নেটিভ ভিএলএএন কখনই ব্যবহার করা উচিত নয়?

10

বর্তমানে সিসিএনএ সুরক্ষার জন্য অধ্যয়নরত, আমাকে কখনই সুরক্ষার প্রয়োজনে নেটিভ ভিএলএএন ব্যবহার করতে শেখানো হয়নি। সিসকো ফোরামের এই পুরাতন আলোচনা এটি খুব স্পষ্ট করে বলেছে:

আপনার কখনই ডিফল্ট ভিএলএএন ব্যবহার করা উচিত নয় কারণ ভিএলএএন হপিং ডিফল্ট ভিএলএএন থেকে খুব সহজেই সম্পন্ন হয়।

তবে, ব্যবহারিক দৃষ্টিকোণ থেকে, প্রকৃত হুমকির বিষয়ে কী বলা হচ্ছে তা আমি ঠিক পিন-পয়েন্ট করতে সক্ষম হই না able

আমার চিন্তাভাবনাগুলি নিম্নলিখিত:

  • আক্রমণকারীটি নেটিভ ভিএলএএন-তে অবস্থিত, সম্ভবত তিনি সরাসরি ৮০২.১ কিউর প্যাকেটগুলি ইনজেক্ট করতে পারবেন যা প্রথম সুইচ (কোনও নেটিভ ভিএলএএন থেকে আগত হিসাবে) পরিবর্তন ছাড়াই ফরোয়ার্ড করা হবে এবং আগত সুইচগুলি এই প্যাকেটগুলিকে বৈধ প্যাকেট হিসাবে বিবেচিত হিসাবে বেছে নেওয়া কোনও ভিএলএএন থেকে বিবেচিত হবে আক্রমণকারী দ্বারা

    এটি সত্যই ভিএলএএন হপিং আক্রমণগুলিকে "আরও সহজ" করে তুলেছিল । তবে এটি কার্যকর হয় না যেহেতু প্রথম সুইচটি অ্যাক্সেস পোর্টে 802.1q প্যাকেট প্রাপ্তিকে যথাযথভাবে অস্বাভাবিক হিসাবে বিবেচনা করে এবং এই জাতীয় প্যাকেটগুলি ফেলে দেয়।

  • একটি আক্রমণকারী একটি অ-নেটিভ ভিএলএএন-তে অবস্থান করছে, একটি স্যুইচ অ্যাক্সেস পোর্টকে একটি ট্রাঙ্কে রূপান্তরিত করে। নেটিভ ভিএলএএন-তে ট্র্যাফিক প্রেরণ করতে তাকে কেবল তার নেটওয়ার্ক ইন্টারফেসে VLAN সক্রিয় করার পরিবর্তে তার আইপি ঠিকানা (একক কমান্ড) পরিবর্তন করতে হবে (চারটি কমান্ড), তিনটি কমান্ড সংরক্ষণ করবে।

    আমি স্পষ্টতই একে একে খুব প্রান্তিক লাভ হিসাবে বিবেচনা করি ...

  • ইতিহাসে খনন করার সময়, আমি ভেবেছিলাম যে আমি কোথাও পুরানো প্রস্তাবনাগুলি পড়েছি যাতে বলা হয়েছে যে 802.1q ইনজেকশনের জন্য উপযুক্ত নেটওয়ার্ক কার্ড এবং নির্দিষ্ট ড্রাইভারের প্রয়োজন হতে পারে। এই জাতীয় প্রয়োজনীয়তাগুলি আক্রমণকারীটির 802.1q প্যাকেটগুলি ইনজেক্ট করার এবং পূর্বের দৃশ্যে নেটিভ ভিএলএএন শোষণকে অনেক বেশি ব্যবহারিক করার সীমাবদ্ধ করবে।

