FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

ネイティブVLANをデフォルト状態(VLAN1)のままにしないほうがよい理由 CCNA CCNP

2019.10.10 (Thu)

少なくともCiscoスイッチでは、トランクポートでネイティブVLANを使用する必要があり、
ほとんどの場合、他のベンダーがそれを異なる方法で使用する必要があります。
ただし、セキュリティリスクはネイティブVLANとして設定されているVLAN 1
(デフォルトVLAN)に関係していることを覚えておく必要があります。








ネイティブVLANをVLAN 1から、作成した新しいVLANに変更する必要があります。
ネイティブVLANは、DTP、VTP、CDPフレームなどの多くの管理データ、
およびスパニングツリーのBPDUに使用されます。

新しいスイッチを取得すると、VLAN 1が存在する唯一のVLANになります。
これは、すべてのポートがデフォルトでこのVLANのメンバーであることも意味します。

VLAN 1をネイティブVLANとして使用している場合、
このVLANの一部として構成されていないすべてのポートがあります。
そのため、攻撃者が使用されていない(使用されていないため)設定されていないポート
に接続すると、管理VLANにすぐにアクセスでき、VLANホッピングを許可したり、
不要なパケットをキャプチャしたりする可能性のあるパケットを読み取って挿入できます

スイッチ/ルーターへのSSH、またはさらに悪いことにSSHを確認します
(Telnetを許可しないでください)。

常にVLAN 1を使用しないことをお勧めします。
したがって、攻撃者または不要なクライアントがVLAN 1に接続して終了し、
使用可能なゲートウェイなど、このVLANに何も構成されていない場合、
それらはほとんどスタックしてどこにも行けません、

ネイティブVLANはVLAN 900のようなものですが、
デフォルトのVLANではないため、ポートにアクセスする可能性は低くなります。

多くのエンジニアは未使用のポートを無効にせず、
重要なものにVLAN 1を使用すると、802.1xなどを使用しない限り
アクセス可能な状態になります。

エンジニア/ネットワーク管理者はにとって、
攻撃者に利益をもたらす小さなセキュリティホールがあります。

ただし、VLAN 1が使用されておらず、
ポートがデフォルトのままになっている場合は大きな問題ではありません。






関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック