Прежде чем приступить к работе и предотвращению атаки с перескоком VLAN, необходимо понять, что такое VLAN.
VLAN – это виртуальная локальная сеть, в которой физическая сеть разделена на группу устройств для их соединения. VLAN обычно используется для сегментации одного широковещательного домена на множество широковещательных доменов в коммутируемых сетях уровня 2. Для связи между двумя сетями VLAN требуется устройство уровня 3 (обычно маршрутизатор), так что все пакеты, передаваемые между двумя сетями VLAN, должны проходить через устройство 3-го уровня OSI.
В этом типе сети каждому пользователю предоставляется порт доступа, чтобы отделить трафик VLAN друг от друга, т. е. устройство, подключенное к порту доступа, имеет доступ только к этому конкретному трафику VLAN, поскольку каждый порт доступа коммутатора подключен к конкретный VLAN. После знакомства с основами того, что такое VLAN, давайте перейдем к пониманию атаки с перескоком VLAN и того, как она работает.
Как работает атака с перескоком VLAN
Атака с перескоком VLAN – это тип сетевой атаки, при которой злоумышленник пытается получить доступ к сети VLAN, отправляя ей пакеты через другую сеть VLAN, к которой подключен злоумышленник. В этом виде атаки злоумышленник злонамеренно пытается получить доступ к трафику, поступающему из других VLAN в сети, или может отправить трафик в другие VLAN в этой сети, к которым у него нет законного доступа. В большинстве случаев злоумышленник использует только 2 уровня, которые сегментируют различные хосты.
В статье представлен краткий обзор атаки VLAN Hopping, ее типов и способов предотвращения ее своевременного обнаружения.
Типы атак с перескоком VLAN
Атака переключения VLAN с использованием спуфинга:
При атаке переключения VLAN со спуфингом злоумышленник пытается имитировать коммутатор, чтобы использовать законный коммутатор, обманывая его для создания транкинговой связи между устройством злоумышленника и коммутатором. Магистральный канал – это соединение двух коммутаторов или коммутатора и маршрутизатора. Магистральный канал передает трафик между связанными коммутаторами или связанными коммутаторами и маршрутизаторами и поддерживает данные VLAN.
Кадры данных, которые проходят по магистральному каналу, маркируются для идентификации той VLAN, к которой принадлежит кадр данных. Следовательно, магистральный канал передает трафик многих VLAN. Поскольку пакетам из каждой VLAN разрешено проходить по транкинговому каналу, сразу после установления транкового канала злоумышленник получает доступ к трафику из всех VLAN в сети.
Эта атака возможна только в том случае, если злоумышленник подключен к интерфейсу коммутатора, конфигурация которого настроена на один из следующих режимов: «желаемый динамический», «динамический автоматический» или «магистральный». Это позволяет злоумышленнику формировать магистральный канал между своим устройством и коммутатором, генерируя сообщение DTP (Dynamic Trunking Protocol; они используются для динамического создания магистральных каналов между двумя коммутаторами) со своего компьютера.
Атака с двойным тегированием VLAN Hopping:
Атаку переключения VLAN с двойным тегированием можно также назвать атакой переключения VLAN с двойной инкапсуляцией. Эти типы атак работают только в том случае, если злоумышленник подключен к интерфейсу, подключенному к магистральному порту/интерфейсу связи.
Атака с двойным тегированием VLAN Hopping происходит, когда злоумышленник изменяет исходный кадр, добавляя два тега, так же, как большинство коммутаторов удаляют только внешний тег, они могут идентифицировать только внешний тег, а внутренний тег сохраняется. Внешний тег связан с личной VLAN злоумышленника, а внутренний тег связан с VLAN жертвы.
Сначала злонамеренно созданный злоумышленником фрейм с двойными тегами попадает в коммутатор, и коммутатор открывает фрейм данных. Затем идентифицируется внешний тег кадра данных, принадлежащий конкретной VLAN злоумышленника, с которой связана ссылка. После этого он пересылает кадр на все каналы собственной VLAN, а также реплика кадра отправляется на магистральный канал, который направляется к следующему коммутатору.
Затем следующий коммутатор открывает фрейм, идентифицирует второй тег фрейма данных как VLAN жертвы, а затем пересылает его в VLAN жертвы. В конечном итоге злоумышленник получит доступ к трафику, исходящему из VLAN жертвы. Атака с двойным тегированием является только однонаправленной, и невозможно ограничить возвращаемый пакет.
Смягчение атак с перескоком VLAN
Противодействие атакам Switched Spoofing VLAN:
Конфигурация портов доступа не должна быть установлена в какой-либо из следующих режимов: «динамический желаемый», «динамический автоматический» или «магистральный».
Вручную установите конфигурацию всех портов доступа и отключите протокол динамического транкинга на всех портах доступа с доступом в режиме порта коммутатора или согласованием режима порта коммутатора.
- switch1(config) # интерфейс gigabit ethernet 0/3
- Switch1(config-if) # доступ в режим switchport
- Switch1(config-if) # выход
Вручную установите конфигурацию всех магистральных портов и отключите протокол динамической транкинговой связи на всех магистральных портах с режимом магистрального порта коммутатора или согласованием режима порта коммутатора.
- Switch1(config) # интерфейс gigabitethernet 0/4
- Switch1(config-if) # инкапсуляция транка порта коммутатора dot1q
- Switch1(config-if) # транк в режиме switchport
- Switch1(config-if) # порт коммутатора не согласован
Поместите все неиспользуемые интерфейсы в VLAN, а затем выключите все неиспользуемые интерфейсы.
Защита от атак VLAN с двойным тегированием:
Не помещайте какой-либо хост в сети в VLAN по умолчанию.
Создайте неиспользуемую VLAN, чтобы установить и использовать ее в качестве собственной VLAN для магистрального порта. Аналогичным образом сделайте это для всех портов магистрали; назначенная VLAN используется только для собственной VLAN.
- Switch1(config) # интерфейс gigabitethernet 0/4
- Switch1(config-if) # магистральная собственная VLAN 400 коммутатора
Заключение
Эта атака позволяет злоумышленникам незаконно получить доступ к сетям. Затем злоумышленники могут урезать пароли, личную информацию или другие защищенные данные. Точно так же они также могут устанавливать вредоносное и шпионское ПО, распространять троянских коней, червей и вирусы или изменять и даже стирать важную информацию. Злоумышленник может легко перехватить весь трафик, исходящий из сети, чтобы использовать его в злонамеренных целях. Это также может в некоторой степени нарушить трафик ненужными кадрами.
В заключение можно без всяких сомнений сказать, что атака со скачкообразной перестройкой VLAN представляет собой огромную угрозу безопасности. Чтобы предотвратить подобные атаки, эта статья предлагает читателю меры безопасности и превентивные меры. Точно так же существует постоянная потребность в дополнительных и более продвинутых мерах безопасности, которые следует добавлять в сети на основе VLAN и улучшать сегменты сети как зоны безопасности.