为什么不应该使用本机VLAN?
当前正在学习CCNA安全性,我被教导永远不要出于安全目的使用本机VLAN。思科论坛上的旧讨论非常清楚地表明了这一点: 您也不要使用默认VLAN,因为从默认VLAN更容易完成VLAN跳跃。 但是,从实际的角度来看,我无法准确指出正在解决的实际威胁。 我的想法如下: 攻击者位于本机VLAN上,也许他可以直接注入802.1q数据包,这些数据包将在不经过第一台交换机修改的情况下被转发(如来自本机VLAN),而即将到来的交换机会将这些数据包视为来自所选VLAN的合法数据包由攻击者。 这确实会使VLAN跳跃攻击“容易得多”。但是,这不起作用,因为第一台交换机正确地认为在访问端口上接收802.1q数据包是异常的,因此会丢弃此类数据包。 位于非本地VLAN上的攻击者设法将交换机访问端口转换为中继端口。要将流量发送到本地VLAN,他只需更改其IP地址(单个命令),而不是在其网络接口上启用VLAN(四个命令),保存三个命令即可。 我显然认为这最多是非常微不足道的收益。 回顾历史,我想我读了一些旧的建议,指出802.1q注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入802.1q数据包的能力,并使本机VLAN利用在以前的情况下更加实用。 但是,如今这似乎并不是真正的限制,VLAN配置命令是Linux(至少)网络配置命令的常见部分。 即使这种做法不再解决任何特定的威胁,我们是否也可以考虑不使用本机VLAN的建议已过时且仅出于历史和配置方面的考虑而保留?还是有一种具体的方案,由于使用了本地VLAN,VLAN跳跃确实变得更加容易了?