Um ataque a uma PVLAN (VLAN privada).

Обновлено 09.09.2025 07:56

Oleg Petukhov, advogado na área de Direito Internacional e proteção de dados pessoais, especialista em segurança da informação segurança, proteção de informações e dados pessoais.

Canal Telegram: https://t.me/protecaodaInformacao

Grupo Telegram: https://t.me/protecaodaInformacao1

Site: https://legascom.ru

E-mail: online@legascom.ru

 

#proteçãodaInformação #Segurançadainformação

As tecnologias VLAN (Virtual LAN) são a separação lógica de um switch. Os principais objetivos de uso são a diferenciação de tráfego para segurança e redução do volume de tráfego em um segmento de rede.

Com este ataque, um atacante pode aceder a um dispositivo PVLAN vizinho através de um dispositivo L3 (roteador).

Na tecnologia PVLAN, ao contrário das VLANs, as portas podem estar em três modos: isoladas, promíscuas, comunitárias. Isolado-as portas não podem transferir dados em seu VLAN entre clientes. Os dados só podem ser transferidos entre portas isoladas e promíscuas.

As portas promíscuas são as portas PVLAN onde os dados podem ser transferidos de todas as portas isoladas e de Comunidade, apenas como em um VLAN regular.

Uma comunidade é um grupo de portas entre cujos os dados de VLAN dos Membros podem ser transferidos a um VLAN.

Se um invasor tiver acesso a um dispositivo de Camada 3 (por exemplo, um roteador), ele poderá estabelecer comunicação entre clientes que estão na mesma PVLAN, entre portas isoladas. Para implementar esse ataque, o usuário pode forjar um pacote no qual especificará no endereço IP de destino o dispositivo que ele precisa, Localizado em outra porta isolada, a origem permanecerá inalterada, mas ele especificará o endereço MAC do dispositivo L3 como o endereço MAC de destino. Ao receber o pacote, este dispositivo irá encaminhá-lo para o endereço especificado. A parte receptora pode fazer o mesmo e, assim, garantir a transferência de dados entre portas isoladas.

Para evitar ataques desse tipo, é necessário criar uma lista de acesso especial no dispositivo L3, que proíbe a transferência direta de dados entre segmentos de rede.

router# conf t

router(config)# ip access-list extended vlan

router(config-ext-nacl)# deny ip 10.0.0.0 0.0.0.255

router(config-ext-nacl)# permit any any

router(config-ext-nacl)# exit

router(config)# int f0/1

router(config-if)# ip access-group pvlan in

As etapas mostradas neste exemplo devem ser executadas no roteador do dispositivo L3. Foi criada uma lista de controle de acesso chamada PVLAN, que afirma que é proibido transferir dados da rede 10.0.0.0/24 para 10.0.0.0/24, todo o resto é permitido. E essa lista de acesso foi conectada com a interface f0 / 1 pelo último comando.