Oleg Petukhov, advogado na área de Direito Internacional e proteção de dados pessoais, especialista em segurança da informação segurança, proteção de informações e dados pessoais.
Canal Telegram: https://t.me/protecaodaInformacao
Grupo Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
E-mail: online@legascom.ru
#proteçãodaInformação #Segurançadainformação
As tecnologias VLAN (Virtual LAN) são a separação lógica de um switch. Os principais objetivos de uso são a diferenciação de tráfego para segurança e redução do volume de tráfego em um segmento de rede.
Com este ataque, um atacante pode aceder a um dispositivo PVLAN vizinho através de um dispositivo L3 (roteador).
Na tecnologia PVLAN, ao contrário das VLANs, as portas podem estar em três modos: isoladas, promíscuas, comunitárias. Isolado-as portas não podem transferir dados em seu VLAN entre clientes. Os dados só podem ser transferidos entre portas isoladas e promíscuas.
As portas promíscuas são as portas PVLAN onde os dados podem ser transferidos de todas as portas isoladas e de Comunidade, apenas como em um VLAN regular.
Uma comunidade é um grupo de portas entre cujos os dados de VLAN dos Membros podem ser transferidos a um VLAN.
Se um invasor tiver acesso a um dispositivo de Camada 3 (por exemplo, um roteador), ele poderá estabelecer comunicação entre clientes que estão na mesma PVLAN, entre portas isoladas. Para implementar esse ataque, o usuário pode forjar um pacote no qual especificará no endereço IP de destino o dispositivo que ele precisa, Localizado em outra porta isolada, a origem permanecerá inalterada, mas ele especificará o endereço MAC do dispositivo L3 como o endereço MAC de destino. Ao receber o pacote, este dispositivo irá encaminhá-lo para o endereço especificado. A parte receptora pode fazer o mesmo e, assim, garantir a transferência de dados entre portas isoladas.
Para evitar ataques desse tipo, é necessário criar uma lista de acesso especial no dispositivo L3, que proíbe a transferência direta de dados entre segmentos de rede.
router# conf t
router(config)# ip access-list extended vlan
router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255
router(config-ext-nacl)# permit any any
router(config-ext-nacl)# exit
router(config)# int f0/1
router(config-if)# ip access-group pvlan in
As etapas mostradas neste exemplo devem ser executadas no roteador do dispositivo L3. Foi criada uma lista de controle de acesso chamada PVLAN, que afirma que é proibido transferir dados da rede 10.0.0.0/24 para 10.0.0.0/24, todo o resto é permitido. E essa lista de acesso foi conectada com a interface f0 / 1 pelo último comando.