Переключение VLAN - VLAN hopping

Переключение VLAN это эксплойт компьютерной безопасности, метод атаки на сетевые ресурсы на виртуальная локальная сеть (VLAN). Основная концепция всех атак с перескоком VLAN заключается в том, что атакующий хост в VLAN получает доступ к трафику в других VLAN, который обычно недоступен. Существует два основных метода переключения VLAN: спуфинг переключателя и двойная маркировка. Оба вектора атаки могут быть смягчены при правильной настройке порта коммутатора.

Спуфинг переключателя

В атаке со спуфингом коммутатора атакующий хост имитирует транковый коммутатор.[1] путем озвучивания протоколов тегирования и транкинга (например, Протокол регистрации нескольких VLAN, IEEE 802.1Q, Протокол динамического транкинга ), используемый для обслуживания VLAN. После этого атакующему узлу доступен трафик для нескольких VLAN.

Смягчение

Спуфинг коммутатора может быть использован только тогда, когда интерфейсы настроены на согласование транка. Чтобы предотвратить эту атаку на Cisco IOS воспользуйтесь одним из следующих способов:[2]:163

1. Убедитесь, что порты не настроены на автоматическое согласование соединительных линий, отключив АКДС:

Switch (config-if) # switchport nonegotiate

2. Убедитесь, что порты, не предназначенные для использования в качестве транков, явно настроены как порты доступа. 

Switch (config-if) # доступ в режим switchport

Двойная маркировка

В атаке с двойным тегированием злоумышленник подключился к 802.1Q -enabled port prepends два тега VLAN к кадру, который он передает. Кадр (внешне помеченный идентификатором VLAN, членом которого действительно является порт злоумышленника) пересылается без первого тега, поскольку это собственная VLAN интерфейса магистрали. Затем второй тег становится видимым для второго переключателя, с которым сталкивается фрейм. Этот второй тег VLAN указывает, что кадр предназначен для целевого хоста на втором коммутаторе. Затем кадр отправляется на целевой хост, как если бы он был создан в целевой VLAN, эффективно обходя сетевые механизмы, которые логически изолируют VLAN друг от друга.[3]Однако возможные ответы не пересылаются атакующему хосту (однонаправленный поток).

Смягчение

Двойная маркировка может использоваться только на портах коммутатора, настроенных для использования собственные сети VLAN.[2]:162 Магистральные порты, настроенные с собственный VLAN не применяйте тег VLAN при отправке этих кадров. Это позволяет следующему коммутатору прочитать поддельный тег VLAN злоумышленника.[4]

Двойное тегирование может быть уменьшено с помощью любого из следующих действий (включая пример IOS):

  • Просто не помещайте никакие хосты в VLAN 1 (VLAN по умолчанию). т.е. назначить VLAN доступа, отличную от VLAN 1, для каждого порта доступа
     Switch (config-if) # switchport access vlan 2
  • Измените собственную VLAN на всех магистральных портах на неиспользуемый идентификатор VLAN.
    Switch (config-if) # switchport trunk native vlan 999
  • Явная маркировка собственной VLAN на всех магистральных портах. Должен быть настроен на всех коммутаторах в автономном режиме сети.
    Switch (config) # vlan dot1q tag native

Пример

В качестве примера атаки с двойным тегированием рассмотрим защищенный веб-сервер в VLAN под названием VLAN2. Хостам в VLAN2 разрешен доступ к веб-серверу; узлы из-за пределов VLAN2 блокируются фильтрами уровня 3. Атакующий хост в отдельной VLAN, называемой VLAN1 (Native), создает специально сформированный пакет для атаки на веб-сервер. Это ставит заголовок пометить пакет как принадлежащий VLAN2 под заголовком, пометив пакет как принадлежащий VLAN1. При отправке пакета коммутатор видит заголовок VLAN1 по умолчанию, удаляет его и пересылает пакет. Следующий коммутатор видит заголовок VLAN2 и помещает пакет в VLAN2. Таким образом, пакет поступает на целевой сервер, как если бы он был отправлен с другого хоста в VLAN2, игнорируя любую фильтрацию уровня 3, которая может иметь место.[5]

Смотрите также

Рекомендации

  1. ^ Рик Фэрроу (2003-03-17). «Небезопасность VLAN». Получено 2017-06-07.
  2. ^ а б Бойлс, Тим (2010). CCNA Security Study Guide: Экзамен 640-553. SYBEX Inc. ISBN  9780470527672.
  3. ^ Руиллер, Стив А. «Безопасность виртуальной локальной сети: слабые места и меры противодействия». Информационный зал Института SANS. Получено 2017-06-07.
  4. ^ «Что такое атака с двойной меткой и как предотвратить атаку с двойной меткой». Получено 2017-10-15.
  5. ^ «Примеры конфигурации, относящиеся к функциям VLAN». Руководство по программному обеспечению Catalyst 2820 и 1900 Enterprise Edition. Cisco. Архивировано из оригинал на 2013-01-28. Получено 2017-06-07.