VLAN hopping giver en angriber mulighed for at sende rammer til en enhed på en anden VLAN. I denne video lærer du, hvordan skift spoofing og dobbelt tagging kan bruges, når vlan hopping.
<< forrige Video: Brute Force angreb næste: Man-In-The-Middle >>
mange organisationer bruger VLAN ‘ er til at adskille netværket i forskellige dele. Dette kan være af organisatoriske årsager. Det kan også være af sikkerhedsmæssige årsager. Så du har muligvis en VLAN til netværksteknikteamet, en VLAN til forsendelse og modtagelse og en separat VLAN til regnskabsafdelingen.
dette betyder, at hvis nogen i regnskabsafdelingen har adgang til netværket, så har de adgang til alle de andre enheder, der er på regnskabsvlanet. Og bedste praksis er, at du kun har adgang til de enheder, der er på din lokale VLAN. Men der er nogle teknikker, der kan tillade nogen at hoppe til en anden VLAN. Det er klart, at dette ikke bør ske, og vi vil være sikre på, at vi beskytter mod nogen, der kan få adgang til en VLAN, der ikke er deres egen.
der er to primære metoder, som folk bruger til at hoppe mellem VLAN ‘ er på denne måde. Den ene kaldes skift spoofing, og den anden er dobbelt tagging. Mange kufferter giver dig mulighed for at oprette en automatisk konfigurationstilstand. Dette kaldes trunk forhandling. Og det giver dig mulighed for at tilslutte en enhed til en kontakt, og denne kontakt bestemmer, om den enhed, du har tilsluttet, er en normal adgangsenhed– såsom en bærbar computer eller en computer– eller om den enhed, du tilslutter, muligvis er en anden kontakt.
denne automatiske konfiguration har ikke nogen form for godkendelse tilknyttet den. Så hvis du ville foregive, at du var en kontakt, Kunne du bruge specialprogrammer og oprette forbindelse til en kontakt, der havde denne automatiske konfiguration, og i stedet for at kontakten tænkte på dig som en bærbar computer eller et skrivebord, ville det overveje, at du var en anden kontakt på netværket. På det tidspunkt, du ville forhandle de kufferter, der var påkrævet på tværs af dette særlige link, ligesom hvis du forbinder to kontakter til hinanden. Og nu er du i stand til at sende oplysninger til nogen af de VLAN ‘ er, der ville blive understøttet over den trunkforbindelse.
denne omskifterspoofing ville effektivt give enhver adgang til VLAN ‘ er, der blev understøttet på den fjernbetjeningskontakt. Dette er grunden til, at en omskifteradministrator normalt deaktiverer denne særlige automatiske bagagerumsforhandling. Administratoren skal i stedet manuelt definere, hvilke grænseflader på en kontakt der er til en bagagerum, og hvilke grænseflader på en kontakt der er til adgangsenheder.
normalt, når en ramme sendes over en trunkforbindelse, er der et tag, der tilføjes til den ramme. På den anden side evalueres og fjernes dette tag, og disse data sendes til den korrekte VLAN på den anden side. En måde at omgå denne funktionalitet er at inkludere to tags med en bestemt ramme, der går over VLAN. Og med dobbelt tagging er vi i stand til at bruge den oprindelige VLAN af en bestemt kontakt for at få adgang til en VLAN, som vi normalt ikke ville have adgang til.
dette dobbeltmærkningsangreb bruger to forskellige kontakter. Den første kontakt fjerner det første tag, der er knyttet til rammen. Og den anden kontakt fjerner det andet tag, der er knyttet til rammen, og videresender disse data til den separate VLAN.
dette betyder også, at denne særlige form for angreb kun kan fungere i en retning. Der er ingen måde at sætte to tags på returrammen. Så når du sender oplysninger ved hjælp af dette Dobbelt tagging-angreb, sender du det uden nogensinde at modtage et svar tilbage fra den anden enhed. Dette begrænser nogle af de ting, du muligvis kan gøre med dette angreb, men det kan bestemt bruges til noget som et lammelsesangreb.
en måde at undgå et dobbelt tagging-angreb er ikke at give nogen adgang til den oprindelige VLAN. Du vil ændre det oprindelige VLAN-ID og tvinge enhver, der går over det oprindelige VLAN, til at bruge tagging. Sådan fungerer denne dobbelt tagging. Vi har en angribers computer og en offercomputer. Du bemærker angriberne på VLAN 10, og offerets enhed er på VLAN 20.
normalt ville disse to enheder ikke være i stand til at kommunikere direkte med hinanden. De skulle i det mindste gå gennem en router. Men ved at bruge dobbelt tagging kan vi hoppe gennem begge disse kontakter og få vores data til at ende på en anden VLAN.
her er den ramme, vi skal sende. Det er en Ethernet-ramme, der har to tags inde i den. Et mærke til VLAN 10 og et mærke til VLAN 20. Denne ramme sendes til den første kontakt, og denne kontakt vil evaluere det første tag, der er knyttet til denne ramme. Det vil være tagget til VLAN 10.
det fjerner det tag, og den ramme, der er tilbage, har stadig et tag til VLAN 20. Så det sender det over denne bagagerum til VLAN 20, hvor denne kontakt udfører den normale fjernelse af mærket og sender disse data ned til offerets arbejdsstation. Det er klart, at data, der kommer fra VLAN 10, ikke pludselig skal vises på VLAN 20. Dette dobbelt tagging-angreb gør det muligt for denne angribende enhed at sende information direkte til dette offer.