    তবে আজকাল এটি সত্যিকারের সীমাবদ্ধতা বলে মনে হয় না এবং ভিএলএএন কনফিগারেশন কমান্ডগুলি লিনাক্সের একটি অন্তর্গত অংশ (কমপক্ষে) নেটওয়ার্ক কনফিগারেশন কমান্ড।

আমরা কি দেশীয় ভিএলএএনসকে পুরানো এবং শুধুমাত্র historicalতিহাসিক এবং কনফিগারেশন স্যানিটেশন উদ্দেশ্যে ব্যবহারের জন্য এই পরামর্শটি বিবেচনা করতে পারি, যদিও এই অনুশীলনটি কোনও বিশেষ হুমকির সমাধান করে না? বা এমন কোনও কংক্রিটের দৃশ্য আছে যেখানে নেটিভ ভিএলএএন ব্যবহারের কারণে ভিএলএএন হপ্পিং সত্যই অনেক বেশি সহজ হয়ে ওঠে?

vlan  security 
WhiteWinterWolf
সূত্র
1
এফওয়াইআই, এটি একটি ভাল পঠিত, ল্যান স্যুইচ সুরক্ষা
মাইক পেনিংটন
আরও সুরক্ষার জন্য আপনার কোনও ভিএলএএন নতুন করা উচিত যা অব্যবহৃত অংশগুলি রাখা হয় এবং এই বন্দরগুলি বন্ধ করে দেওয়া উচিত
হ্যারিসন ব্রক

উত্তর:

11

আপনার ট্রাঙ্ক বন্দরগুলিতে আপনাকে সম্ভবত নেটিভ ভিএলএএন ব্যবহার করতে হবে, কমপক্ষে সিসকো সুইচে, অন্যান্য বিক্রেতারা এটি আলাদাভাবে করেন। তবে আপনার কী মনে রাখতে হবে যে ভিএলএএন 1 (ডিফল্ট ভিএলএএন) নেটিভ ভিএলএএন হিসাবে সেট হওয়ার সাথে সাথে সুরক্ষা ঝুঁকিটি আরও বেশি।

আপনার নেটিভ ভিএলএএনকে আপনার তৈরি করা নতুন ভিএলএএন থেকে ভিএলএন 1 হতে পরিবর্তন করা উচিত। নেটিভ ভিএলএএন অনেকগুলি ডেটা, যেমন ডিটিপি, ভিটিপি এবং সিডিপি ফ্রেম এবং বিপিডিইউ গাছ বর্ধনের জন্য ব্যবহার করা হয়।

আপনি যখন একেবারে নতুন স্যুইচ পাবেন, ভিএলএএন 1 হ'ল একমাত্র ভিএলএন যা বিদ্যমান, এর অর্থ এটিও হ'ল সমস্ত পোর্ট ডিফল্টরূপে এই ভিএলএএন এর সদস্য।

আপনি যদি ভিএলএএন 1 কে আপনার নেটিভ ভিএলএএন হিসাবে ব্যবহার করছেন তবে আপনার কাছে সমস্ত পোর্ট রয়েছে যা আপনি এই ভিএলএনের অংশ হতে কনফিগার করেছেন না। সুতরাং যদি কোনও আক্রমণকারী কোনও পোর্টের সাথে সংযোগ স্থাপন করে যা ব্যবহার করা হয় না এবং এটি কনফিগার করা হয়নি (কারণ এটি ব্যবহার করা হয় না), তবে তিনি সরাসরি আপনার ব্যবস্থাপনার ভিএলএএন এ প্রবেশাধিকার পেয়েছেন এবং প্যাকেটগুলি পড়তে এবং ইনজেক্ট করতে পারে যা আপনাকে না চান এমন প্যাকেটগুলি ভিপ্পিং বা ক্যাপচারের অনুমতি দিতে পারে could তাকে দেখতে বা তার চেয়ে খারাপ, আপনার সুইচগুলি / রাউটারগুলিতে এসএসএইচ (কখনই টেলনেটের অনুমতি দেয় না)।

