امنیت VLAN و Trunk

امنیت VLAN و Trunk در سوئیچ های سیسکو

امنیت VLAN و Trunk :

درست است که VLAN  ها از یک جنبه­ هایی امنیت را فراهم می­کنند مثلاً با جدا کردن ترافیک بخش­ های مختلف از هم، به طوری که یک بخش قادر به مشاهده ترافیک بخش دیگر نباشد؛ اما از لحاظ دیگر می­ توانند امنیت شبکه را دچار مشکل کنند.
یکی از مهمترین مشکلات وجود VLAN1 است که به صورت پیش فرض در هـمه سوئیچ­ها به عنوان native VLAN تعبیه شده است و پیام­هایی که از این VLAN صادر می­شود برچسب نخواهند خورد. و همین امر باعث می­شود که کلیه پیام­های VLANهای ۱ به راحتی قابل شنود باشند. دلیل بعدی آن همان طور که گفتیم ترافیک بین سوئیچ­ها از طریق ترانک­ها و توسط پروتکل­های ترانکینگ ISL و Q 802.1 کنترل می شوند.

این پروتکل­ها تنها از طریق Header بسته­ های رسیده از VLAN ها به وظایف خود عمل می­کنند. حالا یک مهاجم از ترکیب این دو ویژگی می­تواند به هر کدام از VLAN ها که خواست دسترسی داشته باشد.

چگونه؟ مهاجم بسته خارج شده از VLAN1 را که به راحتی قابل شنود است، و بسته بندی هم نشده است، بسته بندی می­کند و Header خود را به آن اضافه می­کند!

پروتکل­های ترانکینگ با بسته ه­ایی سر و کار دارند، که هدر داردو مامور است ومعذور که پیام را به سوئیچ مربوطه برساند!

اما چگونه می توان جلوی این موضوع را گرفت؟

بهترین کار این است که تمامی پورت­ها و ترانک­ها را از VLAN1 خارج کنیم و تا آنجا که می­توانیم از این VLAN استفاده نکنیم، در عوض VLAN دیگری را به عنوان native VLAN تعریف کنیم. اگر پروتکل­هایی داریم که تنها باید از VLAN1 استفاده کنند سعی کنیم که VLAN1 نهایت امنیت را به کار ببریم.

امنیت VLAN و Trunk :

مورد بعدی اینکه تمام پورت­هایی که در یک سوئیچ بلا استفاده هستند را خاموش (shut down) کنیم، باید توجه داشت که حتی disable کردن هم امن نیست چرا که امکان Enable کردنش وجود خواهد داشت و سپس این پورت­های بلااستفاده را در یک VLAN جداگانه قرار دهید و آن VLAN را به هیچ VLAN دیگری ارتباط ندهید. به این VLAN ها اصطلاحاً Parking lot VLAN می­گویند!
اگر یک سری از پورت­ها خیلی مهم حیاتی هستند آن­ها را از سایر پورت­ها جدا کرده و در یک VLAN جداگانه­ی امن، نگهداری کنید. اگر نسبت به یک سری از کاربران مشکوک هستید، آن­ها را در VLAN های جداگانه­ای قرار بدهید. پروتکل DTPرا که امکان ترانک کردن یک پورت در صورت نیاز را مهیا می­کرد، غیر فعال کنیم، چرا که این کار می­تواند توسط یک هکر صورت گیرد!
برای سوئیچ­ها پسورد بگذارید. از سیاست­های port security استفاده کنید.

منبع : آقای اکرمی