VLAN Hopping.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
С помощью данной атаки злоумышленник может попытаться передать данные в другой VLAN. Как известно, для взаимодействия между виртуальными локальными сетями VLAN в коммутаторах используется режим trunk. В коммутаторах Cisco Catalyst по умолчанию порт работает не в режиме mode access и не в режиме mode trunk, таким образом, на порту работает протокол DTP (Dynamic Trunk Protocol). Очевидно, что при такой настройке портов коммутатора злоумышленнику достаточно притвориться коммутатором, как между ними будет установлено транковое соединение и, соответственно, будут доступны VLAN, сконфигурированные на коммутаторе, после чего передать данные в другой VLAN не составит труда.
Прежде чем приступить к описанию мер по ликвидации данной угрозы, обсудим, к каким проблемам на практике может привести VLAN Hopping. Как правило, в большинстве организаций серверы работают в одном сегменте сети (VLAN), рабочие станции администраторов - в другом, обычные пользователи - в третьем. Отдельно должен размещаться сегмент DMZ, правда, для его разграничения коммутаторы, как правило, не используют. Таким образом, в случае если злоумышленник, находясь в пользовательском сегменте, сможет проникнуть в VLAN администраторов, то он сможет попытаться атаковать машины администраторов или же прослушать трафик на наличие незашифрованных паролей и другой конфиденциальной информации.
Теперь перейдем к соответствующей настройке коммутатора. Для начала нужно все используемые интерфейсы коммутатора принудительно перевести в режимы access и trunk, где это положено. Неиспользуемые порты необходимо перевести в режим shutdown и перевести их в несуществующий VLAN, который будет известен только данному коммутатору, то есть не будет передаваться по trunk-портам другим коммутаторам.
Для желающих поэкспериментировать с данным типом атак рекомендую утилиту PackETH, которая позволяет сконструировать пакет начиная со второго уровня OSI.
Выполним необходимые команды на коммутаторе.
Switch# conf t
Switch (config)# int f0/1
Switch (config-if)# switchport mode access
Switch(config)# vlan 999
Switch(config)# name Unconnected
Switch(config)# exit
Switch(config)# int range f0/12-24
Switch(config-if-range)# switchport access vlan 999
Switch(config-if-range)# shut
В первой строке мы использовали команду для перехода в режим конфигуратора. Во второй заходим в настройку порта, далее переключаем его в режим access. После этого создаем VLAN и даем ему имя. Затем принудительно выключаем все оставшиеся порты на коммутаторе, переведя их предварительно в новый VLAN.
Описанные выше настройки позволяют противостоять атакам типа VLAN Hopping.