পরামর্শটি সর্বদা ভিএলএএন 1 ব্যবহার না করার জন্য, সুতরাং যদি কোনও আক্রমণকারী বা অযাচিত ক্লায়েন্ট VLAN 1 এ সংযুক্ত হয়ে শেষ হয় এবং ব্যবহারযোগ্য গেটওয়ের মতো এই ভিএলএএন-তে কোনও কনফিগার করা থাকে না, তারা বেশ আটকে থাকে এবং কোথাও যেতে পারে না , যদিও আপনি স্থানীয় VLAN ভিএলএএন 900 এর মতো কিছু যা কোনও বন্দর অ্যাক্সেসের সম্ভাবনা কম কারণ এটি ডিফল্ট ভিএলএএন নয়।

প্রচুর প্রকৌশলী অব্যবহৃত পোর্টগুলি অক্ষম করবেন না এবং গুরুত্বপূর্ণ জিনিসগুলির জন্য ভিএলএএন 1 ব্যবহার করা আপনাকে এমন পরিস্থিতিতে ফেলে দেয় যেখানে আপনি 802.1x এর মতো কিছু ব্যবহার না করা হলে অ্যাক্সেসটি উন্মুক্ত থাকে। ইঞ্জিনিয়ার / নেটওয়ার্ক প্রশাসকরা ভুলে যান এবং আপনার কাছে একটি সামান্য সুরক্ষা গর্ত রয়েছে যা আক্রমণকারীকে উপকৃত করতে পারে। যদি আপনার ভিএলএএন 1 ব্যবহার না করা হয় এবং বন্দরগুলি ডিফল্ট হিসাবে ছেড়ে দেওয়া হয় তবে এটি এত বড় বিষয় নয় কারণ এটি ব্যবহৃত হয়নি।

আশা করি এটি আপনার অনুসন্ধানে আপনাকে সহায়তা করবে।

SleepyMan

SleepyMan
সূত্র
3
আসলে, আপনাকে সিসকো ডিভাইসে নেটিভ ভিএলএএন ব্যবহার করতে হবে না। এখন অনেক বছর ধরেই এমনটি ছিল। আপনি যা করতে পারবেন না তা হল ভিএলএএন 1 অক্ষম করা, তবে আপনি এটি একটি ট্রাঙ্ক থেকে সীমাবদ্ধ করতে পারেন।
রন মাউপিন
1
তবে, আপনি যতক্ষণ না ট্রঙ্ক আইইইই স্ট্যান্ডার্ড 802.1 ডি / এস / ডাবল বিস্তৃত গাছে চলমান সুইচ না চলে কেবল ডট 1 কিউ ট্রাঙ্কে ভ্যালান 1 টি ব্লক করতে পারবেন
মাইক পেনিংটন
1
আমার প্রায়শই সাধারণ পরামর্শের সাথে "নেটিভ ভিএলএএন" ইস্যুটি স্পষ্টভাবে আলাদা করে দেয় যা ভিএলএএনকে আরও সহজ আশা করে এবং "ভিএলএএন 1" ইস্যুটি যা অসমর্থিত সুইচগুলিকে প্রভাবিত করতে পারে এবং এই প্রতিটি সমস্যার সমাধান করার জন্য কখনও কখনও দুটি ব্যবহৃত ভিএলএএনকে উত্সর্গ করার প্রস্তাব দেয়। আমার মুল বক্তব্যটি মনে হয় যে সমস্ত হার্ডওয়্যার এটি সমান হয় নি এবং বর্তমান সিসকো সুইচগুলি এই "নেটিভ ভিএলএএন" ইস্যুতে সত্যই দুর্বল নয় এবং ভিএলএএনকে এইভাবে প্রত্যাশার অনুমতি দেয় না, অন্য বিক্রেতাদের এবং পুরানো ডিভাইসগুলির ক্ষেত্রে এটি নাও হতে পারে while ।
হোয়াইটউইন্টারওয়াল্ফ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.