기본 VLAN을 사용해서는 안되는 이유는 무엇입니까?

현재 CCNA 보안을 위해 공부하면서 보안 목적으로 기본 VLAN을 사용하지 않는 법을 배웠습니다. Cisco 포럼 의이 오래된 토론 은 다음과 같이 매우 명확하게 설명합니다.

VLAN 호핑은 기본 VLAN에서 훨씬 쉽게 수행되므로 기본 VLAN을 사용해서는 안됩니다.

그러나 실제적인 관점에서 실제 위협이 해결되는 대상을 정확하게 찾아 낼 수는 없습니다.

내 생각은 다음과 같습니다.

• 공격자는 기본 VLAN에 있으며, 아마도 첫 번째 스위치에 의해 수정되지 않고 (기본 VLAN에서 오는) 802.1q 패킷을 직접 주입 할 수 있으며 다음 스위치는이 패킷을 선택한 모든 VLAN에서 오는 합법적 인 패킷으로 간주합니다. 공격자에 의해.

  이로 인해 실제로 VLAN 호핑 공격이 훨씬 쉬워 졌습니다. 그러나 첫 번째 스위치가 액세스 포트에서 802.1q 패킷을 수신하는 것이 비정상적인 것으로 간주하여 해당 패킷을 삭제하기 때문에 이것은 작동하지 않습니다.

• 네이티브가 아닌 VLAN에있는 공격자는 스위치 액세스 포트를 트렁크 포트로 전환합니다. 기본 VLAN으로 트래픽을 보내려면 네트워크 인터페이스에서 VLAN을 활성화하는 대신 (4 개의 명령) IP 주소 (단일 명령) 만 변경하면 3 개의 명령이 저장됩니다.

  나는 분명히 이것을 최소한의 한계 이득으로 생각합니다 ...

• 역사를 파헤칠 때 802.1q 주입에 호환되는 네트워크 카드와 특정 드라이버가 필요할 수 있다는 오래된 권장 사항을 읽었습니다. 이러한 요구 사항은 실제로 이전 시나리오에서 802.1q 패킷을 주입하고 기본 VLAN 악용을 훨씬 더 실용적으로 만드는 공격자의 기능을 제한합니다.

  그러나 이것은 오늘날에는 실질적인 제한이 아닌 것으로 보이며 VLAN 구성 명령은 Linux (적어도) 네트워크 구성 명령의 공통 부분입니다.

기본 VLAN을 사용하지 않는이 조언을 구식으로 사용하고 과거 및 구성 온전한 목적으로 만 유지해야한다고 생각할 수 있습니까? 아니면 기본 VLAN이 사용되어 VLAN 호핑이 훨씬 쉬워지는 구체적인 시나리오가 있습니까?

트렁크 포트, 최소한 Cisco 스위치에서는 기본 VLAN을 사용해야하며 다른 공급 업체에서는 다르게 작동합니다. 그러나 보안 위험은 VLAN 1 (기본 VLAN)을 기본 VLAN으로 설정하는 것과 관련이 있습니다.

기본 VLAN을 VLAN 1에서 새 VLAN으로 변경해야합니다. 기본 VLAN은 DTP, VTP 및 CDP 프레임과 같은 많은 관리 데이터와 스패닝 트리를위한 BPDU에 사용됩니다.

완전히 새로운 스위치를 받으면 VLAN 1만이 존재하는 유일한 VLAN이며 모든 포트가 기본적으로이 VLAN의 구성원임을 의미합니다.

VLAN 1을 기본 VLAN으로 사용하는 경우이 VLAN의 일부로 구성하지 않은 모든 포트가 있습니다. 따라서 공격자가 사용되지 않고 구성되지 않은 포트 (사용되지 않기 때문에)에 연결하면 관리 VLAN에 즉시 액세스 할 수 있으며 VLAN 호핑을 허용하거나 원하지 않는 패킷을 캡처 할 수있는 패킷을 읽고 주입 할 수 있습니다 스위치 / 라우터에 SSH를 보거나 더 나쁜 상태로 보거나 텔넷을 허용하지 마십시오.

조언은 항상 VLAN 1을 사용하지 않는 것이 좋습니다. 따라서 공격자 또는 원치 않는 클라이언트가 VLAN 1에 연결하여 종료하고 사용 가능한 게이트웨이와 같이이 VLAN에 구성된 것이 없으면 거의 붙어 있지 않으며 어디든 갈 수 없습니다. 기본 VLAN은 기본 VLAN이 아니므로 포트 액세스 권한이 적은 VLAN 900과 같습니다.

많은 엔지니어들이 사용하지 않는 포트를 비활성화하지 않고 중요한 작업에 VLAN 1을 사용하면 802.1x와 같은 것을 사용하지 않는 한 액세스가 열려있는 상황이됩니다. 엔지니어 / 네트워크 관리자는 공격자에게 혜택을 줄 수있는 약간의 보안 허점이 있습니다. VLAN 1을 사용하지 않고 포트를 기본값으로두면 사용되지 않기 때문에 그렇게 큰 문제는 아닙니다.

이것이 당신의 탐구에 도움이되기를 바랍니다.

슬리피 맨