VLAN Hopping. 5
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
Con este ataque, un atacante puede intentar transferir datos a otra VLAN. Como se sabe, el modo trunk se utiliza para la comunicación entre las VLAN de LAN virtuales en los conmutadores. En los switches Cisco Catalyst, el puerto predeterminado no funciona en modo de acceso ni en modo de tronco, por lo que el puerto ejecuta el protocolo de Tronco dinámico (DTP). Obviamente, con esta configuración de los puertos del conmutador, es suficiente que el atacante pretenda ser un conmutador, ya que se establecerá una conexión troncal entre ellos y, en consecuencia, las VLAN configuradas en el conmutador estarán disponibles, después de lo cual no será difícil transferir datos a otra VLAN.
Antes de comenzar a describir las medidas para eliminar esta amenaza, discutiremos los problemas que VLAN Hopping puede causar en la práctica. En general, en la mayoría de las organizaciones, los servidores se ejecutan en un segmento de red (VLAN), las estaciones de trabajo de los administradores en otro y los usuarios normales en un tercero. El segmento DMZ debe colocarse por separado, sin embargo, los conmutadores, por regla general, no se utilizan para distinguirlo. Por lo tanto, si un atacante, mientras se encuentra en el segmento de usuario, puede penetrar en las VLAN de los administradores, puede intentar atacar las máquinas de los administradores o escuchar el tráfico en busca de contraseñas sin cifrar y otra información confidencial.
Ahora pasemos a la configuración apropiada del interruptor. Para empezar, debe forzar todas las interfaces de conmutador utilizadas a los modos access y trunk, donde se supone que debe hacerlo. Los puertos no utilizados deben ponerse en modo shutdown y transferirse a una VLAN inexistente que solo será conocida por el conmutador dado, es decir, no se transmitirá a través de los puertos trunk a otros conmutadores.
Para aquellos que deseen experimentar con este tipo de ataque, recomiendo la utilidad PackETH, que le permite construir un paquete a partir del segundo nivel de OSI.
Ejecutaremos los comandos necesarios en el conmutador.
Switch# conf t
Switch (config)# int f0/1
Switch (config-if)# switchport mode access
Switch(config)# vlan 999
Switch(config)# name Unconnected
Switch(config)# exit
Switch(config)# int range f0/12-24
Switch(config-if-range)# switchport access vlan 999
Switch(config-if-range)# shut
En la primera línea, usamos el comando para entrar en el modo configurador. En el segundo, vaya a la configuración del puerto, luego cámbielo al modo de acceso. Después de eso, creamos una VLAN y le damos un nombre. A continuación, forzar el cierre de todos los puertos restantes en el conmutador, traduciéndolos previamente a la nueva VLAN.
La configuración anterior le permite resistir ataques de Salto de VLAN.
