Атака на PVLAN (Private VLAN).
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii
Группа в Телеграм: https://t.me/zashchitainformacii1
Сайт: https://legascom.ru
Электронная почта: online@legascom.ru
#защитаинформации #информационнаябезопасность
Технологии VLAN (Virtual LAN) - это логическое разделение коммутатора. Основные цели использования: разграничение трафика для безопасности и уменьшение объема трафика в одном сегменте сети.
С помощью этой атаки злоумышленник может получить доступ к соседнему устройству PVLAN посредством L3-устройства (маршрутизатора).
В технологии PVLAN, в отличие от VLAN, порты могут находиться в трех режимах: isolated, promiscuus, community. Isolated-порты не могут передавать данные в своем VLAN между клиентами. Данные могут передаваться только между портами Isolated и Promiscuous.
Порты promiscuous - это порты PVLAN, в которые можно передавать данные со всех портов Isolated и Community, как и в обычном VLAN.
Community - это группы портов, между членами которых можно передавать данные VLAN во VLAN.
Если атакующему доступно устройство Layer 3 (например, маршрутизатор), он может установить связь между клиентами, которые находятся в одном PVLAN, между портами isolated. Для реализации данной атаки пользователь может подделать пакет, в котором он укажет в IP-адресе назначения необходимое ему устройство, находящееся на другом порту isolated, источник останется без изменения, а вот в качестве МАС-адреса назначения он укажет МАС-адрес устройства L3. Данное устройство, получив пакет, переправит его по указанному адресу. Принимающая сторона может сделать то же самое и таким образом обеспечить передачу данных между isolated-портами.
Для предотвращения атак данного типа необходимо на устройстве L3 создать специальный Acess List, в котором запрещается прямая передача данных между сегментом сети.
router# conf t
router(config)# ip access-list extended vlan
router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255
router(config-ext-nacl)# permit any any
router(config-ext-nacl)# exit
router(config)# int f0/1
router(config-if)# ip access-group pvlan in
Действия, приведенные в этом примере, должны выполняться на L3-устройстве - маршрутизаторе. Был создан список управления доступом под названием PVLAN, в котором указывается, что с сети 10.0.0.0/24 запрещено передавать данные в 10.0.0.0/24, все остальное разрешено. И этот список доступа последней командой был связан с интерфейсом f0/1.
