วันเสาร์ที่ 17 มีนาคม พ.ศ. 2555

VLAN INTRODUCTION, เดี่ยวนี้การทำตัวเป็นSniffer ลำบาก ใคอยากเป็นก็ควรรู้เรื่องนี

พอดี ผมลองหา โปรแกรม แสกนต่างๆ โปรแกรมดัก โปรแกรมที่ใช้ในการ hackต่างๆ มาใช้ ปรากฏว่า ใช้ไม่ได้ ก็เลยพยายามหาสาเหตุตั้งนาน
ก็พบว่ามันเป็นอย่างนี้นี่เอง

ไม่พูดมากเอาไปเลยละกัน

VLAN คืออะไร

VLAN ย่อมาจาก Virtual LAN เป็นเทคโนโลยีที่ใช้ในการจำลองสร้างเครือข่าย LAN แต่ไม่ขึ้นอยู่กับการต่อทางกายภาพเช่น สวิตช์หนึ่งตัวสามารถใช้จำลองเครือข่าย LAN ได้ห้าเครือข่าย หรือสามารถใช้สวิตช์สามตัวจำลองเครือข่าย LAN เพียงหนึ่งเครือข่าย เป็นต้น

ในการสร้าง VLAN โดยใช้อุปกรณ์เครือข่ายหลายตัว จะมีพอร์ตที่ทำหน้าที่เชื่อมต่อระหว่างอุปกรณ์เครือข่ายแต่ละตัว เรียก Trunk port ซึ่งเสมือนมีท่อเชื่อม หรือ Trunk เป็นตัวเชื่อมด้วย

เนื่อง จาก VLAN เป็น LAN แบบจำลอง ถึงแม้ว่าจะต่อทางกายภาพอยู่บนอุปกรณ์เครือข่ายตัวเดียวกัน แต่การติดต่อกันนั้นจำเป็นต้องใช้อุปกรณ์ที่มีความสามารถในการค้นหาเส้นทาง เช่น เราเตอร์ หรือสวิตช์เลเยอร์สาม

ลักษณะพิเศษของ VLAN ทั่วๆ ไปคือ
1. VLAN แต่ละเครือข่ายที่ติดต่อกันนั้น จะมีลักษณะเหมือนกับต่อแยกกันด้วยบริดจ์
2. VLAN สามารถต่อข้ามสวิตช์หลายตัวได้
3. ท่อเชื่อม (Trunks) ต่างๆ จะรองรับทราฟฟิกที่คับคั่งของแต่ละ VLAN ได้

ชนิดของ VLAN

1. Layer 1 VLAN : Membership by ports

ใน การแบ่ง VLAN จะใช้พอร์ตบอกว่าเป็นของ VLAN ใด เช่นสมมุติว่าในสวิตช์ที่มี 4 พอร์ต กำหนดให้ พอร์ต 1, 2 และ 4 เป็นของ VLAN เบอร์ 1 และพอร์ตที่ 3 เป็นของ VLAN เบอร์ 2 ดังรูปที่ 1

Port
VLAN

1
1

2
1

3
2

4
1

รูปที่ 1 แสดงการกำหนดพอร์ตให้กับ VLAN

2. Layer 2 VLAN : Membership by MAC Address

ใช้ MAC Address ในการแบ่ง VLAN โดยให้สวิตช์ตรวจหา MAC Address จากแต่ละ VLAN ดูรูปที่ 2

MAC Address
VLAN

1212354145121
1

2389234873743
2

3045834758445
2

5483573475843
1

รูปที่ 2 แสดงการกำหนด MAC Address ให้กับ VLAN ต่างๆ

3. Layer 2 VLAN : Membership by Protocol types

แบ่ง VLAN โดยใช้ชนิดของ protocol ที่ปรากฎอยู่ในส่วนของ Layer 2 Header ดูรูปที่ 3

Protocol
VLAN

IP
1

IPX
2

รูปที่ 3 แสดงการแบ่ง VLAN โดยใช้ชนิดของ protocol กำหนด

4. Layer 3 VLAN : Membership by IP subnet Address

แบ่ง VLAN โดยใช้ Layer 3 Header นั่นก็คือใช้ IP Subnet เป็นตัวแบ่ง

IP Subnet
VLAN

23.2.24
1

26.21.35
2

รูปที่ 4 แสดงการแบ่ง VLAN โดยใช้ IP Subnet
5. Higher Layer VLAN's

VLAN ทำได้โดยใช้โปรแกรมประยุกต์หรือ service แบ่ง VLAN เช่นการใช้โปรแกรม FTP สามารถใช้ได้ใน VLAN 1 เท่านั้น และถ้าจะใช้ Telnet สามารถเรียกใช้ได้ใน VLAN 2 เท่านั้น เป็นต้น

