Hoe Veilig is een Vlan ? - Netwerken

maandag 10 juni 2002 10:24

Acties:

0 Henk 'm!

BOFH Wannabee

Topicstarter

oke . dit is meer de theoretische kant op maar ik vraag het me toch af.

als ik een Switch zou nemen en deze zou configureren met 3 vlans.

vlan 1
Internet Vlan op dit Vlan komt de router het adsl modem en de packeteer (packetshaper).

vlan 2
Dmz Vlan hierop komt de Webserver en Email server en ander zooi.

Vlan 3
Interne Vlan. het veilige segment de normale pcs.

de router prikt dus in vlan 1 samen met de outside interface van de Firewall.

de Dmz interface van de Firewall prikt in Vlan 2 met 2 webservers / dns servers. en een email server

de inside interface prikt in Vlan 3 samen met de gebruikers pcs.

deze opstelling scheelt me 2 hubs/switches
wat ik me nu afvraag is. zou dit Vlan gebeuren te kraken zijn ? wij werken op werk ook met Vlans om delen van het netwerk van elkaar af te schermen. ik zou toch wel eens willen weten of hier door heen te breken is. hoe veilig
is een Vlan nu echt

maandag 10 juni 2002 10:30

Acties:

0 Henk 'm!

Verwijderd

VLAN moet je meer zien als een administratief iets om subnetten gescheiden te houden, niet als een veiligheidsmaatregel. Met een sniffer kan je nog steeds traffic oppikken, mits de kabel vrij toegankelijk is natuurlijk.

maandag 10 juni 2002 10:31

Acties:

0 Henk 'm!

Verwijderd

dacht niet dat je data op kon pikken is een switch.
Gescheiden door een vlan is dacht ik gewoon veilig hoor.
Kan het fout hebben.

maandag 10 juni 2002 10:35

Acties:

0 Henk 'm!

Verwijderd

Met een switch kan je wel degelijk packets oppakken

alleen dit is relatief moeilijker aangezien de packets arp-based zijn, echter het kan wel.... en de packets zijn gericht wat een continu stroom van sniffen onmogelijk maakt.... een vlan is meer een organisatie oplossing dan een veiligheids middel zolang iemand zich zelf kan voordoen als diegene die toegang heeft tot de vlan (ip spoofen etc...) dan kan die informatie aftappen van de vlan...

maandag 10 juni 2002 10:35

Acties:

0 Henk 'm!

mavink

Vooropgesteld dat je switch goed werkt is een VLAN in feite hetzelfde als een aparte switch. Het verkeer tussen de VLAN's wordt volledig gescheiden.

maandag 10 juni 2002 10:36

Acties:

0 Henk 'm!

Flyduck

Ik heb laatst ook weer bij een bedrijf het gebruik van VLANs gezien met het oog op beveiliging. Naar mijn idee is er echt niet doorheen te komen. Of je moet zeer ervaren hackers daar hebben werken...

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

maandag 10 juni 2002 10:37

Acties:

0 Henk 'm!

mavink

Op maandag 10 juni 2002 10:35 schreef Caesium het volgende:
Met een switch kan je wel degelijk packets oppakken

alleen dit is relatief moeilijker aangezien de packets arp-based zijn, echter het kan wel.... en de packets zijn gericht wat een continu stroom van sniffen onmogelijk maakt.... een vlan is meer een organisatie oplossing dan een veiligheids middel zolang iemand zich zelf kan voordoen als diegene die toegang heeft tot de vlan (ip spoofen etc...) dan kan die informatie aftappen van de vlan...

Nee, als je een VLAN op poortbasis definieert moet je echt je kabel op een van die poorten inprikken om erbij te kunnen. Dan is in ieder geval de bedoeling dus.

maandag 10 juni 2002 10:44

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Als je met statisch gedefinieerde VLANs werkt, is het niet mogelijk om als je toegewezen bent aan VLAN 1, om dan in VLAN 2 te komen, tenzij je je PC omprikt op een andere poort, die wel aan VLAN 2 is toegewezen.

