El salto de VLAN permite a un atacante enviar fotogramas a un dispositivo en una VLAN diferente. En este video, aprenderá cómo se pueden usar la suplantación de conmutadores y el doble etiquetado cuando se salta una vlan.
<< Vídeo anterior: Ataques de fuerza Bruta Siguiente: Man-in-the-Middle >>
Muchas organizaciones usan VLAN para separar la red en diferentes partes. Esto puede ser por razones de organización. También podría ser por razones de seguridad. Por lo tanto, es posible que tenga una VLAN para el equipo de ingeniería de redes, una VLAN para envío y recepción y una VLAN separada para el departamento de contabilidad.
Esto significa que si alguien en el departamento de contabilidad está accediendo a la red, entonces tiene acceso a todos los demás dispositivos que están en la VLAN de contabilidad. Y la mejor práctica es que solo tenga acceso a los dispositivos que están en su VLAN local. Pero hay algunas técnicas que podrían permitir a alguien saltar a otra VLAN. Obviamente, esto es algo que no debería estar sucediendo, y queremos estar seguros de que estamos protegiendo contra alguien que pueda acceder a una VLAN que no es la suya.
Hay dos métodos principales que las personas están utilizando para saltar entre VLAN de esta manera. Uno se llama suplantación de interruptor, y el otro es doble etiquetado. Muchos troncales le permiten configurar un modo de configuración automático. Esto se llama negociación troncal. Y le permite conectar un dispositivo a un interruptor, y ese interruptor determinará si el dispositivo que conectó es un dispositivo de acceso normal, como una computadora portátil o una computadora, o si el dispositivo que está conectando podría ser otro interruptor.
Esta configuración automática no tiene ningún tipo de autenticación asociada. Así que si usted quería pretender que se tratara de un interruptor, puede utilizar software especializado y conectarse a un interruptor que tenía esta configuración automática, y en lugar de que el interruptor de pensar en ti como un ordenador portátil o una de escritorio, entonces es de considerar que eran otros switches en la red. En ese momento, usted negociaría los troncos que se requerían a través de este enlace en particular, como si estuviera conectando dos interruptores entre sí. Y ahora puedes enviar información a cualquiera de las VLAN que serían compatibles con esa conexión troncal.
Esta suplantación de conmutador le daría a cualquiera acceso efectivo a VLAN que fueran compatibles con ese conmutador remoto. Esta es la razón por la que un administrador de conmutadores normalmente deshabilitaría esta negociación troncal automática en particular. En su lugar, el administrador debe definir manualmente qué interfaces de un conmutador son para un troncal y qué interfaces de un conmutador son para dispositivos de acceso.
Normalmente, cuando se envía un marco a través de una conexión troncal, se agrega una etiqueta a ese marco. En el otro lado, esa etiqueta se evalúa y elimina, y esos datos se envían a la VLAN correcta en el otro lado. Una forma de evitar esta funcionalidad es incluir dos etiquetas con un marco en particular sobre VLAN. Y con el doble etiquetado, podemos usar la VLAN nativa de un conmutador en particular para obtener acceso a una VLAN a la que normalmente no tendríamos acceso.
Este ataque de doble etiquetado utiliza dos conmutadores diferentes. El primer conmutador elimina la primera etiqueta asociada al fotograma. Y el segundo conmutador elimina la segunda etiqueta asociada con el marco y reenvía esos datos a la VLAN separada.
Esto también significa que este tipo de ataque en particular solo puede funcionar en una dirección. No hay forma de poner dos etiquetas en el marco de retorno. Así que cada vez que envías información usando este ataque de doble etiquetado, la envías sin recibir una respuesta del otro dispositivo. Esto limita algunas de las cosas que podría hacer con este ataque, pero ciertamente podría usarse para algo como una denegación de servicio.
Una forma de evitar un ataque de doble etiquetado es no permitir que alguien acceda a la VLAN nativa. Cambiaría el ID de VLAN nativo y obligaría a cualquier persona que use la VLAN nativa a usar etiquetado. Así es como funciona este doble etiquetado. Tenemos el ordenador de un atacante, y el ordenador de la víctima. Observa a los atacantes en la VLAN 10 y el dispositivo de la víctima está en la VLAN 20.
Normalmente, estos dos dispositivos no podrían comunicarse directamente entre sí. Tendrían que pasar por un router como mínimo. Pero al usar doble etiquetado, podemos saltar a través de ambos interruptores y hacer que nuestros datos terminen en una VLAN diferente.
Aquí está el marco que vamos a enviar. Es un marco Ethernet que tiene dos etiquetas dentro. Una etiqueta para VLAN 10 y una etiqueta para VLAN 20. Ese fotograma se enviará al primer conmutador, y ese conmutador evaluará la primera etiqueta asociada a este fotograma. Esa será la etiqueta para VLAN 10.
Elimina esa etiqueta y el fotograma sobrante sigue teniendo una etiqueta para VLAN 20. Así que lo enviará a través de este tronco a la VLAN 20, donde este interruptor realizará la eliminación normal de la etiqueta y enviará estos datos a la estación de trabajo de la víctima. Obviamente, cualquier dato que provenga de la VLAN 10 no debería aparecer de repente en la VLAN 20. Este ataque de doble etiquetado permite que este dispositivo de ataque envíe información directamente a esta víctima.