VLAN hopping tillater en angriper å sende rammer til en enhet på en annen VLAN. I denne videoen lærer du hvordan switch spoofing og double tagging kan brukes når vlan hopper.
<< Forrige Video: Brute Force Angrep Neste: Mann-I-Midten >>
Mange organisasjoner bruker Vlan til å skille nettverket i ulike deler. Dette kan være av organisatoriske årsaker. Det kan også være av sikkerhetshensyn. Så du kan ha EN VLAN for nettverksteknikkteamet, EN VLAN for frakt og mottak, og en egen VLAN for regnskapsavdelingen.
dette betyr at hvis noen i regnskapsavdelingen har tilgang til nettverket, har de tilgang til alle de andre enhetene som er på regnskapsvlan. Og beste praksis er at du bare vil ha tilgang til enhetene som er på din lokale VLAN. Men det er noen teknikker som kan tillate noen å hoppe til en ANNEN VLAN. Selvfølgelig er dette noe som ikke skal skje, og vi vil være sikre på at vi beskytter mot noen som kan få tilgang til EN VLAN som ikke er deres egen.
det er to primære metoder som folk bruker til å hoppe mellom Vlan på denne måten. Den ene kalles switch spoofing, og den andre er dobbel merking. Mange trunker lar deg sette opp en automatisk konfigurasjonsmodus. Dette kalles trunk forhandling. Og det lar deg koble til en enhet til en bryter, og den bryteren vil avgjøre om enheten du koblet til, er en vanlig tilgangsenhet– for eksempel en bærbar pc eller en datamaskin– eller hvis enheten du kobler til, kan være en annen bryter.
denne automatiske konfigurasjonen har ikke noen form for godkjenning knyttet til den. Så hvis du ønsket å late som om du var en bryter, kan du bruke spesialisert programvare og koble til en bryter som hadde denne automatiske konfigurasjonen, og i stedet for at bryteren tenker på deg som en bærbar pc eller et skrivebord, ville det da vurdere at du var en annen bryter på nettverket. På det tidspunktet ville du forhandle koffertene som var påkrevd over denne lenken, akkurat som om du koblet to brytere til hverandre. Og nå kan du sende informasjon til Noen Av Vlan-ene som ville bli støttet over den trunk-tilkoblingen.
denne bryteren spoofing ville effektivt gi noen tilgang Til Vlan som ble støttet på den eksterne bryteren. Dette er grunnen til at en bryteradministrator normalt vil deaktivere denne automatiske trunk-forhandlingen. Administratoren bør i stedet manuelt definere hvilke grensesnitt på en bryter som er for en trunk, og hvilke grensesnitt på en bryter som er for tilgangsenheter.
Vanligvis, når en ramme sendes over en trunk-tilkobling, er det en kode som er lagt til rammen. På den andre siden evalueres og fjernes taggen, og dataene sendes til riktig VLAN på den andre siden. En måte å komme seg rundt denne funksjonaliteten er å inkludere to koder med en bestemt ramme går OVER VLAN. Og med dobbel merking kan vi bruke den innfødte VLAN av en bestemt bryter for å få tilgang til EN VLAN som normalt ikke ville ha tilgang til.
dette dobbeltmerkingsangrepet bruker to forskjellige brytere. Den første bryteren fjerner den første koden som er knyttet til rammen. Og den andre bryteren fjerner den andre koden som er knyttet til rammen, og videresender dataene til den separate VLAN.
Dette betyr også at denne typen angrep bare kan fungere i en retning. Det er ingen måte å sette to koder på returrammen. Så når du sender informasjon ved hjelp av dette dobbeltmerkingsangrepet, sender du det uten å motta et svar tilbake fra den andre enheten. Dette begrenser noen av tingene du kanskje kan gjøre med dette angrepet, men det kan sikkert brukes til noe som en tjenestenekt.
En måte å unngå et dobbelt tagging angrep er ikke å tillate noen tilgang til den innfødte VLAN. Du vil endre den innfødte VLAN ID og tvinge noen som går over den innfødte VLAN å bruke tagging. Slik fungerer denne dobbeltmerkingen. Vi har en angriperens datamaskin, og en offerdatamaskin. Du merker angriperne PÅ VLAN 10, og offerets enhet er PÅ VLAN 20.
Normalt vil disse to enhetene Ikke kunne kommunisere direkte med hverandre. De må i det minste gå gjennom en ruter. Men ved å bruke dobbel merking, kan vi hoppe gjennom begge disse bryterne og få dataene våre til å ende opp på en annen VLAN.
Her er rammen som vi skal sende. Det er En Ethernet-ramme som har to koder inne i den. En tag for VLAN 10 og EN tag for VLAN 20. Den rammen vil bli sendt til den første bryteren, og den bryteren skal evaluere den første taggen som er knyttet til denne rammen. Det vil være taggen FOR VLAN 10.
det fjerner den taggen, og den rammen som er igjen, har fortsatt en tag for VLAN 20. Så det vil sende det over denne kofferten TIL VLAN 20, hvor denne bryteren vil utføre normal fjerning av taggen og sende disse dataene ned til offerets arbeidsstasjon. Åpenbart bør data som kommer FRA VLAN 10 ikke plutselig vises på VLAN 20. Dette dobbeltmerkingsangrepet gjør at denne angripende enheten kan sende informasjon direkte til dette offeret.