Als je met dynamisch gedefinieerde VLANs werkt, is het niet mogelijk om als je toegewezen bent aan VLAN 1, om dan in VLAN 2 te komen, tenzij je een PC uit VLAN 2 open schroeft, en die netwerkkaart jat.

oftewel, zolang je je switch achter slot en grendel houd, en zorgt dat lusers geen computers gaan openschroeven, is er niets aan de hand.

De actuele opbrengst van mijn Tibber Homevolt

maandag 10 juni 2002 10:44

Acties:

0 Henk 'm!

Verwijderd

hmm, worden de pakketten niet gewoon getagged met het juiste vlan nummer. Met andere woorden: indien je snift met een nic die 802.1q tagging aankan moet je volgens mij alles kunnen zien...

Security technisch zou ik het niet doen. Is ook vaak een goed argument naar de managers: je wilt het toch veilig? Dan kost het een hoop geld

maandag 10 juni 2002 10:54

Acties:

0 Henk 'm!

Tazzy

Echt 100% veilig is niet of nauwelijks te realiseren, tis maar net hoeveel drempels je neer zet voor een hacker.

maandag 10 juni 2002 13:19

Acties:

0 Henk 'm!

Goshimaplonker298

BOFH Wannabee

Topicstarter

Ik weet het. echt beveiliging is duur.

om het zo in te richten met Vlans lijkt me op zich wel een aardige manier. de switch zelf staat inderdaad achter slot en grendel. dus men kan er niet op inprikken of andere dingen.

vlans zijn trouwens op poortnivo gedefinieerd (zeg maar Vlan 1 poort 1 tm 4 , Vlan 2 poort 5 tm 8, vlan 3 poort 9 tm 12)

wat ik me nu echt afvraag is

een "kwaadwillend" persoon (vanaf nu genoemd Mr Evil

)wil bij ons binnen komen. nu ga ik er even vanuit dat de firewall het doet. en dat de switch zelf niet te bereiken is met telnet of http.
(gebruik meestal een laptopje met console kabel)
Mr. Evil kan in theorie op vlan 1 komen maar niet voorbij de firewall. Fysiek zitten de outside / inside en dms segmenten op de zelfde switch. logisch zijn de sergmenten van elkaar gescheiden door Vlans. kan die persoon dan nog iets doen. ik denk zelf dat dit heel moeilijk gaat worden.

het is natuurlijk wel zo dat een packet getagged word om te laten zien in welk vlan het thuis hoort. 802.1q tagging dus. sniffen met een 802.1q enabled NiC heeft volgens mij niet veel nut omdat je om dat moment keihard in zeg Vlan1 hangt. verkeer van Vlan 2 en 3 zie je dan niet.

ga denk ik maar eens een beetje spitten in een paar Rfc's

maandag 10 juni 2002 13:21

Acties:

0 Henk 'm!

Goshimaplonker298

BOFH Wannabee

Topicstarter

DoH, zit het net even zelf door te lezen en SpelluH en zo da ken ik nie.:(

maandag 10 juni 2002 13:26

Acties:

0 Henk 'm!

Verwijderd

Ik heb hier een hele leuke presentatie van cisco over de spoofing mogelijkheden op layer 2. Ik kan hem helaas niet posten

Je moet dan denken aan dingen zoals ARP spoofing, maar ook vlan en trunk spoofing. De volgende SANS link kan ik je wel geven: http://www.sans.org/newlook/resources/IDFAQ/vlan.htm

Zijn vlan's op een switch dus veilig? Niet als je uitgaat van de standaard configuratie met oa. een dynamische ARP cache. Je kan zeker met cisco switches het nodige doen om het veiliger te maken, maar fysiek aparte switches zijn veiliger. Het is alleen de vraag of een bedrijf daar geld aan uit wil geven. Aanvallers moeten al wel toegang hebben tot een machine in je lokale netwerk of het moeten lokale gebruikers zijn van je netwerk.

