it-swarm-korea.com

사람들이 보안을 위해 VLAN을 사용하지 말라고하는 이유는 무엇입니까?

몇 개의 VLAN이있는 네트워크가 있습니다. 2 개의 VLAN 사이에 방화벽이 있습니다. HP Procurve 스위치를 사용하고 있으며 스위치 간 링크가 태그가 지정된 프레임 만 허용하고 호스트 포트가 태그가있는 프레임을 허용하지 않는지 확인했습니다 ( "VLAN 인식"이 아님). 또한 트렁크 포트에 기본 VLAN이 없는지 확인했습니다. "침입 필터링"도 활성화했습니다. 또한 호스트 포트가 단일 VLAN의 구성원 일 뿐이며 각 포트의 PVID와 동일합니다. 여러 VLAN의 구성원 인 유일한 포트는 트렁크 포트입니다.

왜 위의 내용이 안전하지 않은지 설명해 주시겠습니까? 이중 태그 문제를 해결했다고 생각합니다 ..

업데이트 : 두 스위치 모두 HP Procurve 1800-24G

이 질문은 금주의 IT 보안 질문입니다.
자세한 내용은 2012 년 4 월 20 일 블로그 항목 또는 자신의 제출 금주의 질문.

82
jtnire

VLAN은 본질적으로 안전하지 않습니다. 저는 서비스 제공 업체 관점에서 이것을 작성하고 있습니다. 여기서 VLAN은 99 % (통계에 따라 작성된 통계) 사례에서 서로 다른 고객을 서로 구분하기 위해 사용되는 기술입니다. 서로의 주거 고객, 엔터프라이즈 임대 회선의 주거 고객, 서로의 엔터프라이즈 VPN을 지정합니다.

VLAN 존재하는 호핑 공격은 모두 몇 가지 요소에 따라 다릅니다.

  • 스위치는 일종의 트렁크 프로토콜을 사용하여 다른 VLAN에 "등록"할 수 있습니다. 고객 포트에서 절대로 발생하지 않아야합니다. 그렇지 않으면 누군가 해고 당해야합니다.

  • 포트는 태그가 지정된 포트이며 스위치는 이중 태그가 지정된 패킷으로부터 보호되지 않습니다. VLAN 태그가 지정된 포트를 사용하는 고객이있는 경우에만 문제가됩니다. 그럼에도 불구하고 스위치 사이의 트렁크 포트에서 태그가 지정되지 않은 패킷을 허용하면 문제가되지 않습니다.

공격자가 문제의 실제 와이어에 액세스 할 수있는 경우 "패킷이 동일한 와이어로 이동"이유가 유효합니다. 이 경우 VLAN으로 해결할 수있는 것보다 훨씬 큰 문제가 있습니다.

따라서 VLAN을 보안 수단으로 사용하지만, VLAN 태그를 서로 구분하려는 엔티티와 절대로 말하지 말고 어떤 스위치 기능을 추적하지 않도록하십시오. 해당 엔티티를 향한 포트에서 활성화됩니다.

66
Jakob Borg

사람들이 보안을 위해 VLAN을 사용하지 않는 한 가지 이유는 스위치의 구성이 잘못되어 VLAN hopping 을 허용하는 공격이 있었기 때문입니다.

시스코는 또한 잠재적 인 VLAN 보안 문제를 해결하기 위해 good paper 를 가지고 있습니다.

기본적으로 네트워크 분리에 VLAN을 사용하면 스위치에서 구성이 잘못되거나 스위치를 실행하는 소프트웨어의 버그로 인해 공격자가 분리를 우회 할 수 있습니다.

VLAN 호핑 및 VTP에 대한 공격과 관련된 많은 문제는 현재 매우 오래되었으므로 최신 스위치로 문제를 해결할 수 있습니다.

