Переключение VLAN

Переключение VLAN - это эксплойт компьютерной безопасности , метод атаки на сетевые ресурсы в виртуальной локальной сети (VLAN). Основная концепция всех атак с перескоком VLAN заключается в том, чтобы атакующий хост в VLAN получил доступ к трафику в других VLAN, который обычно не был бы доступен. Существует два основных метода переключения VLAN: подмена коммутатора и двойное тегирование . Оба вектора атаки могут быть смягчены с помощью правильной конфигурации порта коммутатора.

Спуфинг переключателя [ править ]

При атаке со спуфингом коммутатора атакующий хост имитирует коммутатор транкинга ^[1] , озвучивая протоколы тегирования и транкинга (например, протокол регистрации нескольких VLAN , IEEE 802.1Q , протокол динамического транкинга ), используемый для поддержки VLAN. После этого атакующему узлу доступен трафик для нескольких VLAN.

Смягчение [ править ]

Спуфинг коммутатора может быть использован только тогда, когда интерфейсы настроены на согласование транка. Чтобы предотвратить эту атаку на Cisco IOS , используйте один из следующих методов: ^[2]^{: 163}

1. Убедитесь, что порты не настроены на автоматическое согласование соединительных линий, отключив DTP :

Switch (config-if) # switchport nonegotiate

2. Убедитесь, что порты, не предназначенные для использования в качестве транков, явно настроены как порты доступа.

Switch (config-if) # доступ в режим switchport

Двойная пометка [ править ]

При атаке с двойным тегированием злоумышленник, подключенный к порту с поддержкой 802.1Q, добавляет два тега VLAN к передаваемому фрейму. Кадр (внешне помеченный идентификатором VLAN, членом которого действительно является порт злоумышленника) пересылается без первого тега, поскольку это собственная VLAN интерфейса магистрали. Затем второй тег становится видимым для второго переключателя, с которым сталкивается фрейм. Этот второй тег VLAN указывает, что кадр предназначен для целевого хоста на втором коммутаторе. Затем кадр отправляется на целевой хост, как если бы он был создан в целевой VLAN, эффективно обходя сетевые механизмы, которые логически изолируют VLAN друг от друга. ^[3] Однако возможные ответы не пересылаются атакующему хосту (однонаправленный поток).

Смягчение [ править ]

Двойное тегирование можно использовать только на портах коммутатора, настроенных для использования собственных сетей VLAN . ^[2]^{: 162} Магистральные порты, настроенные с использованием собственной VLAN , не применяют тег VLAN при отправке этих кадров. Это позволяет следующему коммутатору прочитать поддельный тег VLAN злоумышленника. ^[4]

Двойное тегирование может быть уменьшено с помощью любого из следующих действий (включая пример IOS):

Просто не помещайте никакие хосты в VLAN 1 (VLAN по умолчанию). т. е. назначить VLAN доступа, отличную от VLAN 1, для каждого порта доступа
```
 Switch (config-if) # switchport access vlan 2
```
Измените собственную VLAN на всех магистральных портах на неиспользуемый идентификатор VLAN.
```
Switch (config-if) # switchport trunk native vlan 999
```
Явная маркировка собственной VLAN на всех магистральных портах. Должен быть настроен на всех коммутаторах в автономном режиме сети.
```
Переключатель (config) # vlan dot1q tag native
```

Пример [ править ]

В качестве примера атаки с двойным тегированием рассмотрим защищенный веб-сервер в сети VLAN под названием VLAN2. Хостам в VLAN2 разрешен доступ к веб-серверу; узлы из-за пределов VLAN2 блокируются фильтрами уровня 3. Атакующий хост в отдельной VLAN, называемой VLAN1 (Native), создает специально сформированный пакет для атаки на веб-сервер. Он помещает заголовок, помечающий пакет как принадлежащий VLAN2, под заголовком, помечающий пакет как принадлежащий VLAN1. При отправке пакета коммутатор видит заголовок VLAN1 по умолчанию, удаляет его и пересылает пакет. Следующий коммутатор видит заголовок VLAN2 и помещает пакет в VLAN2. Таким образом, пакет поступает на целевой сервер, как если бы он был отправлен с другого хоста в VLAN2, игнорируя любую фильтрацию уровня 3, которая может иметь место. ^[5]

См. Также [ править ]

Частная VLAN

Ссылки [ править ]

^ Рик Фэрроу (2003-03-17). «Небезопасность VLAN» . Проверено 7 июня 2017 .
^ ^a ^b Бойлс, Тим (2010). CCNA Security Study Guide: Экзамен 640-553 . SYBEX Inc. ISBN 9780470527672.
^ Rouiller, Стив А. "Безопасность виртуальной локальной сети: слабые места и меры противодействия" . Читальный зал Инфобезопасности Института SANS . Проверено 7 июня 2017 .
^ «Что такое атака с двойной меткой и как предотвратить атаку с двойной меткой» . Проверено 15 октября 2017 .
^ «Примеры конфигурации, относящиеся к функциям VLAN» . Руководство по программному обеспечению Catalyst 2820 и 1900 Enterprise Edition . Cisco . Архивировано из оригинала на 2013-01-28 . Проверено 7 июня 2017 .

[1] Рик Фэрроу (2003-03-17). «Небезопасность VLAN» . Проверено 7 июня 2017 .

[Boyles,_2010-2] Бойлс, Тим (2010). CCNA Security Study Guide: Экзамен 640-553 . SYBEX Inc. ISBN 9780470527672.

[3] Rouiller, Стив А. "Безопасность виртуальной локальной сети: слабые места и меры противодействия" . Читальный зал Инфобезопасности Института SANS . Проверено 7 июня 2017 .

[4] «Что такое атака с двойной меткой и как предотвратить атаку с двойной меткой» . Проверено 15 октября 2017 .

[5] «Примеры конфигурации, относящиеся к функциям VLAN» . Руководство по программному обеспечению Catalyst 2820 и 1900 Enterprise Edition . Cisco . Архивировано из оригинала на 2013-01-28 . Проверено 7 июня 2017 .

[1]