VLAN hopping permite unui atacator să trimită cadre pe un dispozitiv pe un alt VLAN. În acest videoclip, veți afla cum pot fi utilizate spoofingul comutatorului și etichetarea dublă atunci când vlan țopăie.
< < video anterior: atacuri de forță brută următoarea: om-în-mijloc >>
multe organizații folosesc VLAN – uri pentru a separa rețeaua în diferite părți. Acest lucru poate fi din motive organizaționale. Ar putea fi, de asemenea, din motive de securitate. Deci, este posibil să aveți un VLAN pentru echipa de Inginerie a rețelei, un VLAN pentru expediere și primire și un VLAN separat pentru departamentul de contabilitate.
aceasta înseamnă că dacă cineva din departamentul de contabilitate accesează rețeaua, atunci are acces la toate celelalte dispozitive care se află pe VLAN-ul contabil. Și cea mai bună practică este că veți avea acces doar la dispozitivele care se află pe VLAN-ul dvs. local. Dar există unele tehnici care ar putea permite cuiva să hop la un alt VLAN. Evident, acest lucru nu ar trebui să se întâmple și vrem să fim siguri că protejăm împotriva cuiva care poate accesa un VLAN care nu este al lor.
există două metode principale pe care oamenii le folosesc pentru a sări între VLAN-uri în acest fel. Unul se numește spoofing switch, iar celălalt este etichetarea dublă. Multe trunchiuri vă permit să configurați un mod de configurare automată. Aceasta se numește negociere trunchi. Și vă permite să conectați un dispozitiv la un comutator, iar acel comutator va determina dacă dispozitivul pe care l– ați conectat este un dispozitiv de acces normal– cum ar fi un laptop sau un computer-sau dacă dispozitivul pe care îl conectați ar putea fi un alt comutator.
această configurație automată nu are niciun fel de autentificare asociată cu aceasta. Deci, dacă ai vrea să pretinzi că ești un switch, ai putea folosi software specializat și să te conectezi la un switch care avea această configurație automată, și în loc ca switch-ul să se gândească la tine ca la un laptop sau un desktop, atunci ar considera că ești un alt switch în rețea. În acel moment, ați negocia trunchiurile care erau necesare pe această legătură specială, la fel ca și cum ați conecta două comutatoare între ele. Și acum Puteți trimite informații către oricare dintre VLAN-urile care ar fi acceptate prin acea conexiune trunchi.
acest comutator spoofing ar da în mod eficient oricine acces la VLAN-uri care au fost acceptate pe acel comutator de la distanță. Acesta este motivul pentru care un administrator de switch ar dezactiva în mod normal această negociere automată a portbagajului. În schimb, administratorul ar trebui să definească manual ce interfețe de pe un comutator sunt pentru un trunchi și ce interfețe de pe un comutator sunt pentru dispozitivele de acces.
în mod normal, atunci când un cadru este trimis printr-o conexiune trunchi, există o etichetă care este adăugată la acel cadru. Pe de altă parte, că tag-ul este evaluat și eliminat, și că datele sunt trimise la VLAN corect pe de altă parte. O modalitate de a ocoli această funcționalitate este de a include două etichete cu un anumit cadru care trece peste VLAN. Și cu etichetarea dublă, putem folosi VLAN-ul nativ al unui anumit comutator pentru a avea acces la un VLAN la care în mod normal nu am avea acces.
acest atac dublu de etichetare utilizează două comutatoare diferite. Primul comutator elimină prima etichetă asociată cadrului. Și al doilea comutator elimină a doua etichetă asociată cu cadrul, și transmite aceste date la VLAN separat.
acest lucru înseamnă, de asemenea, că acest tip special de atac poate funcționa doar într-o singură direcție. Nu există nicio modalitate de a pune două etichete pe cadrul de întoarcere. Deci, ori de câte ori trimiteți informații folosind acest atac dublu de etichetare, îl trimiteți fără a primi vreodată un răspuns de la celălalt dispozitiv. Acest lucru limitează unele dintre lucrurile pe care le-ați putea face cu acest atac, dar cu siguranță ar putea fi folosit pentru ceva de genul refuzului serviciului.
o modalitate de a evita un atac dublu de etichetare este de a nu permite accesul cuiva la VLAN-ul nativ. Ați schimba ID-ul VLAN nativ și ați forța pe oricine trece peste VLAN nativ să utilizeze etichetarea. Iată cum funcționează această dublă etichetare. Avem computerul atacatorului și computerul victimei. Observați atacatorii pe VLAN 10, iar dispozitivul victimei este pe VLAN 20.
în mod normal, aceste două dispozitive nu ar putea comunica direct între ele. Ar trebui să treacă cel puțin printr-un router. Dar prin utilizarea etichetării duble, putem sări prin ambele comutatoare și să avem datele noastre pe un VLAN diferit.
Iată cadrul pe care îl vom trimite. Este un cadru Ethernet care are două etichete în interiorul acestuia. O etichetă pentru VLAN 10, și o etichetă pentru VLAN 20. Acel cadru va fi trimis la primul comutator, iar acel comutator va evalua prima etichetă asociată în acest cadru. Aceasta va fi eticheta pentru VLAN 10.
elimină acea etichetă, iar acel cadru rămas are încă o etichetă pentru VLAN 20. Așa că o va trimite pe acest portbagaj la VLAN 20, unde acest comutator va efectua îndepărtarea normală a etichetei și va trimite aceste date la stația de lucru a victimei. Evident, orice date care provin de la VLAN 10 nu ar trebui să apară brusc pe VLAN 20. Acest atac dublu de etichetare permite acestui dispozitiv de atac să trimită informații direct acestei victime.