Переключение VLAN

Переключение VLAN — это эксплойт компьютерной безопасности , метод атаки на сетевые ресурсы в виртуальной локальной сети (VLAN). Основная концепция всех атак с переключением VLAN заключается в том, что атакующий узел в VLAN получает доступ к трафику в других VLAN, который обычно недоступен. Существует два основных метода переключения VLAN: подмена переключателя и двойная маркировка . Оба вектора атаки можно смягчить с помощью правильной настройки порта коммутатора.

Переключить спуфинг [ править ]

При атаке с подменой коммутатора атакующий хост имитирует транкинговый коммутатор. ^[1] озвучивая протоколы тегирования и транкинга (например, протокол регистрации нескольких VLAN , IEEE 802.1Q , протокол динамического транкинга ), используемые при поддержании VLAN. Тогда трафик для нескольких VLAN становится доступным атакующему хосту.

Смягчение [ править ]

Подмену коммутатора можно использовать только в том случае, если интерфейсы настроены на согласование магистрали. Чтобы предотвратить эту атаку на Cisco IOS , используйте один из следующих методов: ^[2]^: 163

1. Убедитесь, что порты не настроены на автоматическое согласование магистральных каналов, отключив DTP :

Switch (config-if)# switchport nonegotiate

2. Убедитесь, что порты, которые не предназначены для использования в качестве магистральных, явно настроены как порты доступа.

Switch (config-if)# switchport mode access

Двойная маркировка [ править ]

При атаке с двойным тегированием злоумышленник, подключенный к порту с поддержкой 802.1Q, добавляет два тега VLAN к передаваемому кадру. Кадр (с внешней меткой VLAN ID, членом которого на самом деле является порт злоумышленника) пересылается без первого тега, поскольку это собственная VLAN магистрального интерфейса. Затем второй тег становится видимым для второго переключателя, с которым сталкивается кадр. Этот второй тег VLAN указывает, что кадр предназначен целевому хосту на втором коммутаторе. Затем кадр отправляется на целевой хост, как если бы он исходил из целевой VLAN, эффективно минуя сетевые механизмы, которые логически изолируют VLAN друг от друга. ^[3] Однако возможные ответы не пересылаются атакующему хосту (однонаправленный поток).

Смягчение [ править ]

Двойную маркировку можно использовать только на портах коммутатора, настроенных на использование собственных VLAN . ^[2]^: 162 Магистральные порты, настроенные с использованием собственной VLAN, не применяют тег VLAN при отправке этих кадров. Это позволяет следующему коммутатору прочитать поддельный тег VLAN злоумышленника. ^[4]

Двойную маркировку можно устранить любым из следующих действий (включая пример IOS):

Просто не помещайте хосты в VLAN 1 (VLAN по умолчанию). т. е. назначьте каждому порту доступа VLAN доступа, отличную от VLAN 1.
```
 Switch (config-if)# switchport access vlan 2
```
Измените собственную VLAN на всех магистральных портах на неиспользуемый идентификатор VLAN.
```
Switch (config-if)# switchport trunk native vlan 999
```
Явное тегирование собственной VLAN на всех магистральных портах. Должен быть настроен на всех коммутаторах в сетевой автономии.
```
Switch(config)# vlan dot1q tag native
```

Пример [ править ]

В качестве примера атаки с двойным тегированием рассмотрим защищенный веб-сервер в VLAN под названием VLAN2. Хостам в VLAN2 разрешен доступ к веб-серверу; хосты за пределами VLAN2 блокируются фильтрами уровня 3. Атакующий хост в отдельной VLAN, называемой VLAN1(Native), создает специально сформированный пакет для атаки на веб-сервер. Он помещает заголовок , помечающий пакет как принадлежащий VLAN2, под заголовком, помечающим пакет как принадлежащий VLAN1. Когда пакет отправляется, коммутатор видит заголовок VLAN1 по умолчанию, удаляет его и пересылает пакет. Следующий коммутатор видит заголовок VLAN2 и помещает пакет в VLAN2. Таким образом, пакет поступает на целевой сервер так, как будто он был отправлен с другого хоста в VLAN2, игнорируя любую фильтрацию уровня 3, которая может быть установлена. ^[5]

См. также [ править ]

Частная VLAN

Ссылки [ править ]

^ Рик Фэрроу (17 марта 2003 г.). «Небезопасность VLAN» . Проверено 7 июня 2017 г.
^ Перейти обратно: ^а ^б Бойлз, Тим (2010). Учебное пособие по безопасности CCNA: экзамен 640-553 . SYBEX Inc. ISBN 9780470527672 .
^ Руиллер, Стив А. «Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия» . Читальный зал Инфобезопасности Института SANS . Проверено 7 июня 2017 г.
^ «Что такое атака с двойным тегированием и как предотвратить атаку с двойным тегированием» . Проверено 15 октября 2017 г.
^ «Примеры конфигурации, связанные с функциями VLAN» . Руководство по программному обеспечению Catalyst 2820 и 1900 Enterprise Edition . Циско . Архивировано из оригинала 28 января 2013 г. Проверено 7 июня 2017 г.

[1] Рик Фэрроу (17 марта 2003 г.). «Небезопасность VLAN» . Проверено 7 июня 2017 г.

[Boyles,_2010-2] Перейти обратно: ^а ^б Бойлз, Тим (2010). Учебное пособие по безопасности CCNA: экзамен 640-553 . SYBEX Inc. ISBN 9780470527672 .

[3] Руиллер, Стив А. «Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия» . Читальный зал Инфобезопасности Института SANS . Проверено 7 июня 2017 г.

[4] «Что такое атака с двойным тегированием и как предотвратить атаку с двойным тегированием» . Проверено 15 октября 2017 г.

[5] «Примеры конфигурации, связанные с функциями VLAN» . Руководство по программному обеспечению Catalyst 2820 и 1900 Enterprise Edition . Циско . Архивировано из оригинала 28 января 2013 г. Проверено 7 июня 2017 г.

[1]

[2]

[3]

[4]

[5]