przeskakiwanie przez sieć VLAN umożliwia atakującemu wysyłanie klatek do urządzenia w innej sieci VLAN. W tym filmie dowiesz się, jak można używać Switch spoofing i double tagging podczas przeskakiwania przez sieć vlan.
< < Poprzedni film: Brute Force Attacks następny: Man-in-the-Middle >>
wiele organizacji używa sieci VLAN do rozdzielania sieci na różne części. Może to być ze względów organizacyjnych. Może to być również ze względów bezpieczeństwa. Możesz więc mieć VLAN dla zespołu inżynierii sieci, VLAN dla wysyłki i odbioru oraz oddzielną VLAN dla działu księgowości.
oznacza to, że jeśli ktoś z działu księgowości uzyskuje dostęp do sieci, ma dostęp do wszystkich innych urządzeń znajdujących się w VLAN. Najlepszą praktyką jest to, że masz dostęp tylko do urządzeń znajdujących się w lokalnej sieci VLAN. Ale są pewne techniki, które mogą pozwolić komuś przeskoczyć do innej sieci VLAN. Oczywiście jest to coś, co nie powinno się dziać i chcemy mieć pewność, że chronimy przed kimś, kto ma dostęp do sieci VLAN, która nie należy do niego.
istnieją dwie podstawowe metody, których ludzie używają do przeskakiwania między Vlanami w ten sposób. Jeden nazywa się Switch spoofing, a drugi to podwójne tagowanie. Wiele kufrów pozwala skonfigurować automatyczny tryb konfiguracji. To się nazywa negocjacje bagażnika. Umożliwia podłączenie urządzenia do przełącznika, który określa, czy podłączone urządzenie jest zwykłym urządzeniem dostępowym– takim jak laptop lub komputer– lub czy podłączane urządzenie może być innym przełącznikiem.
Ta automatyczna konfiguracja nie ma powiązanego z nią żadnego rodzaju uwierzytelniania. Więc jeśli chcesz udawać, że jesteś przełącznikiem, możesz użyć specjalistycznego oprogramowania i połączyć się z przełącznikiem, który miał automatyczną konfigurację, i zamiast przełącznika myślącego o tobie jako laptopie lub komputerze stacjonarnym, uznałby cię za innego przełącznika w sieci. W tym momencie, można negocjować pnie, które były wymagane w tym konkretnym łączu, tak jak gdybyś łączył dwa przełączniki ze sobą. A teraz możesz wysyłać informacje do dowolnego Vlanu, który byłby obsługiwany przez to połączenie trunk.
ten przeĹ 'Ä … cznik skutecznie daĹ’ by kaĺźdemu dostÄ ™ p do sieci VLAN, ktĂłre byĹ 'y obsĹ’ ugiwane przez ten zdalny przeĹ ’ Ä … cznik. To dlatego administrator przełącznika normalnie wyłączy tę konkretną automatyczną negocjację bagażnika. Zamiast tego administrator powinien ręcznie zdefiniować, które interfejsy na przełączniku są dla bagażnika, a które interfejsy na przełączniku są dla urządzeń dostępowych.
normalnie, gdy ramka jest wysyłana przez połączenie trunk, jest tag, który jest dodawany do tej ramki. Po drugiej stronie znacznik jest oceniany i usuwany, a dane są wysyłane do właściwej sieci VLAN po drugiej stronie. Jednym ze sposobów obejścia tej funkcjonalności jest dołączenie dwóch tagów z konkretną ramką przechodzącą przez VLAN. Dzięki podwójnemu tagowaniu jesteśmy w stanie użyć natywnej sieci VLAN konkretnego przełącznika, aby uzyskać dostęp do sieci VLAN, do której normalnie nie mielibyśmy dostępu.
ten podwójny atak tagowania wykorzystuje dwa różne przełączniki. Pierwszy przełącznik usuwa pierwszy znacznik powiązany z ramką. Drugi przełącznik usuwa drugi znacznik powiązany z ramką i przekazuje te dane do oddzielnej sieci VLAN.
oznacza to również, że ten konkretny rodzaj ataku może działać tylko w jednym kierunku. Nie ma sposobu na umieszczenie dwóch znaczników na ramce powrotnej. Więc za każdym razem, gdy wysyłasz informacje za pomocą tego podwójnego ataku tagowania, wysyłasz je bez otrzymywania odpowiedzi z innego urządzenia. Ogranicza to niektóre z rzeczy, które możesz zrobić z tym atakiem, ale z pewnością może być użyty do czegoś takiego jak odmowa usługi.
jednym ze sposobów uniknięcia podwójnego ataku tagowania jest nie zezwalanie komuś na dostęp do natywnej sieci VLAN. Zmienisz natywny identyfikator VLAN i zmusisz każdego, kto przejdzie przez natywną VLAN, do używania tagowania. Oto jak działa to podwójne oznaczanie. Mamy komputer napastnika i komputer ofiary. Zauważysz napastników w sieci VLAN 10, a urządzenie ofiary w sieci VLAN 20.
normalnie te dwa urządzenia nie byłyby w stanie komunikować się bezpośrednio ze sobą. Musieliby przynajmniej przejść przez router. Ale dzięki podwójnemu tagowaniu możemy przeskakiwać przez oba te przełączniki i nasze dane trafiają do innej sieci VLAN.
oto ramka, którą wyślemy. To ramka ethernetowa, która ma w sobie dwa znaczniki. Jeden znacznik dla VLAN 10 i jeden znacznik dla VLAN 20. Ta ramka zostanie wysłana do pierwszego przełącznika, a ten przełącznik oceni pierwszy znacznik powiązany z tą ramką. To będzie tag dla VLAN 10.
usuwa ten znacznik, a ta ramka, która została, nadal ma znacznik dla sieci VLAN 20. Więc wyśle go przez ten bagażnik do VLAN 20, gdzie ten przełącznik wykona normalne usunięcie znacznika i wyśle te dane do stacji roboczej ofiary. Oczywiście wszelkie dane pochodzące z VLAN 10 nie powinny nagle pojawić się w VLAN 20. Ten podwójny atak tagowania pozwala temu urządzeniu atakującemu wysyłać informacje bezpośrednio do ofiary.