目前正在学习 CCNA 安全,我被教导永远不要将本地 VLAN 用于安全目的。思科论坛上的这个旧讨论非常清楚地说明了这一点:
您也不应该使用默认 VLAN,因为从默认 VLAN 更容易实现 VLAN 跳跃。
但是,从实际的角度来看,我无法准确指出正在解决的实际威胁。
我的想法如下:
攻击者位于本地 VLAN 上,也许他可以直接注入 802.1q 数据包,这些数据包将被第一个交换机转发而无需修改(来自本地 VLAN),接下来的交换机会将这些数据包视为来自任何选定 VLAN 的合法数据包由攻击者。
这确实会使 VLAN 跳跃攻击“更加容易”。但是,这不起作用,因为第一台交换机正确地认为在接入端口上接收 802.1q 数据包是异常的,因此丢弃了这些数据包。
位于非本地 VLAN 上的攻击者设法将交换机接入端口变成中继端口。要将流量发送到本地 VLAN,他只需更改他的 IP 地址(一个命令),而不是在他的网络接口上启用 VLAN(四个命令),从而节省了三个命令。
我显然认为这最多只是一个非常微不足道的收益......
在挖掘历史时,我以为我在某处读到了一些旧建议,指出 802.1q 注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入 802.1q 数据包的能力,并使本机 VLAN 的利用在之前的场景中更加实用。
然而,现在这似乎不是一个真正的限制,VLAN 配置命令是 Linux(至少)网络配置命令的常见部分。
我们是否可以将不使用本地 VLAN 的建议视为过时并仅出于历史和配置完整性目的而保留,即使这种做法不再解决任何特定威胁?或者是否有一个具体的场景,因为使用了本地 VLAN,VLAN 跳跃确实变得更加容易?