VLANホッピング-CompTIAネットワーク+N10-007 – 4.4

VLANホッピングは、攻撃者が別のVLAN上のデバイスにフレームを送信することを可能にします。 このビデオでは、vlanホッピング時にスイッチのスプーフィングとダブルタグ付けをどのように使用できるかを学習します。
<<前のビデオ:ブルートフォース攻撃次のビデオ:Man-in-the-Middle>>

多くの組織では、Vlanを使用してネットワークをさまざまな部分に分割しています。 これは組織上の理由によるものかもしれません。 また、セキュリティ上の理由からである可能性があります。 したがって、ネットワークエンジニアリングチーム用のVLAN、出荷と受信用のVLAN、および会計部門用の個別のVLANがある場合があります。

これは、会計部門の誰かがネットワークにアクセスしている場合、会計VLAN上にある他のすべてのデバイスにアクセスできることを意味します。 また、ローカルVLAN上にあるデバイスにのみアクセスできることをお勧めします。 しかし、誰かが別のVLANにホップすることを可能にする可能性がありますいくつかの技術があります。 明らかに、これは起こってはならないことであり、自分のものではないVLANにアクセスできる人から保護していることを確認したいと考えています。

この方法でVlan間をホップするために人々が使用している2つの主な方法があります。 1つはスイッチスプーフィングと呼ばれ、もう1つはダブルタグ付けです。 多くのトランクは自動設定モードをセットアップすることを可能にします。 これはトランクネゴシエーションと呼ばれます。 また、デバイスをスイッチに接続することができ、そのスイッチは、接続したデバイスがラップトップやコンピュータなどの通常のアクセスデバイスであるかどうか、または接続しているデバイスが別のスイッチであるかどうかを判断します。

この自動設定には、関連付けられている認証の種類はありません。 だから、あなたがスイッチだったふりをしたい場合は、特殊なソフトウェアを使用して、この自動構成を持っていたスイッチに接続することができ、代わりに、ノートパソコンやデスクトップとしてあなたの考えてスイッチの、それはあなたがネットワーク上の別のスイッチであったと考えるでしょう。 その時点で、2つのスイッチを相互に接続しているかのように、この特定のリンクを介して必要なトランクをネゴシエートします。 そして今、あなたはそのトランク接続を介してサポートされるVlanのいずれかに情報を送信することができます。

このスイッチのなりすましは、そのリモートスイッチでサポートされていたVlanへのアクセス権を事実上誰にも与えます。 これが、スイッチ管理者が通常、この特定の自動トランクネゴシエーションを無効にする理由です。 代わりに、管理者は、スイッチ上のどのインターフェイスがトランク用であり、スイッチ上のどのインターフェイスがアクセスデバイス用であるかを手動で定義する必要があります。

通常、フレームがトランク接続を介して送信されると、そのフレームに追加されたタグがあります。 反対側では、そのタグが評価されて削除され、そのデータが反対側の正しいVLANに送信されます。 この機能を回避する1つの方法は、VLAN上を通過する特定のフレームを持つ2つのタグを含めることです。 また、二重タグ付けを使用すると、特定のスイッチのネイティブVLANを使用して、通常はアクセスできないVLANにアクセスすることができます。

この二重タグ攻撃は二つの異なるスイッチを使用します。 最初のスイッチは、フレームに関連付けられた最初のタグを削除します。 そして、2番目のスイッチはフレームに関連付けられた2番目のタグを削除し、そのデータを別のVLANに転送します。

これはまた、この特定の種類の攻撃が一方向にしか機能しないことを意味します。 戻りフレームに2つのタグを置く方法はありません。 したがって、この二重タグ攻撃を使用して情報を送信するときはいつでも、他のデバイスからの応答を受信することなく送信します。 これにより、この攻撃でできる可能性のあることのいくつかが制限されますが、確かにサービス拒否のようなものに使用される可能性があります。

二重タグ攻撃を回避する1つの方法は、ネイティブVLANへのアクセスを誰かに許可しないことです。 ネイティブVLAN IDを変更し、ネイティブVLANを経由する人にタグ付けを使用させることになります。 ここでは、この二重のタグ付けがどのように動作するかです。 私たちは攻撃者のコンピュータと被害者のコンピュータを持っています。 攻撃者がVLAN10上にあり、被害者デバイスがVLAN20上にあることに気付きました。

通常、これら二つのデバイスは互いに直接通信することはできません。 彼らは非常に少なくともルータを通過する必要があります。 しかし、二重のタグ付けを使用することで、これらのスイッチの両方をホップして、データを別のVLANにすることができます。

これが送信するフレームです。 それはそれの中の2つの札があるイーサネットフレームである。 VLAN10のための1つのタグ、およびVLAN20のための1つのタグ。 そのフレームは最初のスイッチに送信され、そのスイッチはこのフレームに関連付けられた最初のタグを評価します。 これがVLAN10のタグになります。

はそのタグを削除し、残りのフレームにはまだVLAN20のタグがあります。 したがって、このトランクを介してVLAN20に送信され、このスイッチはタグの通常の削除を実行し、このデータを被害者のワークステーションに送信します。 明らかに、VLAN10から来るどのデータでもVLAN20で突然現われるべきではないです。 この二重タグ付け攻撃は、この攻撃デバイスがこの被害者に直接情報を送信することを可能にします。

コメントを残す

メールアドレスが公開されることはありません。