Ataque a PVLAN (VLAN Privada).
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
Las tecnologías VLAN (virtual LAN) son la división lógica de un conmutador. Los principales objetivos de uso: delimitar el tráfico para la seguridad y reducir el volumen de tráfico en un solo segmento de la red.
Con este ataque, un atacante puede acceder a un dispositivo PVLAN cercano a través de un dispositivo L3 (enrutador).
En la tecnología PVLAN, a diferencia de VLAN, los puertos pueden estar en tres modos: isolated, promiscuus, community. Isolated-los puertos no pueden transferir datos en su VLAN entre clientes. Los datos solo se pueden transferir entre los puertos Isolated y Promiscuous.
Los puertos promiscuous son puertos PVLAN a los que se pueden enviar datos desde todos los puertos Isolated y Community, al igual que en una VLAN normal.
Community son grupos de puertos entre cuyos miembros se pueden transferir datos de VLAN a VLAN.
Si un dispositivo de capa 3 (como un enrutador) está disponible para el atacante, puede establecer una comunicación entre los clientes que están en el mismo PVLAN entre los puertos aislados. Para implementar este ataque, el usuario puede falsificar un paquete en el que especificará en la dirección IP de destino el dispositivo que necesita ubicado en otro puerto isolated, la fuente permanecerá sin cambios, pero como dirección MAC de destino especificará la dirección MAC del dispositivo L3. Este dispositivo, después de recibir el paquete, lo enviará a la dirección especificada. La parte receptora puede hacer lo mismo y así asegurar la transferencia de datos entre los puertos aislados.
Para evitar este tipo de ataque, debe crear una lista especial de Acess En el dispositivo L3 que prohíba la transferencia directa de datos entre un segmento de red.
router# conf t
router(config)# ip access-list extended vlan
router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255
router(config-ext-nacl)# permit any any
router(config-ext-nacl)# exit
router(config)# int f0/1
router(config-if)# ip access-group pvlan in
Los pasos de este ejemplo deben realizarse en el dispositivo enrutador L3. Se creó una lista de control de acceso llamada PVLAN que indica que desde la red 10.0.0.0/24 está Prohibido transmitir datos a 10.0.0.0/24, todo lo demás está permitido. Y esta lista de acceso por el último comando se asoció con la interfaz f0 / 1.