Als de modjes het goed vinden kan ik nog wel programma's noemen waarmee je oa. ARP spoofing kunt doen.

maandag 10 juni 2002 16:21

Acties:

0 Henk 'm!

Goshimaplonker298

BOFH Wannabee

Topicstarter

tsja, het is waar

Zijn vlan's op een switch dus veilig? Niet als je uitgaat van de standaard configuratie met oa. een dynamische ARP cache. Je kan zeker met cisco switches het nodige doen om het veiliger te maken, maar fysiek aparte switches zijn veiliger. Het is alleen de vraag of een bedrijf daar geld aan uit wil geven. Aanvallers moeten al wel toegang hebben tot een machine in je lokale netwerk of het moeten lokale gebruikers zijn van je netwerk.

het is natuurlijk waar dat echte beveiliging geld kost.

wat je ook zegt is dat ze al toegang moeten hebben tot een machine in je lokale netwerk.
ik ga er zelf even voor the sake of argument vanuit dat ze alleen maar op Vlan 1 zouden kunnen komen. wat dus zou betekenen dat daar 2 poorten actief zijn 1 voor de router en een voor de hostile interface van de firewall. zou dus naar wat ik van jouw begrijp moeilijk worden.

nu zal het merk van de switch een van deze 3 zijn

een alcatel omnicore rouer / switch
een losse 3com 3300xm (net echt veel opties maar er ligt er nog een

)
of een Cisco Catalyst 2950 ( zal aangeschaft moeten worden)
ze ondersteunen allemaal Vlans . de cisco en de alcatel zijn allen wat uitgebreider.

nu zal ik een blik naar de toekomst werken. ( hou me even te goeden dat dit nog een work in progress is maar ik wilde het wel in de "groep" gooien

men nemen 2 Isra punten binnen het zelfde gebouw.
men nemen 2 SDSL lijnen van 2 verschillende Providers ( dus BBnet en een ander)
men nemen 2 server ruimtes (MER 1 en MER 2)
2x een alcatel omnicore routing switch
2x een Router ( prolly cisco)

de 2 omnicore switch / routers zijn met elkaar verbonden en er is een redunant path. (spanning tree houd alles uit elkaar)

ik definieer 4 poorten op Beide omnicores als "internet Vlan"
sdsl lijn 1 komt binnen in MER1. en gaat via de Router1 het internet Vlan in
sdsl lijn 2 komt binnen in MER1. en gaat via de Router2 het internet Vlan in

nu is het de bedoeling om er ook 2 firewalls achter te hebben in een failover config. met een zelfde opstelling als in de eerste post . nogmaals dit is een work in progress

deze setup roept dus weer de zelfde vraag op Hoe veilig is een Vlan. want de omnicores dat zijn de 2 backbone switches voor het hele netwerk. als dat dus gekraakt word dan ligt alle wijd open.

de andere oplossing zou dus zijn om dit met aparte losse switches af te vangen. wat dus zou betekenen dat je aan een aardige extra investering zou moeten denken ( wat trouwens een druppel op een gloeiende plaat zou zijn vergleken met de kosten van de rest van het project

)

maandag 10 juni 2002 19:11

Acties:

0 Henk 'm!

schroevendraaier480

certified prutser

Met behulp van layer-2 spoofing (arp poisening) kun je al het verkeer van de switch dwingen om via een bepaalde poort te laten lopen (Ettercap --> tool op o.a. Linux). Elke ARP request krijgt het MAC adres van een en hetzelfde station terug. Hiermee kan je dus in beginsel alle verkeer naar je toe trekken. Ik weet niet of je dan ook verkeer van alle VLANs kan omleiden, moet ik eens proberen.

wat nou router, gewoon een kroonsteentje!

maandag 10 juni 2002 19:28

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Op maandag 10 juni 2002 10:44 schreef sandur het volgende:
hmm, worden de pakketten niet gewoon getagged met het juiste vlan nummer. Met andere woorden: indien je snift met een nic die 802.1q tagging aankan moet je volgens mij alles kunnen zien...

Security technisch zou ik het niet doen. Is ook vaak een goed argument naar de managers: je wilt het toch veilig? Dan kost het een hoop geld

neej hoor, want dan moet je op een trunkpoort zijn aangesloten.
en aangezien clients alleen maar op access poorten zitten, gaat die vlieger niet op.

