Native VLAN یا همچنین به آن ویلن پایه نیز گفته میشود و در تکنولوژیهای شبکه استفاده میشود، اما اینجا به ویژه در محیطهای شبکههای مبتنی بر استاندارد IEEE 802.1Q و VLAN ها در شبکههای اترنت اشاره میکنیم. VLAN (Virtual Local Area Network) به شما این امکان را میدهد تا دستگاهها و کامپیوترها را در یک شبکه فیزیکی به گروههای جداگانه تقسیم کنید. این کار به شبکهها امکان میدهد تا بهبود امنیت، مدیریت و عملکرد را برقرار کنند. حالا در محیطهای VLAN، معمولاً یکی از VLAN به عنوان Native VLAN تعریف میشود. Native VLAN به عنوان VLAN پیش فرض برای دادههای ارسالی از دستگاهها استفاده میشود که در VLAN های دیگر عضو نیستند یا از قبل به Native VLAN تعلق دارند.
ویلن Native VLAN ممکن است خطرناک باشد!
شما در نظر داشته باشید که یک سوئیچ مدیرتی دارید و یک سوئیچ غیر مدیریتی یا همون HUB که VLAN متوجه نمیشود و این که سوئیچ مدیریتی مان از طریق پورت ترانک به سوئیچ غیر مدیریتی وصل شده است وقتی بسته ای از سمت سوئیچ غیر مدیریتی ما به سمت سوئیچ مدیریتی می آید دیگر متوجه بسته نمیشود چون تگی ندارد. بسته های بدون تگ وارد VLAN1 میشوند به صورت دیگری هم میتوان گفت VLAN 1 هم تگ نمیخورد Native VLAN ها فوق العاده خطرناک هستند اگر یک بسته الوده وارد VLAN1 شود به راحتی میتواند تمامی کامپیوترهای موجود در VLAN یک را آلوده کند این یک نکته فوق العاده امنیتی میباشد Native VLAN نادرست پیکربندی شده ممکن است خطرناک باشند به دلیل امنیتی.
دلایل زیر توضیح میدهند چرا ویلنهای Native VLAN ممکن است خطرناک باشند:
تجهیزات سیسکو یکی از معروفترین و معتبرترین برندهای تجهیزات شبکه در جهان است
انتقال ترافیک ناخواسته
انتقال ترافیک ناخواسته: اگر Native VLAN به نادرستی تنظیم شود یا بر روی تمام پورتهای سوئیچ تعیین شود، افرادی که به شبکه دسترسی دارند میتوانند دادهها را به راحتی از شبکهی دیگری که به VLAN Native متصل است، بخوانند یا تغییر دهند. این امر میتواند به انتقال ترافیک ناخواسته و دسترسی به اطلاعات محرمانه منجر شود.
حمله VLAN Hopping
حمله VLAN Hopping:حمله VLAN Hopping به وسیلهی حملهکنندگان بر روی VLANهای دیگر شبکه انجام میشود. اگر VLAN Native به نادرستی پیکربندی شود، حملهکنندگان میتوانند از این آسیبپذیری بهرهبرند و به ویژه اگر سیستمها به VLAN Native متصل باشند، به سرعت به دیگر VLANها دسترسی پیدا کنند.
پیکربندی اشتباهی
پیکربندی اشتباهی: در بعضی مواقع، ممکن است Native به طور اشتباه تنظیم شود یا تغییر کند. این اشتباهات میتوانند منجر به اشکالات امنیتی شبکه شوند.
ابزارهای خرابکاری
ابزارهای خرابکاری: حملهکنندگان میتوانند از ابزارهای خرابکاری و اشکالزا برای تخریب شبکه یا تغییر پیکربندی VLAN Native استفاده کنند.
اجرای اصول امنیتی مناسب در VLAN Native
برای افزایش امنیت شبکه، توصیه میشود که از اجرای اصول امنیتی مناسب برای VLAN Native و دسترسی به سوئیچها و روترها استفاده شود. به عنوان مثال:
- اجازه دسترسی به VLAN Native را به دستگاههای معتبر و مجاز محدود کنید.
- از تکنیکهای VLAN Hopping جلوگیری کنید، از جمله پیکربندی Port Security و Private VLANs.
- برای کنترل دسترسی به پورتها از استانداردهای 802.1X استفاده کنید.
- مراقبت کنید که ویلن Native به درستی پیکربندی شده باشد و از پیکربندیهای اشتباهی جلوگیری کنید.
پیکربندی صحیح ویلن Native برای جلوگیری از حملات امنیتی
به طور کلی، درستی و امنیت پیکربندی ویلن Native بسیار مهم است تا از حملات و نقضهای امنیتی در شبکه جلوگیری شود. و اما راهکار چیست؟
راه حل اول
تمامی سوئیچ ها به صورت پیشفرض Native VLAN 1 دارند و اجازه میدهند بسته بدون تگ وارد سوئیچ شود. ما باید Native VLAN را عوض کنیم اول واردInterface میشوید که ترانک هست
En
Conf t
Interface g 0/1
Switchport trunk native vlan 400
نکته: سوئیچ های رو به رویه هم باید حتما در یک Native VLAN باشند.
سوئیچ سیسکو با پشتیبانی از پروتکل مختلف، مدیریت مرکزی، امنیت پیشرفته
راه حل دوم
راهکار دوم این هست که هیج اسنترفیسی را در VLAN 1 قرار ندهیم یعنی تمامی اسنترفیس های موجود را از VLAN1 خارج کنیم و بزاریم Native VLAN در داخل VLAN1 بماند.
همانطور که مشاهده میکنید تمامی VLAN ها رو از VLAN1 خارج کردیم.
