📬 ISN 170: Dlaczego nigdy nie powinieneś używać VLAN 1?

Nowy prefix IPv6 dla dokumentacji

New IPv6 Documentation Prefix « ipSpace.net blog

After three and a half years of haggling (the IETF draft that became the RFC was written in May 2021; the original discussions go back to 2013), Nick Buraglio & co managed to persuade pontificators bikeshedding in the v6ops working group that we might need an IPv6 documentation prefix larger than the existing 2001:db8::/32. With the new documentation prefix (3fff::/20) (defined in RFC 9637), there’s absolutely no excuse to use public IPv6 address space in examples anymore.

ipSpace Logo

Często kluczem do niepowodzeń w implementacji nowych rozwiązań są pominięte detale lub błędy w dokumentacji. W przypadku adresacji IPv6, ten problem wreszcie znajdzie swoje rozwiązanie dzięki najnowszym decyzjom IETF.

Od dawna borykamy się z niewłaściwym używaniem publicznych zakresów adresów IP w przykładach i dokumentacji technicznej. Mimo istnienia 32-bitowego prefiksu dokumentacyjnego IPv6 2001:db8::/32, wielu autorów wciąż korzystało z rzeczywistych prefiksów przypisanych do różnych organizacji.

To prowadziło do ryzyka kolizji i problemów z funkcjonowaniem rozwiązań opartych na takich przykładach. Co gorsza, używanie prawdziwych adresów mogło stanowić zagrożenie dla bezpieczeństwa, zwłaszcza w kontekście testów penetracyjnych.

Po latach debat i przygotowań, IETF wprowadził RFC 9637, który prezentuje nowy, znacznie większy prefiks dokumentacyjny 3fff::/20. Nowy zakres dostarczy ponad 536 tysięcy możliwych do wykorzystania podsieci /64, zaspokajając potrzeby dokumentalistów i programistów.

Co jest nie tak z VLAN 1?

Danny Wells on LinkedIn: #networkengineering | 42 comments

“Never use VLAN 1 on the network!”...but why not? 🤔 When I was starting out, I was told to never use VLAN 1 on the network, change the native VLAN and… | 42 comments on LinkedIn

LinkedInDanny Wells

"Nigdy nie używaj VLAN 1 w sieci" - to stwierdzenie jest często powtarzane, ale właściwie, dlaczego? Zacznijmy od podstaw.

VLAN 1 to domyślna, zdefiniowana w fabryce sieć dla większości przełączników sieciowych. Jednak jej wykorzystanie w rzeczywistych sieciach produkcyjnych niesie ze sobą wiele zagrożeń.

Niektóre protokoły sieciowe, takie jak STP, CDP i VTP, przesyłają ramki zarządzania bez znakowania VLAN, czyli w ramach natywnej sieci VLAN. Jeśli VLAN 1 jest wykorzystywana do komunikacji, złośliwy użytkownik może przechwycić te ramki i potencjalnie spowodować zakłócenia w działaniu sieci.

Domyślnie wszystkie porty przełącznika należą do VLAN 1. Jeśli porty nie są zabezpieczone, każde urządzenie podłączone do nich uzyska dostęp do VLAN 1 i potencjalnie do poufnych ramek zarządzania.

Ponieważ VLAN 1 jest siecią domyślną, często bywa ona również natywną siecią VLAN dla łączy trunk pomiędzy przełącznikami. Oznacza to brak rzeczywistej segmentacji między tymi urządzeniami, co stanowi ogromne ryzyko.

Ciekawym atakiem na VLAN natywny jest VLAN hopping, znany również jako double tagging. Polega on na przesłaniu ramki z podwójnym tagiem VLAN. Pierwszy tag, będący tagiem natywnym, jest odrzucany, a następnie ramka jest przetwarzana zgodnie z drugim tagiem.

Jak zwiększyć bezpieczeństwo sieci?

• Zmiana natywnego VLAN-u - Pierwszym krokiem powinno być zmienienie numeru natywnej sieci VLAN na inny niż VLAN 1. Dobrym pomysłem jest wybranie numeru wyraźnie różniącego się od używanych sieci VLAN użytkowników, np. VLAN 666.
• Kontrola dostępu 802.1x - Wdrożenie zabezpieczeń portów za pomocą mechanizmu 802.1x znacząco zwiększy bezpieczeństwo sieci. Alternatywnie można wyłączyć nieużywane porty dostępowe.
• Dedykowany VLAN natywny - Jeśli przełączniki to umożliwiają, rozwiązaniem jest wyłączenie VLAN 1 na portach trunk oraz przesunięcie ruchu administracyjnego do dedykowanego VLAN .

Projekty, które warto śledzić

projekty

poniżej lista projektów które stworzyłem i/lub aktywnie utrzymuje: AS 112 - międzynarodowa inicjatywa polegająca na odciążeniu serwerów root DNS ze śmieciowego ruchu generowanego przez klientów i serwery próbujące wysyłać zapytania o przestrzeń z RFC 1918 (prywatne) w świat; w Polsce utrzymuje trzy serwery DNS ściągające na siebie takie zapytania BGP Blackholing - projekt otwartego serwera tras BGP, rozgłaszającego “niedobre” prefiksy dla wszystkich chętnych Serwer tras RPKI - projekt otwartego serwera RPKI, pozwalającego pobrać informacje walidujące prefiksy BGP przez sesje/transport TCP RTR

lukasz.bromirski.netŁukasz Bromirski

Łukasz Bromirski, prezentuje listę projektów, które stworzył oraz aktywnie utrzymuje. Wśród nich znajduje się międzynarodowa inicjatywa AS 112, która odciąża serwery root DNS, projekt BGP Blackholing rozgłaszający problematyczne prefiksy, serwer tras RPKI umożliwiający walidację prefiksów BGP, otwarty projekt serwera tras BGP z pełnym widokiem tablicy routingu oraz repozytorium zasobów dotyczących bezpieczeństwa ISP.

Kolekcja przykładów NSO

GitHub - NSO-developer/nso-examples: The NSO Example Collection

The NSO Example Collection. Contribute to NSO-developer/nso-examples development by creating an account on GitHub.

GitHubNSO-developer

Kolekcja przykładów NSO zawiera różnorodne materiały, od prostych do bardziej zaawansowanych, skierowane głównie do programistów aplikacji NSO, ale przydatne także dla administratorów.

Przykłady są uporządkowane według typowego procesu nauki nowego użytkownika NSO, co ułatwia odnalezienie odpowiednich materiałów. Wiele z nich korzysta z Netsim do symulacji zarządzanych urządzeń.

Możesz zablokować sieć TOR?