VLAN-Hopping ermöglicht es einem Angreifer, Frames an ein Gerät in einem anderen VLAN zu senden. In diesem Video erfahren Sie, wie Switch-Spoofing und Double-Tagging beim Vlan-Hopping verwendet werden können.
<< Vorheriges Video: Brute-Force-Angriffe Nächstes: Man-in-the-Middle >>
Viele Organisationen verwenden VLANs, um das Netzwerk in verschiedene Teile zu unterteilen. Dies kann organisatorische Gründe haben. Es könnte auch aus Sicherheitsgründen sein. Sie haben also möglicherweise ein VLAN für das Netzwerk-Engineering-Team, ein VLAN für Versand und Empfang und ein separates VLAN für die Buchhaltung.
Wenn jemand in der Buchhaltung auf das Netzwerk zugreift, hat er Zugriff auf alle anderen Geräte, die sich im Accounting-VLAN befinden. Best Practice ist, dass Sie nur Zugriff auf die Geräte haben, die sich in Ihrem lokalen VLAN befinden. Es gibt jedoch einige Techniken, mit denen jemand in ein anderes VLAN springen kann. Dies sollte natürlich nicht passieren, und wir möchten sicher sein, dass wir uns vor jemandem schützen, der auf ein VLAN zugreifen kann, das nicht sein eigenes ist.
Es gibt zwei Hauptmethoden, mit denen Benutzer auf diese Weise zwischen VLANs wechseln können. Einer wird Switch-Spoofing genannt, und der andere ist Double-Tagging. In vielen Trunks können Sie einen automatischen Konfigurationsmodus einrichten. Dies wird als Trunk Negotiation bezeichnet. Und es ermöglicht Ihnen, ein Gerät an einen Switch anzuschließen, und dieser Switch bestimmt, ob das Gerät, das Sie angeschlossen haben, ein normales Zugriffsgerät ist – wie ein Laptop oder ein Computer – oder ob das Gerät, das Sie anschließen, ein anderer Switch sein könnte.
Dieser automatischen Konfiguration ist keine Art von Authentifizierung zugeordnet. Wenn Sie also so tun wollten, als wären Sie ein Switch, könnten Sie spezielle Software verwenden und eine Verbindung zu einem Switch herstellen, der diese automatische Konfiguration aufweist. Zu diesem Zeitpunkt würden Sie die Trunks aushandeln, die für diese bestimmte Verbindung erforderlich waren, als würden Sie zwei Switches miteinander verbinden. Und jetzt können Sie Informationen an alle VLANs senden, die über diese Trunk-Verbindung unterstützt werden.
Dieses Switch-Spoofing würde effektiv jedem Zugriff auf VLANs gewähren, die auf diesem Remote-Switch unterstützt wurden. Aus diesem Grund würde ein Switch-Administrator normalerweise diese spezielle automatische Trunk-Aushandlung deaktivieren. Der Administrator sollte stattdessen manuell definieren, welche Schnittstellen auf einem Switch für einen Trunk und welche Schnittstellen auf einem Switch für Zugriffsgeräte bestimmt sind.
Wenn ein Frame über eine Trunk-Verbindung gesendet wird, wird diesem Frame normalerweise ein Tag hinzugefügt. Auf der anderen Seite wird dieses Tag ausgewertet und entfernt, und diese Daten werden an das richtige VLAN auf der anderen Seite gesendet. Eine Möglichkeit, diese Funktionalität zu umgehen, besteht darin, zwei Tags mit einem bestimmten Frame über VLAN einzuschließen. Und mit Double Tagging können wir das native VLAN eines bestimmten Switches verwenden, um Zugriff auf ein VLAN zu erhalten, auf das wir normalerweise keinen Zugriff hätten.
Dieser Doppel-Tagging-Angriff verwendet zwei verschiedene Schalter. Der erste Schalter entfernt das erste Tag, das dem Frame zugeordnet ist. Der zweite Switch entfernt das zweite Tag, das dem Frame zugeordnet ist, und leitet diese Daten an das separate VLAN weiter.
Dies bedeutet auch, dass diese spezielle Art von Angriff nur in eine Richtung funktionieren kann. Es gibt keine Möglichkeit, zwei Tags in den Rückgaberahmen einzufügen. Wenn Sie also Informationen mit diesem Doppel-Tagging-Angriff senden, senden Sie sie, ohne jemals eine Antwort vom anderen Gerät zu erhalten. Dies schränkt einige der Dinge ein, die Sie möglicherweise mit diesem Angriff tun können, aber es könnte sicherlich für so etwas wie eine Diensteverweigerung verwendet werden.
Eine Möglichkeit, einen doppelten Tagging-Angriff zu vermeiden, besteht darin, niemandem Zugriff auf das native VLAN zu gewähren. Sie würden die native VLAN-ID ändern und jeden, der über das native VLAN geht, zwingen, Tagging zu verwenden. So funktioniert dieses doppelte Tagging. Wir haben den Computer eines Angreifers und einen Opfercomputer. Sie bemerken die Angreifer in VLAN 10 und das Opfergerät in VLAN 20.
Normalerweise könnten diese beiden Geräte nicht direkt miteinander kommunizieren. Sie müssten zumindest über einen Router gehen. Durch die Verwendung von Double Tagging können wir jedoch durch beide Switches springen und unsere Daten in einem anderen VLAN landen lassen.
Hier ist der Rahmen, den wir senden werden. Es ist ein Ethernet-Frame, der zwei Tags enthält. Ein Tag für VLAN 10 und ein Tag für VLAN 20. Dieser Frame wird an den ersten Switch gesendet, und dieser Switch wertet das erste Tag aus, das diesem Frame zugeordnet ist. Das wird das Tag für VLAN 10 sein.
Dieses Tag wird entfernt, und der übrig gebliebene Frame enthält noch ein Tag für VLAN 20. Es wird also über diesen Trunk an VLAN 20 gesendet, wo dieser Switch das normale Entfernen des Tags durchführt und diese Daten an die Workstation des Opfers sendet. Offensichtlich sollten Daten, die von VLAN 10 stammen, nicht plötzlich in VLAN 20 angezeigt werden. Dieser Doppel-Tagging-Angriff ermöglicht es diesem angreifenden Gerät, Informationen direkt an dieses Opfer zu senden.