Native VLAN 이란

Native VLAN 이란

+ Native VLAN은 허브와 스위치를 함께 사용하던 환경에서 통신 호환성을 위하여 만들어졌다.

스위치는 VLAN정보를 구분하기 위해 프레임에 Tag를 부착하여 전달한다. 

Tagging 방식은 ISL과 802.1Q 가 있다.

허브는 VLAN을 구분할 수 있는 기능이 없어 프레임을 그대로 PC에게 전달하게 되고, 일반적인 PC는 VLAN이 표시된 프레임을 인식하지 못하여 데이터를 잘못 인식하게 된다. 

그리고 허브로부터 받은 Tag가 붙지 않은 데이터는 스위치에서 버려지게 되므로, VLAN이 나눠져 있는 스위치와 허브간에 통신이 되지 못한다.

 

이런 통신환경에서 Tag가 붙지 않은 프레임도 통신될 수 있도록 하는 기능이 Native VLAN이다.

Native VLAN은 기본적으로 1번 멤버십 번호로 할당 되어있으며, VLAN멤버십이 표시된 Tag가 붙어있지 않은 프레임을 모두 Default인 VLAN 1번으로 취급하여 통신이 되도록 만들어준다.

 

 

Native VLAN의 또 다른 사용 구간

+ Native VLAN은 Voice 데이터를 전달할 경우 사용한다

Voice 데이터는 속도에 민감한 데이터로 빠르게 전달되어야 한다. 

그래서 VLAN에 소속되어 Tag를 붙였다 떼었다 하는 작업을 거치지 않도록 Native VLAN으로 전송하면 좋다.

 

+ Native VLAN은 WAN 구간을 연결할 때 사용한다

VLAN은 스위치에서 나눈 논리적인 네트워크이므로, 물리적으로 네트워크를 구분하는 라우터에서는 VLAN을 인식할 수가 없다. 

따라서 데이터가 WAN으로 나가야 하는 경우, Tag를 붙이지 않고 보낼 수 있는 Native VLAN을 사용한다.  단, 서브인터페이스에서는 VLAN구분이 가능하다.

 

 

Native VLAN의 취약점

+ Native VLAN의 Default Number가 1번으로 설정이 동일하다

기본적으로 Native VLAN은 1번으로 설정이 되어있기 때문에 따로 변경해주지 않으면 Native VLAN이 1번으로 설정된 연결된 모든 장비와 통신이 가능하다. 그렇기 때문에 외부에서 내부 접근에 성공한 공격자에 의해 내부 통신망으로 접근이 가능해진다

 

+ Native VLAN이 이중 Tagging을 이용한 공격에 사용된다

Native VLAN은 모든 스위치를 그냥 통과할 수 있기 때문에 보안설정이 되어있는 라우터를 거치지 않고 통신을 하고자 하는 공격이 있을 경우에 원래 통신을 하려는 VLAN Tag앞에 Native VLAN Tag를 덧붙여 사용한다.

이와 같은 Hopping 공격(이중 Tagging을 이용한 내부 공격)을 할 경우 가장 먼저 시도하는 번호가 기본 번호인 1번이기 때문에 Native VLAN의 번호는 반드시 바꾸어 주어야 한다.