Existem riscos adicionais para o firewall entre VLANs em um único tronco Dot1Q, em oposição a links Ethernet discretos?

Navegue suas respostas
3

Eu estou olhando para a implementação de um firewall pfSense em uma rede, e eu tenho várias opções quando se trata de implementação. Especificamente, eu posso:

  1. Fure cada zona de rede (WAN, DMZ, core) em interfaces separadas que entram no dispositivo de firewall.
  2. Pipe um único tronco dot1q no firewall contendo as 3 VLANs que transportam as diferentes redes e coloque-as no firewall entre elas.
O nervosismo nervoso de mim está inclinado a (1) já que o tráfego diferentemente confiável é mais limpo em redes fisicamente segregadas. No entanto, (2) parece um pouco mais simples e requer menos NICs no firewall.

Obviamente, (2) tem uma desvantagem de largura de banda, só posso canalizar o total de 1Gbps em todas as redes através do firewall, mas isso não é uma preocupação no momento.

Minha pergunta é: (2) apresenta algum risco adicional que eu não conheço? Um atacante sentado na rede WAN poderia interceptar / alterar o tráfego nas outras duas redes apenas compartilhando um tronco dot1Q com o firewall?

    
por growse 21.12.2011 / 23:57

2 respostas

4

Uma classe de vulnerabilidade a ser conhecida é chamada de "vlan hopping" - existem alguns métodos de ataque por aí em que um invasor pode adicionar um cabeçalho 802.1q a um pacote ou adicionar um extra a um pacote que já tem um (que é legal sob a especificação), com a intenção de ter algum equipamento encaminhando o pacote para uma rede onde ele não deveria ir dentro da operação normal da rede.

No entanto, certamente existem limites - neste dia e idade, o ataque precisaria de um erro de configuração de rede grave para ser vulnerável (uma porta que está ignorando as tags de uma porta que aceita tags, acesso do invasor a um protocolo de truncamento dinâmico. acesso de porta ou invasor a uma porta que aceita tags que não deveria), em vez de uma vulnerabilidade no próprio software do dispositivo de rede - a maioria deve evitar a possibilidade de marcar pacotes de portas de acesso, por exemplo.

Um invasor precisa estar no mesmo domínio de broadcast da sua interface WAN para tentar esse ataque, e há um número limitado de dispositivos com reconhecimento de vlan, o que deixa pouca área de superfície para esse erro de configuração.

Há um artigo interessante que tenta um ataque de prova de conceito contra o equipamento da Cisco aqui .

Honestamente, o maior risco de segurança que a separação física protege contra aqui é a simples configuração incorreta - aceitando acidentalmente pacotes marcados para a vlan interna na interface WAN ou acidentalmente conectando o link WAN em uma porta de acesso para a vlan interna. / p>

Um layout de interface única cuidadosamente planejado e configurado corretamente pode certamente ser tão seguro quanto uma configuração com lacuna de ar, contanto que você entenda os riscos e ameaças potenciais.

    
por 22.12.2011 / 00:15
2

Resposta curta é não, eles devem ser equivalentes. Você já mencionou a largura de banda compartilhada, então a exceção seria que um ataque do DOS em uma interface poderia afetar o tráfego nos outros, mas do ponto de vista de segurança, eles não poderiam acessar as outras VLANs.

Isso tudo assume que as VLANs estão configuradas e segregadas adequadamente (com firewall) umas das outras.

    
por 22.12.2011 / 00:09

Tags

Como posso desabilitar o NTP no pfsense? Software de monitoramento da UPS para Linux, FreeBSD e Solaris