VLAN hopping permite que um invasor envie quadros para um dispositivo em uma VLAN diferente. Neste vídeo, você vai aprender como mudar spoofing e dupla marcação pode ser usado quando VLAN hopping.
<< Vídeo Anterior: Ataques de Força Bruta Seguinte: Man-in-the-Middle >>
Muitas organizações usam VLANs para separar a rede em diferentes partes. Isso pode ser por razões organizacionais. Também pode ser por razões de segurança. Portanto, você pode ter uma VLAN para a equipe de engenharia de rede, uma VLAN para envio e recebimento e uma VLAN separada para o departamento de contabilidade.
isso significa que se alguém no departamento de contabilidade estiver acessando a rede, eles terão acesso a todos os outros dispositivos que estão na VLAN de contabilidade. E a melhor prática é que você só teria acesso aos dispositivos que estão em sua VLAN local. Mas existem algumas técnicas que podem permitir que alguém pule para outra VLAN. Obviamente, isso é algo que não deveria estar acontecendo, e queremos ter certeza de que estamos protegendo contra alguém que é capaz de acessar uma VLAN que não é sua.
existem dois métodos primários que as pessoas estão usando para alternar entre VLANs dessa maneira. Um é chamado de spoofing de switch e o outro é double tagging. Muitos troncos permitem que você configure um modo de configuração automática. Isso é chamado de negociação de tronco. E ele permite que você conecte um dispositivo a um switch, e esse switch determinará se o dispositivo que você conectou é um dispositivo de acesso normal– como um laptop ou um computador– ou se o dispositivo que você está conectando pode ser outro switch.
esta configuração automática não tem nenhum tipo de autenticação associada a ela. Então, se você quisesse fingir que era um switch, você poderia usar um software especializado e se conectar a um switch que tivesse essa configuração automática, e em vez do switch pensar em você como um laptop ou uma área de trabalho, consideraria que você era outro switch na rede. Nesse ponto, você negociaria os troncos que eram necessários neste link específico, como se estivesse conectando dois interruptores um ao outro. E agora você pode enviar informações para qualquer uma das VLANs que seriam suportadas por essa conexão de tronco.
este spoofing de switch efetivamente daria a qualquer pessoa acesso a VLANs que eram suportadas nesse switch remoto. É por isso que um administrador de switch normalmente desativaria essa negociação automática de tronco em particular. O administrador deve definir manualmente quais interfaces em um switch são para um tronco e quais interfaces em um switch são para dispositivos de acesso.
normalmente, quando um quadro é enviado através de uma conexão de tronco, há uma tag que é adicionada a esse quadro. Por outro lado, essa tag é avaliada e removida, e esses dados são enviados para a VLAN correta do outro lado. Uma maneira de contornar essa funcionalidade é incluir duas tags com um quadro específico passando por VLAN. E com dupla marcação, podemos usar a VLAN nativa de um switch específico para obter acesso a uma VLAN à qual normalmente não teríamos acesso.
este ataque de dupla marcação usa dois interruptores diferentes. O primeiro switch remove a primeira tag associada ao quadro. E o segundo switch remove a segunda tag associada ao quadro e encaminha esses dados para a VLAN separada.Isso também significa que esse tipo particular de ataque só pode funcionar em uma direção. Não há como colocar duas tags no quadro de retorno. Então, sempre que você está enviando informações usando este ataque de dupla marcação, você está enviando-o sem nunca receber uma resposta de volta do outro dispositivo. Isso limita algumas das coisas que você pode ser capaz de fazer com este ataque, mas certamente poderia ser usado para algo como uma negação de serviço.
uma maneira de evitar um ataque de dupla marcação é não permitir que alguém acesse a VLAN nativa. Você mudaria o ID nativo da VLAN e forçaria qualquer pessoa a passar pela VLAN nativa a usar a marcação. Veja como essa dupla marcação funciona. Temos o computador de um atacante e um computador vítima. Você percebe os atacantes na VLAN 10 e o dispositivo vítima está na VLAN 20.
normalmente, esses dois dispositivos não seriam capazes de se comunicar diretamente entre si. Eles teriam que passar por um roteador no mínimo. Mas usando a marcação dupla, podemos passar por ambos os switches e fazer com que nossos dados acabem em uma VLAN diferente.
aqui está o quadro que vamos enviar. É um quadro Ethernet que tem duas tags dentro dele. Uma etiqueta para VLAN 10, e uma etiqueta para VLAN 20. Esse quadro será enviado para o primeiro switch e esse switch avaliará a primeira tag associada a esse quadro. Essa será a tag para VLAN 10.
ele remove essa tag, e esse quadro que sobrou ainda tem uma tag para a VLAN 20. Assim, ele irá enviá-lo através deste tronco para VLAN 20, onde este switch irá realizar a remoção normal da tag e enviar esses dados para baixo para a estação de trabalho da vítima. Obviamente, qualquer dado que vem da VLAN 10 não deve aparecer repentinamente na VLAN 20. Este ataque de dupla marcação permite que este dispositivo de ataque envie informações diretamente para esta vítima.