Atualmente estudando para um CCNA Security, fui ensinado a nunca usar a VLAN nativa para fins de segurança. Esta discussão antiga do fórum da Cisco afirma muito claramente:
Você nunca deve usar a VLAN padrão porque o salto na VLAN é muito mais fácil com a VLAN padrão.
No entanto, de um ponto de vista prático, não sou capaz de identificar com precisão qual ameaça real está sendo abordada.
Meus pensamentos são os seguintes:
Como o invasor está localizado na VLAN nativa, talvez ele possa injetar diretamente pacotes 802.1q que serão encaminhados sem modificação pelo primeiro comutador (como proveniente de uma VLAN nativa) e os próximos comutadores considerarão esses pacotes como pacotes legítimos de qualquer VLAN escolhida pelo atacante.
Isso realmente tornaria os ataques de salto de VLAN "muito mais fáceis" . No entanto, isso não funciona, pois o primeiro comutador considera corretamente anormal receber pacotes 802.1q em uma porta de acesso e, portanto, descarta esses pacotes.
Um invasor localizado em uma VLAN não nativa consegue transformar uma porta de acesso do switch em uma de tronco. Para enviar tráfego para a VLAN nativa, ele apenas precisará alterar seu endereço IP (um único comando) em vez de habilitar a VLAN em sua interface de rede (quatro comandos), salvando três comandos.
Obviamente, considero isso no máximo um ganho muito marginal ...
Ao investigar a história, pensei em ler em algum lugar recomendações antigas afirmando que a injeção 802.1q poderia exigir uma placa de rede compatível e drivers específicos. Esses requisitos realmente limitariam a capacidade do invasor de injetar pacotes 802.1q e tornar a exploração de VLAN nativa muito mais prática no cenário anterior.
No entanto, hoje em dia isso não parece ser uma limitação real e os comandos de configuração da VLAN são uma parte comum dos comandos de configuração de rede do Linux (pelo menos).
Poderíamos considerar esse conselho de não usar as VLANs nativas desatualizadas e mantidas apenas para fins históricos e de configuração da sanidade, mesmo que essa prática não lide mais com nenhuma ameaça em particular? Ou existe um cenário concreto em que o salto de VLAN realmente se torna muito mais fácil devido ao uso da VLAN nativa?