Angriff auf PVLAN (Private VLAN).
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
VLAN–Technologien (Virtual LAN) sind die logische Trennung eines Switches. Hauptnutzungsziele sind die Abgrenzung des Datenverkehrs zur Sicherheit und die Reduzierung des Datenverkehrs in einem Segment des Netzwerks.
Bei diesem Angriff kann ein Angreifer über ein L3-Gerät (Router) auf ein benachbartes PVLAN-Gerät zugreifen.
In PVLAN-Technologie können Ports im Gegensatz zu VLANs in drei Modi isoliert, promiscuus, Community ausgeführt werden. Isolated-Ports können keine Daten in ihrem VLAN zwischen Clients übertragen. Daten können nur zwischen Isolated- und Promiscuous-Ports übertragen werden.
Promiscuous-Ports sind PVLAN-Ports, an die Daten von allen Isolated- und Community-Ports übertragen werden können, genau wie bei einem normalen VLAN.
Community-Gruppen sind Portgruppen, zwischen denen VLAN-Daten an ein VLAN übertragen werden können.
Wenn dem Angreifer ein Layer 3-Gerät (z. B. ein Router) zur Verfügung steht, kann er zwischen Clients, die sich im gleichen PVLAN befinden, eine Verbindung zwischen den Isolated-Ports herstellen. Um diesen Angriff zu implementieren, kann der Benutzer ein Paket fälschen, in dem er das erforderliche Gerät in der Ziel-IP-Adresse auf einem anderen Isolated-Port anzeigt, die Quelle bleibt unverändert, aber die MAC-Adresse des L3-Geräts wird als Ziel-MAC-Adresse angegeben. Dieses Gerät sendet das Paket nach Erhalt an die angegebene Adresse. Der Empfangende kann dasselbe tun und so die Datenübertragung zwischen den Isolated-Ports sicherstellen.
Um Angriffe dieses Typs zu verhindern, müssen Sie auf dem L3 eine spezielle Acess-Liste erstellen, die die direkte Übertragung von Daten zwischen einem Netzwerksegment verhindert.
router# conf t
router(config)# ip access-list extended vlan
router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255
router(config-ext-nacl)# permit any any
router(config-ext-nacl)# exit
router(config)# int f0/1
router(config-if)# ip access-group pvlan in
Die Schritte in diesem Beispiel müssen auf dem L3-Gerät des Routers ausgeführt werden. Es wurde eine Zugriffssteuerungsliste namens PVLAN erstellt, die besagt, dass es vom Netzwerk 10.0.0.0/24 verboten ist, Daten an 10.0.0.0/24 zu übertragen, alles andere ist erlaubt. Und diese Zugriffsliste wurde mit dem letzten Befehl mit der Schnittstelle f0/1 verknüpft.
