएलएएन की उम्मीद नहीं करेंगे, यह अन्य विक्रेताओं और पुराने उपकरणों के मामले में नहीं हो सकता है। ।
श्वेतवर्णवुल्फ़
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.