31
Rory McCune

VLAN 호핑 공격이 크게 과장되었다고 생각합니다. 그렇다고해서이 공격의 위험을 줄이거 나 없애기 위해 잘 이해 된 운영 절차를 배포해서는 안됩니다 (즉, 액세스 포트에서 native에 사용하는 것과 동일한 VLANID를 절대 사용하지 마십시오). = 802.1q 트렁크에서 VLAN. 결과적으로 VLAN 1)을 사용하지 마십시오. 내가 말하려는 것은 당신을 공격하려는 사람의 관점에서 VLAN 호핑 공격보다 훨씬 더 신뢰할 수 있고 더 큰 영향을 미치는 다른 계층 2 (L2) 기술이 있다는 것입니다 .

예를 들어 ARP 프로토콜에 대한 공격은 배포가 매우 간단하며 스위치가 이에 대한 보호 기능을 제공하지 않으면 공격자가 큰 피해를 줄 수 있습니다. VLAN이 작 으면 노출이 크면 VLAN이 크면 노출이 초고속입니다 (전체 회사 네트워크가 큰 VLAN 인 고객이 있습니다) 그러나 그것은 또 다른 문제입니다).

그런 다음 스패닝 트리 프로토콜의 사용 및 남용을 통해 LAN의 안정성에 대한 공격이 있습니다 (yersinia는 사실상의 도구입니다). 또한 배포가 매우 쉽고 인프라에 큰 영향을줍니다.

"표준"해커가 ARP 또는 스패닝 트리 또는 DHCP를 악용 할 수없는 경우 VLAN 호핑.

계층 2 보안이 당신의 취향이라면, Cisco Press의 "LAN Switch Security"책을 충분히 읽는 것이 좋습니다.

16
jliendo

보안의 주요 결점은 논리적 관점에서 분리하더라도 실제로 동일한 회선을 통해 네트워크를 실행하고 있기 때문에 공격자의 관점에서 하나의 VLAN 일반적으로 다른 VLAN에 액세스하는 것은 그리 효과적이지 않습니다.

보안 감사 중에 userland VLAN과 동일한 네트워크를 통해 실행되는 라우터에 대한 관리 VLAN)가 발견되면 큰 위험 신호가 발생합니다.

조직이 VLAN을 사용하는 주된 이유는 하나의 물리적 네트워크 만 구현하면되므로 저렴하기 때문입니다.

물리적 분리는 가장 간단한 솔루션이지만 더 많은 NIC, 더 많은 전선 등이 필요합니다.

암호화 (본질적으로 VLAN를 VPN으로 전환)도 작동 할 수 있으며 로켓 과학이 아닙니다.

9
Rory Alsop

다른 답변은 훌륭합니다. 그러나 잠재적 인 악성 클라이언트와 신뢰할 수있는 클라이언트를 혼합 할 위험을 감수하고 싶지 않은 상황이 있다고 생각합니다. 좋은 예는 차량의 엔터테인먼트 네트워크 (자동차, 비행기 등) 대 시스템 제어 네트워크입니다. 비행기에서는 일부 임의 승객이 스위치 또는 라우터를 악용하여 시스템 제어에 액세스 할 수있는 위험을 감수해서는 안됩니다. 마찬가지로, CD 플레이어가 자동차의 브레이크와 대화 할 필요가 없습니다.

그리고 익스플로잇에 대해 말할 때, 실제로 VLAN 호핑 공격을 의미하는 것은 아닙니다. 스위치 나 라우터 자체에서 임의의 코드가 실행되는 취약점을 악용한다는 의미입니다. 그런 일은 결코 일어날 수 없다고 생각하십시오.

4
silly hacker

간단한 대답은 VLAN이 트래픽을 분리하도록 설계되었으며 (보안보다 관리 및 데이터 흐름 관점에서 더) 개별 트래픽 스트림을 보호하기 위해 존재하지 않으므로 (암호화가 없음) 보안 평가자가 보안 모델이 전적으로 VLAN 분리에 기반한 경우) 행복하십시오.

2
ukcommando

공격 벡터가 무엇인지 이해했기 때문에 스위치를 제대로 구성했다고 생각합니다. 그러나 사람들은 종종 이것을 이해하지 못하는 경향이 있으며, 그로 인해 잘못 구성되거나 의도되지 않은 위험이 발생합니다.

can 스위치를 올바르게 구성하기 때문에 "이제 VLAN을 사용하지 마십시오"라고 말할 이유가 없습니다. 그러나 VLAN은 보안을 염두에두고 개발되지 않았으므로 구성을 신중하게 수행해야하며 구성을 검토 할 때 모든 잠재적 공격 경로를 고려해야합니다. 결국 당신은 그것을 올바르게 할 수는 있지만 오류가 발생하기 쉽습니다 (즉, 당신은 약간의 위험을 감수합니다).