ทำไมต้องใช้ VLAN

1. เพิ่มประสิทธิภาพของเครือข่าย

ใน ระบบเครือข่ายทั่วไปจะมีการส่งข้อมูล Broadcast จำนวนมาก ทำให้เกิดความคับคั่ง ( Congestion ) และ VLAN มีความสามารถช่วยเพิ่มประสิทธิภาพของเครือข่ายได้เนื่องจาก VLAN จะจำกัดให้ส่งข้อมูล Broadcast ไปยังผู้ที่อยู่ใน VLAN เดียวกันเท่านั้น

2. ง่ายต่อการบริหารการใช้งาน

VLAN อำนวยความสะดวกในการบริหารจัดการโครงสร้างของระบบเครือข่ายให้ง่าย มีความยืดหยุ่น และเสียค่าใช้จ่ายน้อย โดยเพียงเปลี่ยนโครงสร้างทางตรรกะ( Logical ) เท่านั้น ไม่จำเป็นต้องเปลี่ยนโครงสร้างทางกายภาพ กล่าวคือ ถ้าต้องการเปลี่ยนโครงสร้างของ VLAN ก็ทำโดยการคอนฟิกที่อุปกรณ์เครือข่ายใหม่ ไม่จำเป็นเปลี่ยนรูปแบบทางกายภาพของการเชื่อมต่อเครือข่ายที่มีอยู่เดิม

3. เพิ่มการรักษาความปลอดภัยมากขึ้น

เนื่อง จากการติดต่อระหว่างอุปกรณ์เครือข่ายจะสามารถทำได้ภายใน VLAN เดียวกันเท่านั้น ถ้าต้องการที่จะติดต่อข้าม VLAN ต้องติดต่อผ่านอุปกรณ์ค้นหาเส้นทางหรือสวิตช์เลเยอร์สาม

ข้อเสียและปัญหาที่พบของการใช้ VLAN

1. ถ้าเป็นการแบ่ง VLAN แบบ port-based นั้นจะมีข้อเสียเมื่อมีการเปลี่ยนพอร์ตนั้นอาจจะต้องทำการคอนฟิก VLAN ใหม่

2. ถ้าเป็นการแบ่ง VLAN แบบ MAC-based นั้นจะต้องให้ค่าเริ่มต้นของ VLAN membership ก่อน และปัญหาที่เกิดขึ้นคือในระบบเครือข่ายที่ใหญ่มาก จำนวนเครื่องนับพันเครื่อง นอกจากนี้ถ้ามีการใช้เครื่อง Notebook ด้วย ซึ่งก็จะมีค่า MAC และเมื่อทำการเปลี่ยนพอร์ตที่ต่อก็ต้องทำการคอนฟิก VLAN ใหม่

มาตรฐานของ VlLAN คือ 802.1Q นั้นมีลักษณะอย่างไร

มาตรฐาน IEEE 802.1Q นั้นเป็นมาตรฐานในการนำข้อมูลของ VLAN membership ใส่เข้าไปใน Ethernet Frame หรือที่เรียกว่า การ Tagging และโปรโตคอล 802.1Q นี้ถูกพัฒนาเพื่อแก้ปัญหาเรื่องการบริหารจัดการด้านเครือข่ายที่เพิ่มขึ้น เช่น การกระจายเครือข่ายใหญ่ๆ ให้เป็นส่วนย่อยๆ ( Segment ) ทำให้ไม่สูญเสียแบนวิธให้กับการ broadcast และ multicast มากเกินไป และยังเป็นการรักษาความปลอดภัยระหว่างส่วนย่อยต่างๆ ภายในเครือข่ายให้สูงขึ้นอีกด้วย

