sebastian.f 10 Geschrieben 15. September 2006 Melden Teilen Geschrieben 15. September 2006 Hallo, ich habe heute Morgen von diesen heise Netze - Schwachstellen in Cisco-Switches , Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities Bugs gelesen und Frage micht natürlich ob mein Netzwerk anfällig ist. Problematisch ist dieser Bug doch eigentlich nur wenn ich viele Maschinen und Benutzer habe die auf das Management VLAN meiner Switches zugreifen dürfen oder? Denn aus normalen VLANs werden VTP Pakete ja nicht verarbeitet, da der VLAN Traffik nur über das Management VLAN läuft. Habe ich jetzt einen Denkfehler oder ist das so richtig? Gruß Sebastian Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. September 2006 Melden Teilen Geschrieben 15. September 2006 vtp transparent .. dann biste fein raus :) Hier is ne Beschreibung vom Bug: FrSIRT Security Advisories - Cisco IOS Multiple VLAN Trunking Protocol Code Execution and DoS Vulnerabilities / Exploit Weiss jetzt nicht was du mit dem Mngt VLAN meinst, aber es ist nur der Trunkport angreifbar, und auch nur aus dem eigenen Netz (hab ich zumindest noch so im Kopf aus dem Adv.) Zitieren Link zu diesem Kommentar
sebastian.f 10 Geschrieben 15. September 2006 Autor Melden Teilen Geschrieben 15. September 2006 Naja ich hab ca. 40 Switches im Netz da is das mit transparent nicht grade so toll :) Mit Managment VLAN meinte ich eigentlich das Default VLAN wenn jetzt keine Maschinen im Default habe dann kann mir ja auch keiner ein manipuliertes VTP Paket schicken das der Switch abarbeitet oder? Weil er ja nur VTP Pakete abarbeitet die aus dem Default VLAN, bzw. von einem Trunk Port kommen. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. September 2006 Melden Teilen Geschrieben 15. September 2006 Also mit dem default VLAN bin ich mir jetzt unsicher. Eigentlich musst du am Trunkport sitzen. Da muss ich jetzt auch mal bisschen suchen ... Schau mal hier: http://www.phenoelit.de/stuff/CiscoVTP.txt Die haben den Bug gefunden .. :) Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 15. September 2006 Melden Teilen Geschrieben 15. September 2006 Das ist wohl wieder einer der "philosophischen" Bugs. Wenn man sich ein Konstrukt hinbastelt ... Sicher, Telefonzellen sind überwiegend unsicher weil man problemlos mit nem Panzer drüber fahren kann. Frei zugängliche Trunk-Ports sollte es in einem LAN üblicherweise nicht geben - und somit sollte der Exploit in einem Netz so nicht ausnutzbar sein. Üblicherweise hängen die Passwörter für die Switches auch nicht am schwarzen Brett, also kann sich ein User nicht mal schnell einen Trunkport basteln - und selbst wenn braucht er noch etwas an zusätzlichem Equipment (VLAN-fähige Netzwerkkarte und ein Programm mit dem er sich kapute VTP-Frames basteln kann). Andererseits: Es ist "best practice", bekannte Exploits in seinem Netz zu verhindern, also das Update der Switches auf die ToDo-Liste schreiben. Gruss Markus Zitieren Link zu diesem Kommentar
sebastian.f 10 Geschrieben 15. September 2006 Autor Melden Teilen Geschrieben 15. September 2006 Hallo, habe jetzt nochmals gelesen und das Packet per pcap und Wireshark erstellt, und den Exploit in meiner Testumgebung getestet. Es funnktioniert nur an einem Trunk Port und man muss die VLAN Domäne und das VTP Passwort kennen. Wenn man Trunking auf normalen Access Ports grundsetzlich deaktiviert hat ist man nicht anfällig. Das ist auch so aus den verschiedenen Exploit Beschreibungen ersichtlich. Also alles nur halb so schlimm, wichtig ist CDP nur für bestimmte Ports zulassen und Trunking für Access Ports deaktivieren dann hat man keine Problem. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.