met VLAN hopping kan een aanvaller frames sturen naar een apparaat op een ander VLAN. In deze video leer je hoe switch spoofing en double tagging gebruikt kunnen worden bij vlan hopping.
<< Vorige Video: Brute Force aanvallen volgende: Man-in-the-Middle >>
veel organisaties gebruiken VLAN ‘ s om het netwerk in verschillende delen te scheiden. Dit kan om organisatorische redenen zijn. Het kan ook om veiligheidsredenen zijn. Zo heb je bijvoorbeeld een VLAN voor het network engineering team, een VLAN voor verzending en ontvangst en een aparte VLAN voor de boekhouding.
dit betekent dat als iemand van de accountingafdeling toegang heeft tot het netwerk, zij toegang hebben tot alle andere apparaten die zich op het accounting VLAN bevinden. En best practice is dat je alleen toegang hebt tot de apparaten die zich op je lokale VLAN bevinden. Maar er zijn een aantal technieken waarmee iemand naar een andere VLAN kan springen. Het is duidelijk dat dit niet zou moeten gebeuren, en we willen er zeker van zijn dat we beschermen tegen iemand die toegang heeft tot een VLAN die niet van hen is.
er zijn twee primaire methoden die mensen gebruiken om op deze manier tussen VLAN ‘ s te springen. De ene heet switch spoofing, en de andere is double tagging. Met veel trunks kunt u een automatische configuratiemodus instellen. Dit heet stamonderhandeling. Hiermee kun je een apparaat aansluiten op een schakelaar.die schakelaar bepaalt of het apparaat dat je hebt aangesloten een normaal toegangsapparaat is– zoals een laptop of een computer– of dat het apparaat dat je hebt aangesloten een andere schakelaar is.
deze automatische configuratie heeft geen enkele vorm van authenticatie. Dus als je zou willen doen alsof je een switch bent, zou je gespecialiseerde software kunnen gebruiken en verbinding maken met een switch met deze automatische configuratie.in plaats van dat de switch denkt dat je een laptop of een desktop bent, zou hij dan denken dat je een andere switch op het netwerk bent. Op dat moment onderhandelde je over de stammen die nodig waren over deze specifieke link, net alsof je twee schakelaars met elkaar verbond. En nu ben je in staat om informatie te sturen naar een van de VLAN ‘ s die zou worden ondersteund via die trunk verbinding.
deze switch spoofing zou effectief iedereen toegang geven tot VLAN ‘ s die ondersteund werden op die remote switch. Dit is de reden waarom een switch administrator normaal gesproken deze specifieke Automatische trunk onderhandeling zou uitschakelen. De beheerder moet in plaats daarvan handmatig definiëren welke interfaces op een switch voor een trunk zijn, en welke interfaces op een switch voor access devices zijn.
normaal gesproken, wanneer een frame wordt verzonden over een trunk-verbinding, is er een tag die aan dat frame wordt toegevoegd. Aan de andere kant wordt die tag geëvalueerd en verwijderd, en worden die gegevens aan de andere kant naar het juiste VLAN verzonden. Een manier om deze functionaliteit te omzeilen is het opnemen van twee tags met een bepaald frame dat over VLAN gaat. En met dubbele tagging, kunnen we de native VLAN van een bepaalde switch gebruiken om toegang te krijgen tot een VLAN waar we normaal geen toegang tot zouden hebben.
deze double tagging aanval gebruikt twee verschillende schakelaars. De eerste schakelaar verwijdert de eerste tag die aan het frame is gekoppeld. En de tweede schakelaar verwijdert de tweede tag die aan het frame is gekoppeld, en stuurt die gegevens door naar het afzonderlijke VLAN.
dit betekent ook dat deze specifieke aanval slechts in één richting kan werken. Er is geen manier om twee labels op de return frame te plaatsen. Dus wanneer je informatie verzendt met behulp van deze dubbele tagging aanval, verstuur je het zonder ooit een reactie terug te ontvangen van het andere apparaat. Dit beperkt een aantal van de dingen die je zou kunnen doen met deze aanval, maar het kan zeker worden gebruikt voor iets als een denial of service.
een manier om een dubbele tagging aanval te voorkomen is om iemand geen toegang te geven tot het native VLAN. Je zou de native VLAN ID veranderen en iedereen die over de native VLAN gaat dwingen om tagging te gebruiken. Dit is hoe deze dubbele tagging werkt. We hebben een computer van een aanvaller en een computer van een slachtoffer. Je ziet de aanvallers op VLAN 10, en het slachtoffer apparaat is op VLAN 20.
normaal gesproken zouden deze twee apparaten niet direct met elkaar kunnen communiceren. Ze zouden op zijn minst via een router moeten gaan. Maar door double tagging te gebruiken, kunnen we door beide switches springen en onze gegevens op een ander VLAN terecht komen.
hier is het frame dat we gaan versturen. Het is een Ethernet frame met twee tags erin. Eén tag voor VLAN 10 en één tag voor VLAN 20. Dat frame zal naar de eerste switch worden gestuurd, en die switch zal de eerste tag in dit frame evalueren. Dat wordt de tag voor VLAN 10.
Het verwijdert die tag, en dat frame dat overblijft heeft nog steeds een tag voor VLAN 20. Dus het zal het sturen over deze kofferbak naar VLAN 20, waar deze schakelaar zal de normale verwijdering van de tag uit te voeren en stuur deze gegevens naar beneden naar het werkstation van het slachtoffer. Het is duidelijk dat gegevens die afkomstig zijn van VLAN 10 niet plotseling op VLAN 20 moeten verschijnen. Deze dubbele tagging aanval laat dit aanvallende apparaat om informatie rechtstreeks naar dit slachtoffer te sturen.