(mits je je vlan niet layer-1 toegankelijk maakt)

De actuele opbrengst van mijn Tibber Homevolt

maandag 10 juni 2002 21:41

Acties:

0 Henk 'm!

Verwijderd

ARP spoofing is leuk, maar daar heb je alleen wat aan als je in hetzelfde VLAN zit. Zolang er geen kabels worden omgeprikt en de switch zelf niet gehacked wordt (maar je hebt het management natuurlijk netjes in een apart vlan zitten) is er dus *niets* aan de hand. Een statisch gedefinieerd vlan werkt op basis van poorten, dus niet op basis van MAC addressen. Met spofing (MAC of IP) schiet je dus niets op, da's alleen bruikbaar om verkeer van een ander naar je toe te halen als je in 't zelfde vlan zit.

maandag 10 juni 2002 22:48

Acties:

0 Henk 'm!

Goshimaplonker298

BOFH Wannabee

Topicstarter

Op maandag 10 juni 2002 21:41 schreef Grasvezel het volgende:
Een statisch gedefinieerd vlan werkt op basis van poorten, dus niet op basis van MAC addressen. Met spofing (MAC of IP)

Hmm, ik gaat weer eens verder spitten. even kijken of ik deze vragen kan beantwoorden.

Als ik een berg poorten statish configureer.
poort 1 tm 4 Vlan 1 poort 5 tm 8 vlan 2 enz enz.
Word er dan gebruik gemaakt van 802.1q Tagging?

Als ik een uplink / trunk poort gebruik word er dan Wel gebruik gemaakt van 802.1q tagging ?
zo ja Alleen voor het Vlan waarin de uplink / trunk zit of voor alle Vlans

damn dit is lekker ingewikkelde zooi zeg

Maar we komen er wel. effekes snuffelen of ik nog wat boven water kan halen.

maandag 10 juni 2002 23:00

Acties:

0 Henk 'm!

Verwijderd

IEEE802.1q (of ISL bij oudere Cisco's) wordt alleen gebruikt op trunkpoorten, dus niet op 'gewone' access poorten. Trunks zijn bedoeld om meerdere vlans van de ene naar de andere switch te transporteren, zodat je met 1 kabeltje alle vlans kunt doorverbinden naar de volgende switch. Een poort waar een PC aan hangt configureer je doorgaans niet als trunk, maar als access port (Cisco: 'switchport type access'). Vanuit zo'n poort kun je dus alleen communiceren met het vlan waar die poort in zit. Als je getagged verkeer zo'n poort induwt zijn er 2 opties: Of de switch negeert het, of het komt er op een andere poort in hetzelfde vlan getagged en al weer uit.

dinsdag 11 juni 2002 00:25

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Op maandag 10 juni 2002 23:00 schreef Grasvezel het volgende:
IEEE802.1q (of ISL bij oudere Cisco's) wordt alleen gebruikt op trunkpoorten, dus niet op 'gewone' access poorten. Trunks zijn bedoeld om meerdere vlans van de ene naar de andere switch te transporteren, zodat je met 1 kabeltje alle vlans kunt doorverbinden naar de volgende switch. Een poort waar een PC aan hangt configureer je doorgaans niet als trunk, maar als access port (Cisco: 'switchport type access'). Vanuit zo'n poort kun je dus alleen communiceren met het vlan waar die poort in zit. Als je getagged verkeer zo'n poort induwt zijn er 2 opties: Of de switch negeert het, of het komt er op een andere poort in hetzelfde vlan getagged en al weer uit.

maar vaak word die genegeerd, want een switch heeft geen flauw benul van wat die met een pakketje van >1522 bytes moet...

een frame dat tot op de rand vol zit, kan maar 1 keer getagged worden.

De actuele opbrengst van mijn Tibber Homevolt

dinsdag 11 juni 2002 02:59

Acties:

0 Henk 'm!

jochemd

Op maandag 10 juni 2002 19:28 schreef Dirk-Jan het volgende:

neej hoor, want dan moet je op een trunkpoort zijn aangesloten.
en aangezien clients alleen maar op access poorten zitten, gaat die vlieger niet op.

