Redes

Por que Trocar a VLAN Nativa ou VLAN 1

Marcelo Brenzink do Nascimento - 7 de outubro de 2019

Olá amigos, leitores, seguidores e alunos da DlteC! Nesse artigo você vai aprender por que os fabricantes recomendam trocar o número da VLAN Nativa ou VLAN 1 em seus switches.

O mais importante aqui é frisar a importância de você conhecer seus dispositivos de infraestrutura de rede.

Saber que as configurações de fábrica quase nunca são seguras! Leia com atenção e você vai entender.

Mas primeiro, se você não sabe o que é uma VLAN Nativa dá uma lida no artigo abaixo, aí depois volta para cá, combinado? Segue o link:

Por que raios existe VLAN Nativa nos Switches se os fabricantes recomendam não utilizar?

A VLAN Nativa, assumindo que você está utilizando o protocolo 801.1Q em seus trunks, é enviada sem marcação de quadros por padrão.

Vários fabricantes, inclusive a Cisco, utiliza o VLAN ID 1 (VLAN 1) para designar a VLAN Nativa.

Essa mesma VLAN acaba tendo também a função de VLAN de Gerenciamento nos switches L2.

Além de ser utilizada como Nativa e Gerenciamento, esse tipo de VLAN acaba sendo utilizada para trafegar protocolos como DTP, VTP, CDP, LLDP e BPDUs.

Mas saiba, utilizar a VLAN 1 como nativa e gerenciamento pode ser uma má ideia, principalmente se houver porta de acesso alocada nessa VLAN.

Saiba que por padrão um switch gerenciável que suporta VLANs traz suas portas na VLAN 1, pelo menos maioria deles.

Portanto se você tira um switch da caixa e coloca na sua rede como se fosse um Hub, sem configurar nada, você já está criando brechas de segurança nela!

Mas qual o risco de usar portas na VLAN 1?

Na prática é possível gerar tráfego de uma determinada VLAN e direcioná-lo para outra VLAN diferente.

Normalmente esse tráfego é unidirecional, ou seja, não vai dar possibilidade de retorno a quem está fazendo o envio malicioso.

Isso pode ser usado, por exemplo, para um ataque de DoS ou DDoS para tirar do ar algum serviço ou até uma máquina remota específica que a VLAN atual não tenha acesso.

Normalmente esse tipo de ataque é chamado de VLAN Hopping e pode ser realizado de duas maneiras, através do Switch Spoofing e do Double Tagging.

Como podemos evitar problemas com a VLAN 1 ou VLAN Nativa?

Primeiro configurando as portas de acesso corretamento, evitando protocolos de negociação de trunk dinâmico.

Por exemplo, a Cisco possui um protocolo chamado DTP ou Dynamic Trunk Protocol que vem ativado por padrão.

Esse tipo de protocolo permite facilmente um atacante configurar sua porta de computador como trunk e fazer um switch spoofing.

Portanto, portas onde temos configurados computadores devem evitar negociação.

O segundo ponto importante é mudar o VLAN-ID da VLAN Nativa de 1 para outro número qualquer e não utilizar para alocar portas.

Uma terceira alternativa é fazer com que a VLAN Nativa seja marcada pelo 802.1Q nos trunks, assim não temos mais problemas de double tagging.

Isso é possível em maioria dos fabricantes, porém são comandos que devem ser inseridos em todos os switches da rede para não haver problemas de configurações diferentes, ou seja, o famoso mismatch.

Como você pode aprender mais sobre switches e VLANs?

Para você dominar os conceitos mais importantes sobre switching e VLANs temos no Portal da DlteC 03 cursos essenciais para você:

Ao completar esses cursos você irá ter concluido uma sequência que dificilmente você encontra no mercado, que são os recursos e facilidades que um switch pode oferecer.

No decorrer desses três cursos você vai encontrar quase tudo que você pode precisar no seu dia a dia, projeto, resolução de problemas e tudo mais (nota: coisas que eu queria saber antes de iniciar a estudar sobre switching e não encontrei em lugar nenhum de forma unificada).

No segundo curso, o switches ethernet parte II, você vai aprender o funcionamento dos switches, desde como ele é formado por dentro até como ele encaminha os quadros na rede.

Muita gente ainda no mercado de trabalho vê os switches como Hubs, ou seja, tira da caixa e conecta cabos que tudo funciona…

… sinceramente não é bem por aí!

Tem muita coisa por trás dos bastidores!

Por último, no terceiro curso chamado de “Spanning-tree de A a Z” você vai aprender como funciona esse importante protocolo. Tão importante que pode causar até demissão!

… opa! Você ouviu demissão?

Claro que estamos exagerando um pouco para chamar sua atenção, porém não é impossível de acontecer, pois já vimos rede de grande porte parar porque alguém ouviu dizer que o spanning-tree podia ser desabilitado (parece incrível, mas é verdade).

Simplesmente parou tudo… imagina isso em uma fábrica? (com certeza cabeças vão rolar)

E a boa notícia é que você pode ter acesso a esses cursos (e a todos os cursos do portal). Basta ativar nosso plano de acesso e começar a se especializar agora mesmo.

E se você já é nosso assinante vá lá e ative os cursos!

Mais uma vez agradeço pela sua paciência em ler meu singelo artigo, espero ter ajudado com esse conteúdo e até uma próxima!

Sou um dos fundadores do Portal da DlteC do Brasil, graduado em Engenharia Eletrônica/Telecomunicações em 1998 pela UTFPR e pós-graduado em Redes e Sistemas Distribuídos pela PUC-PR em 2003. Trabalho na área de Tecnologia da Informação e Telecomunicações desde 1996. Já passei por empresas como Siemens, Impsat (atualmente CenturyLink), Senai-PR, Dimension Data (atualmente NTT) e outras empresas. Sou certificado ITIL Foundations, CCNA, CCNP Enterprise, IPv6 Fórum Certified Network Engineer (Gold), IPv6 Fórum Certified Security Engineer (Silver) e Hurricane Electric IPv6 Certification Sage.

One Response

  • Wiberg 14 de julho de 2020 at 18:30

    Parabéns pela iniciativa de disseminar o conhecimento.

    Reply

    • Leave a Reply

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.