การต่อเติมเฟรม (tagging Frame) ด้วยมาตรฐาน 802.1Q นั้นจะทำในระดับ Data-Link layer และการทำ VLAN Tagging นั้นจะเป็นการเปลี่ยนรูปแบบของ Ethernet Frame มาตรฐาน 802.3 ให้เป็นรูปแบบใหม่ที่เป็นมาตรฐาน 802.3 ac ซึ่งมีไดอะแกรมของเฟรมมาตรฐาน 802.3 ดังรูปที่ 5 และไดอะแกรมของมาตรฐาน 802.3 ac ดังรูปที่ 6 ( ส่วนสีเหลืองแทนส่วนของ tag 802.1Q )

รูปที่ 5 แสดงรูปแบบของเฟรม 802.3 ก่อนที่จะทำ VLAN Tagging

รูปที่ 6 แสดงรูปแบบของเฟรม 802.3 ที่มีการ tagging 802.1Q แล้ว

รูปที่ 7 แสดงตารางของคำอธิบายส่วนต่างๆ ของมาตรฐาน 802.3

ช่องโหว่ของการใช้ VLAN

โดย ปกติแล้วจะไม่สามารถส่งข้อมูลข้าม VLAN ได้ถ้าไม่ใช้ เราเตอร์ สวิตช์เลเยอร์สาม หรือตัวกลางที่ช่วยค้นหาเส้นทางอื่นๆ แต่มีช่องโหว่ที่ทำให้ผู้ใช้สามารถส่งข้อมูลข้าม VLAN ได้โดยไม่ต้องอาศัยตัวกลาง เรียกว่า " การเบรค VLAN " ซึ่งช่องโหว่นี้เกิดจาก Trunking protocol ของสวิตช์บางรุ่น และวิธีการทดสอบคือทำการส่งข้อมูลตัวอย่างจาก VLAN หนึ่งไปยัง VLAN อื่น ที่อยู่บนสวิตช์คนละตัว และข้อมูลที่ส่งนั้นให้ทำการสร้าง ethernet Frame ที่มี Tag 802.1Q และเปลี่ยนค่าของหมายเลข VLAN ให้เป็นค่าของหมายเลข VLAN ปลายทางที่ต้องการเบรค เฟรมที่ถูกสร้างขึ้นใหม่นั้นจะมีลักษณะดังรูปที่ 6 และค่าของ Tag 802.1Q จะมีรูปแบบ "81 00 0n nn" โดยที่ nnn คือหมายเลขของ VLAN ซึ่งผลจากการทดสอบดังกล่างจะสามารถทำการเบรค VLAN ได้

สถานการณ์ต่อไปนี้จะทำให้เกิดช่องโหว่ของ VLAN

เมื่อผู้บุกรุกสามารถที่จะเข้าถึงพอร์ตในสวิตช์ที่เป็น VLAN เดียวกันกับ VLAN ของ Trunk port
เครื่องเป้าหมายอยู่บนสวิตช์ต่างกันแต่มีกลุ่ม trunk เดียวกัน
ผู้บุกรุกทราบถึง MAC address ของเครื่องเป้าหมาย
Layer 3 device สามารถสร้าง Connection จาก VLAN เป้าหมายกลับไปยัง VLAN ที่เป็นต้นทางได้
สรุป

เนื่องจากช่องโหว่ที่พบนั้นเป็นช่องโหว่ที่อาจจะไม่สามารถจะป้องกันได้เพราะเป็นช่อง
โหว่ ที่เกิดจากทางผู้พัฒนามาตรฐานและผู้ผลิตอุปกรณ์เครือข่าย ฉะนั้นขอแนะนำว่า ไม่ควรใช้ VLAN เพื่อจุดประสงค์ในการรักษาความปลอดภัยของข้อมูลที่ส่งผ่าน เพียงแต่คุณสมบัติที่ดีของ VLAN นั้นก็ทำให้เป็นทางเลือกอีกทางที่น่าใช้ คุณสมบัติดังกล่าวเช่นสามารถทำการแบ่งเครือข่ายง่าย ลดการ broadcast และ ลดความคับคั่ง ( Collision ) เป็นต้น
แต่ถ้าจำเป็นต้องใช้ VLAN นั้นให้พยายามเลี่ยงการใช้สวิตช์หลายตัว หรือกล่าวอีกนัยหนึ่งคือไม่ควรที่จะใช้ Trunk port

เรียบเรียงโดย : กิติศักดิ์ จิรวรรณกูล www.thaicert.org

ข้อมูลจาก ruk-com.in.th

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

;