기밀, 무결성 또는 가용성면에서 요구 사항의 차이가 큰 네트워크를 분리하려는 경우 "골든"네트워크에서 이러한 속성 중 하나를 잃는 비용이 분리를 위해 VLAN을 사용할 때 수용해야 할 위험을 초과한다는 것을 알 수 있습니다. 이것은 일반적으로 VLAN 대신 별도의 물리적 장치를 사용하는 것이 좋습니다.

세분화에 VLAN, 특히 비용 편익 비율을 사용해야하는 이유가 있다고 말할 수 있습니다. 그러나 어떤 경우에는 위험 및 자산 가치로 계산할 때 방정식이 물리적 분리를 나타내는 경향이 있음을 알 수 있습니다.

2
fr00tyl00p

VLAN의 원리를 알고 이해하는 한 프로토콜/장치 자체에 의한 보안 위험은 없습니다. 즉, 제대로 구성된 VLAN_A와 VLAN_B가 서로 통신 할 수 없어야 할 경우 VLAN은 Layer2 유니 캐스트 도메인을 분리하는 것이 아닙니다.

트렁크에 사용자를 배치하면 모든 것이 동일합니다. 모든 VLAN과 통신 할 수없는 이유는 없습니다. (그렇게되어 있어야하기 때문에) 이것이 잘못된 구성 일 수 있습니다.

해커가 실제 하드웨어에 액세스 할 수 있으면 소프트웨어에도 액세스 할 수 있으며 해당 네트워크의 모든 장치에 액세스 할 수 있습니다.

이것이 대부분의 대규모 네트워크가 VLAN을 사용하여 네트워크를 분리하는 이유입니다. 즉, PCI 준수 VLAN에서 은행, ISP, 작업 등이 분리 조치로 승인됩니다 (핀 패드가 금전 등록기 등에서 분리되는 방식). . 위에서 말한 것처럼 위험은 항상 구성에 있으며 액세스 포트 구성과 방화벽, ACL 및 기타 구성 지점 모두를 통해 발생합니다. 대부분의 스위칭은 전용 CPU (ASIC)에서 이루어 지므로 하드웨어 수준에서 (= 프로그래밍 가능한 칩 일지라도) VLAN 분리)를 구현합니다. 그렇지 않으면 스위치로하는 속도.

1
bob

귀하의 예에서 일부 세부 정보가 누락 된 것 같습니다.

각 스위치가 방화벽으로 분리 된 개별 VLAN)입니까 아니면 스위치에 여러 VLAN이 포함되어 있습니까?

각 스위치에 단일 VLAN이 있고 모든 트래픽이 방화벽을 통해 라우팅되는 경우) FW의 규칙베이스가 맞다고 가정하면 보안 관점에서 문제가 없어야합니다. FW를 통과하지 않고 VLAN을 홉핑 할 수 없으며 FW는 해당 트래픽을 차단하도록 구성되어야합니다 IE-스위치 1에는 VLAN 1 트래픽 만 있어야 함) 따라서 FW는 스위치 1에서 오는 VLAN 2 개의 트래픽)을 삭제합니다.

0
user1490

PVLANS (개인 VLAN)를 읽습니다. 이들은 진정한 layer2 분리를 제공하고 ARP 스푸핑 공격을 방지합니다.

그들은 이것보다 더 많은 것을 할 수 있지만 이것은 가장 간단한 구성입니다. vlan 1에 포트 1, 2 및 3이 모두 있다고 가정 해 봅시다. 포트 3은 기본 게이트웨이이고 1과 2는 호스트입니다. PVLAN을 사용하면 1은 3과 대화하고 2는 3과 대화 할 수 있지만 1은 2와 대화 할 수 없습니다.

호핑을 방지하기 위해 액세스 포트를 특정 VLAN에 하드 코딩하십시오.

0
user974896