Vlan Hopping Attack and Mitigation

Vlan Hopping Attack and Mitigation
Prima di saltare nel lavoro e nella prevenzione di un attacco di Vlan Hopping, è obbligatorio capire cos'è una VLAN.

VLAN è una rete di aree locali virtuali in cui una rete fisica è divisa in un gruppo di dispositivi per interconnetterli. La VLAN viene normalmente utilizzata per segmentare un dominio di trasmissione singolare in numerosi settori di trasmissione nelle reti a livello 2 commutato. Per comunicare tra due reti VLAN, è richiesto un dispositivo di livello 3 (di solito un router) in modo tale che tutti i pacchetti comunicati tra le due VLAN debbano passare attraverso il 3 ° dispositivo di livello OSI.

In questo tipo di rete, a ciascun utente viene fornita una porta di accesso per separare il traffico di VLAN l'uno dall'altro, i.e., Un dispositivo collegato a una porta di accesso ha solo l'accesso a quel traffico di VLAN specifico poiché ogni porta di accesso a switch è collegata a una particolare VLAN. Dopo aver conosciuto le basi di ciò che è una VLAN, saltiamo verso la comprensione di un attacco di vlan e come funziona.

Come funziona l'attacco di vlan hopping

Vlan Hopping Attack è un tipo di attacco di rete in cui un aggressore cerca di accedere a una rete VLAN inviandolo pacchetti attraverso un'altra rete VLAN con cui l'attaccante è connesso. In questo tipo di attacco, l'attaccante cerca maliziosamente di accedere al traffico proveniente da altre VLAN in una rete o può inviare traffico ad altre VLAN in quella rete, a cui non ha accesso legale. Nella maggior parte dei casi, l'attaccante sfrutta solo 2 strati che segmentano vari ospiti.

L'articolo fornisce una breve panoramica dell'attacco di Hopping Vlan, dei suoi tipi e di come impedirlo con un rilevamento tempestivo.

Tipi di attacco di vlan che salta

Spoofing Spoofing Vlan Attack:

In SPOOFFING VLAN Attack di Vlan, l'attaccante cerca di imitare un passaggio per sfruttare un interruttore legittimo ingannandolo nel fare un collegamento di trunking tra il dispositivo dell'attaccante e l'interruttore. Un collegamento al bagagliaio è un collegamento di due switch o un interruttore e un router. Il collegamento Trunk trasporta il traffico tra gli switch collegati o gli switch e i router collegati e mantiene i dati VLAN.

I frame di dati che passano dal collegamento del trunk vengono etichettati per essere identificati dalla VLAN il frame di dati appartiene. Pertanto, un link trunk trasporta il traffico di molte VLAN. Poiché i pacchetti di ogni VLAN sono autorizzati a superare un collegamento di trunking, immediatamente dopo l'istituzione del collegamento del bagagliaio, l'attaccante accede al traffico da tutte le VLAN della rete.

Questo attacco è possibile solo se un utente malintenzionato è collegato a un'interfaccia switch la cui configurazione è impostata su uno dei seguenti, "Dinamico desiderabile","auto dinamica," O "tronco"Modalità. Ciò consente all'attaccante di formare un collegamento al tronco tra il loro dispositivo e lo switch generando un DTP (protocollo di trunking dinamico; vengono utilizzati per creare collegamenti a trunk tra due interruttori dinamicamente) dal loro computer.

Doppio attacco di etichetta Vlan: Attacco:

Un attacco a doppio tag di vlan può anche essere definito a raddoppiato VLAN Attacco di salto. Questi tipi di attacchi funzionano solo se l'attaccante è collegato a un'interfaccia collegata alla porta/interfaccia del tronco.

Attacco di salto Vlan a doppia etichetta si verifica quando l'attaccante modifica il frame originale per aggiungere due etichette, così come la maggior parte degli interruttori rimuove solo il tag esterno, può solo identificare il tag esterno e il tag interno viene preservato. Il tag esterno è collegato alla VLAN personale dell'attaccante, mentre il tag interiore è collegato alla VLAN della vittima.

Inizialmente, il telaio a doppio tag di attaccante ha realizzato maliziosamente arriva all'interruttore e l'interruttore apre il frame di dati. Viene quindi identificato il tag esterno del frame di dati, appartenente alla VLAN specifica dell'attaccante a cui si associa il collegamento. Successivamente, inoltra il frame a ogni singolo dei collegamenti VLAN nativi e anche una replica del telaio viene inviata al collegamento del bagagliaio che si fa strada verso il prossimo interruttore.

L'interruttore successivo quindi apre il frame, identifica il secondo tag del frame di dati come VLAN della vittima, quindi lo inoltra alla VLAN della vittima. Alla fine, l'attaccante avrà accesso al traffico proveniente dalla VLAN della vittima. Il doppio attacco di etichettatura è solo unico ed è impossibile limitare il pacchetto di ritorno.

Mitigazione degli attacchi di Vlan Hopping

Spoofing Spoofing Vlan Attack Mitigation:

La configurazione delle porte di accesso non deve essere impostata su nessuna delle seguenti modalità: "Dinamico desiderabile", "DAuto ynamic", O "tronco".

Impostare manualmente la configurazione di tutte le porte di accesso e disabilitare il protocollo di trunking dinamico su tutte le porte di accesso con accesso alla modalità porta dell'interruttore o interruttore Negoziazione della modalità porta.

  • switch1 (config) # interfaccia gigabit ethernet 0/3
  • Switch1 (config-if) # modalità switchport
  • Switch1 (config-if)# uscita

Impostare manualmente la configurazione di tutte le porte del tronco e disabilitare il protocollo di trunking dinamico su tutte le porte del bagaglia.

  • Switch1 (config)# interfaccia gigabitethernet 0/4
  • Switch1 (config-if) # switchport trunk incapsulation dot1q
  • Switch1 (config-if) # modalità switchport trunk
  • Switch1 (config-if) # porta switch nongoziare

Metti tutte le interfacce inutilizzate in una VLAN e quindi spegne tutte le interfacce inutilizzate.

Mitigazione dell'attacco VLAN a doppia etichettatura:

Non inserire alcun host nella rete sulla VLAN predefinita.

Crea una VLAN inutilizzata per impostarla e utilizzarla come VLAN nativa per la porta del bagagliaio. Allo stesso modo, per favore fallo per tutte le porte del bagagliaio; La VLAN assegnata viene utilizzata solo per la VLAN nativa.

  • Switch1 (config)# interfaccia gigabitethernet 0/4
  • Switch1 (config-if) # switchport trunk nativo VLAN 400

Conclusione

Questo attacco consente agli aggressori dannosi di accedere illegalmente alle reti. Gli aggressori possono quindi tagliare le password, le informazioni personali o altri dati protetti. Allo stesso modo, possono anche installare malware e spyware, diffondere cavalli, vermi e virus Troia. L'attaccante può facilmente annusare tutto il traffico proveniente dalla rete per usarlo per scopi dannosi. Può anche interrompere il traffico con cornici non necessarie.

Per concludere, si può dire oltre ogni dubbio che un attacco di salto Vlan è un enorme minaccia per la sicurezza. Al fine di mitigare questo tipo di attacchi, questo articolo equipaggia al lettore di sicurezza e misure preventive. Allo stesso modo, c'è una costante necessità di misure di sicurezza extra e più avanzate che dovrebbero essere aggiunte alle reti basate su VLAN e migliorare i segmenti di rete come zone di sicurezza.