sebastian.f 10 Geschrieben 15. September 2006 Melden Geschrieben 15. September 2006 Hallo, ich habe heute Morgen von diesen heise Netze - Schwachstellen in Cisco-Switches , Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities Bugs gelesen und Frage micht natürlich ob mein Netzwerk anfällig ist. Problematisch ist dieser Bug doch eigentlich nur wenn ich viele Maschinen und Benutzer habe die auf das Management VLAN meiner Switches zugreifen dürfen oder? Denn aus normalen VLANs werden VTP Pakete ja nicht verarbeitet, da der VLAN Traffik nur über das Management VLAN läuft. Habe ich jetzt einen Denkfehler oder ist das so richtig? Gruß Sebastian
Wordo 11 Geschrieben 15. September 2006 Melden Geschrieben 15. September 2006 vtp transparent .. dann biste fein raus :) Hier is ne Beschreibung vom Bug: FrSIRT Security Advisories - Cisco IOS Multiple VLAN Trunking Protocol Code Execution and DoS Vulnerabilities / Exploit Weiss jetzt nicht was du mit dem Mngt VLAN meinst, aber es ist nur der Trunkport angreifbar, und auch nur aus dem eigenen Netz (hab ich zumindest noch so im Kopf aus dem Adv.)
sebastian.f 10 Geschrieben 15. September 2006 Autor Melden Geschrieben 15. September 2006 Naja ich hab ca. 40 Switches im Netz da is das mit transparent nicht grade so toll :) Mit Managment VLAN meinte ich eigentlich das Default VLAN wenn jetzt keine Maschinen im Default habe dann kann mir ja auch keiner ein manipuliertes VTP Paket schicken das der Switch abarbeitet oder? Weil er ja nur VTP Pakete abarbeitet die aus dem Default VLAN, bzw. von einem Trunk Port kommen.
Wordo 11 Geschrieben 15. September 2006 Melden Geschrieben 15. September 2006 Also mit dem default VLAN bin ich mir jetzt unsicher. Eigentlich musst du am Trunkport sitzen. Da muss ich jetzt auch mal bisschen suchen ... Schau mal hier: http://www.phenoelit.de/stuff/CiscoVTP.txt Die haben den Bug gefunden .. :)
Blacky_24 10 Geschrieben 15. September 2006 Melden Geschrieben 15. September 2006 Das ist wohl wieder einer der "philosophischen" Bugs. Wenn man sich ein Konstrukt hinbastelt ... Sicher, Telefonzellen sind überwiegend unsicher weil man problemlos mit nem Panzer drüber fahren kann. Frei zugängliche Trunk-Ports sollte es in einem LAN üblicherweise nicht geben - und somit sollte der Exploit in einem Netz so nicht ausnutzbar sein. Üblicherweise hängen die Passwörter für die Switches auch nicht am schwarzen Brett, also kann sich ein User nicht mal schnell einen Trunkport basteln - und selbst wenn braucht er noch etwas an zusätzlichem Equipment (VLAN-fähige Netzwerkkarte und ein Programm mit dem er sich kapute VTP-Frames basteln kann). Andererseits: Es ist "best practice", bekannte Exploits in seinem Netz zu verhindern, also das Update der Switches auf die ToDo-Liste schreiben. Gruss Markus
sebastian.f 10 Geschrieben 15. September 2006 Autor Melden Geschrieben 15. September 2006 Hallo, habe jetzt nochmals gelesen und das Packet per pcap und Wireshark erstellt, und den Exploit in meiner Testumgebung getestet. Es funnktioniert nur an einem Trunk Port und man muss die VLAN Domäne und das VTP Passwort kennen. Wenn man Trunking auf normalen Access Ports grundsetzlich deaktiviert hat ist man nicht anfällig. Das ist auch so aus den verschiedenen Exploit Beschreibungen ersichtlich. Also alles nur halb so schlimm, wichtig ist CDP nur für bestimmte Ports zulassen und Trunking für Access Ports deaktivieren dann hat man keine Problem.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden