VLAN Hopping. 4
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel : online@legascom.ru
#sécuritéinformations #informationsécurité
Avec cette attaque, un attaquant peut tenter de transférer des données vers un autre VLAN. Comme vous le savez, le mode trunk est utilisé dans les commutateurs pour communiquer entre les VLAN locaux virtuels. Dans les commutateurs Cisco Catalyst, le port par défaut ne fonctionne pas en mode accès ou en mode trunk, de sorte que le protocole DTP (Dynamic Trunk Protocol) fonctionne sur le port. De toute évidence, avec une telle configuration des ports du commutateur, il suffit à un attaquant de faire semblant d'être un commutateur, comment une connexion trunk sera établie entre eux et, par conséquent, les VLAN configurés sur le commutateur seront disponibles, après quoi il ne sera pas difficile de transférer des données vers un autre VLAN.
Avant de commencer à décrire les mesures visant à éliminer cette menace, nous discuterons des problèmes que le VLAN Hopping peut entraîner dans la pratique. En règle générale, dans la plupart des organisations, les serveurs fonctionnent dans un segment de réseau (VLAN), les postes de travail des administrateurs dans un autre, et les utilisateurs ordinaires dans un troisième. Un segment DMZ doit être placé séparément, bien que les commutateurs ne soient généralement pas utilisés pour le délimiter. Ainsi, dans le cas où un attaquant dans le segment utilisateur peut pénétrer dans le VLAN des administrateurs, il peut tenter d'attaquer les machines des administrateurs ou écouter le trafic à la recherche de mots de passe non chiffrés et d'autres informations sensibles.
Passons maintenant à la configuration appropriée du commutateur. Tout d'abord, vous devez forcer toutes les interfaces de commutateur utilisées à se traduire en modes accès et trunk, le cas échéant. Les ports inutilisés doivent être mis en mode arrêt et convertis en un VLAN inexistant qui ne sera connu que par ce commutateur, c'est-à-dire qu'il ne sera pas transmis sur les ports trunk à d'autres commutateurs.
Pour ceux qui veulent expérimenter avec ce type d'attaque, je recommande l'utilitaire PackETH, qui vous permet de construire un paquet à partir du deuxième niveau OSI.
Exécutez les commandes nécessaires sur le commutateur.
Switch# conf t
Switch (config)# int f0/1
Switch (config-if)# switchport mode access
Switch(config)# vlan 999
Switch(config)# name Unconnected
Switch(config)# exit
Switch(config)# int range f0/12-24
Switch(config-if-range)# switchport access vlan 999
Switch(config-if-range)# shut
Dans la première ligne, on a utilisé la commande pour passer en mode configurateur. Dans la deuxième, allez dans le réglage du port, puis passez en mode access. Ensuite, créez un VLAN et donnez-lui un nom. Ensuite, forcez l'arrêt de tous les ports restants sur le commutateur, en les transférant d'abord dans un nouveau VLAN.
Les paramètres décrits ci-haut vous permettent de résister aux attaques de type VLAN Hopping.
