a VLAN-ugrálás lehetővé teszi a támadó számára, hogy kereteket küldjön egy másik VLAN-on lévő eszközre. Ebben a videóban megtudhatja, hogyan használható a switch spoofing és a double tagging vlan ugráláskor.
<< Előző videó: Brute Force támadások következő: Man-in-the-Middle >>
sok szervezet VLAN-okat használ a hálózat különböző részekre történő elválasztására. Ennek szervezeti okai lehetnek. Lehet, hogy biztonsági okokból is. Tehát lehet, hogy van egy VLAN a hálózati mérnöki csapat számára, egy VLAN a szállításhoz és a fogadáshoz, és egy külön VLAN a számviteli osztály számára.
ez azt jelenti, hogy ha a számviteli osztályon valaki hozzáfér a hálózathoz, akkor hozzáférhet az összes többi eszközhöz, amely a számviteli VLAN-on van. A legjobb gyakorlat az, hogy csak a helyi VLAN-on lévő eszközökhöz férhet hozzá. De vannak olyan technikák, amelyek lehetővé teszik, hogy valaki ugorjon egy másik VLAN-ra. Nyilvánvaló, hogy ez olyasmi, aminek nem szabadna megtörténnie, és biztosak akarunk lenni abban, hogy olyan valaki ellen védünk, aki képes hozzáférni egy nem saját VLAN-hoz.
két elsődleges módszer létezik, amelyeket az emberek használnak a VLAN-ok közötti ugráshoz. Az egyiket switch spoofingnak hívják, a másik pedig kettős címkézés. Számos csomagtartó lehetővé teszi az automatikus konfigurációs mód beállítását. Ezt hívják trunk tárgyalásnak. Ez lehetővé teszi egy eszköz csatlakoztatását egy kapcsolóhoz, és ez a kapcsoló meghatározza, hogy a csatlakoztatott eszköz normál hozzáférési eszköz– például laptop vagy számítógép–, vagy a csatlakoztatott eszköz lehet-e egy másik kapcsoló.
ehhez az automatikus konfigurációhoz semmilyen típusú hitelesítés nincs társítva. Tehát, ha azt akartad állítani, hogy egy kapcsoló vagy, használhatsz speciális szoftvert, és csatlakozhatsz egy olyan kapcsolóhoz, amely rendelkezik ezzel az automatikus konfigurációval, és ahelyett, hogy a kapcsoló laptopként vagy asztali számítógépként gondolna rád, akkor azt gondolná, hogy egy másik kapcsoló vagy a hálózaton. Ezen a ponton, akkor tárgyalni a fatörzsek, amelyek szükségesek voltak az egész adott link, mintha összekötő két kapcsoló egymással. És most már képes információt küldeni bármelyik VLAN-nak, amit támogatnának a trunk kapcsolaton keresztül.
ez a switch spoofing gyakorlatilag bárki számára hozzáférést biztosít a távoli kapcsolón támogatott VLAN-okhoz. Ez az oka annak, hogy egy switch adminisztrátor általában letiltja ezt az automatikus törzsmegbeszélést. Ehelyett az adminisztrátornak manuálisan kell meghatároznia, hogy a kapcsolón mely interfészek vannak a törzshöz, a kapcsolón pedig mely interfészek a hozzáférési eszközökhöz.
normális esetben, ha egy keretet egy törzskapcsolaton keresztül küldünk, van egy címke, amely hozzáadódik a kerethez. A másik oldalon a címke kiértékelésre és eltávolításra kerül, és az adatok a másik oldalon lévő megfelelő VLAN-ra kerülnek. Ennek a funkciónak az egyik módja az, ha két címkét tartalmaz egy adott kerettel, amely a VLAN-on megy keresztül. A kettős címkézéssel pedig egy adott kapcsoló natív VLAN-ját használhatjuk, hogy hozzáférjünk egy olyan VLAN-hoz, amelyhez általában nem lenne hozzáférésünk.
ez a kettős címkézési támadás két különböző kapcsolót használ. Az első kapcsoló eltávolítja a kerethez társított első címkét. A második kapcsoló eltávolítja a kerethez társított második címkét, és továbbítja az adatokat a különálló VLAN-nak.
ez azt is jelenti, hogy ez a fajta támadás csak egy irányban működhet. Nincs mód arra, hogy két címkét helyezzen a visszatérő keretre. Tehát amikor információt küld ezzel a kettős címkézési támadással, akkor azt anélkül küldi el, hogy valaha is választ kapna a másik eszköztől. Ez korlátozza néhány olyan dolgot, amelyet esetleg megtehet ezzel a támadással, de minden bizonnyal felhasználható valami olyasmire, mint a szolgáltatás megtagadása.
a kettős címkézési támadás elkerülésének egyik módja az, ha valaki nem fér hozzá a natív VLAN-hoz. Megváltoztatná a natív VLAN-azonosítót, és arra kényszerítené a natív VLAN-t, hogy használja a címkézést. Így működik ez a kettős címkézés. Van egy támadó és egy áldozat számítógépe. A támadókat a VLAN 10-en veszi észre, az áldozat eszköz pedig a VLAN 20-on van.
normális esetben ez a két eszköz nem lenne képes közvetlenül kommunikálni egymással. Legalább egy routeren keresztül kell menniük. De a kettős címkézés használatával átugorhatjuk mindkét kapcsolót, és az adataink egy másik VLAN-ra kerülnek.
itt van a keret, amelyet elküldünk. Ez egy Ethernet keret, amelynek két címkéje van benne. Egy címke a VLAN 10-hez, és egy címke a VLAN 20-hoz. Ez a keret az első kapcsolóhoz lesz elküldve, és ez a kapcsoló kiértékeli az ehhez a kerethez társított első címkét. Ez lesz a VLAN 10 címkéje.
eltávolítja ezt a címkét, és a megmaradt keretnek még van egy címkéje a VLAN 20-hoz. Tehát átküldi ezen a csomagtartón a VLAN 20-ra, ahol ez a kapcsoló elvégzi a címke normál eltávolítását, és elküldi ezeket az adatokat az áldozat munkaállomására. Nyilvánvaló, hogy a VLAN 10-ből származó adatoknak nem szabad hirtelen megjelenniük a VLAN 20-on. Ez a kettős címkézési támadás lehetővé teszi a támadó eszköz számára, hogy információkat küldjön közvetlenül ennek az áldozatnak.