De HP's die hier staan (ProCurve 2524 & 4108GL) kunnen wel meerdere VLAN's aan op een access poort. Je moet alleen bij een totaal aantal van N VLAN's minstens N-1 VLAN's taggen (je kan er 1 als default configureren, erg handig voor het niet gerouteerde lokale subnetje).

dinsdag 11 juni 2002 11:13

Acties:

0 Henk 'm!

Verwijderd

Op maandag 10 juni 2002 10:35 schreef vink het volgende:
Vooropgesteld dat je switch goed werkt is een VLAN in feite hetzelfde als een aparte switch. Het verkeer tussen de VLAN's wordt volledig gescheiden.

idd je maakt als het ware gewoon 3 switches... (bij 3 vlans hehe) het voordeel is als je een verandering moet maken je niet je hardware hoeft te veranderen of kabels om te pluggen; alleen een portje in een ander vlan gooien en klaar

dinsdag 11 juni 2002 11:15

Acties:

0 Henk 'm!

Verwijderd

Op maandag 10 juni 2002 10:44 schreef sandur het volgende:
hmm, worden de pakketten niet gewoon getagged met het juiste vlan nummer. Met andere woorden: indien je snift met een nic die 802.1q tagging aankan moet je volgens mij alles kunnen zien...

tagging gebeurt alleen in trunks (kabeltje naar router/andere switch) waar alle of enkele vlans overheen lopen

je kan het kabeltje naar je pc niet als trunk maken omdat je pc de vlantag niet kan interpreteren!!!!!

dinsdag 11 juni 2002 12:20

Acties:

0 Henk 'm!

jochemd

Op dinsdag 11 juni 2002 11:15 schreef iis5_rulez het volgende:

tagging gebeurt alleen in trunks (kabeltje naar router/andere switch) waar alle of enkele vlans overheen lopen

Het gebeurt ook in Access ports waar je meerdere VLAN's naartoe doorzet.

je kan het kabeltje naar je pc niet als trunk maken omdat je pc de vlantag niet kan interpreteren!!!!!

Onzin. Gebruik gewoon een echt OS.

dinsdag 11 juni 2002 13:00

Acties:

0 Henk 'm!

Nibble

Op dinsdag 11 juni 2002 12:20 schreef jochemd het volgende:

[..]

Het gebeurt ook in Access ports waar je meerdere VLAN's naartoe doorzet.
[..]

Onzin. Gebruik gewoon een echt OS.

je pc kan dus GEEN trunk link frames lezen he!
Tenzij je een apart soort netwerkkaart voor gebruikt die daarvoor beschikbaar zijn als el-cheapo oplossing.
Een normale netwerkkaart kan alleen acceslinks "lezen" om het zo maar even te noemen.

T is for TANK, and T is for TERROR ... and K is the K for KILLING in error.

dinsdag 11 juni 2002 13:40

Acties:

0 Henk 'm!

Verwijderd

Ik zag dat er al een layer 2 spoof programma werd genoemd. Om het even compleet te maken. Cisco noemt naast ettercap ook nog macof en dsniff in hun presentatie. Dsniff is een hele collectie van tools om verkeer om te leiden en man in the middle attacks voor veel protocollen uit te voeren.

Voor layer 2 attacks moet je dus toegang hebben tot een lokale machine. Alleen mist iedereen wel eens een software patch of maakt een configuratie fout. Vertrouw niet alleen op VLAN's voor je netwerkbeveiliging. Zie het meer als een extra laag in je beveiliging. Een veilig netwerk design bevat meerdere lagen, zodat een aanvaller niet na de eerste hindernis in een keer doorloopt naar de kluis (of database, enz..). Bouw zoveel lagen in als het budget toe laat (ok, niet oneindig natuurlijk

). Een goed boek waar "veilige" netwerkdesign met meerdere lagen worden behandeld is: Building Internet firewalls van O'reilly.

Ik denk dat een layer 2 attack toch onder de geavanceerde aanvallen valt. Zeker voor aanvallers vanaf het internet. De gemiddelde scriptkiddie kan nog net de gedownloade cracktool bedienen en die heeft nog nooit van layers en het OSI model gehoord.

dinsdag 11 juni 2002 14:42

Acties:

0 Henk 'm!

Goshimaplonker298

BOFH Wannabee

Topicstarter

Op dinsdag 11 juni 2002 13:40 schreef balou het volgende:
Voor layer 2 attacks moet je dus toegang hebben tot een lokale machine. Alleen mist iedereen wel eens een software patch of maakt een configuratie fout. Vertrouw niet alleen op VLAN's voor je netwerkbeveiliging. Zie het meer als een extra laag in je beveiliging. Een veilig netwerk design bevat meerdere lagen, zodat een aanvaller niet na de eerste hindernis in een keer doorloopt naar de kluis (of database, enz..). Bouw zoveel lagen in als het budget toe laat (ok, niet oneindig natuurlijk ).

