L’hopping VLAN consente a un utente malintenzionato di inviare frame a un dispositivo su una VLAN diversa. In questo video, imparerete come interruttore spoofing e doppio tagging può essere utilizzato quando vlan hopping.
< < Video precedente: Attacchi di forza bruta Successivo: Man-in-the-Middle >>
Molte organizzazioni utilizzano VLAN per separare la rete in parti diverse. Questo può essere per motivi organizzativi. Potrebbe anche essere per motivi di sicurezza. Quindi potresti avere una VLAN per il team di ingegneria di rete, una VLAN per la spedizione e la ricezione e una VLAN separata per il reparto contabilità.
Ciò significa che se qualcuno nel reparto contabilità sta accedendo alla rete, ha accesso a tutti gli altri dispositivi presenti nella VLAN contabilità. E la migliore pratica è che avresti accesso solo ai dispositivi che si trovano sulla tua VLAN locale. Ma ci sono alcune tecniche che potrebbero consentire a qualcuno di salire su un’altra VLAN. Ovviamente, questo è qualcosa che non dovrebbe accadere, e vogliamo essere sicuri che stiamo proteggendo contro qualcuno che è in grado di accedere a una VLAN che non è la propria.
Ci sono due metodi primari che le persone stanno usando per saltare tra le VLAN in questo modo. Uno è chiamato switch spoofing e l’altro è double tagging. Molti trunks consentono di impostare una modalità di configurazione automatica. Questo si chiama negoziazione tronco. E ti permette di collegare un dispositivo a uno switch, e questo switch determinerà se il dispositivo che hai collegato è un normale dispositivo di accesso, come un laptop o un computer, o se il dispositivo che stai collegando potrebbe essere un altro switch.
Questa configurazione automatica non ha alcun tipo di autenticazione ad essa associata. Quindi, se volessi fingere di essere uno switch, potresti usare un software specializzato e connetterti a uno switch che aveva questa configurazione automatica, e invece che pensare a te come un laptop o un desktop, considererebbe che sei un altro switch sulla rete. A quel punto, si dovrebbe negoziare i tronchi che sono stati richiesti attraverso questo particolare collegamento, proprio come se si stesse collegando due interruttori tra loro. E ora sei in grado di inviare informazioni a una qualsiasi delle VLAN che sarebbero supportate su quella connessione trunk.
Questo spoofing switch darebbe effettivamente a chiunque l’accesso alle VLAN supportate su quell’interruttore remoto. Questo è il motivo per cui un amministratore di switch normalmente disabilita questa particolare negoziazione automatica del trunk. L’amministratore dovrebbe invece definire manualmente quali interfacce su uno switch sono per un trunk e quali interfacce su uno switch sono per i dispositivi di accesso.
Normalmente, quando un frame viene inviato attraverso una connessione trunk, c’è un tag che viene aggiunto a quel frame. Dall’altro lato, quel tag viene valutato e rimosso e quei dati vengono inviati alla VLAN corretta dall’altro lato. Un modo per aggirare questa funzionalità è includere due tag con un particolare frame che supera la VLAN. E con il doppio tagging, siamo in grado di utilizzare la VLAN nativa di un particolare switch per accedere a una VLAN a cui normalmente non avremmo accesso.
Questo doppio attacco di tagging utilizza due diversi switch. Il primo interruttore rimuove il primo tag associato al frame. E il secondo interruttore rimuove il secondo tag associato al frame e inoltra i dati alla VLAN separata.
Ciò significa anche che questo particolare tipo di attacco può funzionare solo in una direzione. Non c’è modo di mettere due tag sul frame di ritorno. Quindi, ogni volta che stai inviando informazioni usando questo doppio attacco di tagging, lo stai inviando senza mai ricevere una risposta dall’altro dispositivo. Questo limita alcune delle cose che potresti essere in grado di fare con questo attacco, ma certamente potrebbe essere usato per qualcosa come un denial of service.
Un modo per evitare un doppio attacco di tagging è non consentire a qualcuno l’accesso alla VLAN nativa. Cambieresti l’ID VLAN nativo e costringeresti chiunque passi sopra la VLAN nativa a usare il tagging. Ecco come funziona questo doppio tagging. Abbiamo il computer di un aggressore e quello della vittima. Si notano gli aggressori sulla VLAN 10, e il dispositivo vittima è sulla VLAN 20.
Normalmente, questi due dispositivi non sarebbero in grado di comunicare direttamente tra loro. Avrebbero dovuto passare attraverso un router per lo meno. Ma usando il doppio tagging, possiamo passare attraverso entrambi questi switch e far sì che i nostri dati finiscano su una VLAN diversa.
Ecco il frame che stiamo per inviare. È un frame Ethernet che ha due tag al suo interno. Un tag per VLAN 10, e un tag per VLAN 20. Quel frame verrà inviato al primo switch e quell’interruttore valuterà il primo tag associato a questo frame. Questo sarà il tag per VLAN 10.
Rimuove quel tag e quel frame rimasto ha ancora un tag per VLAN 20. Quindi lo invierà attraverso questo trunk alla VLAN 20, dove questo switch eseguirà la normale rimozione del tag e invierà questi dati alla workstation della vittima. Ovviamente, tutti i dati provenienti da VLAN 10 non dovrebbero apparire improvvisamente su VLAN 20. Questo doppio attacco di tagging consente a questo dispositivo attaccante di inviare informazioni direttamente a questa vittima.