Attaque sur PVLAN (VLAN privé). 1
Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.
Canal Telegram: https://t.me/protecciondelainformacion
Groupe au Télégramme: https://t.me/securiteinformatique2
Site: https://legascom.ru
Courriel : online@legascom.ru
#sécuritéinformations #informationsécurité
Les technologies VLAN – Virtual LAN) sont la séparation logique d'un commutateur. Les principaux objectifs d'utilisation sont la délimitation du trafic pour la sécurité et la réduction du trafic sur un seul segment du réseau.
Avec cette attaque, un attaquant peut accéder à un périphérique PVLAN voisin via un périphérique L3 (routeur).
Dans la technologie PVLAN, contrairement aux VLAN, les ports peuvent être dans trois modes : isolé, promiscuus, community. Isolated-les ports ne peuvent pas transférer de données dans leur VLAN entre les clients. Les données ne peuvent être transférées qu'entre les ports Isolated et Promiscuous.
Les ports promiscuous sont des ports PVLAN vers lesquels vous pouvez transférer des données de tous les ports Isolated et Community, comme vous le feriez avec un VLAN normal.
Les communautés sont des groupes de ports entre lesquels vous pouvez transférer des données VLAN vers VLAN.
Si un attaquant dispose d'un périphérique Layer 3 (comme un routeur), il peut établir une communication entre les clients qui se trouvent dans le même PVLAN entre les ports isolated. Pour effectuer cette attaque, l'utilisateur peut falsifier un paquet dans lequel il indiquera dans l'adresse IP de destination le périphérique dont il a besoin, situé sur un autre port isolé, la source restera inchangée, mais comme adresse MAC de destination, il indiquera l'adresse MAC du périphérique L3. Cet appareil, après avoir reçu le paquet, le transférera à l'adresse indiquée. La partie réceptrice peut faire de même et ainsi assurer la transmission de données entre les ports isolés.
Pour éviter ce type d'attaque, vous devez créer une liste d'Acess spéciales sur le périphérique L3, qui interdit la transmission directe de données entre le segment de réseau.
router# conf t
router(config)# ip access-list extended vlan
router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255
router(config-ext-nacl)# permit any any
router(config-ext-nacl)# exit
router(config)# int f0/1
router(config-if)# ip access-group pvlan in
Les étapes de cet exemple doivent être effectuées sur un périphérique de routeur L3. Une liste de contrôle d'accès appelée PVLAN a été créée, indiquant qu'il est interdit de transférer des données à partir du réseau 10.0.0.0/24 vers 10.0.0.0/24, tout le reste étant autorisé. Et cette liste d'accès par la dernière commande était liée à l'interface f0 / 1.