Ik denk dat een layer 2 attack toch onder de geavanceerde aanvallen valt. Zeker voor aanvallers vanaf het internet. De gemiddelde scriptkiddie kan nog net de gedownloade cracktool bedienen en die heeft nog nooit van layers en het OSI model gehoord.

ik weet het de boel in lagen bouwen.
we gaan ook een paar aanvalen laten uitvoeren op onze opstelling als hij er eenmaal is in nieuwe vorm. en dit zal met regelmatige frequentie herhaald gaan worden. je kan nog denken dat je het zo goed dicht hebt getimmerd. maar een config foutje is genoeg.

wat mij dus een beetje verontrust is dat als iemand door die Vlans heen kan wandelen hij in theorie ook om de firewall heen wandelt. das dus wel lullig

maar we komen nu ergens
als ik 3 Vlans statish definieer.
en ik doe Vlan 3 voor het hostile segment
Vlan 2 voor het DMZ segment
en Vlan 1 (eigenlijk default Vlan voor alle switch poorten binnen het gebouw) voor het interne segment

zeggen we even dat op poort 12 een trunk is naar de "rest van het netwerk"

als ik het goed begrepen heb (correct me if im wrong please

)
Verkeer van Vlan 3 word niet 802.1q getagged want het is een logisch aparte switch geworden . het zelfde geld voor Vlan 2
alleen in Vlan 1 vaar zich ook de Trunk ik bevind zal er spraken zijn van 802.1q tagging.

zeg ik het zo goed.

dan zit je mits de switch niet gehacked word vrij veilig. omdat mensen vanuit het internet en Dmz segment niets kunnen doen met de Vlans .

right or wrong?

ga denk ik Alcatel maar eens bellen en hun mening hier over vragen. we betalen er tenminste voor

dinsdag 11 juni 2002 15:26

Acties:

0 Henk 'm!

mavink

Ik geloof dat je het principe van de trunk niet helemaal begrijpt.
Een trunk is een verbinding tussen twee switches; door vlan tagging kan je verkeer van meerdere VLAN's over een kabel tussen twee switches laten lopen.
Dus stel je voor: op switch 1 zijn poorten 1&2 VLAN1, en poorten 3&4 VLAN2. Als je nu een tweede switch erbij wilt, met ook op poort 1&2 VLAN1, en poort 3&4 VLAN2. Normaal zou je dan op beide switches een poort moeten toevoegen aan ieder VLAN (dus VLAN1 een poort extra op beide switches, en VLAN2 een poort extra op beide switches). Dan maak je crosscables tussen beide VLAN's. Dus een crosscable in VLAN1 op beide switches, en een crosscable op VLAN2 bij beide switches.

Door een trunk te gebruiken kan je bekabeling besparen; je maakt 1 crosscable tussen beide switches, en daar maak je een trunk van. Hierover gaat dan AL het verkeer van ALLE VLAN's, met voor pakketjes van een VLAN een extra "tag" die aangeeft voor welk VLAN het pakketje is. De switch aan de andere kant leest dat en zorgt dat het pakketje weer op het goede VLAN terechtkomt.

dinsdag 11 juni 2002 23:58

Acties:

0 Henk 'm!

Goshimaplonker298

BOFH Wannabee

Topicstarter

Vink je bent geweldig ik begrijp het ineens helemaal (ik wist het al maar het had niet geregistreerd)

wat dus direct mijn probleem oplost

zo Vlannen is dus in de basis veilig. mits niemand de switch kraakt.

hiermee bedoel ik dus dat Vlan 1 via een crosscable verbonden is met de rest van het netwerk. geen trunk dus . en Vlan 2 en 3 (internet en Dmz ) dus "native" zijn voor die switch.

Pagina: 1

Reageer