VLAN Hopping. 8
Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.
Canale Telegram: https://t.me/protezionedelleinformazioni
Gruppo in telegramma: https://t.me/protezionedelleinformazioni1
Sito: https://legascom.ru
E-mail: online@legascom.ru
#protezionedelleInformazioni #sicurezzadelleinformazioni
Con un determinato attacco, un utente malintenzionato può tentare di trasferire i dati su UN'altra VLAN. Come è noto, gli switch utilizzano la modalità trunk per comunicare tra VLAN virtuali. Negli switch Cisco Catalyst, per impostazione predefinita, la porta non è in modalità access e non in modalità trunk, quindi la porta esegue il protocollo DTP (Dynamic Trunk Protocol). Ovviamente, con questa configurazione delle porte dello switch, è sufficiente per un utente malintenzionato fingere di essere uno switch, poiché verrà stabilita una connessione Trunk tra di loro e, di conseguenza, saranno disponibili VLAN configurate sullo switch, quindi non sarà difficile trasferire i dati a UN'altra VLAN.
Prima di iniziare a descrivere le misure per eliminare questa minaccia, discuteremo quali problemi possono portare in pratica VLAN Hopping. In genere, nella maggior parte delle organizzazioni, i server vengono eseguiti in un segmento di rete (VLAN), le workstation degli amministratori in un altro e gli utenti normali in un terzo. Il segmento DMZ deve essere posizionato separatamente, tuttavia, gli interruttori, di regola, non lo usano per distinguerlo. Pertanto, se un utente malintenzionato è in grado di penetrare nella VLAN degli amministratori, può tentare di attaccare le macchine degli amministratori o ascoltare il traffico alla ricerca di password non crittografate e altre informazioni sensibili.
Passiamo ora alla configurazione dello switch appropriata. Per prima cosa devi forzare tutte le interfacce dello switch utilizzate nelle modalità access e trunk, dove dovrebbe essere. Le porte inutilizzate devono essere messe in modalità shutdown e tradotte in una VLAN inesistente che sarà nota solo a questo switch, ovvero non verrà trasmessa attraverso le porte trunk ad altri switch.
Per coloro che desiderano sperimentare questo tipo di attacco, consiglio L'utilità PackETH, che consente di costruire un pacchetto a partire dal secondo livello OSI.
Eseguiamo i comandi necessari sullo switch.
Switch# conf t
Switch (config)# int f0/1
Switch (config-if)# switchport mode access
Switch(config)# vlan 999
Switch(config)# name Unconnected
Switch(config)# exit
Switch(config)# int range f0/12-24
Switch(config-if-range)# switchport access vlan 999
Switch(config-if-range)# shut
Nella prima riga abbiamo usato il comando per entrare in modalità configuratore. Nel secondo, vai alle impostazioni della porta, quindi passa alla modalità di accesso. Successivamente, creiamo una VLAN e gli diamo un nome. Quindi forziamo lo spegnimento di tutte le porte rimanenti sullo switch, trasferendole prima in una nuova VLAN.
Le impostazioni sopra descritte ti consentono di resistere agli attacchi di tipo VLAN Hopping.
