VLAN hopping umožňuje útočníkovi posílat snímky do zařízení na jiné VLAN. V tomto videu se dozvíte, jak lze switch spoofing a double tagging použít při skákání vlan.
<< předchozí Video: útoky hrubou silou další: Man-in-the-Middle >>
mnoho organizací používá sítě VLAN k oddělení sítě do různých částí. Může to být z organizačních důvodů. Může to být také z bezpečnostních důvodů. Takže můžete mít VLAN pro tým síťového inženýrství, VLAN pro přepravu a příjem a samostatnou VLAN pro účetní oddělení.
to znamená, že pokud někdo v účetním oddělení přistupuje k síti, má přístup ke všem ostatním zařízením, která jsou na účetní VLAN. A nejlepší praxe je, že byste měli přístup pouze k zařízením, která jsou na místní VLAN. Ale tam jsou některé techniky, které by mohly umožnit někdo hop do jiného VLAN. Očividně, to je něco, co by se nemělo dít, a chceme si být jisti, že chráníme před někým, kdo má přístup k VLAN, která není jejich vlastní.
existují dvě primární metody, které lidé používají k přeskakování mezi VLAN tímto způsobem. Jeden se nazývá switch spoofing a druhý je dvojité značení. Mnoho kmenů umožňuje nastavit režim automatické konfigurace. Tomu se říká vyjednávání kmenů. A to vám umožní připojit zařízení k přepínači a tento přepínač určí, zda je zařízení, které jste připojili, normální přístupové zařízení– například notebook nebo počítač-nebo zda zařízení, které připojujete, může být jiným přepínačem.
tato automatická konfigurace nemá žádný typ ověřování s ním spojené. Takže pokud byste chtěli předstírat, že jste přepínač, můžete použít specializovaný software a připojit se k přepínači, který měl tuto automatickou konfiguraci, a místo toho, aby vás přepínač považoval za notebook nebo stolní počítač, pak by se domníval, že jste dalším přepínačem v síti. V tu chvíli, vyjednali byste kmeny, které byly vyžadovány přes tento konkrétní odkaz, stejně jako byste navzájem propojovali dva přepínače. A nyní můžete posílat informace na kteroukoli VLAN, která by byla podporována přes toto spojení s kmenem.
tento přepínač spoofing by účinně poskytnout komukoli přístup k VLAN, které byly podporovány na tomto vzdáleném přepínači. To je důvod, proč by správce přepínače normálně deaktivoval toto konkrétní automatické vyjednávání kmenů. Správce by měl místo toho ručně definovat, která rozhraní na přepínači jsou pro kmen a která rozhraní na přepínači jsou pro přístupová zařízení.
normálně, když je rámeček odeslán přes připojení kmene, je k tomuto snímku přidána značka. Na druhé straně je tato značka vyhodnocena a odstraněna a tato data jsou odeslána do správné VLAN na druhé straně. Jedním ze způsobů, jak obejít tuto funkci, je zahrnout dvě značky s konkrétním rámcem procházejícím VLAN. A s dvojitým značením jsme schopni použít nativní VLAN konkrétního přepínače, abychom získali přístup k VLAN, ke kterému bychom normálně neměli přístup.
tento útok s dvojitým značkováním používá dva různé přepínače. První přepínač odstraní první značku spojenou s rámečkem. A druhý přepínač odstraní druhou značku spojenou s rámečkem a předá tato data do samostatné VLAN.
to také znamená, že tento konkrétní druh útoku může fungovat pouze jedním směrem. Neexistuje způsob, jak dát dvě značky na Návratový rámeček. Takže kdykoli posíláte informace pomocí tohoto útoku s dvojitým označením, posíláte je, aniž byste obdrželi odpověď zpět z druhého zařízení. To omezuje některé věci, které byste mohli s tímto útokem udělat, ale určitě by to mohlo být použito pro něco jako odmítnutí služby.
jedním ze způsobů, jak se vyhnout útoku dvojitého značkování, je nepovolit někomu přístup k nativní VLAN. Změnili byste nativní VLAN ID a přinutili kohokoli, kdo jde přes nativní VLAN, aby použil značkování. Zde je návod, jak toto dvojité značení funguje. Máme počítač útočníka a počítač oběti. Všimnete si útočníků na VLAN 10 a zařízení oběti je na VLAN 20.
normálně by tato dvě zařízení nebyla schopna komunikovat přímo mezi sebou. Museli by alespoň projít routerem. Ale pomocí dvojitého značkování můžeme přeskočit oba tyto přepínače a nechat naše data skončit na jiné VLAN.
zde je rámeček, který pošleme. Je to ethernetový rámeček, který má uvnitř dvě značky. Jedna značka pro VLAN 10 a jedna značka pro VLAN 20. Tento snímek bude odeslán na první přepínač a tento přepínač vyhodnotí první značku přidruženou v tomto rámci. To bude značka pro VLAN 10.
odstraní tuto značku a ten rámeček, který zbyl, má stále značku pro VLAN 20. Takže to pošle přes tento kmen do VLAN 20, kde tento přepínač provede normální odstranění značky a pošle tato data dolů na pracovní stanici oběti. Je zřejmé, že všechna data, která pocházejí z VLAN 10, by se na VLAN 20 neměla náhle objevit. Tento útok s dvojitým označením umožňuje tomuto útočícímu zařízení odesílat informace přímo této oběti.