VLAN Hopping. 6

Обновлено 05.09.2025 10:31

Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.

Canal do Telegram: https://t.me/protecaodaInformacao

Grupo em Telegram: https://t.me/protecaodaInformacao1

Site: https://legascom.ru

Correio eletrónico: online@legascom.ru

 

#segurançadaInformação #Segurançadainformação

Com este ataque, um invasor pode tentar transferir dados para outra VLAN. Como você sabe, os switches usam o modo trunk para comunicar entre VLAN virtuais. Nos switches Cisco Catalyst, a porta padrão não funciona no modo de acesso de modo nem no modo de trunk, assim o DTP (Dynamic Trunk Protocol) é executado na porta. Obviamente, com essa configuração de portas de switch, um invasor só precisa fingir ser um switch, pois uma conexão trunk será estabelecida entre elas e, portanto, as VLAN configuradas no switch estarão disponíveis, e então não será difícil passar os dados para outra VLAN.

Antes de começar a descrever as medidas para eliminar essa ameaça, discutiremos os problemas que o VLAN Hopping pode causar na prática. Normalmente, a maioria das organizações tem servidores em um segmento de rede (VLAN), estações de trabalho administradoras em outro e usuários comuns em um terceiro segmento. O segmento DMZ deve ser localizado separadamente, no entanto, os switches, como regra, não usam para distingui-lo. Assim, se um invasor no segmento de usuários conseguir se infiltrar na VLAN dos administradores, ele poderá tentar atacar as máquinas dos administradores ou ouvir o tráfego em busca de Senhas não criptografadas e outras informações confidenciais.

Agora vamos para a configuração apropriada do switch. Para começar, você precisa forçar todas as interfaces do switch usadas nos modos access e trunk, onde apropriado. As portas não utilizadas devem ser colocadas no modo shutdown e transferidas para uma VLAN inexistente, que será conhecida apenas por este switch, o que significa que não será transmitida pelas portas trunk para outros switches.

Para aqueles que desejam experimentar este tipo de ataque, eu recomendo o Utilitário PackETH, que permite construir um pacote a partir do segundo nível OSI.

Execute os comandos necessários no switch.

Switch# conf t

Switch (config)# int f0/1

Switch (config-if)# switchport mode access

Switch(config)# vlan 999

Switch(config)# name Unconnected

Switch(config)# exit

Switch(config)# int range f0/12-24

Switch(config-if-range)# switchport access vlan 999

Switch(config-if-range)# shut

Na primeira linha, usamos o comando para entrar no modo configurador. No segundo, vá para a configuração da porta, em seguida, mude para o modo access. Depois disso, criamos um VLAN e damos-lhe um nome. Em seguida, forçamos o desligamento de todas as portas restantes no switch, transferindo-as para uma nova VLAN.

As configurações descritas acima permitem resistir a ataques de Hopping de VLAN.